[半原创]发个注册表保护的源码 - TaRegProtectDemo

HoviDelphic

无聊的注册表键值保护，能轻易在Ring 3下绕过。
不过网上键值保护的代码貌似比较少，所以还是公布出来吧！
仅仅Hook了三个函数：NtSetValueKey、NtDeleteValueKey、NtRestoreKey。
要完全保护键值，请参考卡巴斯基2010的SSDT HOOK列表。
KERNEL HOOK这东西，估计很快就没有市场了，因为x64不准HOOK。
破PatchGuard确实可以，不过估计没有人会用于商业软件，因为不稳定。

1. 
   
2. PVOID GetPointer( HANDLE handle )
   
3. {
   
4.     PVOID pKey;
   
5.     if(!handle)
   
6.   return NULL;
   
7.     if(ObReferenceObjectByHandle( handle, 0, NULL, KernelMode, &pKey, NULL ) != STATUS_SUCCESS )
   
8.         pKey = NULL;
   
9.     return pKey;
   
10. }
    
11. NTSTATUS fake_NtSetValueKey
    
12. (
    
13.     IN HANDLE KeyHandle,
    
14.     IN PUNICODE_STRING ValueName,
    
15.     IN ULONG TitleIndex OPTIONAL,
    
16.     IN ULONG Type,
    
17.     IN PVOID Data,
    
18.     IN ULONG DataSize
    
19. )
    
20. {
    
21. PVOID pKey;
    
22. UNICODE_STRING *pUniName;
    
23. ULONG actualLen;
    
24. ANSI_STRING keyname;
    
25. NTSTATUS status;
    
26. UNICODE_STRING uStrValueName,OurKey;
    
27. if(pKey = GetPointer( KeyHandle))
    
28. {
    
29.   //分配内存
    
30.   pUniName = ExAllocatePool(NonPagedPool, 1024*2);
    
31.   pUniName->MaximumLength = 512*2;
    
32.   //将pUniName里的内容清空
    
33.   memset(pUniName,0,pUniName->MaximumLength);
    
34.   //得到注册表项的路径
    
35.   if(NT_SUCCESS(ObQueryNameString(pKey, pUniName, 512*2, &actualLen)))
    
36.   {
    
37.    RtlUnicodeStringToAnsiString(&keyname, pUniName, TRUE);
    
38.    keyname.Buffer=_strupr(keyname.Buffer);//大写所有字母
    
39.    //判断是不是Run项
    
40.    if (strcmp(keyname.Buffer,"\\REGISTRY\\MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN") == 0)
    
41.    {
    
42.     RtlInitUnicodeString( &OurKey, L"test" );
    
43.     if( RtlCompareUnicodeString(ValueName,&OurKey,TRUE)==0 )
    
44.     {
    
45.      //释放内存
    
46.      RtlFreeAnsiString(&keyname);
    
47.      if(pUniName) ExFreePool(pUniName);
    
48.      return STATUS_ACCESS_DENIED;
    
49.     }
    
50.    }
    
51.   }
    
52. }
    
53. RtlFreeAnsiString(&keyname);
    
54. if(pUniName) ExFreePool(pUniName);
    
55. return Old_NtSetValueKey(KeyHandle,ValueName,TitleIndex,Type,Data,DataSize);
    
56. }
    
57. NTSTATUS fake_NtDeleteValueKey(IN HANDLE  KeyHandle,IN PUNICODE_STRING  ValueName)
    
58. {
    
59. PVOID pKey;
    
60. UNICODE_STRING *pUniName;
    
61. ULONG actualLen;
    
62. ANSI_STRING keyname;
    
63. NTSTATUS status;
    
64. UNICODE_STRING uStrValueName,OurKey;
    
65. if(pKey = GetPointer( KeyHandle))
    
66. {
    
67.   //分配内存
    
68.   pUniName = ExAllocatePool(NonPagedPool, 1024*2);
    
69.   pUniName->MaximumLength = 512*2;
    
70.   //将pUniName里的内容清空
    
71.   memset(pUniName,0,pUniName->MaximumLength);
    
72.   //得到注册表项的路径
    
73.   if(NT_SUCCESS(ObQueryNameString(pKey, pUniName, 512*2, &actualLen)))
    
74.   {
    
75.    RtlUnicodeStringToAnsiString(&keyname, pUniName, TRUE);
    
76.    keyname.Buffer=_strupr(keyname.Buffer); //大写所有字母
    
77.    //判断是不是Run项
    
78.    if (strcmp(keyname.Buffer,"\\REGISTRY\\MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN") == 0)
    
79.    {
    
80.     RtlInitUnicodeString( &OurKey, L"test" );
    
81.     if( RtlCompareUnicodeString(ValueName,&OurKey,TRUE)==0 )
    
