最近一直想做远程操作的注册表,将客户端的注册表发送到主控端,遇到两个问题:

 1.不能每次点击TreeControl都是一次请求的发送,太浪费资源。

 2.在客户端的注册表监控效果也不是很好。(驱动不稳定,只想用Ring3层)

  第一个问题比较好解决,在主控端加一个缓存结构就Ok,但是第二个问题还有一些问题。

常用的注册表监控一般都会使用钩子,Hook有关注册表操作的函数。但是这种方法是针对进程

而言,如果要监控全局,就要对每个进程Inject,这基本不现实。

  一个使用DETOUR库的RegQueryValueExW函数

 DETOUR_TRAMPOLINE(LONG APIENTRY Real_RegQueryValueExW(HKEY, LPCWSTR, LPDWORD, LPDWORD, LPBYTE, LPDWORD), RegQueryValueExW);

 LONG APIENTRY Mine_RegQueryValueExW(

                                   HKEY hKey,

                                   LPCWSTR lpValueName,

                                   LPDWORD lpReserved,

                                   LPDWORD lpType,

                                   LPBYTE lpData,

                                   LPDWORD lpcbData)

 {

     LONG nRet;

     __try{

         nRet = Real_RegQueryValueExW(hKey, lpValueName, lpReserved, lpType, lpData, lpcbData);

         if(!HOOK_RegQueryValueEx)

             return nRet;

         if(GetCurrentProcessId() == ExplorerPID)

             return nRet;

         if(GetCurrentProcessId() == RegMonPID)

             return nRet;

         if((PID == ) || ((GetCurrentProcessId() == PID) && (PID>)) )

         {

             if(nRet != ERROR_SUCCESS)

                 return nRet;

             COPYDATASTRUCT data;

             PARAMS params = {};

             params.PID = GetCurrentProcessId();

             params.hKey = hKey;

             if(lpValueName == NULL || /*lpType == NULL ||*/ lpData == NULL || lpcbData == NULL)

                 return nRet;

             memcpy(params.buffer1, lpValueName, wcslen(lpValueName)*);

             if(lpType == NULL)

                 params.type = ;

             else

                 params.type = *lpType;

             if(*lpcbData == )

             {

                 return nRet;

             }

             else if(*lpcbData>)

             {

                 memcpy(params.buffer2, lpData, );

                 params.cbBuffer2 = ;

             }

             else

             {

                 memcpy(params.buffer2, lpData, *lpcbData);

                 params.cbBuffer2 = *lpcbData;

             }

             params.result = nRet;

             data.cbData = sizeof(PARAMS);

             data.lpData = &params;

             data.dwData = TYPE_RegQueryValueExW;

             SendMessage(hWnd, WM_COPYDATA, (WPARAM)hWnd, (LPARAM)&data);

         }

     }__finally{

     };

     return nRet;

 }

  要在Ring3全局监控注册表的变化,只能使用RegNotifyChangeKeyValue微软提供的接口,但得不到具体的改变。

  MSDN提供的例子:

 #include <windows.h>

 #include <tchar.h>

 #include <stdio.h>

 //void main(int argc, char *argv[])

 void __cdecl _tmain(int argc, TCHAR *argv[])

 {

    DWORD  dwFilter = REG_NOTIFY_CHANGE_NAME |

                      REG_NOTIFY_CHANGE_ATTRIBUTES |

                      REG_NOTIFY_CHANGE_LAST_SET |

                      REG_NOTIFY_CHANGE_SECURITY; 

    HANDLE hEvent;

    HKEY   hMainKey;

    HKEY   hKey;

    LONG   lErrorCode;

    // Display the usage error message.

    if (argc != )

    {

       _tprintf(TEXT("Usage: notify [HKLM|HKU|HKCU|HKCR|HCC] [<subkey>]\n"));

       return;

    }

    // Convert parameters to appropriate handles.

    if (_tcscmp(TEXT("HKLM"), argv[]) == ) hMainKey=HKEY_LOCAL_MACHINE;

    else if(_tcscmp(TEXT("HKU"), argv[]) == ) hMainKey=HKEY_USERS;

    else if(_tcscmp(TEXT("HKCU"), argv[]) == ) hMainKey=HKEY_CURRENT_USER;

    else if(_tcscmp(TEXT("HKCR"), argv[]) == ) hMainKey=HKEY_CLASSES_ROOT;

    else if(_tcscmp(TEXT("HCC"), argv[]) == ) hMainKey=HKEY_CURRENT_CONFIG;

    else

    {

       _tprintf(TEXT("Usage: notify [HKLM|HKU|HKCU|HKCR|HCC] [<subkey>]\n"));

       return;

    }

    // Open a key.

     lErrorCode = RegOpenKeyEx(hMainKey, argv[], , KEY_NOTIFY, &hKey);

    if (lErrorCode != ERROR_SUCCESS)

    {

       _tprintf(TEXT("Error in RegOpenKeyEx (%d).\n"), lErrorCode);

       return;

    }

    // Create an event.

    hEvent = CreateEvent(NULL, TRUE, FALSE, NULL);

    if (hEvent == NULL)

    {

       _tprintf(TEXT("Error in CreateEvent (%d).\n"), GetLastError());

       return;

    }

    // Watch the registry key for a change of value.

    lErrorCode = RegNotifyChangeKeyValue(hKey,

                                         TRUE,

                                         dwFilter,

                                         hEvent,

                                         TRUE);

    if (lErrorCode != ERROR_SUCCESS)

    {

       _tprintf(TEXT("Error in RegNotifyChangeKeyValue (%d).\n"), lErrorCode);

       return;

    }

    // Wait for an event to occur.

