注册表回调整体框架

最新推荐文章于 2022-07-06 15:22:31 发布
最新推荐文章于 2022-07-06 15:22:31 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: 驱动学习 文章标签: 注册表监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51250971
版权

注册表回调整体框架

这个就不多说了,想详细了解的可以自行百度,网上有很多相关内容

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
 	NTSTATUS ntStatus;
	ntStatus = CmRegisterCallback(MyRegistryCallback, NULL,  &pCookie);
	
	return ntStatus;
}
//see demo:
//7eightl-minifilter\Demo\REG-hips






NTSTATUS HOOK_PreNtDeleteKey(PREG_DELETE_KEY_INFORMATION Data)
{
	NTSTATUS status = 0;
	PUNICODE_STRING keyName;
	UNICODE_STRING uTarget;




	return STATUS_SUCCESS;
}


NTSTATUS MyRegistryCallback(__in PVOID CallbackContext,__in_opt PVOID Argument1,            / / REG_NOTIFY_CLASS  __in_opt PVOID Argument2            //  KEY_INFORMATION ){
            switch( (REG_NOTIFY_CLASS) Argument1)
{
         case RegNtPreDeleteKey :
return HOOK_PreNtDeleteKey((PREG_DELETE_KEY_INFORMATION) Argument2);
          case RegNtPreRenameKey:
return HOOK_PreNtRenameKey((PREG_RENAME_KEY_INFORMATION) Argument2);
          case RegNtPreCreateKeyEx:	 // pre 操作
 return HOOK_PreNtCreateKeyEx((PREG_CREATE_KEY_INFORMATION) Argument2);
          case RegNtPostCreateKeyEx :    // post 操作
return HOOK_PostNtCreateKeyEx((PRGG_POST_OPERATION_INFORMATION )}
   }      
}                                                                                                                                  }




main.c
#include "precomp.h"


#define		DEVICE_NAME					L"\\device\\HipsRegDrv"
#define		LINK_NAME					L"\\dosDevices\\HipsRegDrv"




// function to dispatch the IRPs
NTSTATUS DispatchOK(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
   Irp->IoStatus.Status = STATUS_SUCCESS;
   IoCompleteRequest(Irp,IO_NO_INCREMENT);
   return STATUS_SUCCESS;
}


VOID DriverUnload (
    IN PDRIVER_OBJECT	pDriverObject) 
{
	UNICODE_STRING strLink;
	RtlInitUnicodeString(&strLink, LINK_NAME);
	stopRegMon();


	IoDeleteSymbolicLink(&strLink);
	IoDeleteDevice(pDriverObject->DeviceObject);


	DbgPrint(" Unloaded\n"); 
}




NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath)
{
    UNICODE_STRING 	DeviceName;
    UNICODE_STRING 	LinkName;  
    NTSTATUS 		status; 
    PDEVICE_OBJECT 	pDriverDeviceObject;  
	ULONG i;
    
    //DbgPrint("Driver loaded.");
    pDriverObject->DriverUnload = DriverUnload;   
    
    // init strings
    RtlInitUnicodeString(&DeviceName, DEVICE_NAME);
    RtlInitUnicodeString(&LinkName, LINK_NAME);
    
    // to communicate with usermode, we need a device
    status = IoCreateDevice(
           pDriverObject,        // ptr to caller object
           0,  // extension device allocated byte number
           &DeviceName,         // device name 
           FILE_DEVICE_UNKNOWN, 
           0,                   // no special caracteristics
           FALSE,               // we can open many handles in same time
           &pDriverDeviceObject); // [OUT] ptr to the created object
           
    if ( !NT_SUCCESS(status) ) 
       return STATUS_NO_SUCH_DEVICE;
    
	pDriverDeviceObject-> Flags |= DO_BUFFERED_IO;


    // we also need a symbolic link
    status = IoCreateSymbolicLink(&LinkName,&DeviceName);
    if( !NT_SUCCESS(status) ) 
    {
		IoDeleteDevice( pDriverDeviceObject );
        return STATUS_NO_SUCH_DEVICE;
    }  


    for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
		pDriverObject->MajorFunction[i] = DispatchOK; 
    


    startRegMon(pDriverObject);
    //Do other things...   
    
