RegNotifyChangeKeyValue 监控注册表变化

最新推荐文章于 2024-05-29 23:31:42 发布
最新推荐文章于 2024-05-29 23:31:42 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: 系统/线程/调试 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgl7903/article/details/100011487
版权 
/
//RegMonitorClass.h
#pragma once

class CRegMonitorClass
{
public:
  //标准构析函数
  CRegMonitorClass();
  ~CRegMonitorClass();

protected:
  HKEY   m_hMonRegKey; //准备监视的键句柄
  HANDLE m_hMonThread; //监控线程
  HANDLE m_hExitEvent; //线程退出事件
  HANDLE m_hMonEvent;  //监控变化事件

#define _DbgPrintf TRACE
public: 
  virtual BOOL StopMonitor(); //停止监控
  virtual BOOL StartMonitor(HKEY hPrmKey, LPCTSTR szKey); //启动监控
  
protected:  
  virtual DWORD RegMonFunction(); //监控注册表功能函数 
  static DWORD CALLBACK RegMonThread(LPVOID lParam); //监控线程
};

 

/
//RegMonitorClass.cpp
#include "RegMonitorClass.h"
CRegMonitorClass::CRegMonitorClass()
{
  m_hMonRegKey = NULL;
  m_hExitEvent = NULL;
  m_hMonEvent = NULL;
  m_hMonThread = NULL;
}

CRegMonitorClass::~CRegMonitorClass()
{
  StopMonitor();
}

//停止监控
BOOL CRegMonitorClass::StopMonitor()
{
  if(m_hExitEvent)
  {
    SetEvent(m_hExitEvent);
  }
  if(m_hMonThread)
  {
    WaitForSingleObject(m_hMonThread, 2000);
    CloseHandle(m_hMonThread);
    m_hMonThread = NULL;
  }
  if(m_hExitEvent)
  {
    CloseHandle(m_hExitEvent);
    m_hExitEvent = NULL;
  }
  if(m_hMonEvent)
  {
    CloseHandle(m_hMonEvent);
    m_hMonEvent = NULL;
  }
  if(m_hMonRegKey)
  {
    RegCloseKey(m_hMonRegKey);
    m_hMonRegKey = NULL;
  }

  _DbgPrintf(_T("StopMonitor\n"));

  return TRUE;
}

//启动监控
//成功是返回TURE
BOOL CRegMonitorClass::StartMonitor(HKEY hPrmKey, LPCTSTR szKey)
{
  BOOL bRet = FALSE;
  StopMonitor();

  do
  {
    //打开注册表
    DWORD dwRet = RegOpenKeyEx(hPrmKey, szKey, 0, KEY_ALL_ACCESS, &m_hMonRegKey);
    if(dwRet != ERROR_SUCCESS || m_hMonRegKey == NULL)
    {
      _DbgPrintf(_T("RegOpenKeyEx failed %u\n"), dwRet);
      bRet = -1;
      break;
    }

    //创建退出事件
    if(m_hExitEvent == NULL)
    {
      m_hExitEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
    }
    if(m_hExitEvent == NULL)
    {
      _DbgPrintf(_T("Create exit Event failed %u\n"), GetLastError());
      bRet = -2;
      break;
    }

    //创建监控变化事件
    if(m_hMonEvent == NULL)
    {
      m_hMonEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
    }
    if(m_hMonEvent == NULL)
    {
      _DbgPrintf(_T("Create monitor Event failed %u\n"), GetLastError());
      bRet = -3;
      break;
    }

    //启动监控线程
    if(m_hMonThread == NULL)
    {
      m_hMonThread = CreateThread(NULL, 0, RegMonThread, this, 0, NULL);
    }
    if(m_hMonThread == NULL)
    {
      _DbgPrintf(_T("CreateThread failed %u\n"), GetLastError());
      bRet = -4;
      break;
    }

    _DbgPrintf(_T("Start register monitor succeed\n"));

    bRet = TRUE;

  }while(0);

  //失败时关闭监控
  if(bRet <= 0)
  {
    StopMonitor();
  }

  return bRet;
}
  
//监控注册表功能函数
DWORD CRegMonitorClass::RegMonFunction()
{
  ASSERT(m_hMonEvent);
  ASSERT(m_hMonRegKey);
  ASSERT(m_hExitEvent);

  BOOL bEixtFlag = FALSE;
  while((!bEixtFlag))
  {
    //重置事件
    ResetEvent(m_hMonEvent);

    //注册事件
    DWORD dwRet = RegNotifyChangeKeyValue(m_hMonRegKey, 
      TRUE, REG_LEGAL_CHANGE_FILTER, m_hMonEvent, TRUE);

    if(dwRet != ERROR_SUCCESS)
    {
      TRACE(_T("RegNotifyChangeKeyValue failed %u\n"), dwRet);
      break;
    }

    //等待事件
    HANDLE hEventArray[] = {m_hExitEvent, m_hMonEvent};
    DWORD dwWait = WaitForMultipleObjects(2, hEventArray, FALSE, INFINITE);
    switch(dwWait)  
    {
    case(WAIT_OBJECT_0 + 0):  //exit event
      {
        bEixtFlag = 1;
        break;
      }
    case(WAIT_OBJECT_0 + 1): //done event
      {
        TRACE(_T("RegNotifyChangeKeyValue Notifyed!\n"));
        //这里添加处理

        break;
      }
    default: //unexpected
      {
        bEixtFlag = -1;
        TRACE(_T("WaitForMultipleObjects failed %u\n"), dwWait);
        break;
      }
    }
  }

  return 0;
}

//监控线程
DWORD CALLBACK CRegMonitorClass::RegMonThread(LPVOID lParam)
{
  CRegMonitorClass *pThis = (CRegMonitorClass *)lParam;
  __try
  {
    pThis->RegMonFunction();
  }
  __except(GetExceptionCode() == EXCEPTION_ACCESS_VIOLATION)
  {
    ASSERT(0);
  }
  return 0;
}