82.     {
    
83.      //释放内存
    
84.      RtlFreeAnsiString(&keyname);
    
85.      if(pUniName) ExFreePool(pUniName);
    
86.      return STATUS_ACCESS_DENIED;
    
87.     }
    
88.    }
    
89.   }
    
90. }
    
91. RtlFreeAnsiString(&keyname);
    
92. if(pUniName) ExFreePool(pUniName);
    
93. return Old_NtDeleteValueKey(KeyHandle,ValueName);
    
94. }
    
95. NTSTATUS fake_NtRestoreKey(IN HANDLE KeyHandle, IN HANDLE FileHandle, IN ULONG RestoreOption)
    
96. {
    
97. PVOID pKey;
    
98. UNICODE_STRING *pUniName;
    
99. ULONG actualLen;
    
100. ANSI_STRING keyname;
     
101. NTSTATUS status;
     
102. UNICODE_STRING uStrValueName,OurKey;
     
103. if(pKey = GetPointer( KeyHandle))
     
104. {
     
105.   //分配内存
     
106.   pUniName = ExAllocatePool(NonPagedPool, 1024*2);
     
107.   pUniName->MaximumLength = 512*2;
     
108.   //将pUniName里的内容清空
     
109.   memset(pUniName,0,pUniName->MaximumLength);
     
110.   //得到注册表项的路径
     
111.   if(NT_SUCCESS(ObQueryNameString(pKey, pUniName, 512*2, &actualLen)))
     
112.   {
     
113.    RtlUnicodeStringToAnsiString(&keyname, pUniName, TRUE);
     
114.    keyname.Buffer=_strupr(keyname.Buffer); //大写所有字母
     
115.    //判断是不是Run项
     
116.    if (strcmp(keyname.Buffer,"\\REGISTRY\\MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN") == 0)
     
117.    {
     
118.     //释放内存
     
119.     RtlFreeAnsiString(&keyname);
     
120.     if(pUniName) ExFreePool(pUniName);
     
121.     return STATUS_ACCESS_DENIED;
     
122.    }
     
123.   }
     
124. }
     
125. RtlFreeAnsiString(&keyname);
     
126. if(pUniName) ExFreePool(pUniName);
     
127. return Old_NtRestoreKey(KeyHandle,FileHandle,RestoreOption);
     
128. }
     

复制代码

经测试，仅对regedit.exe和某菜鸟ARK的注册表键值修改、删除有效。

HoviDelphic

沙发不留。
破解方案：

游客，如果您要查看本帖隐藏内容请回复

xiaoly99

板凳 我来看看破解方案~

xiaoly99

额 这也叫......

HoviDelphic

我发现到了周末底层区的人气就特别旺。

everyone

看看绕过方案

oopww

X菜鸟是谁啊！？呵呵1···回复 2# HoviDelphic

oopww

为什么阅读权限是11！？？？

Tesla.Angela

回复 8# oopww


只可意会，不可言传。
我发现他还很喜欢玩进程，他的工具的特色就是进程保护和强杀，玩了几年都不厌。
如果我再写ARK，进程部分绝对不是重点。

Tesla.Angela

为什么阅读权限是11！？？？
oopww 发表于 2010-4-24 22:07

额，你不能下吗？多发点帖子嘛！要不，请老马帮你加点分？

Tesla.Angela

某菜鸟ARK。。。。。。
其实是某神牛懒得写HIVE,然后从网上完全COPY了一个
本网站最菜的人 发表于 2010-4-24 20:06

    在这个世界上，没有“懒得”这一说。

Tesla.Angela

对了，xiaoly99好像放过一个Inline Hook模板，OOPWW你去找找，自己增补一下代码就可以了。

oopww

好的回复 13# Tesla.Angela

oopww

怎么我权限突然到了20！！
     :victory:

马大哈

那还不好呀?嘿嘿.

oopww

非常感谢老马 嘿嘿。。。

乔丹二世

我也想下载

364589886

这个在驱动里有专门的设置回调的函数吧。。。。我的建议是，有正统的九阴真经时，尽量不要用hook这种邪门功夫，容易走火入魔

364589886

结果是把好好的九阴真经练成了九阴白骨爪

马大哈

记得有人说过,正规方式编程难度要大些,HOOK之类的由于只需要改个指针,相对容易,所以比较多的人当然是使用简单的方案,这毕竟是在写驱动.

不过好象这些简单的方案由于没有按系统的结构去工作,所以貌似有兼容性问题......比如硬编码啥的.....

reaten

学习

xbs2008

看破解

pe1011

不是解析hive?

ghostlanse

学习

zhudejun007

好东西啊呵呵

zhudejun007

我想看看

zhudejun007

我要学习学习

xueyao_zhjyl

参观学习 拿分

dagangwood

Thanks!

upring

感谢楼主的分享精神