CN108897993A

CN108897993A - 一种Windows注册表隐藏的方法

Info

Publication number: CN108897993A
Application number: CN201810592033.8A
Authority: CN
Inventors: 宋瑞
Original assignee: Shandong Huaruan Goldencis Software Co Ltd
Current assignee: Shandong Huaruan Goldencis Software Co Ltd
Priority date: 2018-06-11
Filing date: 2018-06-11
Publication date: 2018-11-27

Abstract

一种Windows注册表隐藏的方法，包括如下步骤：a)安装一个Windows消息钩子函数；b)将地址作为原始地址保存；c)当一Windows程序进行注册表查询及枚举操作时，Windows消息钩子函数对运行的该Windows程序的进程信息进行判断，如果进程信息符合管理员设置的授信进程则授信此程序进行注册表查询及枚举操作并使用步骤b)中原始地址调研注册表操作函数完成注册表操作，如果进程信息不符合管理员设置的授信进程则授信此程序则禁止此程序对注册表进行查询及枚举操作。可以有效防止不授信的程序想要通过枚举或查询的方式获取注册表项及值等相关信息，提高了注册表的安全性。

Description

一种Windows注册表隐藏的方法

技术领域

本发明涉及Windows注册表安全技术领域，具体涉及一种Windows注册表隐藏的方法。

背景技术

注册表是Microsoft Windows中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息，比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等，联网计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件部件的描述、状态和属性，性能记录和其他底层的系统状态信息，以及其他数据等。

注册表中记录了很多信息，其中有很多信息是企业管理人员不想让普通用户或者其他进程进行查询和枚举获取相关注册表项和值。但是现有的注册表项和值不能对此进行很好的防护。

发明内容

本发明为了克服以上技术的不足，提供了一种防止未经授信程序进行注册表查询及枚举的Windows注册表隐藏的方法。

本发明克服其技术问题所采用的技术方案是：

一种Windows注册表隐藏的方法，包括如下步骤：

a)在Windows系统中创建一个Windows窗口，通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数；

b)在Windows系统中找到SSDT表基址，通过偏移量找到注册表操作函数的地址，将地址作为原始地址保存；

c)当一Windows程序进行注册表查询及枚举操作时，Windows消息钩子函数对运行的该Windows程序的进程信息进行判断，如果进程信息符合管理员设置的授信进程则授信此程序进行注册表查询及枚举操作并使用步骤b)中原始地址调研注册表操作函数完成注册表操作，如果进程信息不符合管理员设置的授信进程则授信此程序则禁止此程序对注册表进行查询及枚举操作。

进一步的，步骤c)中Windows消息钩子函数包括Windows系统中的ZwQueryValueKey函数、Windows系统中的RegEnumKeyEx函数和Windows系统中的RegEnumValue函数。

进一步的，步骤c)中对进程信息的判断条件包括进程名、哈希值、描述信息。

本发明的有益效果是：通过Windows消息钩子的方式把DLL动态库加载到想要访问注册表的应用程序中，通过替换相应函数实现对注册表项和值名称进行隐藏，只有符合规则的应用程序才可以允许完成注册表的查询及枚举操作，非法的程序禁止进行枚举和查询操作，通过此种方式可以有效防止不授信的程序想要通过枚举或查询的方式获取注册表项及值等相关信息，提高了注册表的安全性。

具体实施方式

下面对本发明做进一步说明。

一种Windows注册表隐藏的方法，包括如下步骤：

a)在Windows系统中创建一个Windows窗口，通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数。应用程序能够设置相应的子进程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们，钩子机制允许应用程序截获处理Window 消息或特定事件，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，即钩子函数先得到控制权。这时钩子函数既可以加工处理 ( 改变 ) 该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

b)在Windows系统中找到SSDT表基址，通过偏移量找到注册表操作函数的地址，将地址作为原始地址保存。

c)当一Windows程序进行注册表查询及枚举操作时，Windows消息钩子函数对运行的该Windows程序的进程信息进行判断，如果进程信息符合管理员设置的授信进程则授信此程序进行注册表查询及枚举操作并使用步骤b)中原始地址调研注册表操作函数完成注册表操作，如果进程信息不符合管理员设置的授信进程则授信此程序则禁止此程序对注册表进行查询及枚举操作。通过Windows消息钩子函数实现对注册表项和值名称进行隐藏，只有当符合授信进程的程序才可以允许完成注册表的查询及枚举操作，可以有效防止不授信的程序想要通过枚举或查询的方式获取注册表项及值等相关信息，提高了注册表的安全性。

步骤c)中Windows消息钩子函数包括Windows系统中的ZwQueryValueKey函数、Windows系统中的RegEnumKeyEx函数和Windows系统中的RegEnumValue函数。步骤c)中对进程信息的判断条件包括进程名、哈希值、描述信息。

Claims

1.一种Windows注册表隐藏的方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的Windows注册表隐藏的方法，其特征在于：步骤c)中Windows消息钩子函数包括Windows系统中的ZwQueryValueKey函数、Windows系统中的RegEnumKeyEx函数和Windows系统中的RegEnumValue函数。

3.根据权利要求1所述的Windows注册表隐藏的方法，其特征在于：步骤c)中对进程信息的判断条件包括进程名、哈希值、描述信息。