    return STATUS_SUCCESS;
}


precomp.h
#ifndef _PRECOMP_H_
#define _PRECOMP_H_
#include <ntifs.h>
#include <ntddk.h>
#include <windef.h>
#include "regmon.h"
#endif


regmon.c
#include "precomp.h"


GENERIC_MAPPING g_KeyMapping = {KEY_READ, KEY_WRITE, KEY_EXECUTE, KEY_ALL_ACCESS};
static WCHAR g_wszAltitude[] = L"370020";


PGENERIC_MAPPING IoGetKeyGenericMapping( )
{
	return &g_KeyMapping;
}


BOOL MyObQueryObjectName(HANDLE hObjHandle, PUNICODE_STRING ustrObjectName, BOOL bNeedAllocateName)
{
	PVOID			pQueryBuffer		= NULL;
	DWORD			dwReqSize			= 0;
	NTSTATUS		ntStatus			= 0;
	__try
	{
		dwReqSize = sizeof(OBJECT_NAME_INFORMATION) + (MAX_PATH + 32)*sizeof(WCHAR);
		
		pQueryBuffer = ExAllocatePoolWithTag(PagedPool, dwReqSize, 'RFLM');
		
		if(pQueryBuffer == NULL)
			return FALSE;
		
		ntStatus = ZwQueryObject(hObjHandle, 
			ObjectNameInfo,
			pQueryBuffer,
			dwReqSize,
			&dwReqSize);
		
		if((ntStatus == STATUS_INFO_LENGTH_MISMATCH) ||
			(ntStatus == STATUS_BUFFER_OVERFLOW) ||
			(ntStatus == STATUS_BUFFER_TOO_SMALL))
		{
			ExFreePool(pQueryBuffer);
			pQueryBuffer = NULL;
			
			pQueryBuffer = ExAllocatePoolWithTag(PagedPool, dwReqSize, 'RFLM');
			
			if(pQueryBuffer == NULL)
			{
				return FALSE;
			}
			
			ntStatus = ZwQueryObject(hObjHandle, 
				ObjectNameInfo,
				pQueryBuffer,
				dwReqSize,
				&dwReqSize);
			
		}
		
		if(NT_SUCCESS(ntStatus))
		{ 
			OBJECT_NAME_INFORMATION * pNameInfo = (OBJECT_NAME_INFORMATION *)pQueryBuffer;
			
			if(bNeedAllocateName)
			{
				ustrObjectName->Buffer = ExAllocatePoolWithTag(PagedPool, pNameInfo->Name.Length + sizeof(WCHAR), 'RFLM');
				
				if(ustrObjectName->Buffer)
				{
					RtlZeroMemory(ustrObjectName->Buffer, pNameInfo->Name.Length + sizeof(WCHAR));
					ustrObjectName->Length = 0;
					ustrObjectName->MaximumLength = pNameInfo->Name.Length;
					RtlCopyUnicodeString(ustrObjectName, &pNameInfo->Name);
				}
				else
					ntStatus = STATUS_INSUFFICIENT_RESOURCES;
				
			}
			else
				RtlCopyUnicodeString(ustrObjectName, &pNameInfo->Name);
		}
	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{
		ntStatus = GetExceptionCode();
	}
	
	if(pQueryBuffer)
	{
		ExFreePool(pQueryBuffer);
		pQueryBuffer = NULL;
	}
	
	return NT_SUCCESS(ntStatus);
}




LARGE_INTEGER g_RegCookie;


#if (NTDDI_VERSION >= NTDDI_VISTA)
NTSTATUS TlGetObjectNameOnVistaAndLater(PVOID Object, PUNICODE_STRING Name)
{
	PUNICODE_STRING			pKeyName = NULL;
	NTSTATUS				ntStatus = 0;


	if(Object == NULL || Name == NULL)
		return STATUS_INVALID_PARAMETER;


	ntStatus = CmCallbackGetKeyObjectID(&g_RegCookie,
									  Object,
									  NULL,
									 &pKeyName);


	if(NT_SUCCESS(ntStatus) == FALSE)
	{
		return ntStatus;
	}


	Name->Buffer = ( PWCHAR )ExAllocatePoolWithTag( 
							PagedPool, 
							pKeyName->Length,
							'RFLM'
							);


	if(Name->Buffer == NULL)
	{
		return STATUS_INSUFFICIENT_RESOURCES;
	}


	RtlZeroMemory(Name->Buffer, pKeyName->Length);


