在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。 
在Windows NT中,存在三种Device Driver:

1.“Virtual device Driver” (VDD)。通过VDD,16位应用程序,如DOS 和Win16应用程序可以访问特定的I/O端口(注意,不是直接访问,而是要通过VDD来实现访问)。

2.“GDI Driver”,提供显示和打印所需的GDI函数。

3.“Kernel Mode Driver”,实现对特定硬件的操作,比如说CreateFile, CloseHandle (对于文件对象而言), ReadFile, WriteFile, DeviceIoControl 等操作。“Kernel Mode Driver”还是Windows NT中唯一可以对硬件中断和DMA进行操作的Driver。SCSI 小端口驱动和 网卡NDIS 驱动都是Kernel Mode Driver的一种特殊形式。

Visual studio11与Windows8带来格外不同的新体验

1.启动Vs11

2.看见满目的驱动开发模板

3.选择一个驱动模式,有内核模式与用户模式两种的驱动

4.创建一个驱动程序,KMDF DriverMVP

5.我们选择的是内核模式的驱动程序,下面是创建成功后的界面,分别是驱动程序本身,与驱动安装包

6.按下F5,选择驱动编译,

#include "ntifs.h"

#include "RegistryCallBack.h"

#include <ntstrsafe.h>

NTSTATUS st;

LARGE_INTEGER g_CallbackCookie;

ANSI_STRING  astr;

VOID UnloadDriver(PDRIVER_OBJECT DriverObject);

NTSTATUS RegistryCallback(IN PVOID CallbackContext, IN PVOID Argument1, IN PVOID Argument2);

BOOLEAN GetRegistryObjectCompleteName(PUNICODE_STRING pRegistryPath, PUNICODE_STRING pPartialRegistryPath,PVOID pRegistryObject);

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{    

	DbgPrint("[RegRoutine]Loading!\n");

	DriverObject->DriverUnload = UnloadDriver;

	st = CmRegisterCallback(RegistryCallback,NULL,&g_CallbackCookie);

	if ( !NT_SUCCESS(st) )

	{

		DbgPrint("[RegRoutine]CmRegisterCallback Failed!\n");

		return st;

	}

	DbgPrint("[RegRoutine]RegistryCallback Addr:0x%08X\n",RegistryCallback);

	DbgPrint("[RegRoutine]Cookie.LowPart:0x%08X Cookie.HighPart:0x%08X\n",g_CallbackCookie.LowPart,g_CallbackCookie.HighPart);

    return st;

}

VOID UnloadDriver(PDRIVER_OBJECT DriverObject)

{

	CmUnRegisterCallback(g_CallbackCookie);

	DbgPrint("[RegRoutine]UnLoading!\n");

}

NTSTATUS

  RegistryCallback(

    IN PVOID  CallbackContext,

    IN PVOID  Argument1,

    IN PVOID  Argument2

    )

{

	int type;

	BOOLEAN exception = FALSE;

	BOOLEAN registryEventIsValid = FALSE;

	UNICODE_STRING registryPath;

	UCHAR* registryData = NULL;

	ULONG registryDataLength = 0;

	ULONG registryDataType = 0;

	registryPath.Length = 0;

	registryPath.MaximumLength = NTSTRSAFE_UNICODE_STRING_MAX_CCH * sizeof(WCHAR);

	registryPath.Buffer = ExAllocatePoolWithTag(NonPagedPool, registryPath.MaximumLength, 'ConT');

	if(registryPath.Buffer == NULL)

	{

		DbgPrint("[RegRoutine]Allocate registryPath failed!\n");

		return STATUS_SUCCESS;

	}

	type = (REG_NOTIFY_CLASS)Argument1;

	try

	{

		switch(type)

		{

			case RegNtPostCreateKey:

			{

				PREG_POST_CREATE_KEY_INFORMATION createKey = (PREG_POST_CREATE_KEY_INFORMATION)Argument2;

				if( NT_SUCCESS(createKey->Status) || createKey->Status == STATUS_PENDING ) //创建注册表项状态为成功和未决的都记录一下

				{

					PVOID* registryObject = createKey->Object;

					registryEventIsValid = GetRegistryObjectCompleteName(®istryPath, createKey->CompleteName,*registryObject);

					if ( registryEventIsValid )

