[求助]请问怎样从key handle 获取注册表项的完整路径-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 ObQueryNameString函数本身有BUG，另外，你不会调试不会分析dump吗？ 2009-5-12 11:17 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼 PUNICODE_STRING fullName = NULL; 2009-5-12 12:48 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 4 楼 PUNICODE_STRING fullName = NULL; 太猛了，往NULL里写名字...蓝死是应该的，基础没过关就冒出来导出乱hook~ 2009-5-12 14:12 0
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 5 楼呃...不好意思把status = ObQueryNameString( pKey, (POBJECT_NAME_INFORMATION)fullName, 0, &actualLen ); 改成 status = ObQueryNameString( pKey, NULL, 0, &actualLen ); 2009-5-12 14:31 0
阳光味道雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	阳光味道 6 楼学习中，没必要那么冷嘲热讽的吧就你基础好？？ 2009-5-12 16:19 0
菊冬雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 91 粉丝 0 关注私信	菊冬 7 楼 123456 2009-5-12 16:51 0
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 8 楼这样还是有问题，有时蓝屏有时不蓝，请问什么原因呢？除了ObQueryNameString外有没有其他方法？ 2009-5-12 17:08 0
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 9 楼顺便再请教个问题，注册表监控用RegistryCallback还是ssdt hook好呢 2009-5-12 17:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼 RtlUnicodeStringCopy溢出？ 2009-5-12 17:27 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 11 楼注意长度...你分配的内存如果太小当然BSOD咯.. 监控的话...CALLBACK比较简单 2009-5-12 17:28 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼用windbg结合代码与符号看dump多方便，蓝在那里一目了然~ 当然是Callback 2009-5-12 17:28 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 13 楼自己用个定时器检测比较好，稳定 2009-5-12 17:28 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 14 楼这个方法比较适合正规科班程序员，对于hook and hooker这种方法无疑是很难的~ 2009-5-12 17:29 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 15 楼现在讲究的就是稳定，有文档 2009-5-12 17:37 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 16 楼感受颇深啊....稳定，文档... 2009-5-12 17:45 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 17 楼用callback监控注册表创建键值，将获取的信息传到应用层进行判断（比如是否让其创建），如果前一判断没有结束，后续的创建键值通知，是否都挂起了？ 2009-5-12 21:11 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 18 楼 Google一大堆，先鄙视一下 PVOID pKey; PUNICODE_STRING pUniName; UNICODE_STRING ustrReg; ObReferenceObjectByHandle(KeyHandle, 0, 0, KernelMode, &pKey, NULL); pUniName = ExAllocatePool(NonPagedPool, 1024); ObQueryNameString(pKey, pUniName, 1024, &nRet); RtlInitUnicodeString(&ustrReg, L"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"); if (RtlCompareUnicodeString(pUniName, &ustrReg, TRUE) == 0) { ExFreePool(pUniName); ObDereferenceObject(pKey); return STATUS_ACCESS_DENIED; } 2009-5-13 09:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 ObQueryNameString函数本身有BUG，另外，你不会调试不会分析dump吗？ 2009-5-12 11:17 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼 PUNICODE_STRING fullName = NULL; 2009-5-12 12:48 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 4 楼 PUNICODE_STRING fullName = NULL; 太猛了，往NULL里写名字...蓝死是应该的，基础没过关就冒出来导出乱hook~ 2009-5-12 14:12 0
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 5 楼呃...不好意思把status = ObQueryNameString( pKey, (POBJECT_NAME_INFORMATION)fullName, 0, &actualLen ); 改成 status = ObQueryNameString( pKey, NULL, 0, &actualLen ); 2009-5-12 14:31 0
阳光味道雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	阳光味道 6 楼学习中，没必要那么冷嘲热讽的吧就你基础好？？ 2009-5-12 16:19 0
菊冬雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 91 粉丝 0 关注私信	菊冬 7 楼 123456 2009-5-12 16:51 0
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 8 楼这样还是有问题，有时蓝屏有时不蓝，请问什么原因呢？除了ObQueryNameString外有没有其他方法？ 2009-5-12 17:08 0
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 9 楼顺便再请教个问题，注册表监控用RegistryCallback还是ssdt hook好呢 2009-5-12 17:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼 RtlUnicodeStringCopy溢出？ 2009-5-12 17:27 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 11 楼注意长度...你分配的内存如果太小当然BSOD咯.. 监控的话...CALLBACK比较简单 2009-5-12 17:28 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼用windbg结合代码与符号看dump多方便，蓝在那里一目了然~ 当然是Callback 2009-5-12 17:28 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 13 楼自己用个定时器检测比较好，稳定 2009-5-12 17:28 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 14 楼这个方法比较适合正规科班程序员，对于hook and hooker这种方法无疑是很难的~ 2009-5-12 17:29 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 15 楼现在讲究的就是稳定，有文档 2009-5-12 17:37 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 16 楼感受颇深啊....稳定，文档... 2009-5-12 17:45 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 17 楼用callback监控注册表创建键值，将获取的信息传到应用层进行判断（比如是否让其创建），如果前一判断没有结束，后续的创建键值通知，是否都挂起了？ 2009-5-12 21:11 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 18 楼 Google一大堆，先鄙视一下 PVOID pKey; PUNICODE_STRING pUniName; UNICODE_STRING ustrReg; ObReferenceObjectByHandle(KeyHandle, 0, 0, KernelMode, &pKey, NULL); pUniName = ExAllocatePool(NonPagedPool, 1024); ObQueryNameString(pKey, pUniName, 1024, &nRet); RtlInitUnicodeString(&ustrReg, L"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"); if (RtlCompareUnicodeString(pUniName, &ustrReg, TRUE) == 0) { ExFreePool(pUniName); ObDereferenceObject(pKey); return STATUS_ACCESS_DENIED; } 2009-5-13 09:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复