Hook HvpGetCellMapped干涉注册表操作

最新推荐文章于 2024-10-24 18:14:48 发布
最新推荐文章于 2024-10-24 18:14:48 发布
阅读量1.4k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook xp
本文介绍了KeyObject结构及其与KeyControlBlock的关系,解释了如何通过Hive和HvGetCellRoutine来获取注册表操作信息,并提供了干涉注册表操作的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

KeyObject的结构
KeyObject+0x04为Key Control Block(简称KCB)

Key_Control_Block结构在2000,和2000以后版本是变动的

XP以XP以后版本下

kcB+0x10为Hive

Hive+0x04为HvGetCellRoutine
这是一个指向处理例程的指针
所有Cm*Key系列函数都会在函数中调用这个Routine
该Routine的原型为
HvpGetCellMapped(IN PVOID Hive,OUT PVOID Cell)

通过Hook该函数,再结合其他一些手段,我们可以获得Cm*Key处理的KeyObject或KCB信息
我们可以干涉注册表操作
修改、阻止、监视注册表操作

更多细节自己研究吧
隐藏注册表键代码
04-16 1323
#include #define CM_KEY_INDEX_ROOT      0x6972         // ir#define CM_KEY_INDEX_LEAF      0x696c         // il#define CM_KEY_FAST_LEAF       0x666c         // fl#define CM_KEY_HASH_LEAF       0x686c 
也谈rootkit 注册表信息隐藏
06-24 1507
注册表是Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置,是系统的核心。操作系统是用特殊的文件 (Hive文件)来存储注册表的内容,并提供给用户相关的编程接口(APIs)来进行注册表操作,例如Advapi32.dll中的Registry Functions(如:RegEnumKey)。在Windows操作系统中,函数的调用有着极其规范的层次结构,如下图所
HOOK注册表.rar
04-05
HOOK注册表.rar
HOOK 系统注册表 HOOK API SYSTEM REGISTRY
12-21
HOOK 系统注册表 HOOK API SYSTEM REGISTRY 文件清单: PHookRegistry.exe HOOK管理主程序 PNtHOOK.dll HOOK API DLL 功能描述: 1. 只针对用户级别的程序API陷井式HOOK, 这里只对以下API进行HOOK: RegCloseKey RegDeleteKeyA RegDeleteKeyW RegQueryValueExW RegQueryValueExA RegQueryValueA RegQueryValueW RegOpenKeyExW RegCreateKeyExW RegSetValueExW RegDeleteValueW RegOpenKeyExA RegCreateKeyExA RegSetValueExA RegDeleteValueA 以上API就足以完成注册表数据的截获。 2.如何HOOK程序启动初始化时的API问题? 第一次选中目标程序启动对它的HOOK,然后关闭该程序,不要释放HOOK接着再打开该程序就会进入启动时的HOOK
一段隐藏注册表项的代码
08-22 915
发一段隐藏注册表项的驱动代码,可以过目前最新的IceSword1.22。以前驱动开发网悬赏挑战IceSword时写的,不过最后没公开。那时流氓软件势头正劲,我可不想火上浇油。现在反流氓软件日渐成熟,也就没关系了。知道了原理,防御是非常容易的。原理很简单,实现的代码也很短,啥都不用说,各位直接看示例代码吧。#include #define GET_PTR(ptr, offset) (
易语言HOOK注册表
07-21
易语言HOOK注册表源码,HOOK注册表,GetMsgProc,new_RegSetValueEx,HOOKAPI,ReadApi,api_CallNextHookEx,取程序或DLL句柄,取DLL函数地址,返回虚拟信息,修改虚拟保护,写内存字节,取当前进程伪句柄,api_RegSetValueEx,RegSetValueEx
注册表监控软件(hook
05-08
显示每个注册表操作,用到hook,api,dll等方面的技术,对于pe也用到
HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook
09-23
"HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook"这个压缩包似乎包含了一系列关于Hook API的实践教程和示例,特别关注于RMXP(RPG Maker XP)平台,以及注册表相关的Hook应用。 RMXP是一款流行...
易语言源码易语言HOOK注册表源码.rar
03-30
2. **注册表API调用**:为了操作注册表,源码中可能会使用到如`RegOpenKeyEx`, `RegQueryValueEx`, `RegSetValueEx`等API函数,这些函数分别用于打开、查询和设置注册表键值。 3. **事件处理**:在HOOK函数内,会...
