首页>驱动开发>文件系统(过滤)驱动程序开发>怎样在WIN2K下监控注册表的读写等操作??
回复
« 返回列表
freefly
freefly
驱动牛犊
驱动牛犊
  • 注册日期2001-11-08
  • 最后登录2007-02-11
  • 粉丝0
  • 关注0
  • 积分113分
  • 威望12点
  • 贡献值0点
  • 好评度11点
  • 原创分0分
  • 专家分0分
写私信
阅读:2587回复:4

怎样在WIN2K下监控注册表的读写等操作??

楼主#
更多 发布于:2002-08-07 17:25
我想在WIN2K下实现对注册表操作的监控及过滤不知道怎样实现?
喜欢1

最新喜欢:

ljmmaryljmmar...
回复
loadn
loadn
驱动牛犊
驱动牛犊
  • 注册日期2001-11-05
  • 最后登录2018-05-29
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
沙发#
发布于:2002-08-08 15:53
到这里下载吧 :)
http://www.eyii.com/cgi-bin/topic.cgi?forum=2&topic=80&show=0
我不懂,但我会……
回复(0) 喜欢(0)
freefly
freefly
驱动牛犊
驱动牛犊
  • 注册日期2001-11-08
  • 最后登录2007-02-11
  • 粉丝0
  • 关注0
  • 积分113分
  • 威望12点
  • 贡献值0点
  • 好评度11点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2002-08-08 16:28
非常谢谢你!3x,3x
回复(0) 喜欢(0)
freefly
freefly
驱动牛犊
驱动牛犊
  • 注册日期2001-11-08
  • 最后登录2007-02-11
  • 粉丝0
  • 关注0
  • 积分113分
  • 威望12点
  • 贡献值0点
  • 好评度11点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2002-08-15 16:39
到这里下载吧 :)
http://www.eyii.com/cgi-bin/topic.cgi?forum=2&topic=80&show=0


这个软件是拦截到对注册表的操作,但它把拦截的实现过程隐藏到
regmlib.lib库文件里啦。我还是不明白到底拦截的原理.
大虾请灌水吧:)

回复(0) 喜欢(0)
ghc
ghc
驱动牛犊
驱动牛犊
  • 注册日期2002-06-13
  • 最后登录2009-08-12
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望13点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2002-08-22 12:56
    webcrazy的有篇文章说的挺清楚的。另外regmon这个程序有源码的,有兴趣的话可以研究一下。
大概的原理如下:
    应用访问注册表总是用如RegOpenKey、RegQueryValue等Win32 API函数,这些函数其实是通过ntdll.dll中导出的NtRegOpenKey、NtRegQueryValue等对应wrapper函数再去调用ntoskrnl.exe中导出的ZwRegOpenKey、ZwRegQueryValue等系统服务函数。
    ntoskrnl.exe导出了一个全局变量,它指向系统服务表。这个表中存放了nt系统的System Service的服务程序的地址、服务号等信息。
    如果要监控对注册表的任何操作,则可以替换系统服务中关于注册表相关的调用的入口地址,让其指向你写的函数。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部