有驱动锁定IE主页的源码吗？

jackqiang

有驱动锁定IE主页的源码吗？

Tesla.Angela

这还不简单？
一般来说直接ZwSetValueKey就行了。

ywledoc

Tesla.Angela 发表于 2011-8-19 13:42
这还不简单？
一般来说直接ZwSetValueKey就行了。

亲，这种方法无法锁定哦~

ywledoc

Tesla.Angela 发表于 2011-8-19 13:42
这还不简单？
一般来说直接ZwSetValueKey就行了。

亲，hook的话，貌似好可以锁

KindOf

汗。。。这玩意难点就是加载驱动啦。能加载驱动。爱怎么搞就怎么搞吧。

Tesla.Angela

ywledoc 发表于 2011-8-19 14:19
亲，这种方法无法锁定哦~

什么意思？

oopww

求解释！~~

马大哈

ZwSetValueKey是设置注册表值,改主页的必经之路.

HOOK了它,就能让其它进程对它的调用都由你控制,是否允许.

jzy1115

不如hook ZwOpenKey好用

jackqiang

我现在用的 是用time 控件循环刷新 写入注册表 能被360或者其他软件拦截 能有效的躲过拦截的 代码吗？

Tesla.Angela

jackqiang 发表于 2011-8-23 11:37
我现在用的 是用time 控件循环刷新 写入注册表 能被360或者其他软件拦截 能有效的躲过拦截的 代码吗？

很明显是不行的。只会把你自己的程序搞死。

sunshinebean

你能想到的36蛋也能想到

你想加载驱动。。貌似不行吧,过的了他的驱动检测吗

Tesla.Angela

sunshinebean 发表于 2011-9-10 22:43
你能想到的36蛋也能想到

你想加载驱动。。貌似不行吧,过的了他的驱动检测吗

哈哈，笑死我了，怎么创造出新名词“36蛋”了！！！

sunshinebean

Tesla.Angela 发表于 2011-9-11 00:09
哈哈，笑死我了，怎么创造出新名词“36蛋”了！！！

360最后那个0不也可以喊蛋嘛

以前喜欢叫二百五

Tesla.Angela

sunshinebean 发表于 2011-9-11 12:49
360最后那个0不也可以喊蛋嘛

以前喜欢叫二百五

二百五、三百六、丧六灵等等名字都是群众耳熟能详的。;P

siuwai

我也不知道

oopww

baidu得到：
先修改主页，加载驱动就基本OK了吧！！！！

1. *++
   
2. 
   
3. HookZwSetValueKey
   
4. 
   
5. 编译以及调试环境：
   
6. 
   
7. Win2K3-sp1 DDK 2003 sp1
   
8. 
   
9. By : M80
   
10. 
    
11. --*/
    
12. 
    
13. 实现类似反黑精英的注册表启动项实时监控(我这里只实现了针对某个键值).
    
14. 
    
15. 测试的参数硬编码的,需要的朋友可以自己修改成用户态下交互的功能.
    
16. 
    
17. #include "ntddk.h"
    
18. #include <stdio.h>
    
19. 
    
20. extern NTSTATUS
    
21. ObQueryNameString(void *,
    
22. void *,
    
23. int size,
    
24. int *);
    
25. extern NTSYSAPI NTSTATUS NTAPI
    
26. ZwSetValueKey( IN HANDLE KeyHandle,
    
27. IN PUNICODE_STRING ValueName,
    
28. IN ULONG TitleIndex OPTIONAL,
    
29. IN ULONG Type,
    
30. IN PVOID Data,
    
31. IN ULONG DataSize);
    
32. // 声明原有函数
    
33. typedef NTSTATUS (*REALZWSETVALUEKEY)(
    
34. IN HANDLE KeyHandle,
    
35. IN PUNICODE_STRING ValueName,
    
36. IN ULONG TitleIndex OPTIONAL,
    
37. IN ULONG Type,
    
38. IN PVOID Data,
    
39. IN ULONG DataSize
    
40. );
    
