廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4155 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
gamewalk
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x18
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[精華] 請問要怎麼監控註冊表?
最近碰到一個問題需要監控特定的註冊表(Registery),可是不知道它的原理是怎麼辦到的,我查過目前現有功能還蠻強的註冊表監控軟體 RegMon ,它可以把目前所有程式對註冊表更動 ..

訪客只能看到部份內容,免費 加入會員 或由臉書 Google 可以看到全部內容



[ 此文章被gamewalk在2006-05-01 13:41重新編輯 ]


獻花 x0 回到頂端 [樓 主] From:台灣永大數位動力公司 | Posted:2006-05-01 10:33 |
cmovies
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x20
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

以前 SysInternals 有開放 Source 給人下載. 現在版本都沒有了 :(
網路上找的到舊版的 Source, 你可以參考看看
http://www.vscodes.com/s...2397.html


獻花 x0 回到頂端 [1 樓] From:台灣中華電信 | Posted:2006-05-02 00:17 |
CarlFeynman
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x85
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

參見這裡: http://www.sysinternals.com...Regmon.html

On Windows NT, 2000 and XP the Regmon loads a device driver that uses a technique we pioneered for NT called system-call hooking. When a user-mode component makes a privileged system call, control is transfered to a software interrupt handler in NTOSKRNL.EXE (the core of the Windows NT operating system). This handler takes a system call number, which is passed in a machine register, and indexes into a system service table to find the address of the NT function that will handle the request. By replacing entries in this table with pointers to hooking functions, it is possible to intercept and replace, augment, or monitor NT system services. Regmon, which obviously hooks just the Registry-related services, is merely one example of this capability in action.

For more detailed information on how Regmon works on Windows NT, see:

"Windows NT System Call Hooking," by Mark Russinovich and Bryce Cogswell, Dr. Dobb's Journal, January 1997
"Inside NT Utilities", Windows NT Magazine, February 1999.


獻花 x0 回到頂端 [2 樓] From:台灣中華電信 | Posted:2006-05-02 00:19 |
CarlFeynman
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x85
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

補充說明: 如果你對 NT 系統不是很懂, 那你還是放棄吧, 這種東西不是這麼容易解釋清楚, 也不是一兩天就可以學會的. 就算是有了程式碼, 也是沒啥幫助.

樓上的程式碼, 看樣子是 9x 版本的程式碼, 無法套用到 NT 系統架構.
VxD 為 9x 特有, 有關 VxD 的詳細說明, 請參考 Google 搜尋.


獻花 x1 回到頂端 [3 樓] From:台灣中華電信 | Posted:2006-05-02 00:22 |
gamewalk
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x18
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

雖然說還是看不太懂~"~,不過我會慢慢研究....還是謝謝你們的幫忙 表情


[ 此文章被gamewalk在2006-05-02 00:51重新編輯 ]


獻花 x0 回到頂端 [4 樓] From:台灣永大數位動力公司 | Posted:2006-05-02 00:46 |
cmovies
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x20
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我找到時有確認了一下, 裡面有 SYS (For NT/2000) 的 Source 在 DD 的目錄下.
這個目錄名稱蠻奇怪的, 不曉的誰亂改的.
我剛剛有重新編譯所有 Source, 在 XP SP2 測試都正常.

我比較想知道的是他怎麼能夠偵測到哪些程式執行了那些API的function....但是我沒有查到有這種可以偵測的功能存在(不過也可能沒找清楚,因為很多~"~)...
-> 它本身用 Hook 的方式來攔截所有 Registry 的 function call, 一旦攔截到就可以取得 CurrentProcess. 再用 undocument 的方式去取得 Process Name.
這些都是在 REGSYS.c 裡面, 不過要有 NT DDK 的基礎才比較看的懂
有興趣可以看一下 HookRegistry, HookRegOpenKey, ..., GetProcess

此文章被評分,最近評分記錄
財富:30 (by codeboy) | 理由: 感謝您的提示喔...很不錯..^^


獻花 x1 回到頂端 [5 樓] From:台灣中華電信 | Posted:2006-05-02 01:08 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.059036 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言