注册表操作监控x86

最新推荐文章于 2023-11-24 18:43:26 发布
最新推荐文章于 2023-11-24 18:43:26 发布
阅读量738 收藏
点赞数
分类专栏: 驱动学习 文章标签: 注册表监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114371
版权

Hook_ZwSetValueKey 

#include "precomp.h"

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
    unsigned int *ServiceTableBase;
    unsigned int *ServiceCounterTableBase; //Used only in checked build
    unsigned int NumberOfServices;
    unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport)  ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]
#define SDT     SYSTEMSERVICE
#define KSDT KeServiceDescriptorTable

void StartHook(void);
void RemoveHook(void);

NTSTATUS Hook_NtSetValueKey(
    IN HANDLE  KeyHandle,
    IN PUNICODE_STRING  ValueName,
    IN ULONG  TitleIndex  OPTIONAL,
    IN ULONG  Type,
    IN PVOID  Data,
    IN ULONG  DataSize);

typedef NTSTATUS (*ZWSETVALUEKEY)(
    IN HANDLE  KeyHandle,
    IN PUNICODE_STRING  ValueName,
    IN ULONG  TitleIndex  OPTIONAL,
    IN ULONG  Type,
    IN PVOID  Data,
    IN ULONG  DataSize
);

static ZWSETVALUEKEY            OldZwSetValueKey;

NTSTATUS Hook_NtSetValueKey(
	IN HANDLE KeyHandle,
	IN PUNICODE_STRING ValueName,
	IN ULONG TitleIndex OPTIONAL,
	IN ULONG Type,
	IN PVOID Data,
	IN ULONG DataSize
	)
{
	NTSTATUS status = STATUS_SUCCESS;
	BOOL skipOriginal = FALSE;
	UNICODE_STRING CapturedName;
	WCHAR wszPath[MAX_PATH] = {0};
	R3_RESULT CallBackResult = R3Result_Pass;
	
	__try
	{
		UNICODE_STRING keyName;
		UNICODE_STRING uTarget;
		
		RtlZeroMemory(&keyName, sizeof(UNICODE_STRING));
		RtlZeroMemory(&uTarget, sizeof(UNICODE_STRING));
		
		if((ExGetPreviousMode() == KernelMode) || 
			(ValueName == NULL))
		{
			skipOriginal = TRUE;
			status =  OldZwSetValueKey(KeyHandle,
				ValueName,
				TitleIndex,
				Type,
				Data,
				DataSize);
			
			return status;
		}
		
		if(MyProbeKeyHandle(KeyHandle, KEY_SET_VALUE) == FALSE)
		{
			
			skipOriginal = TRUE;
			status =  OldZwSetValueKey(KeyHandle,
				ValueName,
				TitleIndex,
				Type,
				Data,
				DataSize);
			return status;
		}
		
		if(MyObQueryObjectName(KeyHandle, &keyName, TRUE) == FALSE)
		{
			skipOriginal = TRUE;
			status =  OldZwSetValueKey(KeyHandle,
				ValueName,
				TitleIndex,
				Type,
				Data,
				DataSize);
			return status;
		}
		
		
		uTarget.Buffer = wszPath;
		uTarget.MaximumLength = MAX_PATH * sizeof(WCHAR);
		
		RtlCopyUnicodeString(&uTarget, &keyName);
		RtlFreeUnicodeString(&keyName);
		
		if (L'\\' != uTarget.Buffer[uTarget.Length/sizeof(WCHAR) - 1])
			RtlAppendUnicodeToString(&uTarget, L"\\");
		
		CapturedName = ProbeAndReadUnicodeString(ValueName);
		
		ProbeForRead(CapturedName.Buffer,
			CapturedName.Length,
			sizeof(WCHAR));
		
		RtlAppendUnicodeStringToString(&uTarget, &CapturedName);
		DbgPrint("Key:%wZ\n", &uTarget);
		
		
		if (CallBackResult == R3Result_Block)
		{
			return STATUS_ACCESS_DENIED;
		}
		
	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{
		
	}
	
	if(skipOriginal)
		return status;
	
	return OldZwSetValueKey(KeyHandle,
		ValueName,
		TitleIndex,
		Type,
		Data,
		DataSize);
}

