CN108897993A - 一种Windows注册表隐藏的方法 - Google Patents
一种Windows注册表隐藏的方法 Download PDFInfo
- Publication number
- CN108897993A CN108897993A CN201810592033.8A CN201810592033A CN108897993A CN 108897993 A CN108897993 A CN 108897993A CN 201810592033 A CN201810592033 A CN 201810592033A CN 108897993 A CN108897993 A CN 108897993A
- Authority
- CN
- China
- Prior art keywords
- windows
- registry
- program
- function
- credit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000011835 investigation Methods 0.000 claims abstract description 4
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
一种Windows注册表隐藏的方法,包括如下步骤:a)安装一个Windows消息钩子函数;b)将地址作为原始地址保存;c)当一Windows程序进行注册表查询及枚举操作时,Windows消息钩子函数对运行的该Windows程序的进程信息进行判断,如果进程信息符合管理员设置的授信进程则授信此程序进行注册表查询及枚举操作并使用步骤b)中原始地址调研注册表操作函数完成注册表操作,如果进程信息不符合管理员设置的授信进程则授信此程序则禁止此程序对注册表进行查询及枚举操作。可以有效防止不授信的程序想要通过枚举或查询的方式获取注册表项及值等相关信息,提高了注册表的安全性。
Description
技术领域
本发明涉及Windows注册表安全技术领域,具体涉及一种Windows注册表隐藏的方法。
背景技术
注册表是Microsoft Windows中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
注册表中记录了很多信息,其中有很多信息是企业管理人员不想让普通用户或者其他进程进行查询和枚举获取相关注册表项和值。但是现有的注册表项和值不能对此进行很好的防护。
发明内容
本发明为了克服以上技术的不足,提供了一种防止未经授信程序进行注册表查询及枚举的Windows注册表隐藏的方法。
本发明克服其技术问题所采用的技术方案是:
一种Windows注册表隐藏的方法,包括如下步骤:
a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数;
b)在Windows系统中找到SSDT表基址,通过偏移量找到注册表操作函数的地址,将地址作为原始地址保存;
c)当一Windows程序进行注册表查询及枚举操作时,Windows消息钩子函数对运行的该Windows程序的进程信息进行判断,如果进程信息符合管理员设置的授信进程则授信此程序进行注册表查询及枚举操作并使用步骤b)中原始地址调研注册表操作函数完成注册表操作,如果进程信息不符合管理员设置的授信进程则授信此程序则禁止此程序对注册表进行查询及枚举操作。
进一步的,步骤c)中Windows消息钩子函数包括Windows系统中的ZwQueryValueKey函数、Windows系统中的RegEnumKeyEx函数和Windows系统中的RegEnumValue函数。
进一步的,步骤c)中对进程信息的判断条件包括进程名、哈希值、描述信息。
本发明的有益效果是:通过Windows消息钩子的方式把DLL动态库加载到想要访问注册表的应用程序中,通过替换相应函数实现对注册表项和值名称进行隐藏,只有符合规则的应用程序才可以允许完成注册表的查询及枚举操作,非法的程序禁止进行枚举和查询操作,通过此种方式可以有效防止不授信的程序想要通过枚举或查询的方式获取注册表项及值等相关信息,提高了注册表的安全性。
具体实施方式
下面对本发明做进一步说明。
一种Windows注册表隐藏的方法,包括如下步骤:
a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数。应用程序能够设置相应的子进程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们,钩子机制允许应用程序截获处理Window 消息或特定事件,通过系统调用,把它挂入系统。 每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,即钩子函数先得到控制权。 这时钩子函数既可以加工处理 ( 改变 ) 该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
b)在Windows系统中找到SSDT表基址,通过偏移量找到注册表操作函数的地址,将地址作为原始地址保存。
c)当一Windows程序进行注册表查询及枚举操作时,Windows消息钩子函数对运行的该Windows程序的进程信息进行判断,如果进程信息符合管理员设置的授信进程则授信此程序进行注册表查询及枚举操作并使用步骤b)中原始地址调研注册表操作函数完成注册表操作,如果进程信息不符合管理员设置的授信进程则授信此程序则禁止此程序对注册表进行查询及枚举操作。通过Windows消息钩子函数实现对注册表项和值名称进行隐藏,只有当符合授信进程的程序才可以允许完成注册表的查询及枚举操作,可以有效防止不授信的程序想要通过枚举或查询的方式获取注册表项及值等相关信息,提高了注册表的安全性。
步骤c)中Windows消息钩子函数包括Windows系统中的ZwQueryValueKey函数、Windows系统中的RegEnumKeyEx函数和Windows系统中的RegEnumValue函数。步骤c)中对进程信息的判断条件包括进程名、哈希值、描述信息。
Claims (3)
1.一种Windows注册表隐藏的方法,其特征在于,包括如下步骤:
a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数;
b)在Windows系统中找到SSDT表基址,通过偏移量找到注册表操作函数的地址,将地址作为原始地址保存;
c)当一Windows程序进行注册表查询及枚举操作时,Windows消息钩子函数对运行的该Windows程序的进程信息进行判断,如果进程信息符合管理员设置的授信进程则授信此程序进行注册表查询及枚举操作并使用步骤b)中原始地址调研注册表操作函数完成注册表操作,如果进程信息不符合管理员设置的授信进程则授信此程序则禁止此程序对注册表进行查询及枚举操作。
2.根据权利要求1所述的Windows注册表隐藏的方法,其特征在于:步骤c)中Windows消息钩子函数包括Windows系统中的ZwQueryValueKey函数、Windows系统中的RegEnumKeyEx函数和Windows系统中的RegEnumValue函数。
3.根据权利要求1所述的Windows注册表隐藏的方法,其特征在于:步骤c)中对进程信息的判断条件包括进程名、哈希值、描述信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810592033.8A CN108897993A (zh) | 2018-06-11 | 2018-06-11 | 一种Windows注册表隐藏的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810592033.8A CN108897993A (zh) | 2018-06-11 | 2018-06-11 | 一种Windows注册表隐藏的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108897993A true CN108897993A (zh) | 2018-11-27 |
