Winxp下拦截所有进程的写注册表操作以及进程创建的监控

最新推荐文章于 2022-04-26 00:04:26 发布
最新推荐文章于 2022-04-26 00:04:26 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: Windows开发 文章标签: null api access struct token object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winnuke/article/details/1534122
版权
本文介绍了如何在Windows XP系统下,通过拦截ntdll.dll的ZwSetValueKey API来阻止进程写注册表操作,并利用ZwCreateProcessEx API监控新进程创建,实现代码注入以实现实时监控。
摘要由CSDN通过智能技术生成

 原理介绍:

  Nt系统下用户层(Ring3)下写注册表的程序大都调用ntdll.dll导出的ZwSetValueKey,该API简单通过int 2e并传递一个服务号进入内核调用同名系统服务(NTSetValueKey)。所以在用户层(Ring3)下拦截写注册表的操作最后的也是最底层的方法便是拦截该API。

  同时为了实时监控系统中当前运行的所有进程对该API的直接或者间接调用,需要对所有进程进行代码注入。对于新创建的进程,Xp系统下用户层最后一道入口是ZwCreateProcessEx,他也是由ntdll.dll导出。在枚举出系统中所有进程之后,便可以通过对该API的拦截第一时间对新创建的进程进行拦截。需要补充说明的是在用户层创建进程执行到这个API时,进程空间已经创建,且仅仅加载了ntdll.dll模块以及进程自身的映象。这时可以通过修改ntdll.dll中该API的入口实现对其创建的子进程拦截。

  关于 API拦截的具体原理分析和简单实现,前面的文章已经说得很清楚了。这里只是给出大体流程图和代码。

测试方法:

  程序运行后,输入你想要监视的进程ID,这时该进程,以及该进程所创建的任何进程都将被监视,并且在其修改注册表的时候弹出对话框询问是否允许进行该次注册表修改操作,点'y'允许操作,否则拒绝操作. (刚刚修改了一下,可以查看进程id和名称,同时从控制台接受进程id的输入,从而对指定的进程监控)

流程图:

源代码:

 

#include  < stdio.h >
#include  < windows.h >

#define  STATUS_SUCCESS  (0)
#define  ObjectNameInformation  (1)
#define  BLOCKSIZE (0x1000)
#define  CurrentProcessHandle             ((HANDLE)(0xFFFFFFFF))
#define  NT_PROCESS_LIST                  5
#define  STATUS_INFO_LEN_MISMATCH         0xC0000004


typedef unsigned  long  NTSTATUS;
typedef unsigned  long  SYSTEM_INFORMATION_CLASS;
typedef unsigned  long  OBJECT_INFORMATION_CLASS;

typedef  struct {
    USHORT Length;
    USHORT MaxLen;
    USHORT *Buffer;
} UNICODE_STRING,  *  PUNICODE_STRING;

typedef  struct  _OBJECT_NAME_INFORMATION  // Information Class 1
UNICODE_STRING Name;
}  OBJECT_NAME_INFORMATION,  * POBJECT_NAME_INFORMATION;

typedef  struct  _RemoteParam {
    LPVOID          lpFunAddr;
    DWORD           dwParamSize;
    LPVOID          lpHeapAlloc;
    LPVOID          lpGetProcessHeap;
    LPVOID          lpHeapReAlloc;
    LPVOID          lpHeapFree;
    LPVOID          lpwsprintf;
    LPVOID          lpZwQueryObject;
    LPVOID          lpMessageBox;
    LPVOID          lpWriteProcessMemory;
    wchar_t         wProcessName[36];
    unsigned char   szOldCode[12];
    unsigned char   szNewCode[12];
    LPVOID          lpResumeThread;
    LPVOID          lpCreateEvent;
    LPVOID          lpOpenEvent;
    LPVOID          lpOpenFileMapping;
    LPVOID          lpMapViewOfFile;
    LPVOID          lpUnMapViewOfFile;
    LPVOID          lpOpenMutex;
    LPVOID          lpWaitForSingleObject;
    LPVOID          lpSetEvent;
    LPVOID          lpReleaseMutex;
    LPVOID          lpCloseHandle;
    LPVOID          lpGetProcessId;
    LPVOID          lpGetLastError;
} RemoteParam,  *  PRemoteParam;

