在笔者前一篇文章《内核枚举Registry注册表回调》中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控,注册表监视通常会通过CmRegisterCallback创建监控事件并传入自己的回调函数,与该创建对应的是CmUnRegisterCallback当注册表监控结束后可用于注销回调。

CmRegisterCallback和CmUnRegisterCallback是Windows操作系统提供的两个内核API函数,用于注册和取消注册注册表回调函数。

注册表回调函数是一种内核回调函数,它可以用于监视和拦截系统中的注册表操作,例如键值的创建、修改和删除等。当有相关操作发生时,操作系统会调用注册的注册表回调函数,并将操作相关的信息传递给回调函数。

CmRegisterCallback函数用于注册注册表回调函数,而CmUnRegisterCallback函数则用于取消注册已经注册的回调函数。开发者可以在注册表回调函数中执行自定义的逻辑,例如记录日志、过滤敏感数据、或者阻止某些操作。

需要注意的是,注册表回调函数的注册和取消注册必须在内核模式下进行,并且需要开发者有一定的内核开发经验。同时,注册表回调函数也需要遵守一些约束条件,例如不能阻塞或挂起进程或线程的创建或访问,不能调用一些内核API函数等。

内核监控Register注册表回调在安全软件、系统监控和调试工具等领域有着广泛的应用。开发者可以利用这个机制来监视和拦截系统中的注册表操作,以保护系统安全。

  • CmRegisterCallback 设置注册表回调
  • CmUnRegisterCallback 注销注册表回调

默认情况下CmRegisterCallback需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。

// 参数1:回调函数地址

// 参数2:无作用

// 参数3:回调句柄

NTSTATUS CmRegisterCallback(

  [in]           PEX_CALLBACK_FUNCTION Function,

  [in, optional] PVOID                 Context,

  [out]          PLARGE_INTEGER        Cookie

);

自定义注册表回调函数MyLySharkCallback需要保留三个参数,CallbackContext回调上下文,Argument1是操作类型,Argument2定义详细结构体指针。

NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)