	Name->Length = 0;
	Name->MaximumLength = pKeyName->Length;


	RtlCopyUnicodeString(Name, pKeyName);
	return STATUS_SUCCESS;
}
#endif


NTSTATUS TlGetObjectNameOnXP(PVOID Object, PUNICODE_STRING Name)
{
	UNICODE_STRING				ustrKeyName				= {0};
	HANDLE						ObjectHandle			= NULL;
	NTSTATUS					ntStatus				= 0;


	if(Object == NULL || Name == NULL)
		return STATUS_INVALID_PARAMETER;


	ntStatus = ObOpenObjectByPointer(Object,
							  OBJ_KERNEL_HANDLE ,
							  0,
							  0,
							  NULL,
							  KernelMode,
							  &ObjectHandle);


	if(NT_SUCCESS(ntStatus) == FALSE)
	{
		return ntStatus;
	}


	if(MyObQueryObjectName(ObjectHandle, &ustrKeyName, TRUE) == FALSE)
	{
		ZwClose(ObjectHandle);
		return STATUS_INSUFFICIENT_RESOURCES;
	}
	
	ZwClose(ObjectHandle);


	Name->Buffer = ( PWCHAR )ExAllocatePoolWithTag( 
							PagedPool, 
							ustrKeyName.Length,
							'RFLM'
							);


	if(Name->Buffer == NULL)
	{
		return STATUS_INSUFFICIENT_RESOURCES;
	}


	RtlZeroMemory(Name->Buffer, ustrKeyName.Length);


	Name->Length = 0;
	Name->MaximumLength = ustrKeyName.Length;


	RtlCopyUnicodeString(Name, &ustrKeyName);
	ExFreePool(ustrKeyName.Buffer);


	return STATUS_SUCCESS;
}


NTSTATUS TlGetObjectFullName(PVOID Object, PUNICODE_STRING Name)
{
#if (NTDDI_VERSION >= NTDDI_LONGHORN)
	return TlGetObjectNameOnVistaAndLater(Object, Name);
#else
	return TlGetObjectNameOnXP(Object, Name);
#endif
}




NTSTATUS MyDeleteKey(PREG_DELETE_KEY_INFORMATION Data)
{
	NTSTATUS			ntStatus		= 0;
	UNICODE_STRING		ustrKeyName		= {0};


	__try
	{


		if((ExGetPreviousMode() == KernelMode))
		{
			return STATUS_SUCCESS;
		}


		if(NT_SUCCESS(TlGetObjectFullName(Data->Object, &ustrKeyName)) == FALSE)
		{
			return STATUS_SUCCESS;
		}
		DbgPrint("DeleteKey Key:%wZ\n", &ustrKeyName);


		ExFreePool(ustrKeyName.Buffer);


	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{
	}


	return STATUS_SUCCESS;
}


NTSTATUS MySetValueKey(PREG_SET_VALUE_KEY_INFORMATION Data)
{
	NTSTATUS				ntStatus				= 0;
	UNICODE_STRING			ustrKeyName				= {0};
	UNICODE_STRING			ustrTarget				= {0};
	WCHAR					wszKeyPath[MAX_PATH]	= {0};


	__try
	{
		
		if((ExGetPreviousMode() == KernelMode))
		{
			return STATUS_SUCCESS;
		}


		if(NT_SUCCESS(TlGetObjectFullName(Data->Object, &ustrKeyName)) == FALSE)
		{


			return STATUS_SUCCESS;
		}


		ustrTarget.Buffer = wszKeyPath;
		ustrTarget.MaximumLength = MAX_PATH * sizeof(WCHAR);
		
		RtlCopyUnicodeString(&ustrTarget, &ustrKeyName);




		ExFreePool(ustrKeyName.Buffer);


		if (ustrTarget.Buffer[ustrTarget.Length/sizeof(WCHAR) - 1] != L'\\' )
			RtlAppendUnicodeToString(&ustrTarget, L"\\");


		RtlAppendUnicodeStringToString(&ustrTarget, Data->ValueName);
		DbgPrint("SetValueKey Key:%wZ\n", &ustrTarget);


	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{


	}


	return STATUS_SUCCESS;
}


NTSTATUS MyDeleteValueKey(PREG_DELETE_VALUE_KEY_INFORMATION Data)
{
	NTSTATUS				ntStatus				= 0;
	UNICODE_STRING			ustrKeyName				= {0};
	UNICODE_STRING			ustrTarget				= {0};
	WCHAR					wszKeyPath[MAX_PATH]	= {0};