typedef  struct  _SYSTEM_PROCESSES {
  ULONG            NextEntryDelta;        //构成结构序列的偏移量;
  ULONG            ThreadCount;        //线程数目;
  ULONG            Reserved1[6];
  LARGE_INTEGER    CreateTime;        //创建时间;
  LARGE_INTEGER    UserTime;                  //用户模式(Ring 3)的CPU时间;
  LARGE_INTEGER    KernelTime;                //内核模式(Ring 0)的CPU时间;
  UNICODE_STRING   ProcessName;               //进程名称;
  ULONG            BasePriority;              //进程优先权;
  ULONG            ProcessId;                 //进程标识符;
} SYSTEM_PROCESSES,  *  PSYSTEM_PROCESSES;

typedef
NTSTATUS
(__stdcall  *  NTQUERYSYSTEMINFORMATION)( 
IN  SYSTEM_INFORMATION_CLASS, 
OUT PVOID, 
IN  ULONG, 
OUT PULONG);

typedef
BOOL
(__stdcall  *  PFN_WRITEPROCESSMEMORY)(
IN  HANDLE hProcess,
IN  LPVOID lpBaseAddress,
IN  LPCVOID lpBuffer,
IN  SIZE_T nSize,
OUT SIZE_T *  lpNumberOfBytesWritten
);

typedef
 int
(__stdcall  *  PFN_MESSAGEBOX)(
IN  HWND hWnd,
IN  LPCWSTR lpText,
IN  LPCWSTR lpCaption,
IN  UINT uType
);

typedef
 int
(__cdecl  *  PFN_WSPRINTF)(
IN  LPWSTR lpOut,
IN  LPCWSTR lpFmt,
...);

typedef
HANDLE
(__stdcall  *  PFN_GETPROCESSHEAP)( void );

typedef
LPVOID
(__stdcall  *  PFN_HEAPALLOC)(
IN  HANDLE hHeap,
IN  DWORD dwFlags,
IN  SIZE_T dwBytes
);

typedef
LPVOID
(__stdcall  *  PFN_HEAPREALLOC)(
IN  HANDLE hHeap, 
IN  DWORD dwFlags, 
IN  LPVOID lpMem, 
IN  DWORD dwBytes 
);

