首页>驱动开发>文件系统(过滤)驱动程序开发>谁会隐藏注册表中的一个键值
回复
« 返回列表
wangming
wangming
驱动牛犊
驱动牛犊
  • 注册日期2004-12-14
  • 最后登录2010-01-04
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
阅读:1716回复:14

谁会隐藏注册表中的一个键值

楼主#
更多 发布于:2005-01-11 19:01
大家好啊,谁能提供一个隐藏注册表中的指定键值的DEMO啊。感激不尽。
喜欢2

最新喜欢:

aasa2aasa2
seven-eleven
回复
trent
trent
驱动老牛
驱动老牛
  • 注册日期2002-03-01
  • 最后登录2014-09-18
  • 粉丝0
  • 关注0
  • 积分61分
  • 威望185点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2005-01-12 01:50
可以看看ROOTKIT的代码!
那里有
我不仅要金子,我还要点石成金的手指!
回复(0) 喜欢(0)
zhangshengyu
zhangshengyu
驱动老牛
驱动老牛
  • 注册日期2003-10-03
  • 最后登录2016-07-26
  • 粉丝0
  • 关注0
  • 积分792分
  • 威望696点
  • 贡献值41点
  • 好评度499点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
板凳#
发布于:2005-01-12 09:34
参考REGMON NATIVE HOOK
---内核开发合作或提供基础技术服务QQ:22863668 ---
回复(0) 喜欢(0)
wangming
wangming
驱动牛犊
驱动牛犊
  • 注册日期2004-12-14
  • 最后登录2010-01-04
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2005-01-12 14:00
问题是找不到这一类的ROOTKIT啊,谁能给一个下载的地址。谢谢了啊
seven-eleven
回复(0) 喜欢(0)
asdfgh12
asdfgh12
驱动牛犊
驱动牛犊
  • 注册日期2004-10-14
  • 最后登录2005-05-26
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2005-01-12 14:43
www.rootkit.com
回复(0) 喜欢(0)
wangming
wangming
驱动牛犊
驱动牛犊
  • 注册日期2004-12-14
  • 最后登录2010-01-04
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2005-01-12 20:44
www.rootkit.com找不到啊。只有进程一类的隐藏,没发现有注册表的。只找到隐藏注册表的EXE文件,没代码
seven-eleven
回复(0) 喜欢(0)
toadwolf
toadwolf
驱动牛犊
驱动牛犊
  • 注册日期2003-11-30
  • 最后登录2013-11-12
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望67点
  • 贡献值0点
  • 好评度26点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2005-01-13 06:39
在本站下一个regmon的源码, HOOK所有reg相关的操作, 把你希望隐藏的过滤掉就可以了.

toad
回复(0) 喜欢(0)
wangming
wangming
驱动牛犊
驱动牛犊
  • 注册日期2004-12-14
  • 最后登录2010-01-04
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2005-01-20 23:44
问题是我找不到regmon的源码,我太想要了。我只能找到regmon 4.0的,可这个在XP下运行不了,也不知哪儿有4.22或以上版本的
seven-eleven
回复(0) 喜欢(0)
snowStart
snowStart
驱动老牛
驱动老牛
  • 注册日期2004-04-06
  • 最后登录2011-06-02
  • 粉丝0
  • 关注0
  • 积分95分
  • 威望19点
  • 贡献值177点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2005-01-21 08:24
看看这里吧

www.xfocus.net
学习,关注,交流中... [email=fengyu@163.com]Email:snowstarth@163.com[/email] [url]http://bbs.zndev.com/?a=snowStart[/url]
回复(0) 喜欢(0)
aasa2
aasa2
驱动中牛
驱动中牛
  • 注册日期2004-04-01
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分525分
  • 威望339点
  • 贡献值0点
  • 好评度106点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2005-01-21 08:33
我昨天花了两个小时,做成功了。哈哈。不是很难,自己搞吧
技术交流:aasa2@21cn.com QQ群:10863699
回复(0) 喜欢(0)
pursuer_zhao
pursuer_zhao
驱动牛犊
驱动牛犊
  • 注册日期2003-10-23
  • 最后登录2005-10-17
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2005-01-21 11:59
我昨天花了两个小时,做成功了。哈哈。不是很难,自己搞吧