	__try
	{


		if((ExGetPreviousMode() == KernelMode))
		{
			return STATUS_SUCCESS;
		}


		if(NT_SUCCESS(TlGetObjectFullName(Data->Object, &ustrKeyName)) == FALSE)
		{
			return STATUS_SUCCESS;
		}


		ustrTarget.Buffer = wszKeyPath;
		ustrTarget.MaximumLength = MAX_PATH * sizeof(WCHAR);
		
		RtlCopyUnicodeString(&ustrTarget, &ustrKeyName);


		ExFreePool(ustrKeyName.Buffer);


		if (ustrTarget.Buffer[ustrTarget.Length/sizeof(WCHAR) - 1]!=L'\\' )
			RtlAppendUnicodeToString(&ustrTarget, L"\\");


		RtlAppendUnicodeStringToString(&ustrTarget, Data->ValueName);
		DbgPrint("DeleteValueKey Key:%wZ\n", &ustrTarget);


	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{


	}


	return STATUS_SUCCESS;
}


NTSTATUS MyRenameKey(PREG_RENAME_KEY_INFORMATION Data)
{
	NTSTATUS				ntStatus	= 0;
	UNICODE_STRING			ustrKeyName = {0};
	
	__try
	{
		if((ExGetPreviousMode() == KernelMode))
		{
			return STATUS_SUCCESS;
		}


		if(NT_SUCCESS(TlGetObjectFullName(Data->Object, &ustrKeyName)) == FALSE)
		{
			return STATUS_SUCCESS;
		}


		DbgPrint("RenameKey Key:%wZ\n", &ustrKeyName);


		ExFreePool(ustrKeyName.Buffer);




	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{


	}


	return STATUS_SUCCESS;
}


NTSTATUS MyCreateKey(PREG_PRE_CREATE_KEY_INFORMATION Data)
{
	NTSTATUS			ntStatus				= 0;
	UNICODE_STRING		ustrTarget				= {0};
	WCHAR				wszKeyName[MAX_PATH]	= {0};


	__try
	{
		if((ExGetPreviousMode() == KernelMode))
		{
			return STATUS_SUCCESS;
		}
		
		ustrTarget.Buffer = wszKeyName;
		ustrTarget.MaximumLength = MAX_PATH * sizeof(WCHAR);
		
		RtlCopyUnicodeString(&ustrTarget, Data->CompleteName);
		DbgPrint("CreateKey Key:%wZ\n", &ustrTarget);
	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{
	}


	return STATUS_SUCCESS;
}


NTSTATUS MyCreateKeyEx(PREG_CREATE_KEY_INFORMATION Data)
{
	NTSTATUS			ntStatus	= 0;
	UNICODE_STRING		ustrKeyName	= {0};
	UNICODE_STRING		ustrTarget	= {0};


	__try
	{
		if((ExGetPreviousMode() == KernelMode))
		{


			return STATUS_SUCCESS;
		}


		if(NT_SUCCESS(TlGetObjectFullName(Data->RootObject, &ustrKeyName)) == FALSE)
		{


			return STATUS_SUCCESS;
		}


		ustrTarget.MaximumLength = MAX_PATH * sizeof(WCHAR);
		
		RtlCopyUnicodeString(&ustrTarget, &ustrKeyName);


		ExFreePool(ustrKeyName.Buffer);
		
		if(Data->CompleteName)
		{
			RtlAppendUnicodeToString(&ustrTarget, L"\\");
			RtlAppendUnicodeStringToString(&ustrTarget, Data->CompleteName);
		}


		DbgPrint("CreateKeyEx :%wZ\n", ustrTarget);