					{

						RtlUnicodeStringToAnsiString(&astr,®istryPath,TRUE);

						DbgPrint("[RegCreated]KeyName:%s!\n",astr.Buffer);

						//如果创建的是自启动项,则警告一下

						if ( strstr(astr.Buffer,"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run") )

						{

							DbgPrint("[RegCreated]Forbin!\n");

							DbgPrint("[RegCreated]ForbinKeyName:%s!\n",astr.Buffer);

							RtlFreeAnsiString(&astr);

						}

						RtlFreeAnsiString(&astr);

					}

					else

						DbgPrint("[RegCreated]Get Key Name Failed!\n");

				}

			}

				break;

			//使用PreCreateKey可以阻止key的创建,但是能够作为判断依据的只有一个key的CompleteName,无法得到完整路径来判断

			case RegNtPreCreateKey:

			{

				PREG_PRE_CREATE_KEY_INFORMATION createKey = (PREG_PRE_CREATE_KEY_INFORMATION)Argument2;

				RtlCopyUnicodeString(®istryPath,createKey->CompleteName);

				RtlUnicodeStringToAnsiString(&astr,®istryPath,TRUE);

				DbgPrint("[RegRoutine]PreCreate:%s!\n",astr.Buffer);

				if ( !strcmp(astr.Buffer,"新项 #1") )

						{

							DbgPrint("[RegRoutine]Forbin!\n");

							DbgPrint("[RegRoutine]ForbinKeyName:%s!\n",astr.Buffer);

							RtlFreeAnsiString(&astr);

							return STATUS_INVALID_PARAMETER;

						}

				RtlFreeAnsiString(&astr);

			}

				break;

			case RegNtDeleteKey:

			{

				PREG_DELETE_KEY_INFORMATION deleteKey = (PREG_DELETE_KEY_INFORMATION)Argument2;

				registryEventIsValid = GetRegistryObjectCompleteName(®istryPath, NULL, deleteKey->Object);

				if ( registryEventIsValid )

					{

						RtlUnicodeStringToAnsiString(&astr,®istryPath,TRUE);

						DbgPrint("[RegDeletedKey]KeyName:%s!\n",astr.Buffer);

						if ( !strcmp(astr.Buffer,"\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ljh00001") )

						{

							DbgPrint("[RegDeletedKey]Forbin!\n");

							DbgPrint("[RegDeletedKey]ForbinKeyName:%s!\n");

							RtlFreeAnsiString(&astr);

							return STATUS_INVALID_PARAMETER;

						}

						RtlFreeAnsiString(&astr);

					}

			}

				break;

			case RegNtSetValueKey:

			{

				PREG_SET_VALUE_KEY_INFORMATION setvalue = (PREG_SET_VALUE_KEY_INFORMATION)Argument2;

				if( MmIsAddressValid(setvalue->ValueName) )

				{

					registryEventIsValid = GetRegistryObjectCompleteName(®istryPath, NULL, setvalue->Object);

					if ( registryEventIsValid )

					{

						RtlUnicodeStringToAnsiString(&astr,®istryPath,TRUE);

						DbgPrint("[RegSetValue]ValueParentPath:%s!\n",astr.Buffer);

						RtlFreeAnsiString(&astr);

					}

					RtlUnicodeStringToAnsiString(&astr,setvalue->ValueName,TRUE);

					DbgPrint("[RegSetValue]ValueName:%s!\n",astr.Buffer);

					RtlFreeAnsiString(&astr);

					//输出设置的键值的数据类型和大小,如果类型是REG_SZ则data是一个unicode_string,而数据大小为buffer长度

					//加上4字节长度的length和MaxLength再加上2个字节的结尾00的长度

					DbgPrint("[RegSetValue]ValueDataType:%X,DataSize:%X\n",setvalue->Type,setvalue->DataSize);

					if ( setvalue->Type == 1 ) //Type为REG_SZ,其它类型的数据暂时忽略

					{

						DbgPrint("[RegSetValue]Data:%ws\n",setvalue->Data);

					}

				}

			}

				break;

			case RegNtDeleteValueKey:

			{

				PREG_DELETE_VALUE_KEY_INFORMATION deletevalue = (PREG_DELETE_VALUE_KEY_INFORMATION)Argument2;

				if( MmIsAddressValid(deletevalue->ValueName) )

