Драйвер фильтра реестра для XP

Question

Я хочу сделать драйвер фильтра реестра специально для Windows XP. Я знаю, что есть пример в официальном WinDDK, но он работает только в Windows 7.

Можно ли вообще разработать драйвер фильтра реестра для Windows XP? Любой код / ​​указатели будут высоко оценены.

Answer 1

Вы также можете подключить функции реестра API с помощью Microsoft Detours (или аналогичного пакета). Это не простая задача, чтобы исправить (все еще находя ошибки), но если вы готовы писать драйверы, то по сложности это не отличается Просто меньше синих экранов. Посмотрите, как подключить функции Nt или Zw в ntdll.

Answer 2

Да, это возможно, хотя я бы не советовал.

Сначала нужно подключить SSDT.Обратите внимание, что перехват SSDT не поддерживается в 64-битной XP ( Patch Guard ), вы должны понимать, что вы делаете ( BSOD hook ), не переносимы и ваше программное обеспечениепомечены как вредоносные программы.

Во-вторых, вам необходимо выполнить реверс-инжиниринг блоков управления ключами.Когда два разных приложения открывают один и тот же ключ, они получают два разных дескриптора, но их KCB уникален для обоих потоков.KCB - непрозрачная структура, поэтому WinDbg ваш друг здесь.

Answer 3

Нет, это невозможно. Для Windows XP вам нужно взломать таблицу API ядра . Это не рекомендуется, но для Windows XP это единственный вариант. Так работала программа Sysinternals RegMon.