[原创]写了一个驱动（探测注册表当前用户，改了一下主页）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]写了一个驱动（探测注册表当前用户，改了一下主页）

发表于: 2009-12-4 01:50 12320

[原创]写了一个驱动（探测注册表当前用户，改了一下主页）

inhell

2009-12-4 01:50

12320

白菜写了个驱动探测注册表当前用户，改了一下主页。
高手飘过。有写的不对的地方请赐教！
新手大家一起讨论！(代码和sys都在附件中)
（源代码）
改主页：

#include "Driver.h"
#pragma INITCODE
VOID changeStartPage(UNICODE_STRING main)
{

	HANDLE hRegister;
	OBJECT_ATTRIBUTES objectAttributes;
	InitializeObjectAttributes(&objectAttributes,
					&main,
					OBJ_CASE_INSENSITIVE,
					NULL,
					NULL);
	NTSTATUS ntstatus = ZwOpenKey(&hRegister,
					KEY_ALL_ACCESS,
					&objectAttributes);
	if(NT_SUCCESS(ntstatus))
	{
		KdPrint(("Open register successfully\n"));
	}
	UNICODE_STRING ValueName;
	RtlInitUnicodeString(&ValueName,L"Start Page");
	WCHAR* strValue=L"http://www.kanxue.com";
	ZwSetValueKey(hRegister,
			&ValueName,
			0,
			REG_SZ,
			strValue,
			wcslen(strValue)*2+2);
	ZwClose(hRegister);
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

inhell.rar （4.94kb，173次下载）

收藏・10

免费・7

支持

最新回复 (20)
cmdxhz 雪币： 1753 活跃值： (885) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 2 楼现在什么都用驱动了~! 2009-12-5 15:56 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼改个主页用驱动,恐怖啦 2009-12-5 16:07 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 4 楼看到一个INIT和PAGE全正确的代码真不容易~ 2009-12-5 21:45 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 5 楼主要目的是得到当前用户，主页是顺便改的！ 2009-12-5 21:50 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 6 楼怪不得都用开始拦截驱动了，原来，改主页都开始用驱动了，强悍！ 2009-12-6 23:09 0
nmgg 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	nmgg 7 楼居然看明白了~~ 2009-12-7 00:29 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 8 楼代码有点似曾相识啊... 2009-12-7 02:07 0
luzhmu 雪币： 86 活跃值： (1183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 650 粉丝 7 关注私信	luzhmu 9 楼现在的病毒都是驱动级别的了 2009-12-7 14:01 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 10 楼这个代码真是indown啊，佩服佩服 2009-12-7 15:01 0
bnbpbl 雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	bnbpbl 11 楼怪不得都用开始拦截驱动了，原来，改主页都开始用驱动了，强悍！ 2009-12-22 22:49 0
向日葵雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 205 粉丝 0 关注私信	向日葵 12 楼 NT驱动的加载过程还是会被某些软件发现吧？当然如果是做成GHOST包，呵呵，那就要费点事了 2009-12-23 10:10 0
qqykx 雪币： 149 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 78 粉丝 0 关注私信	qqykx 13 楼收下了，回去研究 2009-12-23 22:32 0
shuyangzjg 雪币： 7092 活跃值： (2988) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 216 粉丝 2 关注私信	shuyangzjg 14 楼学习了啊，研究下 2009-12-26 03:00 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 15 楼楼主淡定~ 2009-12-26 10:36 0
bswdylwsw 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 80 粉丝 0 关注私信	bswdylwsw 16 楼没啥好说了.......驱得动的就驱动吧 2009-12-26 13:57 0
djxh 雪币： 1685 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 17 楼 2009-12-26 20:15 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 18 楼就是一个驱动操作注册表编程 2010-1-26 08:42 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 19 楼现在编程论坛都在谈驱动了。 2010-1-26 10:37 0
zzxxaa 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zzxxaa 20 楼学习一下啦·· 2010-1-26 11:31 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 21 楼想了想如果最开始windows就开源。。。。。。 2010-1-28 18:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

inhell

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
cmdxhz 雪币： 1753 活跃值： (885) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 2 楼现在什么都用驱动了~! 2009-12-5 15:56 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼改个主页用驱动,恐怖啦 2009-12-5 16:07 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 4 楼看到一个INIT和PAGE全正确的代码真不容易~ 2009-12-5 21:45 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 5 楼主要目的是得到当前用户，主页是顺便改的！ 2009-12-5 21:50 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 6 楼怪不得都用开始拦截驱动了，原来，改主页都开始用驱动了，强悍！ 2009-12-6 23:09 0
nmgg 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	nmgg 7 楼居然看明白了~~ 2009-12-7 00:29 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 8 楼代码有点似曾相识啊... 2009-12-7 02:07 0
luzhmu 雪币： 86 活跃值： (1183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 650 粉丝 7 关注私信	luzhmu 9 楼现在的病毒都是驱动级别的了 2009-12-7 14:01 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 10 楼这个代码真是indown啊，佩服佩服 2009-12-7 15:01 0
bnbpbl 雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	bnbpbl 11 楼怪不得都用开始拦截驱动了，原来，改主页都开始用驱动了，强悍！ 2009-12-22 22:49 0
向日葵雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 205 粉丝 0 关注私信	向日葵 12 楼 NT驱动的加载过程还是会被某些软件发现吧？当然如果是做成GHOST包，呵呵，那就要费点事了 2009-12-23 10:10 0
qqykx 雪币： 149 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 78 粉丝 0 关注私信	qqykx 13 楼收下了，回去研究 2009-12-23 22:32 0
shuyangzjg 雪币： 7092 活跃值： (2988) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 216 粉丝 2 关注私信	shuyangzjg 14 楼学习了啊，研究下 2009-12-26 03:00 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 15 楼楼主淡定~ 2009-12-26 10:36 0
bswdylwsw 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 80 粉丝 0 关注私信	bswdylwsw 16 楼没啥好说了.......驱得动的就驱动吧 2009-12-26 13:57 0
djxh 雪币： 1685 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 17 楼 2009-12-26 20:15 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 18 楼就是一个驱动操作注册表编程 2010-1-26 08:42 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 19 楼现在编程论坛都在谈驱动了。 2010-1-26 10:37 0
zzxxaa 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zzxxaa 20 楼学习一下啦·· 2010-1-26 11:31 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 21 楼想了想如果最开始windows就开源。。。。。。 2010-1-28 18:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复