RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)

最新推荐文章于 2024-05-30 00:20:27 发布
最新推荐文章于 2024-05-30 00:20:27 发布
阅读量4.5k 收藏
点赞数

RegistryCallback routine

过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。

句法

C ++ 
 
NTSTATUS CmRegisterCallback(
  _In_     PEX_CALLBACK_FUNCTION Function,
  _In_opt_ PVOID                 Context,
  _Out_    PLARGE_INTEGER        Cookie
);

参数

CallbackContext [输入]

该驱动程序作为上下文参数传递的值CmRegisterCallbackCmRegisterCallbackEx当它注册了这个RegistryCallback程序。

ARGUMENT1 [中,可选]

一个REG_NOTIFY_CLASS标识正在执行以及是否RegistryCallback例程正在之前或执行注册表操作之后称为注册表操作的类型-typed值。

ARGUMENT2 [中,可选]

一个指向包含特定于注册表操作的类型信息的结构。 结构类型取决于为ARGUMENT1的REG_NOTIFY_CLASS类型的值,如所示的下表。 有关哪些REG_NOTIFY_CLASS类型的值可用于哪些操作系统版本,请参阅REG_NOTIFY_CLASS 。

REG_NOTIFY_CLASS值 结构类型
RegNtDeleteKey REG_DELETE_KEY_INFORMATION
RegNtPreDeleteKey REG_DELETE_KEY_INFORMATION
RegNtPostDeleteKey REG_POST_OPERATION_INFORMATION
RegNtSetValueKey REG_SET_VALUE_KEY_INFORMATION
RegNtPreSetValueKey REG_SET_VALUE_KEY_INFORMATION
RegNtPostSetValueKey REG_POST_OPERATION_INFORMATION
RegNtDeleteValueKey REG_DELETE_VALUE_KEY_INFORMATION
RegNtPreDeleteValueKey REG_DELETE_VALUE_KEY_INFORMATION
RegNtPostDeleteValueKey REG_POST_OPERATION_INFORMATION
RegNtSetInformationKey REG_SET_INFORMATION_KEY_INFORMATION
RegNtPreSetInformationKey REG_SET_INFORMATION_KEY_INFORMATION
RegNtPostSetInformationKey REG_POST_OPERATION_INFORMATION
RegNtRenameKey REG_RENAME_KEY_INFORMATION
RegNtPreRenameKey REG_RENAME_KEY_INFORMATION
RegNtPostRenameKey REG_POST_OPERATION_INFORMATION
RegNtEnumerateKey REG_ENUMERATE_KEY_INFORMATION
RegNtPreEnumerateKey REG_ENUMERATE_KEY_INFORMATION
RegNtPostEnumerateKey REG_POST_OPERATION_INFORMATION
RegNtEnumerateValueKey REG_ENUMERATE_VALUE_KEY_INFORMATION
RegNtPreEnumerateValueKey REG_ENUMERATE_VALUE_KEY_INFORMATION
RegNtPostEnumerateValueKey REG_POST_OPERATION_INFORMATION
RegNtQueryKey REG_QUERY_KEY_INFORMATION
RegNtPreQueryKey REG_QUERY_KEY_INFORMATION
RegNtPostQueryKey REG_POST_OPERATION_INFORMATION
RegNtQueryValueKey REG_QUERY_VALUE_KEY_INFORMATION
RegNtPreQueryValueKey REG_QUERY_VALUE_KEY_INFORMATION
RegNtPostQueryValueKey REG_POST_OPERATION_INFORMATION
RegNtQueryMultipleValueKey REG_QUERY_MULTIPLE_VALUE_KEY_INFORMATION
RegNtPreQueryMultipleValueKey REG_QUERY_MULTIPLE_VALUE_KEY_INFORMATION
RegNtPostQueryMultipleValueKey REG_POST_OPERATION_INFORMATION
RegNtPreCreateKey REG_PRE_CREATE_KEY_INFORMATION
RegNtPreCreateKeyEx REG_CREATE_KEY_INFORMATION **
RegNtPostCreateKey REG_POST_CREATE_KEY_INFORMATION
RegNtPostCreateKeyEx REG_POST_OPERATION_INFORMATION
RegNtPreOpenKey REG_PRE_OPEN_KEY_INFORMATION **
RegNtPreOpenKeyEx REG_OPEN_KEY_INFORMATION
RegNtPostOpenKey REG_POST_OPEN_KEY_INFORMATION
RegNtPostOpenKeyEx REG_POST_OPERATION_INFORMATION
RegNtKeyHandleClose REG_KEY_HANDLE_CLOSE_INFORMATION
RegNtPreKeyHandleClose REG_KEY_HANDLE_CLOSE_INFORMATION
RegNtPostKeyHandleClose REG_POST_OPERATION_INFORMATION
RegNtPreFlushKey REG_FLUSH_KEY_INFORMATION
RegNtPostFlushKey REG_POST_OPERATION_INFORMATION
RegNtPreLoadKey REG_LOAD_KEY_INFORMATION
RegNtPostLoadKey REG_POST_OPERATION_INFORMATION
RegNtPreUnLoadKey REG_UNLOAD_KEY_INFORMATION
RegNtPostUnLoadKey REG_POST_OPERATION_INFORMATION
RegNtPreQueryKeySecurity REG_QUERY_KEY_SECURITY_INFORMATION
RegNtPostQueryKeySecurity REG_POST_OPERATION_INFORMATION
RegNtPreSetKeySecurity REG_SET_KEY_SECURITY_INFORMATION
RegNtPostSetKeySecurity REG_POST_OPERATION_INFORMATION
RegNtCallbackObjectContextCleanup REG_CALLBACK_CONTEXT_CLEANUP_INFORMATION
RegNtPreRestoreKey REG_RESTORE_KEY_INFORMATION
RegNtPostRestoreKey REG_RESTORE_KEY_INFORMATION
RegNtPreSaveKey REG_SAVE_KEY_INFORMATION
RegNtPostSaveKey REG_SAVE_KEY_INFORMATION
RegNtPreReplaceKey REG_REPLACE_KEY_INFORMATION
RegNtPostReplaceKey REG_REPLACE_KEY_INFORMATION
RegNtPreQueryKeyName REG_QUERY_KEY_NAME
RegNtPostQueryKeyName REG_POST_OPERATION_INFORMATION

