x64回调监控注册表

最新推荐文章于 2024-05-30 00:20:27 发布
最新推荐文章于 2024-05-30 00:20:27 发布
阅读量810 收藏 4
点赞数
分类专栏: windows 驱动开发 内核 注册表 HIPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/96454731
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

x86下可以使用hook技术,x64下使用回调监控。

主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle);

原型

NTSTATUS CmRegisterCallback(
  PEX_CALLBACK_FUNCTION Function,
  PVOID                 Context,
  PLARGE_INTEGER        Cookie
);

第一个参数就是我们的回调函数,自己想实现的逻辑就是在这里写,中间这个微软的解释是A driver-defined value that the configuration manager will pass as the CallbackContext parameter to the RegistryCallback routine,配置管理器将作为CallbackContext参数传递给RegistryCallback例程的驱动程序定义的值,我目前没用到过,最后一个是指向LARGE_INTEGER变量的指针,该变量接收标识回调例程的值。取消注册回调例程时,将此值作为Cookie参数传递给CmUnRegisterCallback。关闭注册表回调会用到。

第一个参数也就是我们实现的函数申明如下

NTSTATUS RegistryCallback
(
	IN PVOID CallbackContext,
	IN PVOID Argument1,//操作类型,
	IN PVOID Argument2//操作的结构体指针
)

也就是第二个参数是操作注册表的类型,然后操作内容等可以通过第三个参数拿到,下面是我进行操作的监控代码demo片段

NTSTATUS RegistryCallback
(
	IN PVOID CallbackContext,
	IN PVOID Argument1,//操作类型,
	IN PVOID Argument2//操作的结构体指针
)
{
	if (!isOpenReg)
	{
		return STATUS_SUCCESS;
	}
	ULONG Options = 0;//记录操作类型 4创建,5删除,6设置键值,7删除键值,8重命名键
	BOOLEAN isAllow = TRUE;//是否放行
	PFQDRV_NOTIFICATION notification = NULL;
	ULONG replyLength = 0;
	BOOLEAN SafeToOpen;
	SafeToOpen = TRUE;
	NTSTATUS status = STATUS_SUCCESS;

	long type;
	NTSTATUS CallbackStatus = STATUS_SUCCESS;
	UNICODE_STRING registryPath;
	registryPath.Length = 0;
	registryPath.MaximumLength = 2048 * sizeof(WCHAR);
	registryPath.Buffer = ExAllocatePoolWithTag(NonPagedPool, registryPath.MaximumLength, REGISTRY_POOL_TAG);


	notification = ExAllocatePoolWithTag(NonPagedPool,
		sizeof(FQDRV_NOTIFICATION),
		'nacS');

	if (NULL == notification)
	{
		CallbackStatus = STATUS_INSUFFICIENT_RESOURCES;
		return CallbackStatus;
	}


	if (registryPath.Buffer == NULL)
		return STATUS_SUCCESS;
	type = (REG_NOTIFY_CLASS)Argument1;
	switch (type)
	{
	case RegNtPreCreateKeyEx:	//出现两次是因为一次是OpenKey,一次是createKey
	{
		if (IsProcessName("regedit.exe", PsGetCurrentProcess()))
		{
			GetRegistryObjectCompleteName(&registryPath, NULL, ((PREG_CREATE_KEY_INFORMATION)Argument2)->RootObject);
			DbgPrint("[RegNtPreCreateKeyEx]KeyPath: %wZ", &registryPath);	//新键的路径
			DbgPrint("[RegNtPreCreateKeyEx]KeyName: %wZ",
				((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName);//新键的名称

			notification->Operation = 4;
			char newPath[MAX_PATH] = { 0 };
			WCHAR newPath1[MAX_PATH] = { 0 };
			UnicodeToChar(&registryPath, newPath);
			CharToWchar(newPath, newPath1);
			wcscpy_s(notification->ProcessPath, MAX_PATH, newPath1);
			
			char newName[MAX_PATH] = { 0 };
			WCHAR newName1[MAX_PATH] = { 0 };
			UnicodeToChar(((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName, newName);
			CharToWchar(newName, newName1);
			wcscpy_s(notification->TargetPath, MAX_PATH, newName1);
			replyLength = sizeof(FQDRV_REPLY);
			status = FltSendMessage(FQDRVData.Filter,
				&FQDRVData.ClientPort,
				notification,
				sizeof(FQDRV_NOTIFICATION),
				notification,
				&replyLength,
				NULL);
			if (STATUS_SUCCESS == status) {
			
