楼主: hu3167343
收起左侧

[原创工具] 【2014-06-16】AntiSpy2.2 (支持win8,修正若干bug)

  [复制链接]
hu3167343
 楼主| 发表于 2013-3-7 09:57:25 | 显示全部楼层
freesoft00 发表于 2013-3-6 23:01
新版发布。
注册表部分处理强度还是不太够,有权限的键值无法处理

恩,目前操作注册表键值是用的标准的内核API,后期会考虑加强。
sayhi1984
发表于 2013-3-7 14:46:17 | 显示全部楼层
h哥,内核模块刷新很慢啊,如果能提高操作反应速度和流畅性就完美了。
benlvan
发表于 2013-3-7 15:15:23 | 显示全部楼层
本帖最后由 benlvan 于 2013-3-7 15:28 编辑
hu3167343 发表于 2013-3-7 09:57
恩,目前操作注册表键值是用的标准的内核API,后期会考虑加强。


直接COPY NTREG的代码,自行解析HIVE文件。

http://pogostick.net/~pnh/ntpasswd/chntpw-source-110511.zip
hu3167343
 楼主| 发表于 2013-3-7 15:32:10 | 显示全部楼层
benlvan 发表于 2013-3-7 15:15
直接COPY NTREG的代码,自行解析HIVE文件。

http://pogostick.net/~pnh/ntpasswd/chntpw-source-110 ...

嘿嘿,正想加入HIVE解析功能,不过freesoft00说的是删除等操作,貌似直接操作HIVE不太安全,具体还没有研究。
benlvan
发表于 2013-3-7 15:37:07 | 显示全部楼层
hu3167343 发表于 2013-3-7 15:32
嘿嘿,正想加入HIVE解析功能,不过freesoft00说的是删除等操作,貌似直接操作HIVE不太安全,具体还没有研 ...

其实直接用CmDeleteKey/CmDeleteValueKey函数也可以,不过似乎不同系统下函数原型不太相同。
hu3167343
 楼主| 发表于 2013-3-7 15:42:33 | 显示全部楼层
benlvan 发表于 2013-3-7 15:37
其实直接用CmDeleteKey/CmDeleteValueKey函数也可以,不过似乎不同系统下函数原型不太相同。

恩,360的BAPI在操作注册表部分,很多都是调用了cm的函数。
hu3167343
 楼主| 发表于 2013-3-7 15:44:47 | 显示全部楼层
sayhi1984 发表于 2013-3-7 14:46
h哥,内核模块刷新很慢啊,如果能提高操作反应速度和流畅性就完美了。

1.2版本各个标签的展示速度都有优化,你可以试试。
benlvan
发表于 2013-3-7 16:06:25 | 显示全部楼层
hu3167343 发表于 2013-3-7 15:42
恩,360的BAPI在操作注册表部分,很多都是调用了cm的函数。

其实用了CMXXX函数还是过不了在CmpCallback里拦截。。。
不过绕过CmpCallback也很简单,WIN64AST就是采用了NTAPI+绕过CmpCallback的方式来操作注册表。
当然32位系统还能各种HOOK,这个比较麻烦。在一个地方稍作手脚就能让你很不舒服,哈哈哈。
hu3167343
 楼主| 发表于 2013-3-7 17:08:59 | 显示全部楼层
本帖最后由 hu3167343 于 2013-3-7 17:14 编辑
benlvan 发表于 2013-3-7 16:06
其实用了CMXXX函数还是过不了在CmpCallback里拦截。。。
不过绕过CmpCallback也很简单,WIN64AST就是采用 ...


其实Reload kernel之后,然后调用新内核的函数,无惧hook啥的。

不过freesoft00兄说的是权限问题,应该不太一样,下次研究下。
benlvan
发表于 2013-3-7 17:31:05 | 显示全部楼层
本帖最后由 benlvan 于 2013-3-7 17:38 编辑
hu3167343 发表于 2013-3-7 17:08
其实Reload kernel之后,然后调用新内核的函数,无惧hook啥的。

不过freesoft00兄说的是权限问 ...


我记得直接调用Zw函数是能绕过权限检查的。
你试试,设置一个键(KEY)的权限为“拒绝”(如图所示),然后你用regedit.exe删除不了,但是在驱动里用ZwDeleteKey是能删除的。
无标题.png
反正WIN64AST对这种带权限的键值是秒杀的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:16 , Processed in 0.106757 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表