NTSTATUS Hook_ZwCreateFile(
						   OUT PHANDLE            FileHandle,
						   IN ACCESS_MASK          DesiredAccess,
						   IN POBJECT_ATTRIBUTES  ObjectAttributes,
						   OUT PIO_STATUS_BLOCK    IoStatusBlock,
						   IN PLARGE_INTEGER      AllocationSize OPTIONAL,
						   IN ULONG                FileAttributes,
						   IN ULONG                ShareAccess,
						   IN ULONG                CreateDisposition,
						   IN ULONG                CreateOptions,
						   IN PVOID                EaBuffer OPTIONAL,
  IN ULONG                EaLength );


#pragma alloc_text(PAGE, Hook_ZwCreateFile)

typedef NTSTATUS (*ZWCREATEFILE)(
								 OUT PHANDLE            FileHandle,
								 IN ACCESS_MASK          DesiredAccess,
								 IN POBJECT_ATTRIBUTES  ObjectAttributes,
								 OUT PIO_STATUS_BLOCK    IoStatusBlock,
								 IN PLARGE_INTEGER      AllocationSize OPTIONAL,
								 IN ULONG                FileAttributes,
								 IN ULONG                ShareAccess,
								 IN ULONG                CreateDisposition,
								 IN ULONG                CreateOptions,
								 IN PVOID                EaBuffer OPTIONAL,
  IN ULONG                EaLength );

static ZWCREATEFILE                OldZwCreateFile;

NTSTATUS Hook_ZwCreateFile(
						   OUT PHANDLE            FileHandle,
						   IN ACCESS_MASK          DesiredAccess,
						   IN POBJECT_ATTRIBUTES  ObjectAttributes,
						   OUT PIO_STATUS_BLOCK    IoStatusBlock,
						   IN PLARGE_INTEGER      AllocationSize OPTIONAL,
						   IN ULONG                FileAttributes,
						   IN ULONG                ShareAccess,
						   IN ULONG                CreateDisposition,
						   IN ULONG                CreateOptions,
						   IN PVOID                EaBuffer OPTIONAL,
						   IN ULONG                EaLength )
{
    NTSTATUS rc;
	
    rc = OldZwCreateFile(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
		AllocationSize,FileAttributes,ShareAccess,CreateDisposition,
		CreateOptions,EaBuffer,EaLength);
	
    return rc;
}




void StartHook (void)
{
    //获取未导出的服务函数索引号
    HANDLE    hFile;
    PCHAR    pDllFile;
    ULONG  ulSize;
    ULONG  ulByteReaded;

    __asm
    {
        push    eax
        mov        eax, CR0
        and        eax, 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }
    

    OldZwSetValueKey                = (ZWSETVALUEKEY) InterlockedExchange((PLONG)
                                                        &SDT(ZwSetValueKey),   
                                                        (LONG)Hook_NtSetValueKey);
    OldZwCreateFile = (ZWCREATEFILE)InterlockedExchange((PLONG)&SDT(ZwCreateFile),
                                                        (LONG)Hook_ZwCreateFile);

    
    //关闭
    __asm
    {
        push    eax
        mov        eax, CR0
        or        eax, NOT 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }
    return ;
}

void RemoveHook (void)
{
    __asm
    {
        push    eax
        mov        eax, CR0
        and        eax, 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }

    InterlockedExchange( (PLONG) &SDT(ZwSetValueKey),  (LONG) OldZwSetValueKey);
    InterlockedExchange( (PLONG) &SDT(ZwCreateFile),  (LONG) OldZwCreateFile);

    __asm
    {
        push    eax
        mov        eax, CR0
        or        eax, NOT 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }
}


