围观注册表穿越操作

最新推荐文章于 2020-11-08 22:00:46 发布
最新推荐文章于 2020-11-08 22:00:46 发布
阅读量1k 收藏
点赞数
分类专栏: rootkit 文章标签: hook c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7640164
版权
本文介绍了内核注册表穿越的几种策略,包括直接调用Zw***Key、映射kernel.exe内存执行无SSDT hook的注册表操作,以及通过CmpCallback清零和hook CM_KEY_CONTROL_BLOCK来实现注册表操作,详细阐述了每种方法的实现细节。
摘要由CSDN通过智能技术生成

看了国内部分几个内核注册表穿越的驱动,用来绕过市面上量最大的菜鸟rootkit们,因为只会勾SSDT就出来混的真的有很多啊……

 

大概这么几个思路

 

1.      懒得处理,直接调用Zw***Key

2.      Map一份kernel.exe到内存中,按照内核基址重定位,把N

最低0.47元/天 解锁文章
Shevacoming
关注
专栏目录
C# 注册表 操作实现代码
12-31
下面我们来分别解释这5个类的作用 HKEY_CLASSES_ROOT该主键包含了文件的扩展名和应用程序的关联信息以及Window Shell和OLE用于储存注册表的信息。该主键下的子键决定了在WINDOWS中如何显示该类文件以及他们的图标,...
强删文件,强杀进程,文件注册表穿越
05-16 997
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开发技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
使用windbg搜索命令辅助逆向杀软穿透驱动注册表操作
weixin_30500105的博客
11-17 249
我们这里以腾讯的逆向TSSysKit.sys驱动举例。金山的对应的驱动是kisapi.sys 。360对应的是bapidrv.sys 1 逆向相关的注册表底层操作相关的函数 (驱动的大小) 1 s -d b21c4000 L2b000 nt!cmpcallbackcount; 2 s -d b21c4000 L2b000 nt!CmDeleteK...
系统回调 CmpCallback
张昆
11-01 2164
系统回调 CmpCallback
《Windows内核原理与实现笔记》(一)Windows系统结构和基本概念
kernweak的博客
09-26 3795
Windows内核结构 上图是windows内核的组成结构 如图Windows内核分三层,与硬件直接打交道的是硬件抽象层HAL,这一层把所有与硬件相关代码逻辑隔离到一个专门模块中,从而是上层尽可能独立于硬件平台。HAL是一个独立动态链接库,windows带了多个如Hal.dll,halacpi.dl等,这是根据高级配置和电源接口高级可编程中断控制器之类的区别,只有一个会被选中选中之后拷贝改...
C#注册表操作类(完整版))
05-09
在本段内容中,主要介绍了C#中注册表操作类的基础知识,包括注册表基项的定义和注册表数据类型的分类。这些知识点是进行C#编程时,尤其是进行系统配置和管理时的重要组成部分。 注册表是Windows操作系统中的一个...
C#编程 系统及注册表操作 DummyKey(源码)(源码)
07-01
C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 ...
C#编程 系统及注册表操作 GetMousePosition(源码)(源码)
07-01
C#编程 系统及注册表操作 GetMousePosition(源码)(源码)C#编程 系统及注册表操作 GetMousePosition(源码)(源码)C#编程 系统及注册表操作 GetMousePosition(源码)(源码)C#编程 系统及注册表操作 GetMousePosition...
《Windows内核原理与实现笔记》(二)注册表和配置管理器,事件追踪,安全性管理
kernweak的博客
12-23 1346
注册表和配置管理器 Windows系统很多组件都是可以配置的,内核组建通常支持一些参数,甚至有些完全依赖于系统配置信息。例如I/O管理器和即插即用管理器在初始化阶段根据系统设置来例句和加载设备驱动程序。Windows操作系统提供了一个称为“注册表”的中心存储设施来作为系统的配置和管理中心。应用程序和捏合通过访问注册表来读写设置Windows同时提供API供访问注册表,API接到注册表访问请求,转...
读书笔记之《Windows内核原理与实现》
weixin_34306593的博客
10-27 845
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExce...
《Windows内核原理与实现》-------函数,结构,全局变量的所在页数
走在北风里
11-08 728
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExceptionExit 341 _KiFastCallEntry 552 554 _KiServiceExit 553 _KiShutUpAssembler 321 _
windows config manager
飞鸟的专栏
08-31 1282
Introductionthe configuration manager, the executive subsystem that implements the registry,organizes the registry`s on-disk files. windows organizes the registry data that a hive stores in containers
实现kernel-mode inline function hook的简单方法
08-14 1121
看了uty的《kernel inline hook 绕过vice检测》,思路很好,但实现起来麻烦了点。这里以CmEnumerateKey为例介绍实现inline hook的简单方法,尽量依靠编译器做更多的事情。1、编写fake_CmEnumerateKey,在其中对CmEnumerateKey的调用做后续处理。NTSTATUSfake_CmEnumerateKey(IN PCM_KEY_CON
Windows NT Registry
求索
12-22 1071
Windows NT Registry
ZwEnumerateKey
黄少彬的专栏
02-06 1043
ZwEnumerateKeyThe ZwEnumerateKey routine returns information about the subkeys of an open registry key.NTSTATUS ZwEnumerateKey( IN HANDLE KeyHandle, IN ULONG Index,
ObjectType HOOK干涉注册表操作
03-22 915
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
C#实现注册表读写操作
"C#注册表操作相关代码示例" 在C#编程中,对注册表进行操作是一项常见的任务,这通常涉及到读取、写入、创建或删除注册表键值。以下是一个C#类`GF_RegReadWrite`,该类包含了几个方法来执行这些操作。这些方法都是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值