RegNotifyChangeKeyValue 监控注册表变化

最新推荐文章于 2024-05-29 23:31:42 发布
最新推荐文章于 2024-05-29 23:31:42 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: 系统/线程/调试 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgl7903/article/details/100011487
版权 
/
//RegMonitorClass.h
#pragma once

class CRegMonitorClass
{
public:
  //标准构析函数
  CRegMonitorClass();
  ~CRegMonitorClass();

protected:
  HKEY   m_hMonRegKey; //准备监视的键句柄
  HANDLE m_hMonThread; //监控线程
  HANDLE m_hExitEvent; //线程退出事件
  HANDLE m_hMonEvent;  //监控变化事件

#define _DbgPrintf TRACE
public: 
  virtual BOOL StopMonitor(); //停止监控
  virtual BOOL StartMonitor(HKEY hPrmKey, LPCTSTR szKey); //启动监控
  
protected:  
  virtual DWORD RegMonFunction(); //监控注册表功能函数 
  static DWORD CALLBACK RegMonThread(LPVOID lParam); //监控线程
};

 

/
//RegMonitorClass.cpp
#include "RegMonitorClass.h"
CRegMonitorClass::CRegMonitorClass()
{
  m_hMonRegKey = NULL;
  m_hExitEvent = NULL;
  m_hMonEvent = NULL;
  m_hMonThread = NULL;
}

CRegMonitorClass::~CRegMonitorClass()
{
  StopMonitor();
}

//停止监控
BOOL CRegMonitorClass::StopMonitor()
{
  if(m_hExitEvent)
  {
    SetEvent(m_hExitEvent);
  }
  if(m_hMonThread)
  {
    WaitForSingleObject(m_hMonThread, 2000);
    CloseHandle(m_hMonThread);
    m_hMonThread = NULL;
  }
  if(m_hExitEvent)
  {
    CloseHandle(m_hExitEvent);
    m_hExitEvent = NULL;
  }
  if(m_hMonEvent)
  {
    CloseHandle(m_hMonEvent);
    m_hMonEvent = NULL;
  }
  if(m_hMonRegKey)
  {
    RegCloseKey(m_hMonRegKey);
    m_hMonRegKey = NULL;
  }

  _DbgPrintf(_T("StopMonitor\n"));

  return TRUE;
}

//启动监控
//成功是返回TURE
BOOL CRegMonitorClass::StartMonitor(HKEY hPrmKey, LPCTSTR szKey)
{
  BOOL bRet = FALSE;
  StopMonitor();

  do
  {
    //打开注册表
    DWORD dwRet = RegOpenKeyEx(hPrmKey, szKey, 0, KEY_ALL_ACCESS, &m_hMonRegKey);
    if(dwRet != ERROR_SUCCESS || m_hMonRegKey == NULL)
    {
      _DbgPrintf(_T("RegOpenKeyEx failed %u\n"), dwRet);
      bRet = -1;
      break;
    }

    //创建退出事件
    if(m_hExitEvent == NULL)
    {
      m_hExitEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
    }
    if(m_hExitEvent == NULL)
    {
      _DbgPrintf(_T("Create exit Event failed %u\n"), GetLastError());
      bRet = -2;
      break;
    }

    //创建监控变化事件
    if(m_hMonEvent == NULL)
    {
      m_hMonEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
    }
    if(m_hMonEvent == NULL)
    {
      _DbgPrintf(_T("Create monitor Event failed %u\n"), GetLastError());
      bRet = -3;
      break;
    }

    //启动监控线程
    if(m_hMonThread == NULL)
    {
      m_hMonThread = CreateThread(NULL, 0, RegMonThread, this, 0, NULL);
    }
    if(m_hMonThread == NULL)
    {
      _DbgPrintf(_T("CreateThread failed %u\n"), GetLastError());
      bRet = -4;
      break;
    }

    _DbgPrintf(_T("Start register monitor succeed\n"));

    bRet = TRUE;

  }while(0);

  //失败时关闭监控
  if(bRet <= 0)
  {
    StopMonitor();
  }

  return bRet;
}
  
//监控注册表功能函数
DWORD CRegMonitorClass::RegMonFunction()
{
  ASSERT(m_hMonEvent);
  ASSERT(m_hMonRegKey);
  ASSERT(m_hExitEvent);

  BOOL bEixtFlag = FALSE;
  while((!bEixtFlag))
  {
    //重置事件
    ResetEvent(m_hMonEvent);

    //注册事件
    DWORD dwRet = RegNotifyChangeKeyValue(m_hMonRegKey, 
      TRUE, REG_LEGAL_CHANGE_FILTER, m_hMonEvent, TRUE);

    if(dwRet != ERROR_SUCCESS)
    {
      TRACE(_T("RegNotifyChangeKeyValue failed %u\n"), dwRet);
      break;
    }

