[winapi]-Ukrywanie klucza w rejestrze

[TDK8GB]

Cześć!
Jak ukryć klucz w rejestrze albo zabezpieczyć przed usunięciem?

 

[Dark Smark]

Nigdy nie potrzebowałem takiej funkcjonalności więc nie wiem czy jest to możliwe, myślę że można zagrzebać gdzieś w hierarchi tak głęboko że nikt nie znajdzie. Drugi pomysł który myślę że jest bardzo często spotykany to program typu rezydent. Co robi rezydent? W odpowiednich odstępach czasu sprawdza czy klucz nadal istnieje, jeśli nie tworzy go na nowo, w ten sposób chroni przed usunięciem. Taki trochę ochroniarz . Co Ty na to?

 

[meViu]

Jest lepsze rozwiązanie niż dodawanie klucza co określony czas. Poczytaj o funkcji: RegNotifyChangeKeyValue().

 

[Do4Got]

Jest jeszcze lepsze rozwiązanie.
Hook na NtEnumerateValueKey(); - jedna z funkcjonalności rootkita.
To całkowicie ukryje klucz w rejestrze.

 

[TDK8GB]

Jak dałem hook na klawiaturę to odrazu avg wykrył to.
A i jak założyć ten hook funkcją setwindowshookex()?

 

[Do4Got]

Jak dałem hook na klawiaturę to odrazu avg wykrył to.
A i jak założyć ten hook funkcją setwindowshookex()?

Nie.
Musisz "podmienić" oryginalne NtEnumerateValueKey(); z nowym który odfiltruje klucz który chcesz ukryć.

 

[TDK8GB]

Mam pytanie. W jakim pliku nagłówkowym jest ta funkcja( bo mam błąd error C3861: 'NtEnumerateValueKey': identifier not found)?

 

[Do4Got]

Mam pytanie. W jakim pliku nagłówkowym jest ta funkcja( bo mam błąd error C3861: 'NtEnumerateValueKey': identifier not found)?

Musisz ją sam napisać i założyć hooka
Zaglądnij do jakiegoś rootkita, a jak nie umiesz tego zaimplementować to nie próbuj bo sie nie uda.

 

[TDK8GB]

Myślałem ,że to będzie dużo łatwiejsze. ;P

 

[D.F.]

Żeby zrozumieć zasadę działania hooków na funkcje ściągnij Microsoft Detours.