[原创开源]一种绕过注册表回调的新型方式（支持XP～WIN10）

Tesla.Angela · 发表于 2018-2-2 18:36:31

一般来说绕过注册表回调的方法有两种：
1、枚举所有回调然后进行反注册或修改结构体里记录的函数指针（参考《WIN64教程》#7.3）。
2、直接调用CM系列函数操作注册表。

这两种方法各有缺陷：
第1种方法容易被检测到，你可以乱改数据，别人也可以把数据改回去。
第2种方法很难获取正确的函数地址，函数原型和调用约定在不同的系统也不一样（大多数函数有两种以上的原型）。

经过几分钟的研究，我找到了第3种方法：

游客，如果您要查看本帖隐藏内容请回复

然而你以为绕过了回调又清理了HOOK就可以随意篡改注册表了么？注册表的世界里还有更神奇的东西。参见：

游客，如果您要查看本帖隐藏内容请回复

hzqst · 发表于 2018-2-2 18:42:46

前排，坐等Cmp***加入pg保护全家桶

xiaotaotao · 发表于 2018-2-2 18:43:30

感谢楼主的新年礼物

NOW刘 · 发表于 2018-2-2 18:43:58

感谢楼主无私分享

284406022 · 发表于 2018-2-2 18:44:35

来看看怎么绕过的

CleanLove · 发表于 2018-2-2 18:45:20

前排留名谢谢分享

flac · 发表于 2018-2-2 18:45:32

前排，感谢分享

hanhaochi · 发表于 2018-2-2 18:45:40

谢谢分享，必须打call

zjr230506 · 发表于 2018-2-2 18:47:33

感谢TA无私奉献

tangptr@126.com · 发表于 2018-2-2 18:50:41

走过路过

帐号		自动登录	找回密码
密码			加入我们

[原创开源]一种绕过注册表回调的新型方式（支持XP～WIN10）

评分