				SafeToOpen = ((PFQDRV_REPLY)notification)->SafeToOpen;
				if (SafeToOpen)
				{
					CallbackStatus = STATUS_SUCCESS;
				}
				else {
					CallbackStatus = STATUS_ACCESS_DENIED;
				}
			}

			//CallbackStatus = STATUS_ACCESS_DENIED;
		}
		break;
	}
	case RegNtPreDeleteKey:
	{
		if (IsProcessName("regedit.exe", PsGetCurrentProcess()))
		{
			GetRegistryObjectCompleteName(&registryPath, NULL, ((PREG_DELETE_KEY_INFORMATION)Argument2)->Object);
			DbgPrint("[RegNtPreDeleteKey]%wZ", &registryPath);				//新键的路径

			notification->Operation = 5;
			char newPath[MAX_PATH] = { 0 };
			WCHAR newPath1[MAX_PATH] = { 0 };
			UnicodeToChar(&registryPath, newPath);
			CharToWchar(newPath, newPath1);
			wcscpy_s(notification->ProcessPath, MAX_PATH, newPath1);

			replyLength = sizeof(FQDRV_REPLY);
			status = FltSendMessage(FQDRVData.Filter,
				&FQDRVData.ClientPort,
				notification,
				sizeof(FQDRV_NOTIFICATION),
				notification,
				&replyLength,
				NULL);
			if (STATUS_SUCCESS == status) {

				SafeToOpen = ((PFQDRV_REPLY)notification)->SafeToOpen;
				if (SafeToOpen)
				{
					CallbackStatus = STATUS_SUCCESS;
				}
				else {
					CallbackStatus = STATUS_ACCESS_DENIED;
				}
			}

			//CallbackStatus = STATUS_ACCESS_DENIED;
		}
		break;
	}
	case RegNtPreSetValueKey:
	{
		if (IsProcessName("regedit.exe", PsGetCurrentProcess()))
		{
			GetRegistryObjectCompleteName(&registryPath, NULL, ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->Object);
			DbgPrint("[RegNtPreSetValueKey]KeyPath: %wZ", &registryPath);
			DbgPrint("[RegNtPreSetValueKey]ValName: %wZ", ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->ValueName);
			
			notification->Operation = 6;
			char newPath[MAX_PATH] = { 0 };
			WCHAR newPath1[MAX_PATH] = { 0 };
			UnicodeToChar(&registryPath, newPath);
			CharToWchar(newPath, newPath1);
			wcscpy_s(notification->ProcessPath, MAX_PATH, newPath1);

			char newName[MAX_PATH] = { 0 };
			WCHAR newName1[MAX_PATH] = { 0 };
			UnicodeToChar(((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->ValueName, newName);
			CharToWchar(newName, newName1);
			wcscpy_s(notification->TargetPath, MAX_PATH, newName1);
			replyLength = sizeof(FQDRV_REPLY);
			status = FltSendMessage(FQDRVData.Filter,
				&FQDRVData.ClientPort,
				notification,
				sizeof(FQDRV_NOTIFICATION),
				notification,
				&replyLength,
				NULL);
			if (STATUS_SUCCESS == status) {

				SafeToOpen = ((PFQDRV_REPLY)notification)->SafeToOpen;
				if (SafeToOpen)
				{
					CallbackStatus = STATUS_SUCCESS;
				}
				else {
					CallbackStatus = STATUS_ACCESS_DENIED;
				}
			}

			//CallbackStatus = STATUS_ACCESS_DENIED;
		}
		break;
	}
	case RegNtPreDeleteValueKey:
	{
		if (IsProcessName("regedit.exe", PsGetCurrentProcess()))
		{
			GetRegistryObjectCompleteName(&registryPath, NULL, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);
			DbgPrint("[RegNtPreDeleteValueKey]KeyPath: %wZ", &registryPath);
			DbgPrint("[RegNtPreDeleteValueKey]ValName: %wZ", ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName);

			notification->Operation = 7;
			char newPath[MAX_PATH] = { 0 };
			WCHAR newPath1[MAX_PATH] = { 0 };
			UnicodeToChar(&registryPath, newPath);
			CharToWchar(newPath, newPath1);
			wcscpy_s(notification->ProcessPath, MAX_PATH, newPath1);

			char newName[MAX_PATH] = { 0 };
			WCHAR newName1[MAX_PATH] = { 0 };
			UnicodeToChar(((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName, newName);
			CharToWchar(newName, newName1);
			wcscpy_s(notification->TargetPath, MAX_PATH, newName1);
			replyLength = sizeof(FQDRV_REPLY);
			status = FltSendMessage(FQDRVData.Filter,
				&FQDRVData.ClientPort,
				notification,
				sizeof(FQDRV_NOTIFICATION),
				notification,
				&replyLength,
				NULL);
			if (STATUS_SUCCESS == status) {

