CmRegisterCallbacks 获取注册表完整路径

xiaoc1026

没办法 被逼自己研究了下，特此公开，目前只在WIN2003 SP2 下测试，WIN64 应该也可以

1. 
   
2. //未公开结构申明  
   
3. typedef struct _CM_KEY_BODY
   
4. {
   
5.         ULONG   Type;
   
6.         PVOID   KeyControlBlock;
   
7.         PVOID   NotifyBlock;
   
8.         HANDLE  ProcessID;        // the owner process
   
9.         LIST_ENTRY KeyBodyList;    // key_nodes using the same kcb
   
10. } CM_KEY_BODY, *PCM_KEY_BODY;
    
11. 
    
12. typedef struct _CM_NAME_CONTROL_BLOCK
    
13. {
    
14.         USHORT Compressed;
    
15.         USHORT RefCount;
    
16.         ULONG ConvKey;
    
17.         void* NextHash;
    
18.         USHORT  NameLength;
    
19.         USHORT Name;
    
20. } CM_NAME_CONTROL_BLOCK, *PCM_NAME_CONTROL_BLOCK;
    
21. 
    
22. typedef struct _CM_KEY_CONTROL_BLOCK
    
23. {
    
24.         ULONG RefCount;
    
25.         ULONG ExtFlags: 8;
    
26.         ULONG PrivateAlloc: 1;
    
27.         ULONG Delete: 1;
    
28.         ULONG DelayedCloseIndex: 12;
    
29.         ULONG TotalLevels: 10;
    
30.         ULONG ConvKey;
    
31.         void* NextHash;
    
32.         void* KeyHive;
    
33.         ULONG KeyCell;
    
34.         void* ParentKcb;
    
35.         void* NameBlock;
    
36.         //...
    
37. 
    
38. }CM_KEY_CONTROL_BLOCK, *PCM_KEY_CONTROL_BLOCK;
    
39. 
    
40. //RegistryCallback 调用
    
41. case RegNtPreCreateKeyEx:
    
42.                         {
    
43.                                 PREG_CREATE_KEY_INFORMATION createKey = (PREG_CREATE_KEY_INFORMATION)Argument2;
    
44. 
    
45.                                 GetRegObjectCompletePath(createKey->RootObject, createKey->CompleteName, &registryPath);
    
46. 
    
47.                                 KdPrint(("[xiaoc] RegNtPreCreateKeyEx %wZ",registryPath));  
    
48. 
    
49.                                 enumType = REG_TYPE_CREATE;
    
50. 
    
51.                                 if( RegFilter(enumType, &registryPath, &g_stCreateReg) )
    
52.                                 {
    
53.                                         ntReg = STATUS_ACCESS_DENIED;
    
54.                                 }
    
55. 
    
56.                                 break;
    
57.                         }
    
58. 
    
59. BOOLEAN GetRegObjectCompletePath(PVOID pObject,PUNICODE_STRING pKeyName, PUNICODE_STRING pRootPath)
    
60. {
    
61.         BOOLEAN bRet = FALSE;
    
62.         PCM_KEY_BODY pKeyBody = NULL;
    
63.         PCM_KEY_CONTROL_BLOCK pKeyControlBlock = NULL;
    
64.         PCM_NAME_CONTROL_BLOCK pNameBlock = NULL;
    
65.         ANSI_STRING aniPath;
    
66.         char szBuf[MAX_LENGTH] = {0};
    
67.         int  nLen = 0;
    
68. 
    
69.         do
    
70.         {
    
71.                 if( !pObject || !MmIsAddressValid(pObject) )
    
72.                 {
    
73.                         RtlCopyUnicodeString(pRootPath, pKeyName);
    
74.                         RtlAppendUnicodeToString(pRootPath, L"\");
    
75.                         break;
    
76.                 }
    
77. 
    
78.                 pKeyBody = (PCM_KEY_BODY)pObject;
    
79. 
    
80.                 pKeyControlBlock = (PCM_KEY_CONTROL_BLOCK)pKeyBody->KeyControlBlock;
    
81. 
    
82.                 while(pKeyControlBlock)
    
83.                 {
    
84.                         pNameBlock = (PCM_NAME_CONTROL_BLOCK)pKeyControlBlock->NameBlock;
    
85. 
    
86.                         if( nLen + pNameBlock->NameLength + 1 >= MAX_LENGTH )
    
87.                         {
    
88.                                 break;
    
89.                         }                       
    
90. 
    
91.                         RtlMoveMemory(szBuf + pNameBlock->NameLength + 1, szBuf, nLen);
    
92. 
    
93.                         szBuf[0] = '\\';
    
94. 
    
95.                         RtlCopyMemory(szBuf + 1, &pNameBlock->Name, pNameBlock->NameLength);
    
96. 
    
97.                         nLen += pNameBlock->NameLength + 1;
    
98. 
    
99.                         pKeyControlBlock = (PCM_KEY_CONTROL_BLOCK)pKeyControlBlock->ParentKcb;
    
100. 
     
