首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]如何持续监视注册表?
发表于: 2006-11-1 02:35 4784

[求助]如何持续监视注册表?

Winker 活跃值
8
2006-11-1 02:35
4784
利用RegNotifyChangeKeyValue监视注册表是否被恶意修改,但是我写了一个代码,却不能持续监视...

.data
szCaption db '检测到了',0
.
.
.

invoke RegNotifyChangeKeyValue,HKEY_LOCAL_MACHINE,\
       TRUE,REG_NOTIFY_CHANGE_NAME,hEvent,NULL
    .if eax == ERROR_SUCCESS
     invoke MessageBox,NULL,addr szCaption,0,MB_OK

请朋友们支招.如何持续监视,如果发现被修改,马上通知..

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
yoshimitsu
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
挂接, NtSetValueKey 和其它修改注册表的函数.
不知道能不能满足你的要求?
2006-11-1 09:44
0
Winker
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
3
NtSetValueKey是什么API?我搜索msdn没发现
2006-11-1 18:02
0
默数悲伤
雪    币: 297
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
4
ntdll.dll导出的,通过int 2e进入内核,在系统服务列表(SDT)中有对应的相同名字的函数入口.
typedef
NTSTATUS
(__stdcall * PFN_ZWSETVALUEKEY)(
IN  HANDLE KeyHandle,
IN  PUNICODE_STRING ValueName,
IN  ULONG TitleIndex,
IN  ULONG type1,
IN  PVOID Data,
IN  ULONG DataSize
);
我有一个程序就是监视注册表的,你可以看看:)
http://redcoder.blog.sohu.com/14217977.html
2006-11-1 20:13
0
VIRVIR
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 Winker 发布
NtSetValueKey是什么API?我搜索msdn没发现

参考DDK
//////////http://virvir.blogbus.com
2006-11-1 22:52
0
ninja
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
楼主也可以找RegMon的源代码看看.
2006-11-3 10:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//