注册表Key访问重定向

最新推荐文章于 2022-10-24 09:08:03 发布
最新推荐文章于 2022-10-24 09:08:03 发布
阅读量351 收藏
点赞数
文章标签: 操作系统
原文链接:https://my.oschina.net/ejoyc/blog/179461
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

#include <ntifs.h>

DRIVER_INITIALIZE    DriverEntry;
DRIVER_UNLOAD        DriverUnload;
EX_CALLBACK_FUNCTION RegistryCallback;

LARGE_INTEGER  g_CmRegstryCookie;
extern PUSHORT NtBuildNumber;

NTSTATUS DriverEntry( PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath )
{
    NTSTATUS    Status = STATUS_NOT_SUPPORTED;   

    //KdBreakPoint();

    if ( *NtBuildNumber >= 6000 )
    {
        DriverObject->DriverUnload = DriverUnload;
        Status = CmRegisterCallback( RegistryCallback, DriverObject, &g_CmRegstryCookie ); 
    }    

    return Status;
}

VOID     DriverUnload( PDRIVER_OBJECT  DriverObject )
{
    CmUnRegisterCallback( g_CmRegstryCookie  );
}

PVOID   KmAlloc( SIZE_T PoolSize )
{
    PVOID PoolBase = ExAllocatePoolWithTag( NonPagedPool, PoolSize, 'MmK_');
    if ( PoolBase )
    {
        RtlZeroMemory( PoolBase, PoolSize );
    }
    return PoolBase;
}

VOID    KmFree( PVOID PoolBase )
{
    ExFreePoolWithTag( PoolBase, 'MmK_');
}

NTSTATUS LfGetObjectName( IN CONST PVOID Object, OUT PUNICODE_STRING* ObjectName )
{
    NTSTATUS        Status = STATUS_INSUFFICIENT_RESOURCES;    
    PUNICODE_STRING TmpName;
    ULONG           ReturnLength;
    
    ObQueryNameString( Object, (POBJECT_NAME_INFORMATION)&ReturnLength, sizeof(ULONG), &ReturnLength );    
    *ObjectName = NULL;
    TmpName = (PUNICODE_STRING)KmAlloc( ReturnLength );    
    if ( TmpName )
    {
        Status = ObQueryNameString( Object, (POBJECT_NAME_INFORMATION)TmpName, ReturnLength, &ReturnLength );
        if ( NT_SUCCESS(Status) )
        {
            *ObjectName = TmpName;
        }
        else
        {
            KmFree( TmpName );
        }
    }

    return Status;
}

NTSTATUS RegistryCallback( PVOID CallbackContext, PVOID Argument1, PVOID Argument2 )                          
{
    NTSTATUS         Status      = STATUS_SUCCESS;
    REG_NOTIFY_CLASS NotifyClass = (REG_NOTIFY_CLASS)Argument1;
    
    if( ExGetPreviousMode() == KernelMode )
    {
        return  STATUS_SUCCESS;
    }

    switch ( NotifyClass )
    {
    case RegNtPreCreateKeyEx:
    case RegNtPreOpenKeyEx:
        {
            PREG_CREATE_KEY_INFORMATION KeyInfo = (PREG_CREATE_KEY_INFORMATION)Argument2;            
            UNICODE_STRING              CompKey1Name;
            UNICODE_STRING              CompKey2Name;
            UNICODE_STRING              FullKeyName;
            PUNICODE_STRING             RootKeyName;
            WCHAR*                      Buffer;
            USHORT                      BufLen;
            HANDLE                      KeyHandle;
            ULONG                       Disposition;
            OBJECT_ATTRIBUTES           ObjectAttrib;

            Status = LfGetObjectName( KeyInfo->RootObject, &RootKeyName );
            if ( NT_SUCCESS(Status) )
            {
                BufLen = KeyInfo->CompleteName->Length + sizeof(L"\\RediKey");
                if ( RootKeyName->Length > 10*sizeof(WCHAR) )//sizeof(L"\\REGISTRY\\") : 10*sizeof(WCHAR)
                {
                    BufLen += RootKeyName->Length + sizeof(WCHAR);
                }

                Buffer = KmAlloc( BufLen );
                if ( Buffer )
                {
                    RtlInitEmptyUnicodeString( &FullKeyName, Buffer, BufLen );
                    if ( RootKeyName->Length > 10 )
                    {
                        RtlCopyUnicodeString( &FullKeyName, RootKeyName );
                        RtlAppendUnicodeToString( &FullKeyName, L"\\" );
                    }