	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{


	}


	return STATUS_SUCCESS;
}




NTSTATUS MyRegCallback
(
	PVOID CallbackContext, 
	PVOID Argument1, 
	PVOID Argument2
)
{
	switch( (REG_NOTIFY_CLASS) Argument1)
	{
	case RegNtPreDeleteKey :
		return MyDeleteKey((PREG_DELETE_KEY_INFORMATION) Argument2);
	case RegNtPreSetValueKey:
		return MySetValueKey((PREG_SET_VALUE_KEY_INFORMATION) Argument2);
	case RegNtPreDeleteValueKey:
		return MyDeleteValueKey((PREG_DELETE_VALUE_KEY_INFORMATION) Argument2);
	case RegNtPreRenameKey:
		return MyRenameKey((PREG_RENAME_KEY_INFORMATION) Argument2);
	case RegNtPreCreateKey:
		return MyCreateKey((PREG_PRE_CREATE_KEY_INFORMATION) Argument2);	
	case RegNtPreCreateKeyEx:
		return MyCreateKeyEx((PREG_CREATE_KEY_INFORMATION) Argument2);


	}


	return STATUS_SUCCESS;
}


NTSTATUS startRegMon(PDRIVER_OBJECT driverObject)
{
#if (NTDDI_VERSION >= NTDDI_VISTA)
	UNICODE_STRING uAltitude;


	RtlInitUnicodeString(&uAltitude, g_wszAltitude);
	return CmRegisterCallbackEx(MyRegCallback,
						  &uAltitude,
						  driverObject,
						  NULL,
						  &g_RegCookie,
						  NULL);	
#else
	return CmRegisterCallback(MyRegCallback,
							  NULL,
							 &g_RegCookie);


#endif
						  
}


VOID stopRegMon( )
{
	CmUnRegisterCallback(g_RegCookie);
}






regmon.c
#ifndef __REGMON_H__
#define __REGMON_H__


typedef enum _OBJECT_INFO_CLASS {
    ObjectBasicInfo,
		ObjectNameInfo,
		ObjectTypeInfo,
		ObjectAllTypesInfo,
		ObjectProtectionInfo
} OBJECT_INFO_CLASS;




PGENERIC_MAPPING IoGetKeyGenericMapping( );


NTSTATUS 
MyRegCallback
(
	PVOID CallbackContext, 
	PVOID Argument1, 
	PVOID Argument2
);




NTSTATUS startRegMon(PDRIVER_OBJECT driverObject);
VOID stopRegMon( );




