Win64 驱动内核编程-15.回调监控注册表

最新推荐文章于 2023-12-01 15:39:19 发布
最新推荐文章于 2023-12-01 15:39:19 发布
阅读量4.7k 收藏 14
点赞数 4
分类专栏: 驱动内核编程 文章标签: 驱动 回调监控注册表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/61934876
版权
本文介绍了如何使用CmRegisterCallback函数在Win64驱动中进行注册表监控,以替代繁琐的SSDT HOOK方法。在Vista及后续系统中,该函数能获取完整的注册表修改信息。通过回调函数,可以记录并拒绝特定进程(如regedit.exe)对注册表的修改操作。
摘要由CSDN通过智能技术生成

回调监控注册表

    在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK。不过用 SSDT HOOK

的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 NT5 系统没有的函数。下面我就来介绍一种完胜 SSDT HOOK 监控注册表的方法,效果跟 SSDT HOOK 一样好。这个方法就是使用微软推荐的注册表监控函数:CmRegisterCallbak。此函数其实在 XP 系统上就有了,不过那时功能不完善,只能简单的禁止或允许,无法获得完整的注册表修改信息(即做不到监控);在 VISTA 以及之后的系统里,微软对此函数做了相当大的改进,使之能获得完整的注册表修改信息。本文最后实现的效果就是:把“注册表编辑器”(regedit.exe)所有对注册表添加、删除、重命名的操作都通过 DbgView 打印

出来,并拒绝访问(只针对 regedit.exe 是因为系统对注册表的操作太频繁了,这么做是为了方便大家实验)。

 

函数原型:

NTSTATUS CmRegisterCallback

(

_In_ PEX_CALLBACK_FUNCTION Function,

_In_opt_ PVOID Context,

_Out_ PLARGE_INTEGER Cookie

);

这三个参数分别为:回调函数的地址,随便设置的值(直接传入 NULL 

最低0.47元/天 解锁文章
TK13
关注
专栏目录
WDK驱动开发之路——注册表回调
AuddyTab的博客
11-22 388
//当有注册表行为时进行回调 进行注册表保护 #include <wdm.h> #include <ntddk.h> #include <ntifs.h> LARGE_INTEGER cookies = {0}; //参数1决定操作类型 参数2决定操作数据 NTSTATUS RegisterCallBack(PVOID context,PVOID arg1,PVOID arg2) { NTSTATUS status = STATUS_SUCCESS; DbgP.
ssdt hook监控进程,注册表,内核模块的加载_禁止程序运行 禁止修改注册表 禁止加载sys文件.zip
01-25
ssdt hook监控进程,注册表,内核模块的加载_禁止程序运行 禁止修改注册表 禁止加载sys文件.zip
驱动开发:内核监控Register注册表回调
热门推荐
CSDN
10-27 1万+
中实现了对注册表的枚举,本章将实现对注册表监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控注册表监视通常会通过。其中对于注册表最常用的监控项为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
驱动开发:内核枚举Registry注册表回调
CSDN
10-21 9393
函数基址,然后在该函数起始位置向下搜索,找到这个链表节点,并将其后面的基地址取出来,在上一篇。得到了注册表回调入口地址,接着直接循环遍历输出这个链表即可得到所有的注册表回调。目前系统中有两个回调函数,这一点在第一张图片中也可以得到,枚举是正确的。注册表系统回调的枚举需要通过特征码搜索来实现,首先我们可以定位到。文章中已经介绍了定位方式此处跳过介绍,具体实现代码如下。即可得到数据,如果要遍历下一个链表则只需要。要想得到此处的链表地址,需要先通过。链表节点,取出这个链表地址。注册表通知消息的枚举,与。
遍历注册表回调函数(仿PCHunter CmpBack)
09-28 171
遍历注册表回调函数(仿PCHunterCmpBack) typedefstruct_CAPTURE_REGISTRY_MANAGER { PDEVICE_OBJECTdeviceObject; BOOLEANbReady; LARGE_INTEGERregistryCallbackCookie; LIST_ENTRYlQueuedRegistryEven...
Win64 驱动内核编程-32.枚举与删除注册表回调
墨鱼菜鸡
12-18 178
枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,...
Win64 驱动内核编程-17. MINIFILTER(文件保护)
墨鱼菜鸡
12-18 286
MINIFILTER(文件保护) 使用HOOK来监控文件操作的方法有很多,可以在SSDT上HOOK一堆和FILE有关的函数,也可以对FSD进行IRPHOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在VISTA之后,推荐使用MINI...
windows 驱动开发基础(三) 注册表回调
pureman_mega的博客
02-19 997
参考工程路径:C:\WinDDK\7600.16385.1\src\general\registry\regfltr 关于 Transaction (事务),Enlistment(登记)对象的介绍https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/handling-rollback-operations 1.注册表回调使用 // // Register the callback // 函数原型 ...
注册表过滤驱动
05-28
注册表过滤驱动回调监控注册表监控,界面输出控制台
实时监视注册表变化源代码
06-15
模拟监视注册表指定项,比如监视SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce的值的添加及变化。
注册表回调注册表保护
qq_41490873的博客
01-30 837
#include <ntifs.h> #include<ntddk.h> #include <stdio.h> WCHAR KeyPath[1024] = { 0 }; WCHAR KeyName[128] = { 0 }; NTSTATUS RegisterCallBack( _In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2 ) { NTSTATUS stat
注册表回调笔记
kernweak的博客
06-05 776
NTSTATUS CmRegisterCallbackEx( PEX_CALLBACK_FUNCTION Function,//回调函数 PCUNICODE_STRING Altitude,//高度 PVOID Driver, PVOID Context, PLARGE_INTEGER C...
6.8 Windows驱动开发:内核枚举Registry注册表回调
最新发布
CSDN
12-01 1万+
Registry注册表回调Windows操作系统提供的一种机制,它允许开发者在注册表发生变化时拦截并修改注册表的操作。Registry注册表回调是通过操作系统提供的注册表回调机制来实现的。
内核下的注册表操作
qq_41490873的博客
07-23 1026
注册表的相关概念 创建关闭注册表 ZwCreateKey NTSYSAPI NTSTATUS ZwCreateKey( PHANDLE KeyHandle, //获得的注册表句柄 ACCESS_MASK DesiredAccess, //访问权限,一般设置为KEY_ALL_ACCESS POBJECT_ATTRIBUTES ObjectAttributes, //OBJECT_ATTRIBUTES数据结构指针 ULONG Ti
x64回调监控注册表
kernweak的博客
07-18 823
x86下可以使用hook技术,x64下使用回调监控。 主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle); 原型 NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...
Windows的事件通知机制
qq_42814021的博客
10-14 1750
Windows系统内核提供了一系列的事件通知(Notify)机制以及回调(Callback)机制。 事件通知机制:用于监控系统内某一事件的操作。 回调机制:用来反映系统内某一个部件的状态,也可以被用来实现多个内核模块之间的通信。 本文主要介绍一下事件通知机制! 事件通知机制 常见的事件通知有: 创建进程通知(CreateProcessNotify) 创建线程通知(CreateThreadNotify) 加载模块通知(LoadImageNotify) 注册表操作通知 注意:一旦事件通知被成
用Visual studio11在Windows8上开发驱动实现注册表监控和过滤
weixin_30432179的博客
10-24 115
Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64Windows驱动程序开发的教程资源,由作者“天使也掉毛”在CSDN博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值