NTSTATUS NewZwCreateKey(
                                OUT PHANDLE KeyHandle,
                                IN ACCESS_MASK DesiredAccess,
                                IN POBJECT_ATTRIBUTES ObjectAttributes,
                                IN ULONG TitleIndex,
                                IN PUNICODE_STRING Class OPTIONAL,
                                IN ULONG CreateOptions,
                                OUT PULONG Disposition OPTIONAL
)
{
   HANDLE RegKeyHandle;
   NTSTATUS ntStatus;
   OBJECT_ATTRIBUTES    oba;
   ULONG PDisposition;
   WCHAR KeyName[]=L"\\Registry\\Machine\\Software\\Microsoft\\Windows\\CurrentVersion\\Run";
   UNICODE_STRING UnicodeStringBuffer;
   
   RtlInitUnicodeString(&UnicodeStringBuffer,KeyName);
  InitializeObjectAttributes(&oba,&UnicodeStringBuffer,OBJ_CASE_INSENSITIVE,NULL,NULL);

   ntStatus=ZwCreateKey(&RegKeyHandle,KEY_ALL_ACCESS,&oba,0,0,REG_OPTION_VOLATILE,&PDisposition);
   if( NT_SUCCESS(ntStatus))
   {
       if (RegKeyHandle==KeyHandle)
       {   
           if (PDisposition==REG_CREATED_NEW_KEY)
           {   
               return TRUE;
           }
           else
           {   
               return TRUE;
           }
           return TRUE;
       }
   }
   return TRUE;
}
省略掉若干细节，算了源码放上来吧，说不清楚打算hook注册表和文件相关的，删除的中午试了试，可以，这个老死，不知道哪里不对，windbg又用的比较烂，谁帮个忙看看吧，thx

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！

上传的附件：

• minsys.rar （2.61kb，16次下载）