**在Windows 7中,当该通知类RegNtPreCreateKeyExRegNtPreOpenKeyEx是这种结构,的V1版本通过实际的数据结构开始REG_CREATE_KEY_INFORMATION_V1REG_OPEN_KEY_INFORMATION_V1分别。 检查保留构件,以确定该结构的版本。

版本号 结构名
0 REG_CREATE_KEY_INFORMATIONREG_OPEN_KEY_INFORMATION
1 REG_CREATE_KEY_INFORMATION_V1REG_OPEN_KEY_INFORMATION_V1

返回值

  Windows XP和Windows Server 2003中:

如果RegistryCallback例程返回STATUS_SUCCESS,配置管理器继续处理注册表操作。

如果RegistryCallback程序返回该状态值NT_SUCCESS ( 状态 )等于FALSE,配置管理器停止处理注册表操作,并返回指定的返回值调用线程。

  Windows Vista和更高版本:

如果RegistryCallback例程返回STATUS_SUCCESS,配置管理器继续处理注册表操作。

如果RegistryCallback例程返回STATUS_CALLBACK_BYPASS,配置管理器停止处理注册表操作,并返回STATUS_SUCCESS调用线程。

如果RegistryCallback程序返回该状态值NT_SUCCESS ( 状态 )等于FALSE(除STATUS_CALLBACK_BYPASS),配置管理器停止处理注册表操作,并返回指定的返回值调用线程。

有关当RegistryCallback例程应该返回这些状态值的更多信息,请参阅过滤注册表调用 。

备注

被通知的注册表操作,内核模式组件(如防病毒软件的驱动程序部分)可以调用CmRegisterCallbackCmRegisterCallbackEx注册一个RegistryCallback程序。

RegistryCallback例程可以检查被注册表操作供给的输入和输出缓冲器的内容。 注册表操作可以通过调用一个用户模式注册表例程(如用户模式的应用程序被启动RegCreateKeyExRegOpenKeyEx )或通过调用一个内核模式注册表例程(例如驾驶ZwCreateKey函数ZwOpenKey函数 )。 输入缓冲器是通过从该操作的注册表中读取输入数据的发起者提供的存储器缓冲器。 输出缓冲器是由成写入注册表由发起请求的输出数据的发起者提供的缓冲器。

调用RegistryCallback例程之前,内核探针(验证对准和可访问),该指向输出缓冲器中的用户模式存储器的ARGUMENT2结构的所有成员,但在系统存储器不能捕获用户模式输出缓冲器。 回调函数必须用一个输出缓冲区的一个尝试任何访问/ except块。 如果回调例程需要输出缓冲器指针传递到一个系统程序(例如,ZwOpenKey函数 ),和缓冲液是在用户模式存储器,回调例程必须先捕获缓冲器。