易语言HOOK注册表源码.zip
12-07
在这个"易语言HOOK注册表源码.zip"压缩包中,包含了一些关于易语言实现注册表钩子(HOOK)技术的资源。 注册表是Windows操作系统中的一个重要组成部分,存储了系统和应用程序的各种设置信息。在编程中,通过钩子...
ObjectType HOOK干涉注册表操作
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 725
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象。   对象头(object_header)有一个object type结构,object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER    typedefstruct_OBJECT_TYPE_INITIALIZER{   USHORTLen
注册表监控程序 (Hook API) VC 6.0
03-04
注册表监控程序 该程序的作用是记录系统发生的注册表操作,(只记录成功的,忽略失败的) 请使用VC6.0编译,另外需要安装较新的Platform SDK,比如Microsoft Platform SDK for Windows 2003 或 Microsoft Platform SDK for Windows XP SP2 Hook API 采用微软detours静态库 "Hook"目录是hook.dll源码 "RegisterMon"目录是界面程序源码,VC6+MFC+Single Document "bin"目录是生成目录 转帖请保留此文件 作者:毕飞
HOOK系列实例实战班【无KEY版】
06-06
资源介绍:。1、HOOK MessageBoxA 实现易快速启动。2HOOK SendMessage 实现拦截消息。3、HOOK 注册表相关命令 实现修复易发送失败。4、Hook 修改窗口命令,实现修改窗口。5、HOOK 读内存命令,实现拦截读取。6、HOOK 写内存命令,实现拦截写入。7、HOOK 发包函数,实现拦截发送。8、Hook收包函数,实现拦截接收。9、HOOK 创建窗口命令,实现拦截窗口。10、HOOK 创建文件命令,实现拦截创建。11、HOOK 打开文件命令。12HOOK 载入DLL命令,实现过滤DLL。13、HOOK 卸载DLL命令,实现过滤卸载。14、HOOK 游戏API 实现加速。15、游戏功能HOOK实现鼠标自动点击。16、HOOK植物大战僵尸实现无限小车。17、HOOK游戏功能技巧讲解。18、Hook之逆推原理篇。资源作者:。乐易论坛。资源界面:。资源下载:。Tags:HOOK
易语言hook注入java_易语言DLL制作调用及hook-注册表注入
weixin_33835122的博客
03-01 938
1、注册表注入的特性是可以在程序启动的时候注入,注入到其他程序还没有初始化完的的时候执行自己的代码2、通过注册表的方式来实现DLL注入,只需要针对特定的注册表项进行修改即可3、如果被注入的进程是64位进程,则注入的DLL也需要是64位的,同理,注入32位的进程也需要是32位的DLL。4、注入64位系统上的32位进程1) 将被注入的DLL名称填入到AppInit_DLLs注册表项:HKEY_LOCA...
Delphi使用ZwQueryKey根据注册表句柄HKEY获取注册表路径
qq_43179046的博客
08-30 315
Hook注册表读写后,需要根据注册表项名称(注册表路径)做一些判断,但是hook只能拿到注册表句柄HEY,必要根据HEY获取注册路径。ntdll.dll中ZwQueryKey函数可以根据句柄获取一系列注册表信息,其中KeyNameInformation代表注册表项名称的信息。调用过程很简单,32位测试正常,64位下没通过。排查ZwQueryKey函数定义参数是否在64位下大小是否与VS一致,没发现问题。最后检查ZwQueryKey返回结果是80000002,数据对齐错误。转换为Delphi定义。...
Windows NT Registry
求索
12-22 1184
Windows NT Registry
单进程机器码hook_如何通过API HOOK修改机器码
weixin_39555179的博客
12-19 869
0049070E .83C4 0C add esp,0xC00490711 .8D8C24 900000>lea ecx,dword ptr ss:[esp+0x90]00490718 .33F6 xor esi,esi0049071A .53 push ebx ...
对于Windows 11蓝屏代码0x0000003B的研究
最新发布
u010160146的博客
10-24 2345
对于Windows 11 24H2 专业版系统中使用命令行运行处于网络存储器中的EXE可执行文件时所出现0x0000003B的蓝屏的问题。通过实验得知,可能是由于“WindowsDefender”相关防护以及“Internet属性设置”阻止了非特权指令陷入内核被执行导致发生了内存访问违规而出现0x0000003B蓝屏。通过安装第三方安全软件、关闭“WindowsDefender”相关防护以及正确配置“Internet属性设置”可以解决上述蓝屏问题的发生。
易语言实现注册表操作HOOK源码分析
该资源的核心内容是关于如何在易语言中实施注册表钩子(HOOK)的技术实现,即通过编写特定的代码片段来监视、过滤或修改Windows注册表的读写操作注册表在Windows操作系统中扮演着至关重要的角色,它存储着系统设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值