Family
ID=64344527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810592033.8A Pending CN108897993A (zh) | 2018-06-11 | 2018-06-11 | 一种Windows注册表隐藏的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108897993A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6651024B1 (en) * | 2000-01-18 | 2003-11-18 | Inventec Corporation | Method for automatic testing PCMCIA cards |
CN102214287A (zh) * | 2011-06-09 | 2011-10-12 | 北京思创银联科技股份有限公司 | Windows系统注册表保护方法 |
CN102495987A (zh) * | 2011-12-18 | 2012-06-13 | 西安安智科技有限公司 | 一种电子信息本地防泄密访问的方法和系统 |
CN103020526A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意程序主动拦截方法和装置及客户端设备 |
CN103902727A (zh) * | 2014-04-11 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 网络搜索方法和装置 |
-
2018
- 2018-06-11 CN CN201810592033.8A patent/CN108897993A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6651024B1 (en) * | 2000-01-18 | 2003-11-18 | Inventec Corporation | Method for automatic testing PCMCIA cards |
CN102214287A (zh) * | 2011-06-09 | 2011-10-12 | 北京思创银联科技股份有限公司 | Windows系统注册表保护方法 |
CN102495987A (zh) * | 2011-12-18 | 2012-06-13 | 西安安智科技有限公司 | 一种电子信息本地防泄密访问的方法和系统 |
CN103020526A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意程序主动拦截方法和装置及客户端设备 |
CN103902727A (zh) * | 2014-04-11 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 网络搜索方法和装置 |
Non-Patent Citations (1)
Title |
---|
微软公司: "《Microsoft Win 32程序参考大全(四)——函数(H—Z)》", 30 April 1995 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20100299759A1 (en) | Digital information security system, kernal driver apparatus and digital information security method | |
CN105122260B (zh) | 到安全操作系统环境的基于上下文的切换 | |
US8001536B2 (en) | Generic framework for runtime interception and execution control of interpreted languages | |
CN100407174C (zh) | 数据保护设备及数据保护方法 | |
US20070220061A1 (en) | Method and system for tracking an operation performed on an information asset with metadata associated therewith | |
CA2448614A1 (en) | Storage access keys | |
US8613093B2 (en) | System, method, and computer program product for comparing an object with object enumeration results to identify an anomaly that at least potentially indicates unwanted activity | |
CA2432483A1 (en) | Multiple identity management in an electronic commerce site | |
CN104639650B (zh) | 一种细粒度分布式接口访问控制方法及装置 | |
US8844028B1 (en) | Arrangement and methods for performing malicious data detection and information leakage prevention | |
US8677508B2 (en) | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program | |
CN101414997A (zh) | 阻止恶意程序访问网络的方法和装置 | |
EP2080095A2 (en) | System and method for sharing atrusted platform module | |
JP2007535056A (ja) | リソース管理システム及び方法 | |
WO2017161569A1 (zh) | 访问控制的方法、装置和系统 | |
US20100257376A1 (en) | System and method for management of plaintext data in a mobile data processing device | |
JP4122042B1 (ja) | アクセス権限制御システム | |
CN109376530B (zh) | 基于标记的进程强制行为控制方法和系统 | |
US20160203311A1 (en) | Authorization of unique computer device specimens | |
JP2007148946A (ja) | 不正アクセス検知方法 | |
CN108897993A (zh) | 一种Windows注册表隐藏的方法 | |
JP4191239B2 (ja) | アクセス権限制御システム | |
KR101650287B1 (ko) | 볼륨 guid 기반 파일 접근 제어 시스템 및 그 방법 | |
JP2002304231A (ja) | コンピュータシステム | |
KR20030090568A (ko) | 단말기 내의 자원 보호 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181127 |
|
RJ01 | Rejection of invention patent application after publication |