 

//启动监控示例
CRegMonitorClass m_RegMon;

void CDlg1Dlg::OnButton1() 
{
  m_RegMon.StartMonitor(HKEY_CURRENT_USER, _T("Software\\Test"));
}

 

zgl7903
关注
专栏目录
使用Process Monitor工具监测进程对注册表和文件的操作(常用分析工具)
dvlinker的技术专栏
06-23 1万+
本文详细介绍了如何使用Process Monitor工具监测进程对注册表和文件的操作活动,并给出了对应的监测范例。
注册表监视的4种方式
yupei881027的专栏
06-08 9522
注册表监视,总结说来,可行的方法有以下四种,有其他做法,欢迎指出: 1.使用RegNotifyChangeKeyValue 这个函数可以监视注册表某一项及其子项的变化(包括添加、删除、修改等)。 此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。 优点:平台兼容性好,98以后的系统基本都适用,与RegS
实时监视注册表变化源代码
06-15
模拟监视注册表指定项,比如监视SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce的的添加及变化
RegNotifyChangeKeyValue函数---监听注册表
zxl_1996的博客
11-08 3718
RegNotifyChangeKeyValue( HKEY hKey, BOOL bWatchSubtree, DWORD dwNotifyFilter,HANDLE hEvent, BOOL fAsynchronous);   函数参数说明: hKey:监测的注册表项   bWatchSubtree:是否监测注册表项子项   dwNotifyFilter:通常有以下几种 REG_...
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3579
Registry Auditing 监视注册表变化 审核策略
注册表快照-如何使用RegSnap监视注册表变化
最新发布
05-29 523
如何使用RegSnap监视。
可以监控注册表的任何修改
12-18
可以监控注册表的任何修改,通常我们在安装程序的时候,注册表经常被修改,该工具可以监控
用API监控注册表的改变.注册表监控
03-30
- **安全**:监控注册表变化可及时发现恶意软件的活动,保护系统安全。 - **系统管理**:了解系统配置更改,便于管理和维护。 3. **API监控注册表**: Windows API提供了几个函数用于监控注册表,主要包括`...
易语言监控注册表
08-21
通过监控注册表,开发者可以实时跟踪和记录系统或软件的设置变化,这对于系统管理和软件调试非常有帮助。易语言提供了一系列API调用来访问和操作注册表,使得开发者能够方便地实现这一功能。 首先,我们需要了解...
用API监控注册表的改变_API的参数可以指定是监控修改(包括删除)还是读操作.rar
03-30
2. 准备一个事件句柄,这个句柄将在注册表变化时被信号化。可以使用`CreateEvent`函数创建。 3. 调用`RegNotifyChangeKeyValue`,传入已打开的键句柄、是否监视子键、要监视的事件类型(如仅修改或读取)、事件句柄...
易语言监控注册表源码-易语言
06-13
1. **注册表监控机制**:源码可能采用了Windows API中的`RegNotifyChangeKeyValue`函数来实现注册表变化的实时监控。这个函数允许程序监听特定注册表项的变化,如的添加、删除或修改。当有变化发生时,程序接收...
监视注册表项是否发生变化
donglinshengan的专栏
06-17 802
先创建一事件对象:hRegEvent = CreateEvent(NULL, FALSE, FALSE, NULL); 然后指定要监视的项:HKEY  hKey  = NULL; RegOpenKey(HKEY_CURRENT_USER, "Software//skynet", &hKey); if(NULL != m_hRegEvent && NULL != hKey) { 
注册表处理之注册表监控
Huaerge的专栏
05-30 3548
<br /> <br />需求:<br />     监控指定的注册表项包括其子项和键项的变化,当变化发生时根据策略进行处理(添加/删除/修改子项, 添加/删除/修改键)<br />思路:<br />    1)程序启动,存储需要监控注册表项包括其子项和键项的<br />    2)监控注册表,当变化发生时再次去取注册表项包括其子项和键项的,将前后两次进行比较,找出不同,根据用户的策略进行处理<br />       知识点:<br />           监控注册表<br />        
Windows监控指定注册表变化
qq_42548880的博客
05-18 514
更多Windows的相关开发请点击观看我的博客。
C++监控注册表信息
MusicMan
02-28 2012
首先,监控注册表信息的作用在于防止他人篡改数据,因为多数木马程序都是通过修改注册表信息来对电脑进行攻击,在WindowsAPI中,系统提供了RegNotifyChangeKeyValue这个函数方法来实现对注册表相关信息的监控。 RegNotifyChangeKeyValue ( __in HKEY hKey, __in BOOL bWatchSubtree, __i...
用RegNotifyChangeKeyValue函数监视注册表
wxdvc的专栏
12-11 1436
BOOL SaveReg(    TCHAR    *sKey,     BYTE    *pBuffer,    DWORD    dwBufSize,    HKEY    hkey,     TCHAR    *sSubKey,     DWORD    ulType){    HKEY    hSubkey;    DWORD    dwDispos
如何使用RegSnap监视注册表变化
zhimin_zeng的博客
07-25 3954
如何使用RegSnap监视注册表变化操作步骤说明 操作步骤 1、新建快照 新建不同状态下的机器注册表信息 2、保存文件 新建的文件如上,保存下来,保存的文件后缀名为 .rsnp 3、比较文件 4、分析比较结果 可以查看到 删除,修改,新增的键 说明 里面记录的修改信息比较多,可以根据里面的增删改信息,来观察自己所关注的键是否发生了改变。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值