[求助]如何拦截自己进程的注册表读取操作.-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼看它导入了哪些注册表函数，然后IAT Hook就行了，拦到后它要什么就给什么。如果你不了解Hook就自己在论坛上找一下相关资料，很多的 2009-2-13 16:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼像你这种情况其实Inline Hook更容易做，因为不需要调用原函数，用push xxxx/retn和mov eax,xxxx/jmp eax这两种方式吧，如果你不会计算跳转。用到的API只有VirtualProtect 2009-2-13 16:52 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 4 楼楼主一贴一问题 2009-2-13 18:33 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 5 楼 -_-.监控下注册表不就行了吗？然后再看什么情况 2009-2-13 23:25 0
yylang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	yylang 6 楼由于希望实现软件的完全绿色. ...读取注册表时,我拦截他,并且给它我想要的值. 2009-2-14 02:45 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 7 楼 IAT HooK，Inline Hook，或者Dll 劫持都行。你这种情况不需要调用原函数。它读注册表被拦截时，你看下堆栈中的参数，比如是字符串指针，就把你准备好的值填到这个地址处。够详细了吧？其实你为了把软件做成完全绿色搞这些不是很值得，弄个reg不就算了。 2009-2-14 02:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼问题是楼主会不会写。一个从来没接触过Hook的人写起这个来也不会轻松啊 2009-2-14 11:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼看它导入了哪些注册表函数，然后IAT Hook就行了，拦到后它要什么就给什么。如果你不了解Hook就自己在论坛上找一下相关资料，很多的 2009-2-13 16:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼像你这种情况其实Inline Hook更容易做，因为不需要调用原函数，用push xxxx/retn和mov eax,xxxx/jmp eax这两种方式吧，如果你不会计算跳转。用到的API只有VirtualProtect 2009-2-13 16:52 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 4 楼楼主一贴一问题 2009-2-13 18:33 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 5 楼 -_-.监控下注册表不就行了吗？然后再看什么情况 2009-2-13 23:25 0
yylang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	yylang 6 楼由于希望实现软件的完全绿色. ...读取注册表时,我拦截他,并且给它我想要的值. 2009-2-14 02:45 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 7 楼 IAT HooK，Inline Hook，或者Dll 劫持都行。你这种情况不需要调用原函数。它读注册表被拦截时，你看下堆栈中的参数，比如是字符串指针，就把你准备好的值填到这个地址处。够详细了吧？其实你为了把软件做成完全绿色搞这些不是很值得，弄个reg不就算了。 2009-2-14 02:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼问题是楼主会不会写。一个从来没接触过Hook的人写起这个来也不会轻松啊 2009-2-14 11:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]如何 拦截 自己进程的 注册表读取操作.

[求助]如何拦截自己进程的注册表读取操作.