在自定义回调函数内Argument1则可获取到操作类型,类型是一个REG_NOTIFY_CLASS枚举结构,微软对其的具体定义如下所示。

typedef enum _REG_NOTIFY_CLASS {

    RegNtDeleteKey,

    RegNtPreDeleteKey = RegNtDeleteKey,

    RegNtSetValueKey,

    RegNtPreSetValueKey = RegNtSetValueKey,

    RegNtDeleteValueKey,

    RegNtPreDeleteValueKey = RegNtDeleteValueKey,

    RegNtSetInformationKey,

    RegNtPreSetInformationKey = RegNtSetInformationKey,

    RegNtRenameKey,

    RegNtPreRenameKey = RegNtRenameKey,

    RegNtEnumerateKey,

    RegNtPreEnumerateKey = RegNtEnumerateKey,

    RegNtEnumerateValueKey,

    RegNtPreEnumerateValueKey = RegNtEnumerateValueKey,

    RegNtQueryKey,

    RegNtPreQueryKey = RegNtQueryKey,

    RegNtQueryValueKey,

    RegNtPreQueryValueKey = RegNtQueryValueKey,

    RegNtQueryMultipleValueKey,

    RegNtPreQueryMultipleValueKey = RegNtQueryMultipleValueKey,

    RegNtPreCreateKey,

    RegNtPostCreateKey,

    RegNtPreOpenKey,

    RegNtPostOpenKey,

    RegNtKeyHandleClose,

    RegNtPreKeyHandleClose = RegNtKeyHandleClose,

    //

    // .Net only

    //

    RegNtPostDeleteKey,

    RegNtPostSetValueKey,

    RegNtPostDeleteValueKey,

    RegNtPostSetInformationKey,

    RegNtPostRenameKey,

    RegNtPostEnumerateKey,

    RegNtPostEnumerateValueKey,

    RegNtPostQueryKey,

    RegNtPostQueryValueKey,

    RegNtPostQueryMultipleValueKey,

    RegNtPostKeyHandleClose,

    RegNtPreCreateKeyEx,

    RegNtPostCreateKeyEx,

    RegNtPreOpenKeyEx,

    RegNtPostOpenKeyEx,

    //

    // new to Windows Vista

    //

    RegNtPreFlushKey,

    RegNtPostFlushKey,

    RegNtPreLoadKey,

    RegNtPostLoadKey,

    RegNtPreUnLoadKey,

    RegNtPostUnLoadKey,

    RegNtPreQueryKeySecurity,

    RegNtPostQueryKeySecurity,

    RegNtPreSetKeySecurity,

    RegNtPostSetKeySecurity,

    //

    // per-object context cleanup

    //

    RegNtCallbackObjectContextCleanup,

    //

    // new in Vista SP2

    //

    RegNtPreRestoreKey,

    RegNtPostRestoreKey,

    RegNtPreSaveKey,

    RegNtPostSaveKey,

    RegNtPreReplaceKey,

    RegNtPostReplaceKey,

    MaxRegNtNotifyClass //should always be the last enum

} REG_NOTIFY_CLASS;

其中对于注册表最常用的监控项为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。

  • RegNtPreCreateKey 创建注册表之前
  • RegNtPreOpenKey 打开注册表之前
  • RegNtPreDeleteKey 删除注册表之前
  • RegNtPreDeleteValueKey 删除键值之前
  • RegNtPreSetValueKey 修改注册表之前

如果需要实现监视则,首先CmRegisterCallback注册一个自定义回调,当有消息时则触发MyLySharkCallback其内部获取到lOperateType操作类型,并通过switch选择不同的处理例程,每个处理例程都通过GetFullPath得到注册表完整路径,并打印出来,这段代码实现如下。

#include <ntifs.h>

#include <windef.h>

// 未导出函数声明 pEProcess -> PID

PUCHAR PsGetProcessImageFileName(PEPROCESS pEProcess);

NTSTATUS ObQueryNameString(

    _In_ PVOID Object,

    _Out_writes_bytes_opt_(Length) POBJECT_NAME_INFORMATION ObjectNameInfo,

    _In_ ULONG Length,

    _Out_ PULONG ReturnLength

    );

// 注册表回调Cookie

LARGE_INTEGER g_liRegCookie;

// 获取注册表完整路径

BOOLEAN GetFullPath(PUNICODE_STRING pRegistryPath, PVOID pRegistryObject)

{

    // 判断数据地址是否有效

    if ((FALSE == MmIsAddressValid(pRegistryObject)) ||

        (NULL == pRegistryObject))

    {

        return FALSE;

    }

    // 申请内存

    ULONG ulSize = 512;

    PVOID lpObjectNameInfo = ExAllocatePool(NonPagedPool, ulSize);

    if (NULL == lpObjectNameInfo)

    {

        return FALSE;

    }

    // 获取注册表路径

    ULONG ulRetLen = 0;

    NTSTATUS status = ObQueryNameString(pRegistryObject, (POBJECT_NAME_INFORMATION)lpObjectNameInfo, ulSize, &ulRetLen);

    if (!NT_SUCCESS(status))

    {

        ExFreePool(lpObjectNameInfo);

        return FALSE;

    }

    // 复制

    RtlCopyUnicodeString(pRegistryPath, (PUNICODE_STRING)lpObjectNameInfo);

    // 释放内存

    ExFreePool(lpObjectNameInfo);

    return TRUE;

}

// 注册表回调函数

NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)

{

    NTSTATUS status = STATUS_SUCCESS;

    UNICODE_STRING ustrRegPath;

    // 获取操作类型

    LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;

    // 申请内存

    ustrRegPath.Length = 0;

    ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);

    ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);

    if (NULL == ustrRegPath.Buffer)

    {

        return status;

    }

    RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);

    // 判断操作

    switch (lOperateType)

    {

        // 创建注册表之前

    case RegNtPreCreateKey:

    {

        // 获取注册表路径

        GetFullPath(&ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->RootObject);

        DbgPrint("[创建注册表][%wZ][%wZ]\n", &ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName);

        break;

    }

    // 打开注册表之前

    case RegNtPreOpenKey:

    {

        // 获取注册表路径

        GetFullPath(&ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->RootObject);

        DbgPrint("[打开注册表][%wZ][%wZ]\n", &ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName);

        break;

    }

    // 删除键之前

    case RegNtPreDeleteKey:

    {

        // 获取注册表路径

        GetFullPath(&ustrRegPath, ((PREG_DELETE_KEY_INFORMATION)Argument2)->Object);

        DbgPrint("[删除键][%wZ] \n", &ustrRegPath);

        break;

    }

    // 删除键值之前

    case RegNtPreDeleteValueKey:

    {

        // 获取注册表路径

        GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);

