注册表监视的4种方式

最新推荐文章于 2023-11-24 18:43:26 发布
最新推荐文章于 2023-11-24 18:43:26 发布
阅读量9.4k 收藏 8
点赞数
文章标签: 注册表 监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yupei881027/article/details/29345487
版权

注册表监视,总结说来,可行的方法有以下四种,有其他做法,欢迎指出:

1.使用RegNotifyChangeKeyValue

这个函数可以监视注册表某一项及其子项的变化(包括添加、删除、修改等)。

此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。

优点:平台兼容性好,98以后的系统基本都适用,与RegSaveKey、RegRestoreKey进行关联使用,实现注册表指定项的恢复。

//监视HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项

#include <windows.h>

//定义一个监视注册表启动项的函数
int reg()
{
   HANDLE hNotify;
   HKEY hKeyx;
   //DWORD dwRes;

   hNotify = CreateEvent(NULL, //不使用SECURITY_ATTRIBUTES结构
         FALSE, //不自动重置
         TRUE,   //设置初始状态
         "RegistryNotify" //事件对象的名称
         );

   if (hNotify == 0)
   {
     MessageBox(NULL,"CreateEvent failed"," ",MB_OK);
     ExitProcess(0);
   }

   if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, //根键
         "Software\\Microsoft\\Windows\\CurrentVersion\\Run", //子键
         0, //reserved
         KEY_NOTIFY, //监视用
         &hKeyx //保存句柄
         ) != ERROR_SUCCESS)
   {
     CloseHandle(hNotify);
     MessageBox(NULL,"RegOpenKeyEx failed"," ",MB_OK);
     ExitProcess(0);
   }

   if (RegNotifyChangeKeyValue(hKeyx, //监视子键句柄
         TRUE, //监视此项的子键
         REG_NOTIFY_CHANGE_NAME | REG_NOTIFY_CHANGE_LAST_SET, //监视增加或删除了子键,监视键值发生是否改变
         hNotify, //接受注册表变化事件的事件对象句柄
         TRUE //注册表变化前报告
         ) != ERROR_SUCCESS)
   {
     CloseHandle(hNotify);
     RegCloseKey(hKeyx);
     MessageBox(NULL,"RegNotifyChangeKeyValue failed"," ", MB_OK);
     ExitProcess(0);
   }

   if (WaitForSingleObject(hNotify, INFINITE) != WAIT_FAILED)
   {
     MessageBox(NULL,"注册表有改动"," ",MB_OK);
   }

   CloseHandle(hNotify);
   RegCloseKey(hKeyx);

   return 0;

}

void main()
{
	reg();
}


2.使用ETW

ETW的意思就是windows事件追踪。

此种方法的缺点:注册表事件的跟踪直到windows server 2008和vista版本才具有,在其他低版本中,这种方式不起作用。


3.使用wmi

这种方式优点:系统兼容性强

缺点:RegistryKeyChangeEvent、RegistryTreeChangeEvent、RegistryValueChangeEvent获取相关数据时,它们只能监视“HKEY_LOCAL_MACHINE”下的变动,其他根键下的变动监视不了。


4.使用detours.lib

detours.lib是微软出的一个库,他可以用来监视win32 API的调用。根据这个机制,也可以监视注册表的变动。只需要监视对注册表进行操作的win32 API就可以了。这个库的32位版本可以从微软官网上免费下载,而且有相关商业开发的限制,具体可以看微软的说明,64位版的,只能付费得到。适用到微软各系统。

