【2014-06-16】AntiSpy2.2 (支持win8，修正若干bug)

显示全部楼层 · 发表于 2013-3-7 09:57:25

freesoft00 发表于 2013-3-6 23:01
新版发布。
注册表部分处理强度还是不太够，有权限的键值无法处理

恩，目前操作注册表键值是用的标准的内核API，后期会考虑加强。

显示全部楼层 · 发表于 2013-3-7 14:46:17

h哥，内核模块刷新很慢啊，如果能提高操作反应速度和流畅性就完美了。

显示全部楼层 · 发表于 2013-3-7 15:15:23

本帖最后由 benlvan 于 2013-3-7 15:28 编辑

hu3167343 发表于 2013-3-7 09:57
恩，目前操作注册表键值是用的标准的内核API，后期会考虑加强。

直接COPY NTREG的代码，自行解析HIVE文件。

http://pogostick.net/~pnh/ntpasswd/chntpw-source-110511.zip

显示全部楼层 · 发表于 2013-3-7 15:32:10

benlvan 发表于 2013-3-7 15:15
直接COPY NTREG的代码，自行解析HIVE文件。

http://pogostick.net/~pnh/ntpasswd/chntpw-source-110 ...

嘿嘿，正想加入HIVE解析功能，不过freesoft00说的是删除等操作，貌似直接操作HIVE不太安全，具体还没有研究。

显示全部楼层 · 发表于 2013-3-7 15:37:07

hu3167343 发表于 2013-3-7 15:32
嘿嘿，正想加入HIVE解析功能，不过freesoft00说的是删除等操作，貌似直接操作HIVE不太安全，具体还没有研 ...

其实直接用CmDeleteKey/CmDeleteValueKey函数也可以，不过似乎不同系统下函数原型不太相同。

显示全部楼层 · 发表于 2013-3-7 15:42:33

benlvan 发表于 2013-3-7 15:37
其实直接用CmDeleteKey/CmDeleteValueKey函数也可以，不过似乎不同系统下函数原型不太相同。

恩，360的BAPI在操作注册表部分，很多都是调用了cm的函数。

显示全部楼层 · 发表于 2013-3-7 15:44:47

sayhi1984 发表于 2013-3-7 14:46
h哥，内核模块刷新很慢啊，如果能提高操作反应速度和流畅性就完美了。

1.2版本各个标签的展示速度都有优化，你可以试试。

显示全部楼层 · 发表于 2013-3-7 16:06:25

hu3167343 发表于 2013-3-7 15:42
恩，360的BAPI在操作注册表部分，很多都是调用了cm的函数。

其实用了CMXXX函数还是过不了在CmpCallback里拦截。。。
不过绕过CmpCallback也很简单，WIN64AST就是采用了NTAPI+绕过CmpCallback的方式来操作注册表。
当然32位系统还能各种HOOK，这个比较麻烦。在一个地方稍作手脚就能让你很不舒服，哈哈哈。

显示全部楼层 · 发表于 2013-3-7 17:08:59

本帖最后由 hu3167343 于 2013-3-7 17:14 编辑

benlvan 发表于 2013-3-7 16:06
其实用了CMXXX函数还是过不了在CmpCallback里拦截。。。
不过绕过CmpCallback也很简单，WIN64AST就是采用 ...

其实Reload kernel之后，然后调用新内核的函数，无惧hook啥的。

不过freesoft00兄说的是权限问题，应该不太一样，下次研究下。

显示全部楼层 · 发表于 2013-3-7 17:31:05

本帖最后由 benlvan 于 2013-3-7 17:38 编辑

hu3167343 发表于 2013-3-7 17:08
其实Reload kernel之后，然后调用新内核的函数，无惧hook啥的。

不过freesoft00兄说的是权限问 ...

我记得直接调用Zw函数是能绕过权限检查的。
你试试，设置一个键（KEY）的权限为“拒绝”（如图所示），然后你用regedit.exe删除不了，但是在驱动里用ZwDeleteKey是能删除的。
无标题.png

反正WIN64AST对这种带权限的键值是秒杀的。

[原创工具] 【2014-06-16】AntiSpy2.2 (支持win8，修正若干bug)