				SafeToOpen = ((PFQDRV_REPLY)notification)->SafeToOpen;
				if (SafeToOpen)
				{
					CallbackStatus = STATUS_SUCCESS;
				}
				else {
					CallbackStatus = STATUS_ACCESS_DENIED;
				}
			}

			//CallbackStatus = STATUS_ACCESS_DENIED;
		}
		break;
	}
	case RegNtPreRenameKey:
	{
		if (IsProcessName("regedit.exe", PsGetCurrentProcess()))
		{
			GetRegistryObjectCompleteName(&registryPath, NULL, ((PREG_RENAME_KEY_INFORMATION)Argument2)->Object);
			DbgPrint("[RegNtPreRenameKey]KeyPath: %wZ", &registryPath);
			DbgPrint("[RegNtPreRenameKey]NewName: %wZ", ((PREG_RENAME_KEY_INFORMATION)Argument2)->NewName);

			notification->Operation = 8;
			char newPath[MAX_PATH] = { 0 };
			WCHAR newPath1[MAX_PATH] = { 0 };
			UnicodeToChar(&registryPath, newPath);
			CharToWchar(newPath, newPath1);
			wcscpy_s(notification->ProcessPath, MAX_PATH, newPath1);

			char newName[MAX_PATH] = { 0 };
			WCHAR newName1[MAX_PATH] = { 0 };
			UnicodeToChar(((PREG_RENAME_KEY_INFORMATION)Argument2)->NewName, newName);
			CharToWchar(newName, newName1);
			wcscpy_s(notification->TargetPath, MAX_PATH, newName1);
			replyLength = sizeof(FQDRV_REPLY);
			status = FltSendMessage(FQDRVData.Filter,
				&FQDRVData.ClientPort,
				notification,
				sizeof(FQDRV_NOTIFICATION),
				notification,
				&replyLength,
				NULL);
			if (STATUS_SUCCESS == status) {

				SafeToOpen = ((PFQDRV_REPLY)notification)->SafeToOpen;
				if (SafeToOpen)
				{
					CallbackStatus = STATUS_SUCCESS;
				}
				else {
					CallbackStatus = STATUS_ACCESS_DENIED;
				}
			}

			//CallbackStatus = STATUS_ACCESS_DENIED;
		}
		break;
	}
	//『注册表编辑器』里的“重命名键值”是没有直接函数的,是先SetValueKey再DeleteValueKey
	default:
		break;
	}
	

	if (registryPath.Buffer != NULL)
		ExFreePoolWithTag(registryPath.Buffer, REGISTRY_POOL_TAG);
	return CallbackStatus;
}

 