zhuhuibeishadiao
关注
专栏目录
易语言HOOK注册表
07-21
易语言HOOK注册表源码,HOOK注册表,GetMsgProc,new_RegSetValueEx,HOOKAPI,ReadApi,api_CallNextHookEx,取程序或DLL句柄,取DLL函数地址,返回虚拟信息,修改虚拟保护,写内存字节,取当前进程伪句柄,api_RegSetValueEx,RegSetValueEx
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4571
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
反病毒工具之注册表监视器
chenhui530的专栏
01-31 1万+
本程序实现了ring3下的注册表监管工作.由VB+VC实现.功能和瑞星的注册表监视非常类似,如下图:目前只监视了启动项.VC DLL下载地址是:http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/RegistryInfo.bmp代码先公布VB部分源码,等整理后再给出VC部分的源码:frmRegMonitor.frmV
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 7280
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
驱动开发:内核监控Register注册表回调
热门推荐
CSDN
10-27 1万+
中实现了对注册表的枚举,本章将实现对注册表监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控注册表监视通常会通过。其中对于注册表最常用的监控项为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
mhook进程注册表保护
03-27
mhook库是这个方案的核心,它提供了一个强大的功能,即在x86和x64架构的系统上设置函数钩子。函数钩子是编程中的一种技术,允许开发者在特定函数被调用前后插入自定义的行为,从而监控或改变函数执行的效果。 在...
Windows x86/ x64 Ring3层注入Dll总结
09-30
【Windows x86/x64 Ring3层注入Dll总结】 在Windows操作系统中,Ring3层指的是用户模式,这是应用程序运行的层次。Dll注入是一种技术,它允许一个进程将自己的代码(通常是一个动态链接库,Dll)注入到另一个进程中...
DoubleAgent_x86
04-06
4. **持久化**:为了确保即使在系统重启后仍能运行,DoubleAgent_x86修改注册表键值,将自身添加到启动项中,或者利用Windows服务实现持久化。 5. **逃避检测**:DoubleAgent_x86可能会使用反沙盒技术,避免在...
Windbg_6.12.2.633_x86_x64
09-02
4. **注册表和内核对象检查**:实时监控系统注册表和内核对象,分析系统状态。 5. **符号解析**:通过符号服务器获取代码的符号信息,如变量名和函数名,提高调试效率。 6. **崩溃转储分析**:处理.dmp文件,分析...
sqlyog-x86.zip
09-24
安装完成后,运行"SQLyog-11.2.7-0.x86.reg"文件进行注册,将必要的注册信息导入到系统注册表,激活软件的完整功能。 三、SQLyog在数据库管理中的应用 1. 数据库设计:SQLyog提供数据库建模工具,可以创建、修改和...
注册表监视器
06-10
注册表监视器 含注册文件。
ProcessMonitor文件以及注册表监视器的使用
yousss的博客
12-11 6191
近期有个关于离线安装软件修改windows注册表的工作,基于这个工作,首先要搞明白在线安装软件时,windows注册表都做了哪些修改以支持软件的安装运行,这里我选择了ProcessMonitor来进行监视。        简介:Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的...
如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应值?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-02 3901
Win11 专业版HP480G7。
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1614
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
内核模式的注册表操作(Windows 驱动开发详解)
qq_41071646的博客
01-09 1887
首先说一下 应用层的注册表操作 主要也就是 遍历 增删改查 之类 的 然后 RegOpenKeyEx  函数  这个可以  打开 其中 RegCreateKeyEx 可以创造 也可以打开  然后 RegSetVableEx 函数 在注册表下设置指定值的数据和类型    其中如果想实现 某个程序开机自启动的话 其实也很简单   只不过在windows10 或者有些win7 要权限的  BO...
注册表监视的4种方式
yupei881027的专栏
06-08 9441
注册表监视,总结说来,可行的方法有以下四种,有其他做法,欢迎指出: 1.使用RegNotifyChangeKeyValue 这个函数可以监视注册表某一项及其子项的变化(包括添加、删除、修改等)。 此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。 优点:平台兼容性好,98以后的系统基本都适用,与RegS
7.5 Windows驱动开发:监控Register注册表回调
最新发布
CSDN
11-24 1万+
在笔者前一篇文章`《内核枚举Registry注册表回调》`中实现了对注册表的枚举,本章将实现对注册表监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控注册表监视通常会通过`CmRegisterCallback`创建监控事件并传入自己的回调函数,与该创建对应的是`CmUnRegisterCallback`当注册表监控结束后可用于注销回调。
使用windows钩子(HOOK)实现DLL注入
new9232的博客
08-21 6861
本文章介绍如何使用HOOK技术实现DLL注入。通过一个测试程序,记录你的任何键盘输入信息,见识到HOOK技术的强大之处。
C#实现注册表读写操作
"C#注册表操作相关代码示例" 在C#编程中,对注册表进行操作是一项常见的任务,这通常涉及到读取、写入、创建或删除注册表键值。以下是一个C#类`GF_RegReadWrite`,该类包含了几个方法来执行这些操作。这些方法都是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值