typedef
BOOL
(__stdcal
最低0.47元/天 解锁文章
winnuke
关注
专栏目录
进程隐藏学习总结
bcbobo21cn的专栏
05-08 4632
怎么隐藏进程 工具/原料 HideToolz 步骤/方法 1 在百度上面搜索HideToolz ,打开第一个搜索结果,点击进入下载。把HideToolz 下载到你的电脑里面。 2 鼠标双击打开该压缩包,再直接双击该软件即可打开该软件了。并且在软件里面可以看见目前的进程数为多少个。 3 按Ctrl + Alt + . 【启动任务管理器】,在 HideTool
2021年下半年软考信息安全工程师上午选择题及解析
qq_68147327的博客
09-20 8371
2021年下半年软考信息安全工程师上午选择题
WFP驱动--进程规则拦截
03-20
实现了对进程信息的获取,监控,并进行拦截操作,使用WFP,交流请私信,不定期看csdn
拦截进程创建(不会卡死桌面)
kingswb的博客
05-23 1291
标 题: 【原创】拦截进程创建(不会卡死桌面) 作 者: bycon 时 间: 2011-01-28,16:44:32 链 接: http://bbs.pediy.com/showthread.php?t=128733 菜鸟作品,大牛请无视。如有错误或纰漏,望指出   之前看过很多关于进程创建拦截,都是勾在NtCreateProcess或者NtCreateSection上,拦截
进程拦截
lq18111292117的博客
11-14 306
https://blog.csdn.net/jiangwei0910410003/article/details/39292117
【原创】拦截进程创建(不会卡死桌面)
myworldbig的专栏
04-22 3559
<br />之前看过很多关于进程创建拦截,都是勾在NtCreateProcess或者NtCreateSection上,拦截到的往往都是Explorer进程中的线程,此时如果将线程卡在内核中,就会导致桌面卡死。这不是我想要的。<br /><br />百度GOOGLE了好久,没找到类似的解决办法,逆又逆不出来,就只有自己翻书动脑子了(不知道各大安全卫士是怎么实现的:eek:)。<br /><br />既然不能卡死Explorer的线程,那咱就卡别人去,卡谁?我想你已经知道了——被创建者的主线程:p:<br /
反黑软件SafeHook
07-28
"反黑软件SafeHook"是一款专门设计用于Windows操作系统,包括Win2000、WinXP以及Win2003的网络安全工具。这款软件的核心功能是防止恶意软件通过系统钩子(Hook)技术来劫持系统关键函数,从而保护用户的计算机免受...
APIHOOK拦截指定进程创建进程
06-06
APIHOOK拦截指定进程创建进程。@按键精灵。
python实现注册表拦截_如何利用python操作注册表
weixin_33364098的博客
01-14 388
注册表windows管理配置系统运行参数的一个核心数据库。在这个数据库里整合集成了全部系统和应用程序的初始化信息;其中包含了硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至有关系到计算机安全的网络共享设置 。1.读取读取用的方法是OpenKey方法:打开特定的keywinreg.OpenKey(key,sub_key,res=0,sam=KEY_READ)例子:此例...
通过回调函数阻止进程创建(验证结束,方案完全可行)
weixin_30794499的博客
11-07 190
(此方案完全可行,只是我忘掉了一步) 虽然Vista之后版本有进程创建回调函数的Ex版,而且Ex版可以拦截进程创建, 但是由于在Ex版回调函数内用第三个参数的最后一个元素来阻止进程创建的话,可能会出现弹框,所以不安全,所以这个方案可行性不高。 (这里说的不安全,是说可以被用户层看到这个弹框,可以被发现,处理麻烦,如果是用户自己设置的拦截,那么根本不需要通知用户,如果是我们自己做拦...
拦截创建进程API
aXu的专栏
04-29 1425
这几天在做的一个项目需要用到进程状态的监控,结果在网上搜索过程中,发现了一篇不错的文章,特意转载过来,虽然还没完全弄明白,但其中的思路却很有启发,根据这个思路,可以处理拦截其他windows API的功能,如,把createFile改为createProccess,就可以拦截创建进程API了。原文如下: ////////////////////////////////////////
解除Windows XP(SP2)系统IE拦截窗口
jxufewbt的专栏
01-12 3587
为了解除XP(SP2)拦截窗口对某些系统(如OA)的影响,可以用下面的方法:1、将下面的代码保存成注册表文件(WinXP.reg):Windows Registry Editor Version 5.00[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/New Windows/Allow]"您的域名"=hex:[HKEY_CURRE
进程动态拦截注入API HOOK
IT民工
05-26 1293
进程动态拦截注入Windows API
winxp下简单实现注册表修改、进程创建监控
ccx_john的专栏
10-17 858
标 题: 【原创】winxp下简单实现注册表修改、进程创建监控 作 者: 默数悲伤 时 间: 2006-09-24,10:50:06 链 接: http://bbs.pediy.com/showthread.php?t=32369 原本想监控所有进程注册表添加的程序,但是在进行到快结束的时候,发现在我们平时的操作注册表操作太多了,过多的报警,反而觉得不好.最终是列出所有进程列表
拦截指定进程API(修改+收藏)
FISH 的专栏
02-14 2534
截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。 首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook 可以帮我们实现这一点。SetWindowsHookEx的声明如下:HHOOK SetWindowsHookEx( int idHook,       // hook type HOOKPROC lpfn
windows使用detours实现进程拦截实操
weixin_38526093的博客
04-26 2589
Detours是微软开发的一个函数库,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours库函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值