        DbgPrint("[删除键值][%wZ][%wZ] \n", &ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName);

        // 获取当前进程, 即操作注册表的进程

        PEPROCESS pEProcess = PsGetCurrentProcess();

        if (NULL != pEProcess)

        {

            UCHAR *lpszProcessName = PsGetProcessImageFileName(pEProcess);

            if (NULL != lpszProcessName)

            {

                DbgPrint("进程 [%s] 删除了键值对 \n", lpszProcessName);

            }

        }

        break;

    }

    // 修改键值之前

    case RegNtPreSetValueKey:

    {

        // 获取注册表路径

        GetFullPath(&ustrRegPath, ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->Object);

        DbgPrint("[修改键值][%wZ][%wZ] \n", &ustrRegPath, ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->ValueName);

        break;

    }

    default:

        break;

    }

    // 释放内存

    if (NULL != ustrRegPath.Buffer)

    {

        ExFreePool(ustrRegPath.Buffer);

        ustrRegPath.Buffer = NULL;

    }

    return status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

    // 注销当前注册表回调

    if (0 < g_liRegCookie.QuadPart)

    {

        CmUnRegisterCallback(g_liRegCookie);

    }

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint(("hello lyshark \n"));

    // 设置注册表回调

    NTSTATUS status = CmRegisterCallback(MyLySharkCallback, NULL, &g_liRegCookie);

    if (!NT_SUCCESS(status))

    {

        g_liRegCookie.QuadPart = 0;

        return status;

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行驱动程序,则会输出当前系统中所有针对注册表的操作,如下图所示。

如上的代码只能实现注册表项的监视,而如果需要监控则需要在回调函数MyLySharkCallback判断,如果指定注册表项是需要保护的则直接返回status = STATUS_ACCESS_DENIED;从而达到保护注册表的目的,核心代码如下所示。

// 反注册表删除回调

NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)

{

    NTSTATUS status = STATUS_SUCCESS;

    UNICODE_STRING ustrRegPath;

    // 获取操作类型

    LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;

    ustrRegPath.Length = 0;

    ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);

    ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);

    if (NULL == ustrRegPath.Buffer)

    {

        return status;

    }

    RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);

    // 判断操作

    switch (lOperateType)

    {

        // 删除键值之前

    case RegNtPreDeleteValueKey:

    {

        // 获取注册表路径

        GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);

        DbgPrint("[删除键值][%wZ][%wZ]\n", &ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName);

        // 如果要删除指定注册表项则拒绝

        PWCH pszRegister = L"\\REGISTRY\\MACHINE\\SOFTWARE\\lyshark";

        if (wcscmp(ustrRegPath.Buffer, pszRegister) == 0)

        {

            DbgPrint("[lyshark] 注册表项删除操作已被拦截! \n");

            // 拒绝操作

            status = STATUS_ACCESS_DENIED;

        }

        break;

    }

    default:

        break;

    }

    // 释放内存

    if (NULL != ustrRegPath.Buffer)

    {

        ExFreePool(ustrRegPath.Buffer);

        ustrRegPath.Buffer = NULL;

    }

    return status;

}

运行驱动程序,然后我们尝试删除\\LyShark\HKEY_LOCAL_MACHINE\SOFTWARE\lyshark里面的子项,则会提示如下信息。

当然这里的RegNtPreDeleteValueKey是指的删除操作,如果将其替换成RegNtPreSetValueKey,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。

// 拦截创建操作

NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)

{

    NTSTATUS status = STATUS_SUCCESS;

    UNICODE_STRING ustrRegPath;

    // 获取操作类型

    LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;

    // 申请内存

    ustrRegPath.Length = 0;

    ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);

    ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);

    if (NULL == ustrRegPath.Buffer)

    {

        return status;

    }

    RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);

    // 判断操作

    switch (lOperateType)

    {

    // 修改键值之前

    case RegNtPreSetValueKey:

    {

        // 获取注册表路径

        GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);

        // 拦截创建

        PWCH pszRegister = L"\\REGISTRY\\MACHINE\\SOFTWARE\\lyshark";

        if (wcscmp(ustrRegPath.Buffer, pszRegister) == 0)

        {

            DbgPrint("[lyshark] 注册表项创建操作已被拦截! \n");

            status = STATUS_ACCESS_DENIED;

        }

        break;

    }

    default:

        break;

    }

    // 释放内存

    if (NULL != ustrRegPath.Buffer)

    {

        ExFreePool(ustrRegPath.Buffer);

        ustrRegPath.Buffer = NULL;

    }

    return status;

}

加载驱动保护,然后我们尝试在\\LyShark\HKEY_LOCAL_MACHINE\SOFTWARE\lyshark里面创建一个子项,则会提示创建失败。

7.5 Windows驱动开发:监控Register注册表回调的更多相关文章

  1. 驱动开发:内核监控Register注册表回调

    在笔者前一篇文章<驱动开发:内核枚举Registry注册表回调>中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监 ...