				{

					registryEventIsValid = GetRegistryObjectCompleteName(®istryPath, NULL, deletevalue->Object);

					if ( registryEventIsValid )

					{

						RtlUnicodeStringToAnsiString(&astr,®istryPath,TRUE);

						DbgPrint("[RegDelValue]ValueParentPath:%s!\n",astr.Buffer);

						RtlFreeAnsiString(&astr);

					}

					RtlUnicodeStringToAnsiString(&astr,deletevalue->ValueName,TRUE);

					DbgPrint("[RegDelValue]ValueName:%s!\n",astr.Buffer);

					if ( !strcmp(astr.Buffer,"ljh00001") )

						{

							DbgPrint("[RegDelValue]Forbin!\n");

							DbgPrint("[RegDelValue]ForbinKeyName:%s!\n");

							RtlFreeAnsiString(&astr);

							return STATUS_INVALID_PARAMETER;

						}

					RtlFreeAnsiString(&astr);

				}

			}

				break;

			case RegNtRenameKey:

			{

				PREG_RENAME_KEY_INFORMATION renamevalue = (PREG_RENAME_KEY_INFORMATION)Argument2;

				if( MmIsAddressValid(renamevalue->NewName) )

				{

					registryEventIsValid = GetRegistryObjectCompleteName(®istryPath, NULL, renamevalue->Object);

					if ( registryEventIsValid )

					{

						RtlUnicodeStringToAnsiString(&astr,®istryPath,TRUE);

						DbgPrint("[RegRenameKey]KeyPath:%s!\n",astr.Buffer);

						RtlFreeAnsiString(&astr);

					}

					RtlUnicodeStringToAnsiString(&astr,renamevalue->NewName,TRUE);

					DbgPrint("[RegRenameKey]KeyName:%s!\n",astr.Buffer);

					RtlFreeAnsiString(&astr);

				}

			}

				break;

			default:

				break;

		}

	}

	except( EXCEPTION_EXECUTE_HANDLER )

	{

		DbgPrint("[RegRoutine]Catch a Expection!\n");

		exception = TRUE;

		registryEventIsValid = FALSE;

	}

	if(registryPath.Buffer != NULL)

	{

		ExFreePoolWithTag(registryPath.Buffer, 'ConT');

	}

	return STATUS_SUCCESS;

}

BOOLEAN GetRegistryObjectCompleteName(PUNICODE_STRING pRegistryPath, PUNICODE_STRING pPartialRegistryPath, PVOID pRegistryObject)

{

	BOOLEAN foundCompleteName = FALSE;

	BOOLEAN partial = FALSE;

	NTSTATUS status;

	ULONG returnedLength;

	PUNICODE_STRING pObjectName = NULL;

	//判断object的有效性

	if( (!MmIsAddressValid(pRegistryObject)) || (pRegistryObject == NULL) )

	{

		DbgPrint("[RegRoutine]pRegistryObject Invalid!\n");

		return FALSE;

	}

	//使用ObQueryNameString来得到object对应的名称

	status = ObQueryNameString(pRegistryObject, (POBJECT_NAME_INFORMATION)pObjectName, 0, &returnedLength );

	if(status == STATUS_INFO_LENGTH_MISMATCH)	//第一次传的buffer长度为0,ObQueryNameString返回的结果必定是缓冲区大小不足

	{

		pObjectName = ExAllocatePoolWithTag(NonPagedPool, returnedLength, 'ConT'); //申请内存

		if ( pObjectName == NULL ) //申请内存失败则返回FALSE

		{

			DbgPrint("[RegRoutine]AllocatePool Failed!\n");

			return FALSE;

		}

		//查询名称

		status = ObQueryNameString(pRegistryObject, (POBJECT_NAME_INFORMATION)pObjectName, returnedLength, &returnedLength );

		if(NT_SUCCESS(status))

		{

			RtlUnicodeStringCopy(pRegistryPath, pObjectName);	//拷贝名称

			foundCompleteName = TRUE;

		}

		ExFreePoolWithTag(pObjectName, 'ConT');	//无论查询是否成功都应该释放内存

	}

	return foundCompleteName;

}

用Visual studio11在Windows8上开发驱动实现注册表监控和过滤的更多相关文章

  1. 用Visual studio2012在Windows8上开发内核驱动监视线程创建

    在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...

