小弟最近做一个做一个注册表监视工具,但是现在遇到一些技术问题,请高手指教!
我的思路是Hook了ZwSetValueKey以及ZwCreateProcessEx,但是在获取了其第一个操作参数HKEY之后的,我想从他能知晓当前操作的键的全部路径,比如SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run,因为从这个函数里,我还可以获取到项名和值.这样我便能得到整个修改的注册表的名字了.
请问高手,如何从一个HKEY获得这个路径呢?
ZwSetValueKey的定义如下:
NTSTATUS
NTAPI
ZwSetValueKey(
IN HANDLE KeyHandle, //现在得到这个参数,如何获取其具体的完整路径呢?
IN PUNICODE_STRING ValueName,
IN ULONG TitleIndex,
IN ULONG Type,
IN PVOID Data,
IN ULONG DataSize
);
在线等,先谢谢了...
我的思路是Hook了ZwSetValueKey以及ZwCreateProcessEx,但是在获取了其第一个操作参数HKEY之后的,我想从他能知晓当前操作的键的全部路径,比如SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run,因为从这个函数里,我还可以获取到项名和值.这样我便能得到整个修改的注册表的名字了.
请问高手,如何从一个HKEY获得这个路径呢?
ZwSetValueKey的定义如下:
NTSTATUS
NTAPI
ZwSetValueKey(
IN HANDLE KeyHandle, //现在得到这个参数,如何获取其具体的完整路径呢?
IN PUNICODE_STRING ValueName,
IN ULONG TitleIndex,
IN ULONG Type,
IN PVOID Data,
IN ULONG DataSize
);
在线等,先谢谢了...
解决方案 »
- sdk 的对话框上作图
- 关于自定义类中访问CPCBView或CFrameWnd或CPCBDoc类的公有变量的 问题再来100分,对之前的提问帖进行补充提问?
- 我先写了一个批处理文件,想把他的结果在一个窗口中显示,该如何做啊?
- 对话框上绘图,但是没有反应?
- CreateToolhelp32Snapshot的使用问题
- 我想通过编程方法取得WIN2000性能监视器计数器的值,应该怎么做?
- 怎么样获得系统的时钟?高手指点!
- 关于hook,要截获鼠标消息。功能--启动。。。。高手请进。。。thks !!!!!!在线。
- 请问:char * pStr; BSTR m_bstrA; pStr=(char *)_bstr_t(m_bstrA)如何解释,_bstr_t是类与(char *)强制转换???
- $$$多线程同时读同一个文件 如何不发生共享冲突???
- 需要实现USB驱动程序的自动打包安装
- 分页对话框怎么做?
不过还是感谢啊:)
创建一个全程共享空间
用HKEY做HASH KEY,做一个HASH表就行了
研究一下Windbg的!handle指令吧,我记得它可以读出句柄的类型,命名、路径等信息。