利用CmRegisterCallback函数在Windows下保护注册表项

最新推荐文章于 2025-07-05 09:06:47 发布

原创最新推荐文章于 2025-07-05 09:06:47 发布 · 4.8k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#windows #hook #微软 #产品 #xp

本文介绍了在Windows系统中保护注册表的三种主要方法：Ring3hook、Ring0hook及使用CmRegisterCallback或CmRegisterCallbackEx注册回调函数。重点推荐了最后一种方法，因为它既适用于XP及后续版本的操作系统，又支持32位和64位环境。

一般在Ｗindows下保护注册表有以下几种方法：

1. Ring3 hook

　实现简单。可利用微软的Detour库，第三方的mhook库，或者自己实现。

　但是如果是做产品的话不得不考虑兼容性的问题，纵使周知，大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身

　的注册表项和键值，基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。

2. Ring0 hook

　原理和Ring3 hook基本上一致，但是因为实现在内核层，不用插入动态链接库到每一个进程中，所以一般的安全类软件都不会

　提示用户。但是从VISTA64位开始，微软在64位系统的内核中加入了PatchGuard机制，来保护系统关键代码和位置不被修改

　和破坏。而需要hook的SSDT表就在PatchGuard的保护之下，虽然已经有办法绕过PatchGuard, 但是考虑到兼容性问题，

　不建议采用这种办法。

　有关绕过patchguard的文章，可参考

　http://www.codeproject.com/KB/vista-security/bypassing-patchguard.aspx

3. 利用CmRegisterCallback或者CmRegisterCallbackEx注册回调函数，推荐使用这种方法。支持XP以后的系统，同时支持

32位和64位。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

存储灾备AI

关注关注

3
点赞
踩
1

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

注册表安全防护工具

npu_nazi的博客

03-20

563

本次实验主要通过编程实现注册表子键的创建、删除，以及子键键值查询和修改功能，加深对注册表的理解。同时了解注册表在微软系统安全方面的作用，深入分析注册表部分关键键值的功能（如系统启动项，文件关联等注册表键值）。深刻理解在注册表安全防护方面的实现原理后，设计注册表安全防护工具。

深入注册表监控

hongduilanjun的博客

11-01

1588

注册表是windows的重要数据库，存放了很多重要的信息以及一些应用的设置，对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了这个回调函数来实时监控注册表的操作，那么既然这里微软提供了这么一个方便的接口，病毒木马自然也会利用，这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗。

3 条评论您还未登录，请先登录后发表或查看评论

3 条评论

存储灾备AI 2011.04.07
看WD文档。　修改返回的内容，只有ＶＩＳＴＡ及以后才支持 Modifying output parameters is supported in Windows Vista and later.

hellogirl111 2011.04.04
是否支持xp系统呢，我发现在xp下能注册回调，但是我修改不了返回的内容，求解
- 存储灾备AI回复hellogirl111 2011.04.07
  回复 hellogirl111：Modifying output parameters is supported in Windows Vista and later.

禁止修改注册表 保护注册表的软件

05-03

禁止修改注册表 保护注册表的软件，可以防止病毒的侵袭，很实用的，有时候杀毒软件不一定好过他！

ntoskrnl.exe.c 导出函数常用2000 个内核函数名

05-14

//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截取消模块监控 //PsRestoreImpersonation //PsResumeProcess //PsReturnPoolQuota //PsReturnProcessNonPagedPoolQuota //PsReturnProcessPagedPoolQuota //PsRevertThreadToSelf //PsRevertToSelf //PsSetContextThread //设置线程环境 //PsSetCreateProcessNotifyRoutine //拦截进程 //PsSetCreateProcessNotifyRoutineEx //拦截进程进程监控 //PsSetCreateThreadNotifyRoutine //线程监控线程拦截 //PsSetCurrentThreadPrefetching //PsSetJobUIRestrictionsClass //PsSetLegoNotifyRoutine //PsSetLoadImageNotifyRoutine 拦截模块加载 //PsSetProcessPriorityByClass

Windows 文件保护的注册表设置

Purpleendurer@优快云

02-26

1664

http://support.microsoft.com/kb/q222473/察看本文应用于的产品function loadTOCNode(){} 文章编号 : 222473 最后修改

CmRegisterCallback监控注册表框架

Cosmopolitan的博客

09-28

1828

首先用CmRegisterCallback注册注册表回调记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey：这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...