#endif







可以参考TA的教程
zhuhuibeishadiao
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows 驱动开发基础(三) 注册表回调
pureman_mega的博客
02-19 951
参考工程路径:C:\WinDDK\7600.16385.1\src\general\registry\regfltr 关于 Transaction (事务),Enlistment(登记)对象的介绍https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/handling-rollback-operations 1.注册表回调使用 // // Register the callback // 函数原型 ...
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4560
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
注册表回调笔记
kernweak的博客
06-05 765
NTSTATUS CmRegisterCallbackEx( PEX_CALLBACK_FUNCTION Function,//回调函数 PCUNICODE_STRING Altitude,//高度 PVOID Driver, PVOID Context, PLARGE_INTEGER C...
x64回调监控注册表
kernweak的博客
07-18 811
x86下可以使用hook技术,x64下使用回调监控。 主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle); 原型 NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1603
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
注册表过滤驱动
05-28
回调函数可以检查、修改或阻止注册表操作,从而实现对注册表访问的精细控制。回调函数的类型可能包括RegCreateKey、RegOpenKey、RegSetValue等,对应不同的注册表操作。 注册表监控则是注册表过滤驱动的另一个重要...
zf框架的registry(注册表)使用示例
10-26
主要介绍了zf框架的registry(注册表)使用示例,提供对象方式使用与set、get方法使用示例,需要的朋友可以参考下
C语言模块回调Lua函数的两种方法
09-22
在C语言中编写模块以与Lua脚本进行交互时,有时需要从C代码中回调Lua函数。本文将详细介绍两种在C模块中回调Lua函数的方法:C保存函数对象和C访问Lua全局环境。 1. C保存函数对象 这种方法的核心是利用Lua的注册表...
内核:系统回调1
08-03
- 注册表类:`CmRegisterCallbackEx` 允许在注册表操作时执行回调。 - 错误检查类:`KeRegisterBugCheckCallback` 可在系统出现严重错误(蓝屏)时调用指定的回调。 - 关闭系统类:`IoRegisterShutdownNotification`...
google浏览器注册表配置
最新发布
11-07
标题中的“google浏览器注册表配置”指的是在Windows操作系统中,通过修改注册表来实现Google浏览器的顺利安装或优化其运行环境。注册表是Windows系统中存储配置信息的关键数据库,包括软件设置、硬件设备配置等。当...
Windows内核驱动API大全.pdf
04-10
Windows内核驱动API大约有两千多个,仅有函数名,没有函数原型
ntoskrnl.exe.c 导出函数 常用2000 个内核函数名
05-14
//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截 取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截 取消模块监控 //PsRestoreImpersonation //PsResumeProcess //PsReturnPoolQuota //PsReturnProcessNonPagedPoolQuota //PsReturnProcessPagedPoolQuota //PsRevertThreadToSelf //PsRevertToSelf //PsSetContextThread //设置线程环境 //PsSetCreateProcessNotifyRoutine //拦截进程 //PsSetCreateProcessNotifyRoutineEx //拦截进程 进程监控 //PsSetCreateThreadNotifyRoutine //线程监控 线程拦截 //PsSetCurrentThreadPrefetching //PsSetJobUIRestrictionsClass //PsSetLegoNotifyRoutine //PsSetLoadImageNotifyRoutine 拦截模块加载 //PsSetProcessPriorityByClass
CmRegisterCallback使用方法
09-28 305
部分代码 #include "my_sys_fun.h"#ifdef __cplusplusextern "C"{#endif //驱动加载函数 NTSTATUS DriverEntry(PDRIVER_OBJECT pPDriverObj, PUNICODE_STRING pPuniStr); //驱动卸载函数 VOID UnLoadDriver(_In_ PDRIVER_O...
windows驱动 - 注册表回调
qq726232111的博客
12-27 935
0x00 函数 CmRegisterCallbackEx() //回调函数绑定 CmUnRegisterCallback() //注销注册表回调 NTSTATUS ExCallbackFunction(PVOID CallbackContext,PVOID Argument1,PVOID Argument2) //注册表回调,具体内容看文档 0x01 代码 #include <ntifs.h> #include <ntddk.h> #include <wdm...
注册表R0监控
zyorz的博客
05-17 638
函数//注册一个可监控注册表操作的函数 CmRegisterCallback(回调函数地址,NULL,&返回的handle);//或CmRegisterCallbackEx,可设置高度NTSTATUS MyRegistryCallback( __in PVOID CallbackContext, __in_opt PVOID Argument1,//标识操作类型 REG_NOTIFY_CLA
Win64 驱动内核编程-32.枚举与删除注册表回调
天使也掉毛
04-04 2501
枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,则用来监控自启动等键值。 注册表回调在XP系统上貌似是一个数组,但是从WIN...
多线程锁详解之【互斥量】
qq492927689的博客
07-06 482
更多的锁介绍可以先看看这篇文章:多线程锁详解之【序章】正文: 互斥量,一个应用起来跟临界区十分相似的锁,但互斥量是可以命名的,可以跨进程使用,而临界区只能在单个进程内使用,效率方面互斥量往往也比临界区要低,这是什么原因导致的呢?让我们先来学习一遍互斥锁的源码,再讨论上面提出的问题。源码: 先来看看互斥锁是如何创建的: 如果你已经看过了事件对象的创建过程,就会发现互斥锁创建的过程是如此的熟悉。这里我们不过多赘述这个函数的流程是做了写什么了,都是一些三板斧动作。主要是讲述一些与其他锁对象不同的地方。首先是函数名
回调注册的基本方法
wangqingxun的专栏
04-04 1960
回调注册的基本方法: 一、提供具有回调方法的类 1、定义一个接口,接口中定义回调的调用方法。 2、定义回调类,在该类中提供接口的注册方法,接口注册时,讲接口实现对象加入回调对象列表,在注册的事件发生后,调用回调对象列表中的回调方法; 二、使用具有回调方法的类 1、实现接口定义的回调方法; 2、调用回调类的注册方法,将回调方法注册进回调对象;
注册回调函数实现方法
高源的博客
04-12 1万+
前言 回调函数(callback):回调函数就是在框架设计之初留下一个还未实现的接口,供后来人去实现(不实现也没事)。也可以理解在别人的函数中“插一脚”,有一种“你的过去我来不及参与,你的未来我奉陪到底”。 看代码的时候是不是总能看到api提供了一个注册函数,这个被封装,你是否好奇他是如何实现的? 话不多说,上代码 回调函数是由函数指针来实现的,在看这个之前先要了解函数指针哦 int (*p[5...
关于驱动隐藏那点事(不触发PG 支持win10)
热门推荐
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值