kernweak
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入注册表监控
hongduilanjun的博客
11-01 1355
注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用,这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗。
ce内存修改器x64
02-20
钩子技术则用于监控程序内存的变化,当特定内存地址值发生变化时,可以触发用户设定的回调函数。 在提供的压缩包文件中,有以下几个关键文件: 1. `crossfireBase.dll`:这是一个动态链接库(DLL)文件,通常用于...
内核:系统回调1
08-03
x64内核:系统回调有些版本的操作系统没有 PsSetXXXNotifyRoutineEx 版本的函数,但是又需要拦截API思路:拿到相关的结构,改结构里面的字
注册表监控PRegMonitor4中文版绿色无毒软件
06-08
注册表监控PRegMonitor4中文版绿色无毒软件,csdn不能上图,不然可以截个图大家就可以看的更加清晰了
注册表监视的4种方式
最新发布
05-30 412
这个库的32位版本可以从微软官网上免费下载,而且有相关商业开发的限制,具体可以看微软的说明,64位版的,只能付费得到。优点:平台兼容性好,98以后的系统基本都适用,与RegSaveKey、RegRestoreKey进行关联使用,实现注册表指定项的恢复。此种方法的缺点:注册表事件的跟踪直到windows server 2008和vista版本才具有,在其他低版本中,这种方式不起作用。此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1602
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
静态注册码追踪-- 总结
desword-- 技术,杂文。
07-13 994
静态注册码的追踪,不论对于没有壳还是加了壳,加了密的程序,都是比较简单的。 基本思路还是和其他的一样,1、寻找字符串; 2、寻找关键函数 ; 3、设置消息断点 对于稍微复杂一点的,搜索字符串方法,可以有以下改进: 到指定的程序领域暂停下来,到内存(M)区域,可以搜索对应的字符串,看看有哪些变化。可以从区块的角度对每个区块进行扫描。 而在C(cpu)中查看的仅仅是本区域的字符串。
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4555
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
Windows x86/ x64 Ring3层注入Dll总结
09-30
使用SetWindowsHookEx函数设置全局或本地钩子,捕获特定消息(如 WM_CREATE 或 WM_GETMINMAXINFO),在钩子回调函数中加载Dll。 **6. 远程手动实现LoadLibrary注入** 通过VirtualAllocEx和WriteProcessMemory函数...
WIN64驱动编程基础教程
12-06
|-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现...
node-v10.16.3-x64.zip
03-01
5. 异步编程:Node.js的核心特性是非阻塞I/O模型,通过事件循环和回调函数处理异步操作,有效避免了传统多线程带来的复杂性和性能问题。 6. 文件系统操作:Node.js提供了丰富的内置模块,如fs(文件系统),可以...
注册表回调整体框架
zhuhuibeishadiao
04-26 1984
注册表回调整体框架 这个就不多说了,想详细了解的可以自行百度,网上有很多相关内容 NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS ntStatus; ntStatus = CmRegisterCallback(MyRegistryCallbac
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3281
Registry Auditing 监视注册表变化 审核策略
注册表处理之注册表监控
Huaerge的专栏
05-30 3485
<br /> <br />需求:<br />     监控指定的注册表项包括其子项和键项的变化,当变化发生时根据策略进行处理(添加/删除/修改子项, 添加/删除/修改键值)<br />思路:<br />    1)程序启动,存储需要监控注册表项包括其子项和键项的值<br />    2)监控注册表,当变化发生时再次去取注册表项包括其子项和键项的值,将前后两次进行比较,找出不同,根据用户的策略进行处理<br />       知识点:<br />           监控注册表<br />        
回调函数(callback Function)
王鹏亮 的专栏
04-06 6819
一、概念介绍     回调函数(callback Function),顾名思义,就是为被调用方所反过来调用的函数,即调用的时机等等都完全由被调用方控制,也就是回调方法自己不使用是给别人使用的,比如说客户程序Client调用了服务端Server中的某个函数serverMethod,然后Server又在一个不确定的时机反过来调用Client中的某个函数才clientMethod,那么这个被Serve
理解一下回调函数Callback Function
Chauncymaster的博客
07-12 1471
在知乎上看到一个很好的解释用来理解回调函数的过程。 大致是说 你去宾馆了然后向前台告知明天六点叫我起床,这句话就大致说明了两个Function 1.我请求叫醒服务 2.宾馆记录下来到具体时间点叫醒你。 这里说明一下:就是你去约定一个时间点之后或者给个标志什么的 当条件满足的时候 宾馆方面就执行方法二,在条件未满足之前你可以去做任何事,不妨碍宾馆方面的执行。 用代码实现这里的逻辑如下:
回调函数
anddy926的专栏
06-15 670
什么是回调函数 简单的说回调函数就是一个通过函数指针调用的函数。如果把函数的指针作为函数参数传递给另一个函数,当这个函数指针作为调用者而只想某个函数时,这就是回调函数。回调憾事不是由该函数实现方来直接调用,而是在特定的事件或者在特定的条件下又另外一方调用的,对已该事件或条件进行响应。  回调函数并不是什么新的事物,更有甚者他在很多的API当中都能够找的到。有关回调函数的概念在我介绍之后
回调函数callback function的机制及使用举例
刘一凡的博客
07-25 7683
如果把函数指针传递给另一个函数(调用者),当调用者执行时,函数指针所指的函数也被执行。被调用的函数就是回调函数。 回调函数实现的机制是 1、定义一个回调函数;  2、提供函数实现的一方在初始化的时候,通过注册函数 向调用者(管理单元/调度函数)注册回调函数的函数指针。  3、当特定的事件发生时候,调用者使用函数指针调用回调函数对事件进行处理。 举例: Quagga0.9.22中OSPF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值