                    RtlAppendUnicodeStringToString( &FullKeyName, KeyInfo->CompleteName );
                    
                    RtlInitUnicodeString( &CompKey1Name, L"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion" );
                    
                    RtlInitUnicodeString( &CompKey1Name, L"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RUN" );
                    RtlInitUnicodeString( &CompKey2Name, L"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RUN\\" );
                    
                    if ( _wcsnicmp( FullKeyName.Buffer, CompKey1Name.Buffer, CompKey1Name.Length/sizeof(WCHAR) ) == 0 || 
                         _wcsnicmp( FullKeyName.Buffer, CompKey2Name.Buffer, CompKey2Name.Length/sizeof(WCHAR) ) == 0  )
                    {
                        ULONG StrLen = sizeof(L"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion");
                        
                        RtlMoveMemory( FullKeyName.Buffer + (StrLen + sizeof(L"RediKey"))/sizeof(WCHAR), 
                                        FullKeyName.Buffer + StrLen/sizeof(WCHAR), 
                                        FullKeyName.Length - StrLen );
                        
                        RtlMoveMemory( FullKeyName.Buffer + StrLen/sizeof(WCHAR), 
                                        L"RediKey\\",
                                        sizeof(L"RediKey") );
                        
                        FullKeyName.Length += sizeof(L"RediKey");
                        
                        InitializeObjectAttributes( &ObjectAttrib, &FullKeyName, OBJ_CASE_INSENSITIVE, NULL, NULL );
                        
                        if( NotifyClass == RegNtPreCreateKeyEx )
                        {
                            Status = ZwCreateKey( 
                                        &KeyHandle,
                                        KeyInfo->DesiredAccess,
                                        &ObjectAttrib,
                                        0,
                                        KeyInfo->Class,
                                        KeyInfo->CreateOptions,
                                        &Disposition ); 
                        }
                        else
                        {
                            Status = ZwOpenKey( 
                                        &KeyHandle,
                                        KeyInfo->DesiredAccess,
                                        &ObjectAttrib);                                        
                        }
                        
                        if ( NT_SUCCESS(Status) )
                        {
                            PVOID KeyObject;
                            
                            Status = ObReferenceObjectByHandle( 
                                        KeyHandle, 
                                        KeyInfo->DesiredAccess, 
                                        KeyInfo->ObjectType, 
                                        KernelMode, 
                                        &KeyObject, 
                                        NULL );
                            
                            if( NT_SUCCESS(Status) )
                            {                
                                __try
                                {
                                    if( NotifyClass == RegNtPreCreateKeyEx )
                                    {                                    
                                        *KeyInfo->Disposition  = Disposition;
                                    }                                    
                                    
                                    *KeyInfo->ResultObject = KeyObject;
                                    KeyInfo->GrantedAccess = KeyInfo->DesiredAccess;
                                    
                                    Status = STATUS_CALLBACK_BYPASS;
                                }
                                __except( EXCEPTION_EXECUTE_HANDLER )
                                {
                                    ObDereferenceObject( KeyObject );
                                    Status =  GetExceptionCode();
                                }
                            }

                            ZwClose( KeyHandle );
                        }
                    }
                }

                KmFree( RootKeyName );
                KmFree( Buffer );
            }            
        }
        break;
    }

    return Status;
}

 

