|
阅读:2159回复:16
谁知道regmon6是怎么实现过滤注册表操作的?
下载下来只有一个exe,一执行就可以监视注册表了,
没有驱动程序,请问怎么做到的?而且可以log启动时的注册表操作! 请大家指点! |
|
|
沙发#
发布于:2004-05-09 11:33
我也想知道,嘿嘿.....
|
|
|
|
板凳#
发布于:2004-05-09 12:37
谁说Regmon6不需要驱动?这个就是它使用的驱动:REGSYS.SYS。
|
|
|
地板#
发布于:2004-05-09 12:42
:P
自己弄错了 [编辑 - 5/11/04 by arthurtu] |
|
|
地下室#
发布于:2004-05-09 13:13
不知道我有没有记错,reg api好像是undocumneted的,不过MS可能会被动的把它们变成documented 不明白你的意思。 ZwCreateKey()、ZwOpenKey()等这些例程怎么可能是Undocumented的呢?DDK里边一大把相关说明。 这些例程以系统服务形式提供,Regmon就是Hook这些系统服务以监视注册表操作的。 [编辑 - 5/9/04 by slwqw] |
|
|
5楼#
发布于:2004-05-09 13:27
可是我下载下来只有一个exe啊,难道是一运行就生成一个sys放在驱动目录?
还有,那个zwdeletevaluekey按照ddk文档上的说法只在xp以后的系统下才有,我用2000ddk编译的时候确实说找不到这个定义, 那么regmon是怎么编译过的? regmon4.x的时候还没有xp ddk呢? 同样的hook函数我在自己的driverentry里面用的时候居然page error,请问有人知道原因吗? |
|
|
6楼#
发布于:2004-05-11 08:03
[quote]不知道我有没有记错,reg api好像是undocumneted的,不过MS可能会被动的把它们变成documented 不明白你的意思。 ZwCreateKey()、ZwOpenKey()等这些例程怎么可能是Undocumented的呢?DDK里边一大把相关说明。 这些例程以系统服务形式提供,Regmon就是Hook这些系统服务以监视注册表操作的。 [编辑 - 5/9/04 by slwqw] [/quote] 有空我再去翻翻看,哪个地方偶尔看见的,记不清了。 |
|
|
7楼#
发布于:2004-05-13 09:47
REGSYS.SYS在那里有???
我用WIN2000 REGMON可以正常运行,但是整个系统都找不到REGSYS.SYS |
|
|
|
8楼#
发布于:2004-05-13 22:09
use filemon, you can see regsys.sys is created but soon removed after being loaded by OS.
It seems that it want to make the fact secret. |
|
|
9楼#
发布于:2004-05-14 08:51
将驱动程序作为资源文件,和exe程序编译在一起,程序运行时将资源文件还原出来,安装一下。所以exe文件里包含了sys文件。程序执行时,在system32/driver下面能看到驱动文件
|
|
|
10楼#
发布于:2004-05-14 09:19
这是我运行REGMON时%systemroot%\\system32\\drivers下按名称排序的结果,那里有regsys.sys
|
|
|
|
11楼#
发布于:2004-05-14 09:20
filemon也检测不到曾经生成过这个文件
|
|
|
|
12楼#
发布于:2004-05-14 09:21
没用过新的regmon,原来如此,我经常干这种活,呵呵。。。
|
|
|
13楼#
发布于:2004-05-14 09:22
没用过新的regmon,原来如此,我经常干这种活,呵呵。。。 能介绍下你是如何干的????嘿嘿...... |
|
|
|
14楼#
发布于:2004-05-18 18:01
晕,sys和vxd都在它的exe文件的资源里。
运行exe文件时它把它释放出来,成为一个临时文件, 然后加载调用了。 |
|
|
|
15楼#
发布于:2004-05-18 18:06
偶曾经用vc6把它从资源里提出来了的。
|
|
|
|
16楼#
发布于:2004-05-20 14:25
我也提取出来了
|
|
|