1
好的,如果有人能解決這個問題,他們必須是一個天才,因爲它無處在網絡上!查找哪個進程訪問註冊表?
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
該程序檢測註冊表訪問,告訴你哪個過程做到了。
有誰知道我該怎麼做?我可以檢測到變化,但我不能得到這個過程。
在此先感謝
A
回答
3
它通過掛鉤系統調用完成。它將呼叫掛接到RegOpenKey(etc),並在將呼叫傳遞到realRegOpenKey之前記錄訪問註冊表的過程的所有信息。
請參閱EasyHook的庫,使它相對相對易於在Windows中編寫API掛鉤。
但是,當我說「easy」時,我的意思是「這裏是怪物!」 API掛鉤並不適合心臟病發作,在嘗試之前,您應該對Windows內部有非常好的工作知識。
+0
啊謝謝!所以基本上,我會一旦檢測到變化就'搶'一把鑰匙,然後掛鉤它?或者,在檢測到更改之前,是否需要執行此掛鉤? 對不起,這是我所知道的。今天早些時候我已經習慣了PInvoke,並且我最終學習了關於鉤子的知識! 謝謝 ps我需要在我的項目中包含哪些easyhook文件? .h和.dll? – Tom 2010-05-19 00:18:04
+0
您掛鉤RegOpenKey函數(說),然後每當進程調用RegOpenKey,您的函數被調用,而不是真正的。然後記錄傳入的參數並交給* real * RegOpenKey來完成實際工作。正如我所說的,這不是因爲內心的淡淡,老實說,如果你今天才剛剛瞭解P/Invoke,那麼我認爲你不準備開始尋找API hooking ... Mark Russinovich( Process Monitor的作者)已經從事Windows編程工作了15年,是一位操作系統專家。 – 2010-05-19 00:41:53
0
如果您只是想了解正在做什麼,那麼您可以使用ProcessMonitor或Sysinternals中的其他派生工具之一,現在由Microsoft作爲Winternals運行。請參閱程序清單here。
如果你想寫一個程序來做到這一點,你必須鉤住註冊表訪問功能。這個源代碼可以在Sysinternals工具的存檔中找到。它似乎不再適用於該程序。
相關問題
- 1. 註冊表訪問問題
- 2. 訪問Windows註冊表Python
- 3. vb6:訪問註冊表值
- 4. 訪問Windows註冊表
- 5. 從ASP.Net註冊表訪問
- 6. 可訪問Bluemix容器註冊表進行訪問控制?
- 7. 從System.Diagnostics.Process.Start()方法啓動的進程訪問註冊表項
- 8. 查找哪些BroadcastReceivers已註冊?
- 9. 註冊表監控,包括內核模式註冊表訪問?
- 10. 註冊表訪問異常問題
- 11. 註冊插件,訪問註冊數據
- 12. 註冊多線程的Windows註冊表的進程的副本
- 13. 訪問查找表
- 14. 無法訪問某些註冊表項
- 15. 的Windows 10的註冊表訪問
- 16. Docker無法訪問openshift的註冊表
- 17. 從Web服務訪問註冊表
- 18. 無法訪問註冊表HKLM鍵
- 19. 訪問Windows註冊表使用ADO .Net
- 20. 訪問被拒絕註冊表
- 21. 模擬和CurrentUser註冊表訪問
- 22. 如何監視註冊表訪問? [C#]
- 23. VB2010和訪問Windows註冊表
- 24. 找出哪些程序的版本是從註冊表
- 25. 以編程方式訪問註冊表時出現問題
- 26. 從註冊表中查找MSXML版本
- 27. 哪個線程執行註冊動作
- 28. 爲特定進程掛接註冊表訪問的簡單方法
- 29. 註冊表問題
- 30. 訪問2010錯誤訪問系統註冊表
僅供參考:系統內核人員在涉及Windows時就非常有天才。 – JohnFx 2010-05-18 23:46:52