注册表函数Hook失败

最新推荐文章于 2023-10-23 08:48:48 发布
最新推荐文章于 2023-10-23 08:48:48 发布
阅读量2.5k 收藏 2
点赞数

具体表现是,在程序最开始处Hook上RegQueryValueExW,在整个程序运行的过程中,只有一部分调用进行了我自己实现的方法中,而有一部分调用却没有进入。

前前后后猜了很多原因,一开始以为是调用了SHQueryValueEx、RegEnumRegQueryMultipleValues等其他方法,但是使用ApiMonitor却发现调用确实是发生在RegQueryValueExW,但是调用返回的数据却是空。这就奇怪了,因为从程序执行结果上来看,明明是获取到了正确的值。

当时找到合理的解决方案,于是使用了一个临时的也是最土的方案,在模块初始化前RegSetValue保存并修改注册表的值,在模块初始化完成以后,再恢复回原来的注册表值。由于修改的是IE的相关键值,因为被360等各种报。

昨天又用ApiMonitor尝试了一下,突然发现,原来注册表相关函数,竟然在Advapi32.DLL和Kernel32.dll两个系统模块里存在两套实现,如下图:

图1 注册表函数有两套实现

图1中分别显示了对Kernel32(上半部分)和对Advapi32(下半部分)中RegQueryValueExW函数的调用 。

程序里默认使用Detours对函数进行Hook的代码如下:

 

在VS里调试时打开反汇编(Alt+8),单步跟踪,可以看到这样写的结果是,HookRegQueryValueExW函数里调用的其实是位于Advapi32里的_RegQueryValueExWStub@24方法,而该方法内部实现则是调用了Kernel32中的RegQueryValueExW方法。

到此问题原因找到了,只要让上述代码能Hook到Kernel32中函数即可。方法如下:

刚查证了下MSDN,MSDN里写的竟然只有Advapi32,还是实践出真知啊。

wzsy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOOK 系统注册表 HOOK API SYSTEM REGISTRY
12-21
HOOK 系统注册表 HOOK API SYSTEM REGISTRY 文件清单: PHookRegistry.exe HOOK管理主程序 PNtHOOK.dll HOOK API DLL 功能描述: 1. 只针对用户级别的程序API陷井式HOOK, 这里只对以下API进行HOOK: RegCloseKey RegDeleteKeyA RegDeleteKeyW RegQueryValueExW RegQueryValueExA RegQueryValueA RegQueryValueW RegOpenKeyExW RegCreateKeyExW RegSetValueExW RegDeleteValueW RegOpenKeyExA RegCreateKeyExA RegSetValueExA RegDeleteValueA 以上API就足以完成注册表数据的截获。 2.如何HOOK程序启动初始化时的API问题? 第一次选中目标程序启动对它的HOOK,然后关闭该程序,不要释放HOOK接着再打开该程序就会进入启动时的HOOK
vc对注册表各数据类型操作
鸟儿飞的专栏
09-10 1306
下面这个是基于MFC的基本对话写的。。  演示设置注册表的3中类型的值和获得注册表的3中类型的值。。 分别用RegSetValueEx()来设置,RegQueryValueEx()函数来获得。 void CUserRegDlg::OnOK() { // TODO: Add extra validation here  CString str = "hello reg"; DWORD reg
RegQueryValueExW errorcode=2
weixin_36587312的博客
09-13 1111
1.HKEY_LOCAL_MACHINE\\SOFTWARE\\LeadingSoft\\Settings\\USER键下查询value="USERKeyID"的值(valuedata) 2打开HKEY_LOCAL_MACHINE\\SOFTWARE\\LeadingSoft\\Settings\\USER正确 3value值存在 错误:RegQueryValueExW errorcode=
HOOK注册表.rar
04-05
标题中的“HOOK注册表”指的是在计算机编程领域中使用的一种技术,称为钩子(Hook)。钩子是Windows操作系统提供的一种机制,允许程序监视系统中特定事件的发生,或者在这些事件发生时执行相应的处理函数。在注册表...
易语言HOOK注册表
07-21
易语言HOOK注册表源码,HOOK注册表,GetMsgProc,new_RegSetValueEx,HOOKAPI,ReadApi,api_CallNextHookEx,取程序或DLL句柄,取DLL函数地址,返回虚拟信息,修改虚拟保护,写内存字节,取当前进程伪句柄,api_RegSetValueEx,...
易语言源码易语言HOOK注册表源码.rar
03-30
1. **HOOK函数**:易语言中可能会使用`_HookProcedure`或其他类似函数来设置HOOK,这个函数会在指定的注册表操作之前或之后被调用。 2. **注册表API调用**:为了操作注册表,源码中可能会使用到如`RegOpenKeyEx`, `...
VC HOOK注册表监控源码
10-27
【VC HOOK注册表监控源码】是一种编程实践,它涉及到Windows系统中的API Hook技术和注册表监控技术。在Windows编程中,Hook是一种机制,允许程序员插入代码到系统调用链中,以便在特定事件发生时执行自定义操作或...
hook
10-04
系统钩子的种类繁多 这里介绍了一些常用的hook以及他们的使用方法。
E语言学习Hook第二章问题解惑
08-11
NULL 博文链接:https://windskymr.iteye.com/blog/2223257
Windows消息钩子实现原理
最新发布
xsinlink的博客
10-23 529
消息钩子的枚举。消息钩子的摘除。很多的ARK工具都包含了上述两个功能,大致来说也是枚举和摘除相关链表。
objectarx 实现hook消息的注册和截取
qq_38409301的博客
04-05 382
1.采用acedRegisterFilterWinMsg去注册消息。(2)在类中定义一个static函数,然后在dllmian中去注册。然后在每一个dllmain的执行的过程中去初始化。(1)随便声明定义在一个文件中,写成全局函数
C++开发CAD拦截键盘事件并控制事件是否执行
Coder----Allen----Coder
07-14 255
/则不拦截事件,返回true则拦截事件。b、pMsg->wParam:判断按下的是哪个键。WM_LBUTTONDBLCLK(鼠标左键双击)On_kUnloadAppMsg()中注销事件。1、在cad的init接口中注册键盘捕获事件。WM_LBUTTONDOWN(鼠标左键按下)WM_LBUTTONUP(鼠标左键抬起)WM_MOUSEMOVE(鼠标移动)WM_KEYDOWN(键按下)WM_KEYUP(键弹起)4、如何判断按下了什么键。
利用MFC动态向AutoCAD的菜单栏添加菜单
02-01 1415
利用MFC动态向AutoCAD的菜单栏添加菜单      菜单 it  分类:ObjectARX编程前面我们介绍过在ObjectARX中通过Com接口向AutoCAD的菜单栏追加菜单,今天我们再提供另外的两种方法,利用Windows窗体的机制直接向AutoCAD主菜单上添加菜单。(1)在ARX程序的InitApplication函数中,动态创建一个新菜单,将其添加到AutoCAD的主菜单上去:
ObjectARX如何监控实体双击事件(利用钩子函数或者反应器)
_Santiago的博客
06-08 1495
本文利用钩子函数和反应器,实现了监控CAD双击事件的目的。
内核型的rootkit隐藏注册表项用到的api函数
05-15
内核型的rootkit隐藏注册表项,主要是通过Hook API函数方式来实现的。这种操作方式可以修改或者替换原有的API函数,从而实现对注册表项的隐藏和保护。以下是一些常见的API函数: 1. NtCreateKey API函数:这个函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值