输入缓冲器的处理依赖于Windows版本。 与Windows 8开始,内核捕获所有输入缓冲区指向在系统内存中ARGUMENT2结构的成员调用RegistryCallback程序之前。 在Windows 8之前的Windows版本,内核探针指向输入缓冲器在用户模式下内存ARGUMENT2结构的所有成员,但只抓住了一些在系统内存中这些缓冲区。 在这些早期版本的Windows,回调函数必须将输入缓冲器在try / except块任何访问。 此外,如果回调例程需要输入缓冲器指针传递到一个系统程序(例如,ZwOpenKey函数),和缓冲液是在用户模式存储器,回调例程必须先捕获缓冲器。

下表概括了对缓冲器访问由RegistryCallback常规的要求。

缓冲类型 Windows版本 缓冲区指针传递给回调例程 安全的回调例程直接访问? 安全传递到系统例程(如ZwOpenKey函数 )?
用户模式输入 Windows 8和更高版本 点捕获的数据。
用户模式输入 Windows 7和更早 点捕获的数据或原用户模式缓冲区。 号必须在尝试/读取时除外。 号必须分配内核内存,从原来的缓冲下试/复制数据,除了和复制的数据传递到系统程序。
用户模式输出 所有 指向原来的用户模式缓冲区。 号必须在尝试写/除外。 号必须分配内核内存,内核内存传递给系统例行程序,和/结果复制回原来的缓冲区下试除。
内核模式的输入和输出 所有 指向原来的内核模式缓冲区。

有关RegistryCallback程序和注册表过滤驱动程序的详细信息,请参阅过滤注册表调用 。

一个RegistryCallback执行在IRQL = PASSIVE_LEVEL和正在执行的注册表操作的线程的上下文。

例子

要定义RegistryCallback回调例程,您必须首先提供一个函数声明标识的回调例程的你定义的类型。 Windows提供司机一组回调函数类型。 声明使用回调函数类型的函数有助于代码分析驱动器 , 静态驱动程序验证程序 (SDV)和其他验证工具发现错误,它是用于编写Windows操作系统驱动程序的要求。

例如,要定义一个名为RegistryCallback回调例程MyRegistryCallback ,使用EX_CALLBACK_FUNCTION类型显示在此代码示例:

 EX_CALLBACK_FUNCTION MyRegistryCallback;

然后,实现你的回调函数如下:

 _Use_decl_annotations_
 NTSTATUS 
   MyRegistryCallback(
     PVOID CallbackContext,
     PVOID参数1,
     PVOID ARGUMENT2 
    
   {
       //函数体
   }

该EX_CALLBACK_FUNCTION功能类型是在WDM.H头文件中定义。 为了更准确地识别错误,当您运行的代码分析工具,一定要在_Use_decl_annotations_注释添加到您的函数定义。 所述_Use_decl_annotations_注解确保用于应用到在头文件的EX_CALLBACK_FUNCTION功能类型的注释。 有关函数声明的要求的更多信息,请参阅通过使用功能角色类型为WDM驱动程序函数声明 。 有关_Use_decl_annotations_信息,请参见注解功能的行为 。

要求

目标平台

支持从Windows XP(请参阅返回值一节)。
WDM.H(包括WDM.H中,NTDDK.H或Ntifs.h)