    //等待事件
    HANDLE hEventArray[] = {m_hExitEvent, m_hMonEvent};
    DWORD dwWait = WaitForMultipleObjects(2, hEventArray, FALSE, INFINITE);
    switch(dwWait)  
    {
    case(WAIT_OBJECT_0 + 0):  //exit event
      {
        bEixtFlag = 1;
        break;
      }
    case(WAIT_OBJECT_0 + 1): //done event
      {
        TRACE(_T("RegNotifyChangeKeyValue Notifyed!\n"));
        //这里添加处理

        break;
      }
    default: //unexpected
      {
        bEixtFlag = -1;
        TRACE(_T("WaitForMultipleObjects failed %u\n"), dwWait);
        break;
      }
    }
  }

  return 0;
}

//监控线程
DWORD CALLBACK CRegMonitorClass::RegMonThread(LPVOID lParam)
{
  CRegMonitorClass *pThis = (CRegMonitorClass *)lParam;
  __try
  {
    pThis->RegMonFunction();
  }
  __except(GetExceptionCode() == EXCEPTION_ACCESS_VIOLATION)
  {
    ASSERT(0);
  }
  return 0;
}

 

//启动监控示例
CRegMonitorClass m_RegMon;

void CDlg1Dlg::OnButton1() 
{
  m_RegMon.StartMonitor(HKEY_CURRENT_USER, _T("Software\\Test"));
}

 