软件之地
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应值?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-02 3784
Win11 专业版HP480G7。
Windows 下注册表项键值监控
05-30
windows下注册表项的监控,当指定注册表发生变化时给出提示
RegNotifyChangeKeyValue函数---监听注册表
zxl_1996的博客
11-08 3651
RegNotifyChangeKeyValue( HKEY hKey, BOOL bWatchSubtree, DWORD dwNotifyFilter,HANDLE hEvent, BOOL fAsynchronous);   函数参数说明: hKey:监测的注册表项   bWatchSubtree:是否监测注册表项子项   dwNotifyFilter:通常有以下几 REG_...
监视注册表项是否发生变化
donglinshengan的专栏
06-17 787
先创建一事件对象:hRegEvent = CreateEvent(NULL, FALSE, FALSE, NULL); 然后指定要监视的项:HKEY  hKey  = NULL; RegOpenKey(HKEY_CURRENT_USER, "Software//skynet", &hKey); if(NULL != m_hRegEvent && NULL != hKey) { 
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 7101
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3313
Registry Auditing 监视注册表变化 审核策略
Windows监控指定注册表键值变化
qq_42548880的博客
05-18 452
更多Windows的相关开发请点击观看我的博客。
驱动开发:内核监控Register注册表回调
CSDN
10-27 1万+
中实现了对注册表的枚举,本章将实现对注册表监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控注册表监视通常会通过。其中对于注册表最常用的监控项为以下几类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
RegNotifyChangeKeyValue 监听注册表
程序开发技术博客
10-12 2902
RegNotifyChangeKeyValue The RegNotifyChangeKeyValue function notifies the caller about changes to the attributes or contents of a specifi
zhucebiao.rar_zhucebiao_注册表 监视_注册表监视
09-23
"zhucebiao.rar_zhucebiao_注册表 监视_注册表监视"这个文件包显然与监控注册表更改的功能有关,它可能包含了一个程序或者代码,用于实现类似瑞星等安全软件的自动防御机制。 瑞星等安全软件的自动防御功能主要通过...
易语言注册表监视
08-21
易语言注册表监视源码系统结构:CreateEvent,RegOpenKeyEx,RegCloseKey,CloseHandle,RegNotifyChangeKeyValue,WaitForSingleObject,WaitForMultipleObjects, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||...
完整版注册表监视.rar
04-02
总的来说,“完整版注册表监视.rar”这个工具包提供了一强大的方式来了解和保护你的Windows系统,通过深入跟踪注册表变化,你可以更好地理解和控制你的计算机环境。但同时,也要意识到注册表操作的潜在风险,谨慎...
深入注册表监控
hongduilanjun的博客
11-01 1358
注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用,这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗。
如何使用RegSnap监视注册表变化
zhimin_zeng的博客
07-25 3729
如何使用RegSnap监视注册表变化操作步骤说明 操作步骤 1、新建快照 新建不同状态下的机器注册表信息 2、保存文件 新建的文件如上,保存下来,保存的文件后缀名为 .rsnp 3、比较文件 4、分析比较结果 可以查看到 删除,修改,新增的键 说明 里面记录的修改信息比较多,可以根据里面的增删改信息,来观察自己所关注的键是否发生了改变。 ...
使用RegNotifyChangeKeyValue监测注册表内容是否被修改,需要注意的事项
zjq9931的专栏
08-22 774
这两天需要做一项工作,监测自己程序的一些注册表项是否被修改。 先说一下电脑环境: 操作系统:win7 64位, 开发环境:VS2008 第一步:使用微软的例子,简单修改。 第二步:监测服务的注册表项是否被修改,程序有效。 第三步:监测ShellIconOverlayIdentifiers,相关注册表项,是否被修改,发现无效。 无法确定原因,不断的试验都无法监测到被修改。 后来尝试监测Wow643...
使用软件检测电脑设置对应的注册表位置
咩图的博客
04-27 996
目录 通过命令行指令完成win10系统设置 测试环境 实现原理 测试 通过命令行指令完成win10系统设置 问题描述:我们会在windows的系统设置里修改一些设置项,方便自己的使用。我们可以通过鼠标,点点点,就可以随心所欲的配置成自己符合自己使用习惯的系统。但有时在项目上,我们需要通过程序后台做到这一点,就不是一件简单事了。当然啦,我们今天就是要解决这件事的。 测试环境 测试系统:windows 10 测试软件:progressmonitor(进程监控软件,可以监测注册表的变动) 实现原理 由于系统设置项
7.5 Windows驱动开发:监控Register注册表回调
热门推荐
CSDN
11-24 1万+
在笔者前一篇文章`《内核枚举Registry注册表回调》`中实现了对注册表的枚举,本章将实现对注册表监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控注册表监视通常会通过`CmRegisterCallback`创建监控事件并传入自己的回调函数,与该创建对应的是`CmUnRegisterCallback`当注册表监控结束后可用于注销回调。
反病毒工具之注册表监视器(VC DLL源码)
chenhui530的专栏
02-02 1万+
核心HOOK API类,理论上可以HOOK 任何使用STDCALL声明的API函数// HookInfo.h: interface for the CHookInfo class.////////////////////////////////////////////////////////////////////////#if !defined(AFX_HOOKINFO_H__D44F1
security注册表损坏
最新发布
11-30
根据提供的引用内容,我们可以得出结论:注册表的损坏可能会导致整个系统无法使用,而且恢复工作也会很困难。此外,某些恶意软件可能会监视系统进程列表,并强行关闭名为regedit的任何程序,这使得受损用户难以直接通过编辑注册表进行恢复。因此,保护注册表的安全非常重要。 以下是一些保护注册表安全的方法: 1.备份注册表:在对注册表进行更改之前,最好先备份注册表。这样,如果出现问题,可以轻松地还原到以前的状态。 2.使用可靠的注册表编辑器:使用可靠的注册表编辑器可以减少注册表损坏的风险。例如,Windows自带的注册表编辑器(regedit.exe)就是一个可靠的工具。 3.避免随意更改注册表:只有在确切知道自己在做什么的情况下,才应该更改注册表。否则,可能会导致系统不稳定或无法使用。 4.安装杀毒软件:安装杀毒软件可以帮助检测和清除恶意软件,从而减少注册表损坏的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值