    _tprintf(TEXT("Waiting for a change in the specified key...\n"));

    if (WaitForSingleObject(hEvent, INFINITE) == WAIT_FAILED)

    {

       _tprintf(TEXT("Error in WaitForSingleObject (%d).\n"), GetLastError());

       return;

    }

    else _tprintf(TEXT("\nChange has occurred.\n"));

    // Close the key.

    lErrorCode = RegCloseKey(hKey);

    if (lErrorCode != ERROR_SUCCESS)

    {

       _tprintf(TEXT("Error in RegCloseKey (%d).\n"), GetLastError());

       return;

    }

    // Close the handle.

    if (!CloseHandle(hEvent))

    {

       _tprintf(TEXT("Error in CloseHandle.\n"));

       return;

    }

 }

  暂时先这样解决吧,有什么好的方法再多多积累。



												


											
关于Ring3层的注册表监控的更多相关文章
	

    
								
  1. 用Visual studio11在Windows8上开发驱动实现注册表监控和过滤
		
    在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...
    
		
    2. 
						
  2. 入侵检测中需要监控的注册表路径研究(Windows Registry Security Check)
		
    1. Windows注册表简介 注册表(Registry,繁体中文版Windows称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息.早在Wind ...
    
		
    3. 
						
  3. Win64 驱动内核编程-15.回调监控注册表
		
    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...
    
		
    4. 
						
  4. 驱动开发:内核监控Register注册表回调
		
    在笔者前一篇文章<驱动开发:内核枚举Registry注册表回调>中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监 ...
    
		
    5. 
						
  5. Process Monitor监控进程操作注册表如何实现?
		
    http://zhidao.baidu.com/link?url=Kqav4qkQSprC5FnpHPOGJvhqvY9fJ9-Vdx9g_SWh4w5VOusdRJo4Vl7qIdrG4LwRJvr ...
    
		
    6. 
						
  6. [No000017F]如何监控注册表的修改
		
    今天我们将向您展示如何使用我们最喜欢的工具之一Proc Mon,在您更改PC上的组策略设置时查看编辑的注册表项. 使用Proc Mon查看组策略对象修改的注册表设置 您要做的第一件事就是从Sys In ...
    
		
    7. 
						
  7. Windows x86/ x64 Ring3层注入Dll总结
		
    欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言 提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线 ...
    
		
    8. 
						
  8. 病毒木马查杀实战第020篇:Ring3层主动防御之基本原理
		
    前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或 ...
    
		
    9. 
						
  9. Java 使用 JRegistry-1.8.1 读取和设置 windows 注册表
		
    在一个监控相关的Java项目中,需要读取windows系统的注册表,搜索到使用 JRegistery 可以解决.代码如下: /** * @author digdeep@126.com */ publi ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. sqlalchemy防sql注入
			
    银行对安全性要求高,其中包括基本的mysql防注入,因此,记录下相关使用方法: 注意:sqlalchemy自带sql防注入,但是在 execute执行 手写sql时 需要考虑此安全问题 对于 wher ...
    
			
    2. 
						
  2. gym/102253C Colorful Tree 树上计数
			
    题意:有一颗数,每个点有一个颜色,定义两点之间的距离为两点路径之间不同颜色的数目,问所有路径的距离和是多少? 思路:每个颜色的贡献为路径中有这个颜色的路径数.先假设所有路径都会经过一种颜色,再减去不会 ...
    
			
    3. 
						
  3. 第11篇Kubernetes部署微服务电商平台
			
        kubernetes部署sock-shop微服务电商平台: 准备条件   确保kubernetes可以访问:reg.yunwei.edu镜像库   需要准备镜像:       部署微服务    ...
    
			
    4. 
						
  4. ActiveMQ消息中间件Producer和Consumer
			
    ActiveMQ消息中间件Producer和Consumer 原创jethai2015-08-18 18:08:56评论(0)1480人阅读   生产者代码: 1 2 3 4 5 6 7 8 9 10 ...
    
			
    5. 
						
  5. PHPCMS如何修改网站名称,网站关键词,网站描述
			
    首先需要登录网站后台,填写管理员用户名密码之后,点击登 点击phpcms后台顶部的"设置"按钮,如下图所示. 然后点击"相关设置"下的"站点管理&qu ...
    
			
    6. 
						
  6. Hibernate  Session 4种对象状态
			
    站在持久化的角度.Hibernate把对象分为4中状态. 临时状态. 持久化状态.游离状态.删除状态. 1:Save()方法: //这个是验证:1:save方法使临时对象------>变成持久化 ...
    
			
    7. 
						
  7. js事件---同一个事件实现全选与反选功能
			
    背景: 点击头部按钮,实现全选与反选功能 1.绑定事件,把当前勾选状态传递给方法 $event <el-checkbox v-model="ModelCheckAll" cl ...
    
			
    8. 
						
  8. WebView loadRequest请求错误"NSURLConnection finished with error - code -1022"
			
    执行下面代码 [self.webView loadRequest:[NSURLRequest requestWithURL:[NSURL URLWithString:@"http://www ...
    
			
    9. 
						
  9. 爬虫问题之Unknown command: crawl
			
    出现这个问题,很大原因是爬虫没有在项目文件夹里运行,因为scrapy 这个爬虫框架封装好的一些命令,必须在框架内环境支持下才能运行 另外在环境目录下,还有很多命令,也必须在此路径环境下才能执行 可以通 ...
    
			
    10. 
						
  10. main()和代码块
			
    main方法 * main()方法的使用说明 * main方法是程序的主入口(一个主程序 先从main开始进行执行) * * * main方法也可以是一个普通的静态方法 代码块 代码块也是类的成员变量 ...
    
			
    11.