2.1w+
社区成员
关于驱动HOOK注册表操作函数保护注册表的问题
各位朋友,我目前有一个项目中要保护注册表不被删除,我写了个修改SSDT表的HOOK驱动,HOOK掉了注册表操作的NtOpenKey
NtDeleteKey NtDeleteKeyValue NtEnumKey。。。等函数。安装驱动后,通过注册表编辑器,一般的注册表删除工具都不能删除,但是就是不能绕过360的注册表删除。我做了个实验,360的开启启动项管理里面可以删除我要保护的开机启动项注册表。后来我打印了Dbgprintf信息,发现用360的删除,根本就没有走到我的HOOK函数里面。而其他都会走到我的HOOK函数中去。
我在网上查找到资料,说是360的注册表保护驱动不是用的一般的SSDT表HOOK,而是通过挂载KiFastCallEntry 来达到效果的。谁有挂载了KiFastCallEntry的HOOK驱动例子,麻烦给我发一个研究研究,我的邮箱27202869@qq.com,谢谢大家了。然后谁知道360开机启动项删除是用的那个注册表函数,用的什么机制导致不进入我的HOOK函数的吗?(另外一点,360的开机启动项管理中,删除注册表时不会进入我的HOOK函数,但是在写入注册表时却能进入我的HOOK函数)郁闷中。希望各位帮忙。
NtDeleteKey NtDeleteKeyValue NtEnumKey。。。等函数。安装驱动后,通过注册表编辑器,一般的注册表删除工具都不能删除,但是就是不能绕过360的注册表删除。我做了个实验,360的开启启动项管理里面可以删除我要保护的开机启动项注册表。后来我打印了Dbgprintf信息,发现用360的删除,根本就没有走到我的HOOK函数里面。而其他都会走到我的HOOK函数中去。
我在网上查找到资料,说是360的注册表保护驱动不是用的一般的SSDT表HOOK,而是通过挂载KiFastCallEntry 来达到效果的。谁有挂载了KiFastCallEntry的HOOK驱动例子,麻烦给我发一个研究研究,我的邮箱27202869@qq.com,谢谢大家了。然后谁知道360开机启动项删除是用的那个注册表函数,用的什么机制导致不进入我的HOOK函数的吗?(另外一点,360的开机启动项管理中,删除注册表时不会进入我的HOOK函数,但是在写入注册表时却能进入我的HOOK函数)郁闷中。希望各位帮忙。
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
易语言HOOK注册表源码 易语言HOOK注册表源码,HOOK注册表,GetMsgProc,new_RegSetValueEx,HOOKAPI,ReadApi,api_CallNextHookEx,取程序或DLL句柄,取DLL函数地址,返回虚拟信息,修改虚拟保护,写内存字节,取当前进程伪句柄,api_RegSetValueEx,...
用HOOK来修改API函数的功能(1)-注册表 其实微软出了提供API函数意外还提供了另外的一套函数,不过这些函数会随着操作系统的不同有细微的改变。由于这些函数是如此的“不稳定”,所以微软并没有将它们文档化。我们称之为“未文档化函...
Win64 驱动内核编程-15.回调监控注册表 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 NT5 系统没有的函数。下面我就来介绍一种完胜 SSDT HOOK 监控注册表的方法,效果跟 SSDT HOOK 一样好。这个方法就是...
Windows内核驱动Hook入门 文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本...
一种注册表沙箱的思路、实现——Hook Nt函数 Nt函数是在Ring3层最底层的函数了,选择此类函数进行Hook,是为了提高绕过门槛。我的Hook方案使用的是微软的Detours。(转载请指明出处) Detours的Hook和反Hook的写入如下:DetourTransactionBegin(); ...
注册表函数Hook失败 最近在做一个功能的时候,发现无往不利的Detours在Hook几个注册表函数的时候,竟然失败了,但又不是完全地失败。 具体表现是,在程序最开始处Hook上RegQueryValueExW,在整个程序运行的过程中,只有一部分...
API HOOK之注册表简单监控 一、HOOK DLL的编写: #include #include #include //========================================================================================== HINSTANCE glhInstance=NULL; //DLL实例句柄 BYTE g_...
Hook内核函数ZwSetValueKey 给初学驱动的人的一个简单例子,Hook掉内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候附加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
Win64 驱动内核编程-32.枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有...
钩子(HOOK)函数教程 http://blog.sina.com.cn/s/articlelist_1585708262_3_1.html钩子(HOOK)函数教程(一)我们可以首先从字面上了解钩子,钩子是干什么的呢?日常生活中,我们的钩子是用来钩住某种东西的,比如,说,鱼钩是用来钓鱼的...
ObjectType HOOK干涉注册表操作 //检查是不是要保护的注册表键 returnSTATUS_OBJECT_NAME_NOT_FOUND; } __asm { pusheax pushObject pushSecurityQos pushParseContext pushRemainingName pushObjectName pushAttributes ...
【转】关于SSDT HOOK取消内存写保护的问题 原帖关于SSDT HOOK取消内存写保护的问题 有些人说不去掉也不会蓝屏,照样能HOOK成功确实,我当时也是这样过。。。不过拿给别人机器一测试就蓝了网上找到了MJ给出的答案:当使用大页面映射内核文件时,代码段和数据...
Hook Com接口函数 标 题: 【原创】COM接口函数通用Hook方法 作 者: zhangluduo 时 间: 2014-12-08,22:34:20 链 接: http://bbs.pediy.com/showthread.php?t=195371 本文是我的本科学位论文, 今发表在此, 以示原创之据 ...
windows DLL注入之注册表注入 windows下的注入之注册表注入: 1.概念介绍: 注入与Hook:注入与hook经常被人们混淆,其实注入和hook是两种windows下的编程技术(当然,其他平台也有相关的技术),由于在安全编程中,两项技术经常被同时结合起来使用...
HOOK钩子 - 钩子函数说明 通过SetWindowsHookEx方法安装钩子,该函数指定处理拦截消息的钩子函数(回调函数),可在钩子函数中自定义消息的处理,可修改消息或屏蔽消息。钩子函数的格式是固定为: LRESULT CALLBACK CallBackProc( Int ...