  2. 64 位 Windows 平台开发注意要点之注册表重定向

    Window 系统错误代码 ERROR_SUCCESS,本博客中一律使用 NO_ERROR 代替.虽然 ERROR_SUCCESS 与 NO_ERROR 是完全等价的,都代表成功,但是后者却和其他错误 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  5. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  6. 入侵检测中需要监控的注册表路径研究(Windows Registry Security Check)

    1. Windows注册表简介 注册表(Registry,繁体中文版Windows称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息.早在Wind ...

  7. Windows 驱动开发 - 7

    在<Windows 驱动开发 - 5>我们所说的读写操作在本篇实现. 在WDF中实现此功能主要为:EvtIoRead和EvtIoWrite. 首先,在EvtDeviceAdd设置以上两个回 ...

  8. Windows 驱动开发 - 8

    最后的一点开发工作:跟踪驱动. 一.驱动跟踪 1. 包括TMH头文件 #include "step5.tmh" 2. 初始化跟踪 在DriverEntry中初始化. WPP_INI ...

  9. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  10. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

随机推荐

  1. 如何在 Unity 游戏中集成 AI 语音识别?

    简介 语音识别是一项将语音转换为文本的技术,想象一下它如何在游戏中发挥作用?发出命令操纵控制面板或者游戏角色.直接与 NPC 对话.提升交互性等等,都有可能.本文将介绍如何使用 Hugging Fac ...

  2. 不使用kvm的qemu虚拟化

    本文记录的是在某些机器上并不支持kvm虚拟化,单纯使用qemu来完成虚拟机的创建和管理. 系统版本:centos 7 qemu版本:4.2 首先说明一下qemu和kvm的关系: qemu 是一个模拟器 ...

  3. 白嫖:GPT-4

    众所周知,GPT-4需要充OpenAI 的 Plus才能使用,Plus则需要每月20美金. 很多同学很想体验GPT-4,但一方面不想花钱,一方面想花也没那么容易花出去(懂的都懂) 我看到有人分享可以免 ...

  4. CO41创建生产订单维护增强字段

    一.CO41计划订单中新增增强字段 报表中新增字段,并可维护,当点击转换创建生产订单时,将四个字段的值,维护到生产订单对应的字段中 二.增强结构 在SFC_POCO中新增对应的字段 三.屏幕增强 找到 ...

  5. BOM批量查询

     1业务要求 1.当多层展开时: 根据"BOM应用程序"字段CAPID在TC04中取出"选择ID"TC04-CSLID: 再根据TCS41-CSLID= TC0 ...

  6. Blazor与Vue标签代码的可维护性对比

    通过一个简单示例来进行对比, Vue的ElementUI组件的行内编辑: Blazor的AntDesginBlazor组件的行内编辑: 区别: el-table-column的label属性相当于Co ...

  7. C#写日志工具类(新版)

    源码:https://gitee.com/s0611163/LogUtil 昨天打算把我以前写的一个C#写日志工具类放到GitHub上,却发现了一个BUG,当然,已经修复了. 然后写Demo对比了NL ...

  8. RocketMQ(2)---核心概念、特性、使用等

    对于RocketMQ而言,感觉官方提供的东西还是可以的:https://github.com/apache/rocketmq/tree/master/docs/cn

  9. linux tcpdump 使用小结(一)

    转载请注明出处: 很多情况在服务联调和定位过程中,需要在服务器上进行抓包进行问题定位.在Linux环境上使用tcpdump命令进行抓包: 1.tcpdump -s 0 -l -i any -w - p ...

  10. spring--JDK动态代理和CGLIB代理的区别

    JDK 动态代理和 CGLIB 代理是 Java 中常用的两种动态代理实现方式,它们各有特点和适用场景: JDK 动态代理: JDK 动态代理是基于接口的代理方式,它使用 Java 反射机制来创建代理 ...