看看你的程序?
这是俺的,不过仅限于在2K下
附件名称/大小 下载次数 最后更新
2005-01-21_HideRegRelease.rar (172KB)  86
回复(0) 喜欢(0)
aasa2
aasa2
驱动中牛
驱动中牛
  • 注册日期2004-04-01
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分525分
  • 威望339点
  • 贡献值0点
  • 好评度106点
  • 原创分0分
  • 专家分0分
写私信
11楼#
发布于:2005-01-23 16:08
我只是使用regmon修改了一下。和你相比,我差的远了。呵呵
技术交流:aasa2@21cn.com QQ群:10863699
回复(0) 喜欢(0)
wangming
wangming
驱动牛犊
驱动牛犊
  • 注册日期2004-12-14
  • 最后登录2010-01-04
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2005-01-28 00:03
哎。要是有源码就好了。真不幸。。你们虽然花俩小时。而我俩月估计也不行。郁闷哦。。。。
seven-eleven
回复(0) 喜欢(0)
fslife
fslife
驱动大牛
驱动大牛
  • 注册日期2004-06-07
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望49点
  • 贡献值0点
  • 好评度20点
  • 原创分0分
  • 专家分0分
写私信
13楼#
发布于:2005-01-28 09:56
问题是我找不到regmon的源码,我太想要了。我只能找到regmon 4.0的,可这个在XP下运行不了,也不知哪儿有4.22或以上版本的


XP下运行不了,是因为CR0引起的写保护问题,在REGMON的HookRegistry和UnHookRegistry函数的头和尾里加上下面两个函数,保证XP的问题药到病除:
void DisableProtection()
{
__asm
{
mov eax,cr0
mov CR0VALUE,eax
and eax,0fffeffffh
mov cr0,eax
}
}

void EnableProtection()
{
__asm
{
mov eax,CR0VALUE
mov cr0,eax
}
}

其中CROVALUE是自己定义的变量。
在交流中学习。。。
回复(0) 喜欢(0)
meng20020311
meng20020311
驱动牛犊
驱动牛犊
  • 注册日期2005-01-04
  • 最后登录2005-02-05
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
14楼#
发布于:2005-01-31 16:55
ULONG  WClntDrvRegAccess(char *szKeyName, char *szValueName)
{
ULONG bPass = TRUE;
unsigned long i = 0;
//if(szValueName)
// DbgPrint("WClntDrv: 1   (%s)(%s)\n", szKeyName, szValueName);
//else
// DbgPrint("WClntDrv: 1   (%s)()\n", szKeyName);

if(g_pCtrlReg)
{
DWORD dwOffset = sizeof(ULONG) * 2;
char szBuf[MAX_PATH +1];
char szBuf2[MAX_PATH +1];
for(i = 0; i < g_pCtrlReg->nRegs; i++)
{
memset(szBuf, 0, sizeof(szBuf));
memset(szBuf2, 0, sizeof(szBuf2));
PFILE_REG_KEY_NAME_PROTECT pRegKeyProtect = (PFILE_REG_KEY_NAME_PROTECT)((char*)g_pCtrlReg + dwOffset);
if(pRegKeyProtect->KeyNameLength > 0)
{
sprintf(szBuf, "%.*s", pRegKeyProtect->KeyNameLength, pRegKeyProtect->KeyName);
if(pRegKeyProtect->KeyValueLen > 0)
{
sprintf(szBuf2, "%.*s", pRegKeyProtect->KeyValueLen, pRegKeyProtect->KeyName + pRegKeyProtect->KeyNameLength);
}

//DbgPrint("WClntDrv: 2   (%s:%s)\n", szBuf, szBuf2);
if(szValueName == NULL && pRegKeyProtect->KeyValueLen == 0)
{
if(strstr(szKeyName, szBuf))
return FALSE;
}
else
if(szValueName != NULL && pRegKeyProtect->KeyValueLen != 0)
{
if(strstr(szKeyName, szBuf))
if(!stricmp(szValueName, szBuf2))
return FALSE;
}
}
if(pRegKeyProtect->NextEntryOffset == 0)
break;
dwOffset += pRegKeyProtect->NextEntryOffset;
}
return TRUE;
}
return bPass;
}




NewZwCreateKey(
  OUT PHANDLE             pKeyHandle,
  IN ACCESS_MASK          DesiredAccess,
  IN POBJECT_ATTRIBUTES   ObjectAttributes,
  IN ULONG                TitleIndex,
  IN PUNICODE_STRING      Class OPTIONAL,
  IN ULONG                CreateOptions,
  OUT PULONG              Disposition OPTIONAL )
{
MUTEX_WAIT(g_RegMutex );
ulRet = WClntDrvRegAccess(fullname, NULL);
MUTEX_RELEASE(g_RegMutex );
if(!ulRet)
{
return STATUS_ACCESS_DENIED;
}
.................
}
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部