  2. 用Visual studio2012在Windows8上开发内核驱动监视进程创建

    在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...

  3. 64 位 Windows 平台开发注意要点之注册表重定向

    Window 系统错误代码 ERROR_SUCCESS,本博客中一律使用 NO_ERROR 代替.虽然 ERROR_SUCCESS 与 NO_ERROR 是完全等价的,都代表成功,但是后者却和其他错误 ...

  4. python测试开发django-35.xadmin注册表信息

    前言 xadmin后台如果要对表的内容增删改查,跟之前的admin.py文件里面写注册表信息一样,需在admin.py同一级目录新建一个adminx.py的文件. 然后在adminx.py文件控制页面 ...

  5. A电脑的gho还原到B电脑上的驱动解决方案

    近来给B笔记本做系统,我有一个gho,是A电脑的,我想直接把系统复制过去,我的这个gho有50G,里面已经配置好了java,安卓,cocos2dx的各种环境变量,安卓开发的朋友都知道这个有多恶心,我就 ...

  6. ArcGIS 10.2 二次开发,兼容Visual Studio 2012二次开发,完美安装教程

    GIS 经常安装是常有的事,每次重装系统都要浪费大半天去安装这个.所以凑这一次安装,把这个软件重新安装的步骤整理了一下,希望对大家有所帮助.这次整理的内容的关键优点是,对常见的出错内容进行了归纳整理. ...

  7. 驱动开发:内核监控Register注册表回调

    在笔者前一篇文章<驱动开发:内核枚举Registry注册表回调>中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监 ...

  8. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  9. S3C2440上LCD驱动(FrameBuffer)实例开发讲解

    一.开发环境 主  机:VMWare--Fedora 9 开发板:Mini2440--64MB Nand, Kernel:2.6.30.4 编译器:arm-linux-gcc-4.3.2 二.背景知识 ...

随机推荐

  1. 《C Primer Plus(第6版)(中文版)》普拉达(作者)epub+mobi+azw3

    内容简介 <C Primer Plus(第6版)中文版>详细讲解了C语言的基本概念和编程技巧. <C Primer Plus(第6版)中文版>共17章.第1.2章介绍了C语言编 ...

  2. Java安全中的“大坑”,跨平台真“浮云”

    Java安全HttpDB 最近在做一个开源项目HttpDB,它的目标是在互联网中通过JDBC安全的查询数据库,解决云计算报表的数据库访问问题. 数据传输使用AES加密算法,用到了Java提供的安全库j ...

  3. centos 虚拟机安装调试

    service network restart reboot yum update -y cd /etccd sysconfigcd network-scripts[root@u0mo5 networ ...

  4. 百度地图javascript API,每个功能每天免费的次数

  5. NO22 Linux正则表达式--grep命令常用参数

    Linux正则表达式:  一.基础正则第一波字符说明: 示例: 二.基础正则第二波字符说明:  三.基础正则第二波字符说明: 示例:  grep:一般常用参数 示例:+和*  ?和.:  |:  () ...

  6. Binary Tree和Binary Search Tree

    Binary TreeDefinition: at most two children node. Binary Tree Example: 10 ==root /      \ 13        ...

  7. HomePod即将发售,但硬件不再是苹果的救命稻草

    流年不利的苹果,在多个维度都遭到了重创.除了与高通纠缠不清的专利官司外,iPhone销量还直线下滑并影响到营收.最终,苹果股价.市值都处于暴跌态势.面对内外夹击的不利局面,苹果信奉多年的"封 ...

  8. SpringBoot-集成通用mapper

    SpringBoot-集成通用mapper SpringBoot-集成通用mapper ​ 我们在SpringBoot中整合了MyBatis,但是大量重复的增删改查还是很头疼的问题,MyBatis也给 ...

  9. centos6或7查看端口占用及解除占用

    一.查看端口占用 netstat -lnp|grep 要查看的端口号 例如:查看占用端口7000的进程 netstat -lnp|grep 7000 二.清除占用 (1)一次性的清除占用80端口的程序 ...

  10. 2020/2/22 74cms3.5.1 代码审计

    0x00 网站结构 简单试了一下.每一个模块还是比较清楚的,分别对应网站的一个模块.还有一些没有权限访问 0x01 通读代码 先看入口文件,index.php 开头先对网站是否安装做了判断 然后就是判 ...