0
當我使用C#時,我只能訪問用戶模式的註冊表訪問。C++可能訪問內核模式註冊表項訪問?
使用C++訪問內核模式註冊表訪問非常困難嗎?
我記得我讀過的地方可能需要創建一個虛擬的Windows驅動程序或其他東西嗎?
編輯:基本上作爲一個業餘愛好項目,我希望創建一個簡單的註冊表監視器。但是,我確實想要捕獲內核模式(以及用戶模式)註冊表訪問.....上次我做到了這一點,使用C#我無法訪問內核模式活動。
A
回答
2
有兩種方法來實現這一目標:
- 掛鉤的相關功能,在內核 - 傳統的方式 - 這需要一個C /內核驅動程序。這可能在x86 Windows上,但在x64 Kernel Patch Protection上將檢測到這些修改並關閉系統(使用藍屏)。
構建一個registry filter driver - 這是現在鼓勵的方式來解決這個問題,並且是流程監視器的工作方式。您也可以用這種方法構建文件系統過濾器驅動程序從本質上講,你只需要通過信息反饋給用戶空間,其歸結爲:
IoRegisterDevice(...somewhere in \Devices\YourDriverName...) IoCreateSymbolicLink(\\DosDevices\Name -> \Devices\YourDriverName)然後是C,C++,C#應用程序應該能夠打開文件
\\.\YourDriverName和DeviceIoControl它和接收響應。
這是可以使用C++編寫內核驅動程序,但see this before you embark on doing so。更清楚的是,你需要非常小心內核模式下的內存(分頁,非分頁),並且你不能訪問大部分標準庫。
順便說一句,你應該知道:
- 並非所有的註冊表配置單元都可以訪問內核模式驅動程序,這取決於上下文。
- 路徑不常見。因此,內核訪問
\Registry\System,而用戶訪問HKLM。
相關問題
- 1. 註冊表監控,包括內核模式註冊表訪問?
- 2. 閱讀內核模式註冊表訪問?
- 3. 註冊表訪問問題
- 4. 訪問註冊表項被拒絕(ABCPdf)
- 5. 無法訪問某些註冊表項
- 6. 模擬和CurrentUser註冊表訪問
- 7. vb6:訪問註冊表值
- 8. 註冊表訪問7.5
- 9. 訪問Windows註冊表
- 10. 訪問Windows註冊表Python
- 11. 從ASP.Net註冊表訪問
- 12. 如何監視註冊表訪問? [C#]
- 13. 在C中訪問註冊表#
- 14. 在C訪問Windows註冊表++與CRegKey
- 15. C#訪問64位註冊表
- 16. 在Windows 7上訪問註冊表C#
- 17. 可訪問Bluemix容器註冊表進行訪問控制?
- 18. 從內核模式訪問WinUSB設備
- 19. 「訪問註冊表項」全局「時訪問性能計數器時被拒絕
- 20. 內核模式 - 是否可以訪問用戶模式?
- 21. 註冊表訪問異常問題
- 22. 訪問註冊表項「......」 \t被拒絕到模擬的管理
- 23. C#刪除註冊表項訪問被拒絕
- 24. 註冊插件,訪問註冊數據
- 25. 註冊表訪問限制,增強保護模式
- 26. 訪問2010錯誤訪問系統註冊表
- 27. Django註冊管理訪問
- 28. 以編程方式訪問註冊表時出現問題
- 29. 無法獲得訪問註冊表鍵
- 30. 訪問被拒絕註冊表
無論你在說什麼?你能否進一步解釋你想要完成的事情?或舉一個例子? – paulsm4
這可能會幫助你:http://stackoverflow.com/questions/508614/create-a-new-windows-registry-key-using-c – doctorless
什麼是「內核模式註冊表訪問」,以及如何訪問它? – avakar