|
一般来说绕过注册表回调的方法有两种:
1、枚举所有回调然后进行反注册或修改结构体里记录的函数指针(参考《WIN64教程》#7.3)。
2、直接调用CM系列函数操作注册表。
这两种方法各有缺陷:
第1种方法容易被检测到,你可以乱改数据,别人也可以把数据改回去。
第2种方法很难获取正确的函数地址,函数原型和调用约定在不同的系统也不一样(大多数函数有两种以上的原型)。
经过几分钟的研究,我找到了第3种方法:然而你以为绕过了回调又清理了HOOK就可以随意篡改注册表了么?注册表的世界里还有更神奇的东西。参见: |
|