41. // 定义一个原函数指针
    
42. REALZWSETVALUEKEY RealZwSetValueKey;
    
43. // 定义HOOK注册表设置内容的函数
    
44. NTSTATUS HookZwSetValueKey(
    
45. IN HANDLE KeyHandle,
    
46. IN PUNICODE_STRING ValueName,
    
47. IN ULONG TitleIndex OPTIONAL,
    
48. IN ULONG Type,
    
49. IN PVOID Data,
    
50. IN ULONG DataSize
    
51. );
    
52. // SYSTEMSERVICE 的定义
    
53. typedef struct ServiceDescriptorEntry
    
54. {
    
55.     unsigned int * ServiceTableBase;        // 关键字段, 指向系统服务分发例程的基地址
    
56.     unsigned int * ServiceCounterTableBase;
    
57.     unsigned int NumberOfServices;
    
58.     unsigned char * ParamTableBase;
    
59. }
    
60. ServiceDescriptorTableEntry_t, * PServiceDescriptorTableEntry_t;
    
61. __declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
    
62. #define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)
    
63. _function+1)]
    
64. 
    
65. void Driver_Unload(PDRIVER_OBJECT ) ;
    
66. PVOID GetPointer( HANDLE ) ;
    
67. NTSTATUS HookZwSetValueKey(
    
68. IN HANDLE ,
    
69. IN PUNICODE_STRING ,
    
70. IN ULONG TitleIndex ,
    
71. IN ULONG ,
    
72. IN PVOID ,
    
73. IN ULONG ) ;
    
74. 
    
75. void Driver_Unload(PDRIVER_OBJECT DriverObject)
    
76. {
    
77.     UNICODE_STRING usDosDeviceName;
    
78.     //恢复原来的函数指针
    
79.     (REALZWSETVALUEKEY)(SYSTEMSERVICE(ZwSetValueKey)) = RealZwSetValueKey;
    
80.     DbgPrint("HideFile_Unload Called\r\n");
    
81.     RtlInitUnicodeString(&usDosDeviceName, L"\\DosDevices\\MonitorReg");
    
82.     IoDeleteSymbolicLink(&usDosDeviceName);
    
83.     IoDeleteDevice(DriverObject->DeviceObject);
    
84. }
    
85. 
    
86. 
    
87. //驱动的入口函数
    
88. NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
    
89. {
    
90.     NTSTATUS    NtStatus = STATUS_SUCCESS;
    
91.     PDEVICE_OBJECT pDeviceObject = NULL;
    
92.     UNICODE_STRING usDriverName, usDosDeviceName;
    
93.     DbgPrint("DriverEntry Called\r\n");
    
94.     RtlInitUnicodeString(&usDriverName, L"\\Device\\MonitorReg");
    
95.     RtlInitUnicodeString(&usDosDeviceName, L"\\DosDevices\\MonitorReg");
    
96.     NtStatus = IoCreateDevice(pDriverObject,
    
97.     0,
    
98.     &usDriverName,
    
99.     FILE_DEVICE_UNKNOWN,
    
100.     FILE_DEVICE_SECURE_OPEN,
     
101.     FALSE,
     
102.     &pDeviceObject);
     
103.     if (STATUS_SUCCESS == NtStatus)
     
104.     {
     
105.         pDriverObject->DriverUnload = Driver_Unload;
     
106.     }
     
107.     IoCreateSymbolicLink(&usDosDeviceName, &usDriverName);
     
108.     // 保存 ZwSetValueKey 函数的入口地址
     
109.     RealZwSetValueKey = (REALZWSETVALUEKEY)(SYSTEMSERVICE(ZwSetValueKey));
     
110.     (REALZWSETVALUEKEY)(SYSTEMSERVICE(ZwSetValueKey)) = HookZwSetValueKey;
     
111.    
     
112.     return NtStatus ;
     
113. }
     
114. 
     
115. 
     