转载于:https://my.oschina.net/ejoyc/blog/179461

weixin_34236869
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
64 位 Windows 平台开发注意要点之注册表重定向
qq_27011361的博客
08-06 848
Window 系统错误代码 ERROR_SUCCESS,本博客中一律使用 NO_ERROR 代替。虽然 ERROR_SUCCESS 与 NO_ERROR 是完全等价的,都代表成功,但是后者却和其他错误代码一样,使用 ERROR 前缀,容易让人误认为是错误代码。而 NO_ERROR 意义很明显,就是无错误。还有另外一个宏 NOERROR 也表示成功,但是使用较少。Windows 系统错误代码的数据类...
注册表重定向
zhy0809的专栏
12-31 371
什么是重定向 无论是Windows XP Professional X64 Edition、Windows Server 2003X64 Edition还是Windows Vista X64 Edition(以下把均统称为X64系统),都引入了一项技术:文件和注册表重定向。 之所以有这个技术,是为了将32位程序和64位程序分离开。这种在64位平台上运行32位程序的模拟器被称为WOW6
Windows下CmRegisterCallback简单分析
操作系统内核与逆向工程
07-23 833
IDA看一下 进入Internal函数 signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie) { __int64 _Context; // rsi __int6...
Spring框架学习(6)页面转发、重定向
key_768的博客
01-14 206
前言 记录学习过程 直接页面转发 不经过控制器类的处理方法直接转发到页面,可以通过使用< mvc:view-controller >元素来实现。在SpringMVC配置文件springmvc.xml中: <!--不经过控制器类的处理方法直接转发到页面--> <!--如果当前请求为“/success”时,则转发到“/success.jsp”--> ...
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4546
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
简单的注册表读写示例代码
04-20
在编程中,我们通常使用Windows API函数来访问注册表。其中,`RegOpenKeyEx`用于打开或创建一个注册表键,`RegQueryValueEx`用于读取键值,`RegSetValueEx`用于写入键值,而`RegCloseKey`则用于关闭已打开的键。 ...
VB的32位程序在64位系统中出现文件和注册表自动转向的解决方法
09-04
而32位程序试图写入`HKEY_LOCAL_MACHINE\Software`等注册表键时,系统会将访问重定向至`HKEY_LOCAL_MACHINE\Software\Wow6432Node`,这里的Wow6432Node就是32位程序的注册表视图。 针对这种自动转向问题,VB开发者...
BAT批处理脚本-批处理生成注册表项.zip
最新发布
12-22
其中,`hive`指的是注册表的主键(如"HKEY_LOCAL_MACHINE"或"HKEY_CURRENT_USER"),`key`是子键路径,`value_name`是你要设置的值名称,`value_type`是值类型(如REG_SZ、REG_DWORD等),`value_data`是对应的值...
MFC展示64位系统run注册表自启动示范
08-06
这被称为“注册表重定向”。为了确保32位程序和64位程序的兼容性,Windows创建了两个额外的注册表根键: - `HKEY_LOCAL_MACHINE\Software\Wow6432Node` - 这个键对32位程序来说,看起来像是`HKEY_LOCAL_MACHINE\...
installshield 64位OS打包注意事项.docx
09-26
为了解决这个问题,需要在代码中使用`Disable(WOW64FSREDIRECTION)`来禁用64位文件系统重定向,确保32位程序能够访问到真正的`system32`目录。安装完成后,记得启用`WOW64FSREDIRECTION`,以免影响其他程序。 3. **...
NETIF_STATUS_CALLBACK何时会被调用
swyang1992的专栏
09-13 1565
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
基于ObRegisterCallbacks实现的线程和进程监控及其保护
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-23 3140
要实现监控系统线程和进程,并实现对指定线程和进程的保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。 好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调,监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
驱动开发:内核注册并监控对象回调
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
windbg使用方法_两种最新Bypass ETW的方法
weixin_39668470的博客
11-22 875
译文声明本文是翻译文章,文章原作者modexp,文章来源:modexp.wordpress.com原文地址:https://modexp.wordpress.com/2020/04/08/red-teams-etw/译文仅供参考,具体内容表达以及含义原文为准2020年4月7日,Dylan在其twitter上发布了一种绕过Sysmon和ETW的通用方法,我们对其进行了跟踪研究。4月8日,...
RegCreateKeyEx函数
热门推荐
ke_yi_的博客
07-05 1万+
RegCreateKeyEx函数:创建指定的注册表项。如果键已经存在,函数将打开它。LONG RegCreateKeyEx( HKEY hKey, // handle to open key LPCTSTR lpSubKey, // subkey name DWORD ...
Win 32API速查
Snake_74的博客
06-30 1268
文章目录Win32API用户篇内核篇参数表WinExecVirtualAllocExCreateProcessAdjustTokenPrivilegesNtQueryInformationProcessRtlCompressBufferRtlDecompressBufferCryptAcquireContextCryptGetHashParamCreateServiceCryptDeriveKey...
RegOpenKeyEx() 函数详解(转)
danhu的专栏
09-07 3914
RegOpenKeyEx RegOpenKeyEx()函数功能描述:打开一个制定的注册表键函数原型:LONG RegOpenKeyEx(                   HKEY hKey,         // 已经打开键的句柄                   LPCTSTR lpSubKey,  
cmd修改注册表拒绝访问
09-03
当使用命令提示符(CMD)修改注册表时,遇到“拒绝访问”错误,这是因为注册表中的某些项具有受限访问权限,只允许管理员用户或注册表所有者进行修改。以下是几种可能的原因和解决方法: 1. 缺少管理员权限:确保你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值