注册表R0监控

最新推荐文章于 2023-09-01 00:12:11 发布
最新推荐文章于 2023-09-01 00:12:11 发布
阅读量638 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyorz/article/details/72420893
版权
本文深入探讨了Windows系统中注册表R0级别的监控技术,详细讲解了如何实现对注册表关键操作的实时捕获和分析,包括监控函数的使用、事件触发机制以及在系统安全和性能优化中的应用。
摘要由CSDN通过智能技术生成

函数

//注册一个可监控注册表操作的函数
CmRegisterCallback(回调函数地址,NULL,&返回的handle);//或CmRegisterCallbackEx,可设置高度



NTSTATUS MyRegistryCallback(
__in PVOID CallbackContext,
__in_opt PVOID Argument1,//标识操作类型
REG_NOTIFY_CLASS  __in_opt PVOID Argument2//操作的数据
){
    switch( (REG_NOTIFY_CLASS) Argument1)
    {
        case RegNtPreDeleteKey :
            return HOOK_PreNtDeleteKey((PREG_DELETE_KEY_INFORMATION) Argument2);
        case RegNtPreRenameKey:
            return HOOK_PreNtRenameKey((PREG_RENAME_KEY_INFORMATION) Argument2);
        case RegNtPreCreateKeyEx
最低0.47元/天 解锁文章
zyorz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入注册表监控
hongduilanjun的博客
11-01 1358
注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用,这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗。
一段注册表监控驱动代码
bachazei1614的博客
02-02 518
#define SUBVERSION_MASK 0x000000FF//// macros to extract various version fields from the NTDDI version//#define OSVER(Version) ((Version) &OSVERSION_MASK)#define SPVER(Version) (((Version...
监控注册表
qq_41071646的博客
01-16 848
也是经过微软的函数 然后直接调用的  设置回调即可~~~~~~~~~~~~~ #include <ntddk.h> #include <ntimage.h> #include <windef.h> #include <stdlib.h> #include <ntimage.h> #define REGISTRY_POOL_TAG 'p...
windows系统中核心态R0和用户态R3之间的通信
qq_33526144的博客
12-12 4228
权限级别 系统核心态指的是R0,用户态指的是R3,系统代码在核心态下运行,用户代码在用户态下运行。系统中一共有四个权限级别,R1和R2运行设备驱动,R0到R3权限依次降低,R0和R3的权限分别为最高和最低。从windows体系结构图可以看出在用户态可以调用的函数接口都在ntdll.dll中, ...
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4560
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
注册表获取网卡物理地址
05-29
使用编程语言如Python、C#或VBScript,通过遍历注册表键值并读取`NetworkAddress`,可以批量获取所有网卡的物理地址。 总的来说,通过注册表获取网卡物理地址是一个可靠的方法,但需要对注册表有一定的了解,同时...
进程监控实现代码[vbs+bat]
09-05
### 进程监控实现代码详解:vbs+bat #### 一、背景介绍 进程监控是一种常见的系统...综上所述,这份进程监控脚本通过结合bat和vbs两种语言的特点,实现了基本的进程监控功能,对于初学者来说是一份不错的学习资料。
流氓软件天珣卸载方案之修改注册表.docx
最新发布
03-29
- 打开“运行”对话框(Win + R),输入`regedit`并按回车键打开注册表编辑器。 - 导航到`HKEY_LOCAL_MACHINE`或`HKEY_CURRENT_USER`(具体取决于要修改的键的位置),然后右键点击对应的项选择“导出”,保存为一...
安装Pubwin 支持WIN7 的 注册表内容
11-25
这可以通过在“运行”对话框(按`Win+R`键打开)中输入`regedit`打开注册表编辑器,然后选择“文件”>“导出”来完成。这样,如果出现问题,你可以恢复到备份状态。 2. **导入注册表文件**:压缩包中包含的`安装...
nvidia显卡修改注册表超频
12-25
2. **打开注册表编辑器**:通过按下Win + R键,输入"regedit"并按回车,打开注册表编辑器。 3. **定位Coolbits值**:在注册表编辑器中,依次展开"HKEY_LOCAL_MACHINE > SOFTWARE > NVIDIA Corporation > Global > ...
ntoskrnl.exe.c 导出函数 常用2000 个内核函数名
05-14
//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截 取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截 取消模块监控 //PsRestoreImpersonation //PsResumeProcess //PsReturnPoolQuota //PsReturnProcessNonPagedPoolQuota //PsReturnProcessPagedPoolQuota //PsRevertThreadToSelf //PsRevertToSelf //PsSetContextThread //设置线程环境 //PsSetCreateProcessNotifyRoutine //拦截进程 //PsSetCreateProcessNotifyRoutineEx //拦截进程 进程监控 //PsSetCreateThreadNotifyRoutine //线程监控 线程拦截 //PsSetCurrentThreadPrefetching //PsSetJobUIRestrictionsClass //PsSetLegoNotifyRoutine //PsSetLoadImageNotifyRoutine 拦截模块加载 //PsSetProcessPriorityByClass
x64回调监控注册表
kernweak的博客
07-18 811
x86下可以使用hook技术,x64下使用回调监控。 主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle); 原型 NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...
利用CmRegisterCallback函数在Windows下保护注册表
diveintokernel的专栏
03-31 4331
<br />一般在Windows下保护注册表有以下几种方法:<br /> <br />1. Ring3 hook <br /> 实现简单。可利用微软的Detour库,第三方的mhook库,或者自己实现。<br /> 但是如果是做产品的话不得不考虑兼容性的问题,纵使周知,大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身<br /> 的注册表项和键值,基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。<br />2. Ring0 hook<br /> 原理和Ring3 hook基本上
注册表回调笔记
kernweak的博客
06-05 765
NTSTATUS CmRegisterCallbackEx( PEX_CALLBACK_FUNCTION Function,//回调函数 PCUNICODE_STRING Altitude,//高度 PVOID Driver, PVOID Context, PLARGE_INTEGER C...
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1603
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
内核回调函数
maomao171314的专栏
07-05 771
Kernel Callback Functions
Windows下CmRegisterCallback简单分析
操作系统内核与逆向工程
07-23 847
IDA看一下 进入Internal函数 signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie) { __int64 _Context; // rsi __int6...
Windows内核沙盒原理详解
tianxilink的博客
09-01 573
沙盒​ 在计算机领域指一种虚拟技术,它实际上是一种安全体系,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。本文主要探讨沙盒的内核实现原理
注册表回调整体框架
zhuhuibeishadiao
04-26 1984
注册表回调整体框架 这个就不多说了,想详细了解的可以自行百度,网上有很多相关内容 NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS ntStatus; ntStatus = CmRegisterCallback(MyRegistryCallbac
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值