116. PVOID GetPointer( HANDLE handle )
     
117. {
     
118.     PVOID         pKey;
     
119.     if(!handle)
     
120.    return NULL;
     
121.     // ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject, 得到的指针转换成文件对象的
     
122. 指针
     
123.     if( ObReferenceObjectByHandle( handle, 0, NULL, KernelMode, &pKey, NULL ) != STATUS_SUCCESS )
     
124.     {
     
125.         pKey = NULL;
     
126.     }
     
127.     return pKey;
     
128. }
     
129. 
     
130. 
     
131. //HOOK设置注册表键值的函数
     
132. NTSTATUS HookZwSetValueKey(
     
133. IN HANDLE KeyHandle,
     
134. IN PUNICODE_STRING ValueName,
     
135. IN ULONG TitleIndex OPTIONAL,
     
136. IN ULONG Type,
     
137. IN PVOID Data,
     
138. IN ULONG DataSize)
     
139. {
     
140.     NTSTATUS rc;
     
141.     UNICODE_STRING *pUniName; //定义得到修改注册表的UNI路径
     
142.     ULONG actualLen;
     
143.     ANSI_STRING keyname,
     
144.     akeyname,
     
145.     m_keyname,
     
146.     m_akeyname;       //定义得到修改注册表的UNI路径
     
147.     PVOID pKey;
     
148.     RtlUnicodeStringToAnsiString( &akeyname, ValueName, TRUE);
     
149.     RtlUnicodeStringToAnsiString( &m_akeyname, ValueName, TRUE);
     
150.     RtlUpperString(&akeyname,&m_akeyname);
     
151.     RtlFreeAnsiString(&m_akeyname);
     
152.     // 得到文件对象的指针
     
153.     if( pKey = GetPointer( KeyHandle))
     
154.     {
     
155.         // 分配内存
     
156.         pUniName = ExAllocatePool( NonPagedPool, 512*2+2*sizeof(ULONG));
     
157.         pUniName->MaximumLength = 512*2;
     
158.         // 保证空间内没有不干净的数据
     
159.         memset(pUniName,0,pUniName->MaximumLength);
     
160.       
     
161.         if( NT_SUCCESS( ObQueryNameString( pKey, pUniName, 512*2, &actualLen) ) )
     
162.         {
     
163.             RtlUnicodeStringToAnsiString( &keyname, pUniName, TRUE);
     
164.             keyname.Buffer=_strupr(keyname.Buffer);
     
165.             akeyname.Buffer=_strupr(akeyname.Buffer);
     
166.             RtlUnicodeStringToAnsiString( &m_keyname, pUniName, TRUE);
     
167.             RtlUpperString(&keyname,&m_keyname);
     
168.             RtlFreeAnsiString(&m_keyname);
     
169.             if (strcmp
     
170. (keyname.Buffer,"\\REGISTRY\\MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN") == 0)
     
171.             {
     
172.                 if(strcmp(akeyname.Buffer,"TE_REGPROTECT") ==0 )   
     
173.                 {
     
174.                     DbgPrint("试图修改键值:%s的数据,已被拦截",akeyname.Buffer);
     
175.                     RtlFreeAnsiString(&akeyname);
     
176.                     RtlFreeAnsiString(&keyname);
     
177.                     // 释放内存
     
178.                     if(pUniName)
     
179.                     {
     
180.                         ExFreePool(pUniName);
     
181.                     }
     
182.                     return 0;
     
183.                 }
     
184.             }
     
185.         }
     
186.     }
     
187.     RtlFreeAnsiString(&akeyname);
     
188.     rc=RealZwSetValueKey(KeyHandle,ValueName,TitleIndex,Type,Data,DataSize);
     
189.     // 释放内存
     
190.     if(pUniName)
     
191.     {
     
192.         ExFreePool(pUniName);
     
193.     }
     
194.     return (rc);
     
195. }
     
196. 
     

复制代码

Tesla.Angela

oopww 发表于 2011-9-21 19:27
baidu得到：
先修改主页，加载驱动就基本OK了吧！！！！

用CmRegisterCallback来监控也不错！