zgl7903
关注
专栏目录
实时监视注册表变化源代码
06-15
模拟监视注册表指定项,比如监视SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce的的添加及变化
RegNotifyChangeKeyValue函数---监听注册表
zxl_1996的博客
11-08 3683
RegNotifyChangeKeyValue( HKEY hKey, BOOL bWatchSubtree, DWORD dwNotifyFilter,HANDLE hEvent, BOOL fAsynchronous);   函数参数说明: hKey:监测的注册表项   bWatchSubtree:是否监测注册表项子项   dwNotifyFilter:通常有以下几种 REG_...
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3423
Registry Auditing 监视注册表变化 审核策略
可以监控注册表的任何修改
12-18
可以监控注册表的任何修改,通常我们在安装程序的时候,注册表经常被修改,该工具可以监控
监视注册表项是否发生变化
donglinshengan的专栏
06-17 791
先创建一事件对象:hRegEvent = CreateEvent(NULL, FALSE, FALSE, NULL); 然后指定要监视的项:HKEY  hKey  = NULL; RegOpenKey(HKEY_CURRENT_USER, "Software//skynet", &hKey); if(NULL != m_hRegEvent && NULL != hKey) { 
用API监控注册表的改变.注册表监控
03-30
- **安全**:监控注册表变化可及时发现恶意软件的活动,保护系统安全。 - **系统管理**:了解系统配置更改,便于管理和维护。 3. **API监控注册表**: Windows API提供了几个函数用于监控注册表,主要包括`...
易语言监控注册表
08-21
通过监控注册表,开发者可以实时跟踪和记录系统或软件的设置变化,这对于系统管理和软件调试非常有帮助。易语言提供了一系列API调用来访问和操作注册表,使得开发者能够方便地实现这一功能。 首先,我们需要了解...
用API监控注册表的改变_API的参数可以指定是监控修改(包括删除)还是读操作.rar
03-30
2. 准备一个事件句柄,这个句柄将在注册表变化时被信号化。可以使用`CreateEvent`函数创建。 3. 调用`RegNotifyChangeKeyValue`,传入已打开的键句柄、是否监视子键、要监视的事件类型(如仅修改或读取)、事件句柄...
易语言监控注册表源码-易语言
06-13
1. **注册表监控机制**:源码可能采用了Windows API中的`RegNotifyChangeKeyValue`函数来实现注册表变化的实时监控。这个函数允许程序监听特定注册表项的变化,如的添加、删除或修改。当有变化发生时,程序接收...
注册表监视的4种方式
weixin_33962923的博客
06-04 276
最近研究了一下注册表监视,总结说来,可行的方法有以下四种,有其他做法,欢迎指出:1.使用RegNotifyChangeKeyValue这个函数可以监视注册表某一项及其子项的变化(包括添加、删除、修改等)。此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。优点:平台兼容性好,98以后的系统基本都适用,与Re...
注册表处理之注册表监控
Huaerge的专栏
05-30 3511
<br /> <br />需求:<br />     监控指定的注册表项包括其子项和键项的变化,当变化发生时根据策略进行处理(添加/删除/修改子项, 添加/删除/修改键)<br />思路:<br />    1)程序启动,存储需要监控注册表项包括其子项和键项的<br />    2)监控注册表,当变化发生时再次去取注册表项包括其子项和键项的,将前后两次进行比较,找出不同,根据用户的策略进行处理<br />       知识点:<br />           监控注册表<br />        
Windows监控指定注册表变化
qq_42548880的博客
05-18 488
更多Windows的相关开发请点击观看我的博客。
使用Process Monitor工具监测进程对注册表和文件的操作(常用分析工具)
热门推荐
dvlinker的技术专栏
06-23 1万+
本文详细介绍了如何使用Process Monitor工具监测进程对注册表和文件的操作活动,并给出了对应的监测范例。
注册表快照-如何使用RegSnap监视注册表变化
最新发布
05-29 413
如何使用RegSnap监视。
C++监控注册表信息
MusicMan
02-28 1975
首先,监控注册表信息的作用在于防止他人篡改数据,因为多数木马程序都是通过修改注册表信息来对电脑进行攻击,在WindowsAPI中,系统提供了RegNotifyChangeKeyValue这个函数方法来实现对注册表相关信息的监控。 RegNotifyChangeKeyValue ( __in HKEY hKey, __in BOOL bWatchSubtree, __i...
用RegNotifyChangeKeyValue函数监视注册表
wxdvc的专栏
12-11 1421
BOOL SaveReg(    TCHAR    *sKey,     BYTE    *pBuffer,    DWORD    dwBufSize,    HKEY    hkey,     TCHAR    *sSubKey,     DWORD    ulType){    HKEY    hSubkey;    DWORD    dwDispos
如何使用RegSnap监视注册表变化
zhimin_zeng的博客
07-25 3863
如何使用RegSnap监视注册表变化操作步骤说明 操作步骤 1、新建快照 新建不同状态下的机器注册表信息 2、保存文件 新建的文件如上,保存下来,保存的文件后缀名为 .rsnp 3、比较文件 4、分析比较结果 可以查看到 删除,修改,新增的键 说明 里面记录的修改信息比较多,可以根据里面的增删改信息,来观察自己所关注的键是否发生了改变。 ...
使用c++实现检测windows注册表'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall'变化的通知回调
08-25
要使用C++实现检测Windows注册表'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall'变化的通知回调,可以使用Windows API提供的注册表监视功能和消息循环机制。以下是一个示例代码: ```cpp #include <Windows.h> #include <iostream> LRESULT CALLBACK RegChangeCallback(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam) { if (uMsg == WM_DEVICECHANGE) { if (wParam == DBT_DEVICEARRIVAL || wParam == DBT_DEVICEREMOVECOMPLETE) { PDEV_BROADCAST_HDR pHdr = (PDEV_BROADCAST_HDR)lParam; if (pHdr->dbch_devicetype == DBT_DEVTYP_HANDLE) { PDEV_BROADCAST_HANDLE pHandle = (PDEV_BROADCAST_HANDLE)pHdr; if (pHandle->dbch_eventguid == YOUR_EVENT_GUID) { // 注册表发生变化 std::cout << "注册表发生变化" << std::endl; } } } } return DefWindowProc(hwnd, uMsg, wParam, lParam); } int main() { HKEY hKey; LONG result = RegOpenKeyEx(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall", 0, KEY_NOTIFY, &hKey); if (result != ERROR_SUCCESS) { std::cerr << "无法打开注册表键" << std::endl; return 1; } HWND hwnd = CreateWindowEx(0, L"STATIC", nullptr, 0, 0, 0, 0, 0, nullptr, nullptr, nullptr, nullptr); result = RegNotifyChangeKeyValue(hKey, TRUE, REG_NOTIFY_CHANGE_LAST_SET, hwnd, TRUE); if (result != ERROR_SUCCESS) { std::cerr << "无法注册注册表变化通知" << std::endl; RegCloseKey(hKey); return 1; } MSG msg; while (GetMessage(&msg, nullptr, 0, 0)) { TranslateMessage(&msg); DispatchMessage(&msg); } RegCloseKey(hKey); return 0; } ``` 以上代码使用了`RegOpenKeyEx`函数打开注册表键,并使用`RegNotifyChangeKeyValue`函数注册对该键的变化通知。在窗口的回调函数`RegChangeCallback`中,我们可以捕获注册表变化事件,并做相应的处理。 请注意,这段代码使用了Windows API,并结合了消息循环机制。在您自己的C++程序中,您需要根据具体的需求和情况,修改代码中的`YOUR_EVENT_GUID`为您关注的注册表变化事件的GUID,并根据实际情况进行相应的处理。 运行以上代码后,程序开始监测注册表变化,并在'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall'路径下的注册表发生变化时打印出相应的提示信息。您可以根据自己的需求对代码进行修改,比如添加具体的注册表路径、筛选条件,或者将事件信息保存到文件或进行其他处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值