Windows驱动编程详解：驱动对注册表的其他操作

使用`CmRegisterCallback`函数（在Windows Vista及以后版本中）或`CmRegisterCallbackEx`函数可以注册一个注册表回调函数。驱动程序可以据此实现对特定注册表路径的访问控制、审计或重定向。 #### 2. **注册表键的...

系统回调CmRegisterCallback的枚举与清除方法

资源摘要信息:"在讨论如何枚举和删除系统上的CmRegisterCallback回调时，我们首先需要明确CmRegisterCallback函数的作用以及它在系统编程中的应用场景。CmRegisterCallback是Windows内核中注册回调函数的一个API，...

28、Windows内存取证：内核与GUI子系统分析

最新发布

qsc90123456的博客

07-05

158

本文介绍了Windows内存取证中内核恶意代码分析与GUI子系统分析的方法与技术。通过使用Volatility框架的多个插件，如timers、callbacks、driverscan、sessions、consoles等，展示了如何发现rootkit、提取恶意驱动、分析用户会话及检测远程RDP登录行为。文章还探讨了GUI内存取证的价值与挑战，并提供了综合取证分析的流程，为深入理解系统安全状态和重建攻击行为提供了实用指南。

PCHunter 1.33：Windows系统信息与安全分析工具

其他实用功能还包括：完整的注册表编辑器，支持修改任意注册表项，尤其适合清理恶意启动项、映像劫持（AppInit_DLLs）、IME 输入法劫持等持久化后门；文件系统浏览器，具备基本的文件浏览、删除、属性查看能力；对 ...

ring0驱动内核级的ROOTKIT实现隐藏文件，隐藏注册表项，隐藏端口.zip

01-27

ring0驱动内核级的ROOTKIT实现隐藏文件，隐藏注册表项，隐藏端口.zip

注册表回调与注册表保护

qq_41490873的博客

01-30

960

#include <ntifs.h> #include<ntddk.h> #include <stdio.h> WCHAR KeyPath[1024] = { 0 }; WCHAR KeyName[128] = { 0 }; NTSTATUS RegisterCallBack( _In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2 ) { NTSTATUS stat

CmRegisterCallback使用方法

09-28

385

部分代码 #include "my_sys_fun.h"#ifdef __cplusplusextern "C"{#endif //驱动加载函数 NTSTATUS DriverEntry(PDRIVER_OBJECT pPDriverObj, PUNICODE_STRING pPuniStr); //驱动卸载函数 VOID UnLoadDriver(_In_ PDRIVER_O...

RegistryCallback routine（CmRegisterCallback 注册表操作监控介绍）

whatday的专栏

09-22

4832

RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视，阻止或修改一个注册表操作。句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback（标签：APIWinHTTP PVO

注册表保护

dingchangkejigongsi的博客

05-18

781

注册表保护（对指定的键值和项：禁止修改、删除、添加，支持xp\win7\win8\win8.1）。这里面用的技术主要采用的是主流的callback。探讨加QQ：2740458587

一段隐藏注册表项的代码

08-22

928

发一段隐藏注册表项的驱动代码，可以过目前最新的IceSword1.22。以前驱动开发网悬赏挑战IceSword时写的，不过最后没公开。那时流氓软件势头正劲，我可不想火上浇油。现在反流氓软件日渐成熟，也就没关系了。知道了原理，防御是非常容易的。原理很简单，实现的代码也很短，啥都不用说，各位直接看示例代码吧。#include #define GET_PTR(ptr, offset) (

Windows下CmRegisterCallback简单分析

操作系统内核与逆向工程

07-23

1011

IDA看一下进入Internal函数 signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie) { __int64 _Context; // rsi __int6...

监控注册表

qq_41071646的博客

01-16

940

也是经过微软的函数然后直接调用的设置回调即可~~~~~~~~~~~~~ #include <ntddk.h> #include <ntimage.h> #include <windef.h> #include <stdlib.h> #include <ntimage.h> #define REGISTRY_POOL_TAG 'p...

隐藏注册表键代码

04-16

1340

#include #define CM_KEY_INDEX_ROOT 0x6972 // ir#define CM_KEY_INDEX_LEAF 0x696c // il#define CM_KEY_FAST_LEAF 0x666c // fl#define CM_KEY_HASH_LEAF 0x686c