101.                         if( !MmIsAddressValid(pKeyControlBlock) )
     
102.                         {
     
103.                                 break;
     
104.                         }
     
105.                 }
     
106. 
     
107.                 RtlInitAnsiString(&aniPath, szBuf);
     
108.                 RtlAnsiStringToUnicodeString(pRootPath,&aniPath, FALSE);
     
109. 
     
110.                 if(pKeyName && pKeyName->Buffer)
     
111.                 {
     
112.                         RtlAppendUnicodeToString(pRootPath, pKeyName);
     
113.                         RtlAppendUnicodeToString(pRootPath, L"\");
     
114.                 }
     
115. 
     
116.                 bRet = TRUE;
     
117. 
     
118.         } while (FALSE);
     
119. 
     
120.         return bRet;
     
121. }

复制代码

Tesla.Angela

不错，加分鼓励一下。

xiaoc1026

WIN2008  和 WIN2003 _CM_KEY_CONTROL_BLOCK 结构居然不一样，坑爹了，肿么办。。。

1. 
   
2. //win2003
   
3. kd> dt nt!pKeyControlBlock
   
4. Local var @ 0xfffff880040c1328 Type _CM_KEY_CONTROL_BLOCK*
   
5. 0xfffff8a0`00022130
   
6.    +0x000 RefCount         : 0x23
   
7.    +0x004 ExtFlags         : 0y00000000 (0)
   
8.    +0x004 PrivateAlloc     : 0y0
   
9.    +0x004 Delete           : 0y0
   
10.    +0x004 DelayedCloseIndex : 0y000001000000 (0x40)
    
11.    +0x004 TotalLevels      : 0y0000000001 (0x1)
    
12.    +0x008 ConvKey          : 0x01cb892b`9c18eb70
    
13.    +0x010 NextHash         : 0x01cb892b`bd68092e
    
14.    +0x018 KeyHive          : (null)
    
15.    +0x020 KeyCell          : 0xfffff8a0`0000e010
    
16.    +0x028 ParentKcb        : 0x00000000`00000120
    
17.    +0x030 NameBlock        : (null)
    
18. 
    
19. //win2008
    
20. kd> dt nt!_CM_KEY_CONTROL_BLOCK 0xfffff8a0`00022130
    
21.    +0x000 RefCount         : 0x23
    
22.    +0x004 ExtFlags         : 0y0000000000000000 (0)
    
23.    +0x004 PrivateAlloc     : 0y1
    
24.    +0x004 Delete           : 0y0
    
25.    +0x004 HiveUnloaded     : 0y0
    
26.    +0x004 Decommissioned   : 0y0
    
27.    +0x004 LockTablePresent : 0y0
    
28.    +0x004 TotalLevels      : 0y0000000010 (0x2)
    
29.    +0x008 DelayedDeref     : 0y0
    
30.    +0x008 DelayedClose     : 0y0
    
31.    +0x008 Parking          : 0y0
    
32.    +0x010 KeyHash          : _CM_KEY_HASH
    
33.    +0x010 ConvKey          : 0xbd68092e
    
34.    +0x018 NextHash         : (null)
    
35.    +0x020 KeyHive          : 0xfffff8a0`0000e010 _HHIVE
    
36.    +0x028 KeyCell          : 0x120
    
37.    +0x030 KcbPushlock      : _EX_PUSH_LOCK
    
38.    +0x038 Owner            : (null)
    
39.    +0x038 SharedCount      : 0
    
40.    +0x040 SlotHint         : 0
    
41.    +0x048 ParentKcb        : 0xfffff8a0`00022008 _CM_KEY_CONTROL_BLOCK
    
42.    +0x050 NameBlock        : 0xfffff8a0`0000a700 _CM_NAME_CONTROL_BLOCK
    
43.    +0x058 CachedSecurity   : 0xfffff8a0`00021420 _CM_KEY_SECURITY_CACHE
    
44.    +0x060 ValueCache       : _CACHED_CHILD_LIST
    
45.    +0x070 IndexHint        : 0x01cb892b`00000007 _CM_INDEX_HINT_BLOCK
    
46.    +0x070 HashKey          : 7
    
47.    +0x070 SubKeyCount      : 7
    
48.    +0x078 KeyBodyListHead  : _LIST_ENTRY [ 0xfffff8a0`0153f2f0 - 0xfffff8a0`0253f3e0 ]
    
49.    +0x078 FreeListEntry    : _LIST_ENTRY [ 0xfffff8a0`0153f2f0 - 0xfffff8a0`0253f3e0 ]
    
50.    +0x088 KeyBodyArray     : [4] 0xfffff8a0`014332e0 _CM_KEY_BODY
    

复制代码

wode200910

不用硬编码啊~可以有函数得到Object名字的~

1. NTSTATUS
   
2.   ObQueryNameString(
   
3.     IN PVOID  Object,
   
4.     OUT POBJECT_NAME_INFORMATION  ObjectNameInfo,
   
5.     IN ULONG  Length,
   
6.     OUT PULONG  ReturnLength
   
7.     );
   

复制代码

kk1025

32位元和64位元應該也不一樣才對

kk1025

學習!!

kk1025

好東西!