IRQL

在PASSIVE_LEVEL调用(见注释部分)。


whatday
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
监视注册表RegistryNotifyWindow、RegistryNotifyCallback
zhuangshn的专栏
04-14 2844
 1. 在做Mariana项目时遇到一个更新问题,Home页面上有时间、日期、闹钟、运营商、未接电话、未读短信、未读邮件、日程安排等信息需要更新,通过分析发现系统每两秒会接收到消息WM_TODAYCUSTOM_QUERYREFRESHCACHE,因此通过接收到此消息时,向Home窗口发送更新消息,在测试中发现2秒内需要更新的消息太多了,以至于导致消息不能及时更新或系统崩溃,还有做了很多无用功,例如
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1586
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
注册表监视的4种方式
最新发布
05-30 358
这个库的32位版本可以从微软官网上免费下载,而且有相关商业开发的限制,具体可以看微软的说明,64位版的,只能付费得到。优点:平台兼容性好,98以后的系统基本都适用,与RegSaveKey、RegRestoreKey进行关联使用,实现注册表指定项的恢复。此种方法的缺点:注册表事件的跟踪直到windows server 2008和vista版本才具有,在其他低版本中,这种方式不起作用。此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。
利用CmRegisterCallback函数在Windows下保护注册表
diveintokernel的专栏
03-31 4317
<br />一般在Windows下保护注册表有以下几种方法:<br /> <br />1. Ring3 hook <br /> 实现简单。可利用微软的Detour库,第三方的mhook库,或者自己实现。<br /> 但是如果是做产品的话不得不考虑兼容性的问题,纵使周知,大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身<br /> 的注册表项和键值,基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。<br />2. Ring0 hook<br /> 原理和Ring3 hook基本上
CmRegisterCallback使用方法
09-28 299
部分代码 #include "my_sys_fun.h"#ifdef __cplusplusextern "C"{#endif //驱动加载函数 NTSTATUS DriverEntry(PDRIVER_OBJECT pPDriverObj, PUNICODE_STRING pPuniStr); //驱动卸载函数 VOID UnLoadDriver(_In_ PDRIVER_O...
RegistryCallback routine
lionzl的专栏
10-09 1010
RegistryCallback routine A filter driver's RegistryCallback routine can monitor, block, or modify a registry operation. Syntax C++ EX_CALLBACK_FUNCTION RegistryCallba
计算机软件及应用麦洛克菲内核驱动开发PPT学习教案.pptx
10-11
麦洛克菲内核驱动开发中,注册表回调函数用于在对注册表进行特定操作时执行自定义代码。主要有以下函数: - `CmRegisterCallback` 和 `CmRegisterCallbackEx`:用于注册回调函数,其中`Function`参数是回调函数...
计算机软件及应用麦洛克菲内核驱动开发PPT课件.pptx
10-09
接下来,课件介绍注册表回调(Callback)的相关函数,这是驱动程序监控和处理注册表变化的关键机制。例如,`CmRegisterCallback`和`CmRegisterCallbackEx`函数用于注册回调函数,当注册表发生特定事件时,系统会...
深入源码学习 Android data binding 之:回调通知管理器 CallbackRegistry 解析
weixin_33743661的博客
12-02 307
在android data binding库里面有三个版块我认为是掌握这个库的核心点,分别是: 注解定义和使用 注解处理器的实现 监听注册与回调 在前面的文章当中我们已经分别分析了data binding当中的注解的使用和一个很关键的ViewDataBinding的类及apt编译期生成的相应子类的解析。如果你没看过的话可以先去看一下前面的文章。深入源码学习 android data bindi...
windows 驱动开发基础(三) 注册表回调
pureman_mega的博客
02-19 926
参考工程路径:C:\WinDDK\7600.16385.1\src\general\registry\regfltr 关于 Transaction (事务),Enlistment(登记)对象的介绍https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/handling-rollback-operations 1.注册表回调使用 // // Register the callback // 函数原型 ...
注册表回调整体框架
zhuhuibeishadiao
04-26 1979
注册表回调整体框架 这个就不多说了,想详细了解的可以自行百度,网上有很多相关内容 NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS ntStatus; ntStatus = CmRegisterCallback(MyRegistryCallbac
ntoskrnl.exe.c 导出函数 常用2000 个内核函数名
05-14
//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截 取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截 取消模块监控 //PsRestoreImpersonation //PsResumeProcess //PsReturnPoolQuota //PsReturnProcessNonPagedPoolQuota //PsReturnProcessPagedPoolQuota //PsRevertThreadToSelf //PsRevertToSelf //PsSetContextThread //设置线程环境 //PsSetCreateProcessNotifyRoutine //拦截进程 //PsSetCreateProcessNotifyRoutineEx //拦截进程 进程监控 //PsSetCreateThreadNotifyRoutine //线程监控 线程拦截 //PsSetCurrentThreadPrefetching //PsSetJobUIRestrictionsClass //PsSetLegoNotifyRoutine //PsSetLoadImageNotifyRoutine 拦截模块加载 //PsSetProcessPriorityByClass
隐藏注册表键代码
04-16 1254
#include #define CM_KEY_INDEX_ROOT      0x6972         // ir#define CM_KEY_INDEX_LEAF      0x696c         // il#define CM_KEY_FAST_LEAF       0x666c         // fl#define CM_KEY_HASH_LEAF       0x686c 
x64回调监控注册表
kernweak的博客
07-18 803
x86下可以使用hook技术,x64下使用回调监控。 主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle); 原型 NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...
Windows下CmRegisterCallback简单分析
操作系统内核与逆向工程
07-23 838
IDA看一下 进入Internal函数 signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie) { __int64 _Context; // rsi __int6...
BypassUAC------使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过
moonhillcity的博客
10-20 3883
参考 http://blog.sina.com.cn/s/blog_12f13ac600102wkah.html   在对Windows 10进行深入挖掘并发现了一个非常有趣的绕过用户帐户控制(UAC)的方法之后(详细信息请参阅https:/bypassing-uac-on-windows-10-using-disk-cleanup/),我决定花更多的时间
基于ObRegisterCallbacks实现的线程和进程监控及其保护
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-23 3157
要实现监控系统线程和进程,并实现对指定线程和进程的保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。 好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调,监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
驱动开发:内核注册并监控对象回调
热门推荐
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值