.
九九重阳了,再发篇文章,意思意思..........
木马编程DIY之注册表管理 文/图 冷风
前几期分别讨论了,系统服务,文件传输,网络文本语音和其它方面的内容,现在我们来讨论在木马中注册表的实现,就我自己感觉在木马中对注册表的使用并不多,写其它程序时反倒用的不少.不过注册表还是比较重要的学会它不会吃亏呵呵,我们自己实现的效果如图所示
一些基础
开始前先了解一些基础知识,对后面的工作会方便不少,其码不会出现散晕的现像,对注册表的历史也就不再说了有兴趣可以
查查新华字典呵呵.注册表的组织方式跟文件目录比较相似,主要分为跟键,子键,键值项三部分跟文件目录对应的话就是
跟目录,子目录,和文件.分别介绍一下,跟键为分5个分别为HKEY_CLASSES_ROOT,HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE
HKEY_USERS,HKEY_CURRENT_CONFIG把它们理解成磁盘的五个分区可以了,子键可以有多个子键和键值项,就像一个目录中可
以有多个子目录和多个文件一样,而键值项可以理解为文件它由三部分组成,分别为名称,类型,数据.类型又分为多种主要
包括如下:
REG_BINARY二进制数据
REG_DWORD32位双字节数据
REG_SZ以0结尾的字符串
REG_DWORD_BIG_ENDIAN高位排在底位的双字
REG_EXPAND_SZ扩展字符串,可以加入变量如%PATH%
REG_LINKUNICODE符号链接
REG_RESOURCE_LIST设备驱动程序资源列表
REG_MULTI_SZ多字符串
注册表数据项的数据类型有8种但最常用的主要是前3种而以,有了这些基础下面我们讨论如何编程实现对注册表的操作
打开/关闭注册表句柄
在对注册表操作前应该先打开指定的键,然后通过键的句柄进行操作,打开键句柄可以用APIRegOpenKeyEx来实现其原形如下
RegOpenKeyEx(
hKey,//父键句柄
lpSubKey,//子键句柄
dwOptions,//系统保留,指定为0
samDesired,//打开权限
phkResult,//返回打开句柄
)
其中打开权限有多种想方便的话可以指定为KEY_ALL_ACCESS这样什么权限都有了,当函数执行成功时返回ERROR_SUCCESS
其实例代码如下:
HKEYkey;
LPCTSTRdata="SOFTWARE/Microsoft/Windows/CurrentVersion/Run";
if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,data,0,KEY_ALL_ACCESS,&key)==ERROR_SUCCESS)
...{
/**//*需要执行的操作...*/
}
::RegCloseKey(key);
要注意的是在使用后应该调用RegCloseKey();函数为关闭句柄.
木马编程DIY之注册表管理文/图冷风
获取子键/键值信息
在现实的编程操作中我们常常需要获取子键/键值的信息比如:子键/键值的数量,长度,以及数据的最大长度等等这些信息可以
通过RegQueryInfoKey函数来获取
它的原型如下:
RegQueryInfoKey(
hkey,//要获取信息的句柄
lpClass,//接受创建健时的Class字符串
lpcbClass,//lpClass的长度
lpReserved,//系统保留,指定为0
lpcSubKeys,//子键数量
lpcbMaxSubKeyLen,//子键中最长名称的长度
lpcbMaxClassLen,//子键中最长Class字符串长度
lpcVlaues,//键值数量
lpcbMaxValueNameLen,//键值项中最长名称的长度
lpcbMaxValueLen,//键值项数据最大长度
lpcbSecurityDescriptor,//安全描述符长度
lpftLastWriteTime,//FILETIME结构,最后修改时间
)
哈哈是不是挺吓人的?其实看实际情况接受自己需要的就好了,不需要的可以放个NULL就OK了,还有一点需要注意就是它所返回
的长度都不包括结尾的0字符,所以在使用时应该用长度+1
其实例代码如下
DWORDdwIndex=0,NameSize,NameCnt,NameMaxLen,Type;
DWORDKeySize,KeyCnt,KeyMaxLen,DateSize,MaxDateLen;
if(RegQueryInfoKey(key,NULL,NULL,NULL,&KeyCnt,&KeyMaxLen,NULL,&NameCnt,&NameMaxLen,&MaxDateLen,NULL,NULL)!=ERROR_SUCCESS)
...{
printf("RegQueryInfoKey错误");
return;
}
用的时候套用格式就成了,不然会很麻烦的.....有了这些信息我们就可以枚举子键和键值的信息了
枚举子键信息
枚举子键可以用API函数RegEnumKeyEx来实现调用RegEnumKeyEx时将返回子键的名称,长度和一些相关数据,如果想得到一个
键下的全部子键的话应该循环调用,直到返回ERROR_NO_MORE_ITEMS为至,就说明以枚举完了所有数据其函数原型如下
RegEnumKeyEx(
hkey,//被枚举的键句柄
dwIndex,//子键索引编号
lpName,//子键名称
lpcbName,//子键名称长度
lpReserved,//系统保留,指定为0
lpClass,//子键类名
lpcbClass,//子键类名长度
lpftLastWriteTime//最后写入时间
)
因为在之前我们以通过RegQueryInfoKey函数获取了键的有关数据,所以在这里不再跟据ERROR_NO_MORE_ITEMS来实现了
其实现代码如下:
for(dwIndex=0;dwIndex<KeyCnt;dwIndex++)//枚举子键
...{
KeySize=KeyMaxLen+1;//因为RegQueryInfoKey得到的长度不包括0结束字符,所以应加1
szKeyName=(char*)malloc(KeySize);
/**//*参数定义请参照获取子键/键值信息部分...*/
RegEnumKeyEx(hKey,dwIndex,szKeyName,&KeySize,NULL,NULL,NULL,NULL);//枚举子键
printf(szKeyName);
}
最后需要注意的是在每次调用RegEnumKeyEx前必须重新将KeySize的值设为KeyMaxLen缓冲区的大小,因为每次函数返回时
KeySize的值会变成返回的键值的名称长度,随着循环次数这个值会变小,而可能出现无法枚举所有键值项的情况.
枚举键值信息
枚举键值信息的方法与枚举子键信息极为相似,可以用RegEnumValue函数实现,其函数原型如下:
RegEnumValue(
hkey,//被枚举的键句柄
dwIndex,//子键索引编号
lpValueName,//键值名称
lpcbValueName,//键值名称长度
lpReserved,//系统保留,指定为0
lpType,//键值数据类型
lpDate,//键值数据
lpcbDate//键值数据长度
)
其实现代码如下:
for(dwIndex=0;dwIndex<NameCnt;dwIndex++)//枚举键值
...{
DateSize=MaxDateLen+1;
NameSize=NameMaxLen+1;
szValueName=(char*)malloc(NameSize);
szValueDate=(LPBYTE)malloc(DateSize);
/**//*参数定义请参照获取子键/键值信息部分...*/
RegEnumValue(hKey,dwIndex,szValueName,&NameSize,NULL,&Type,szValueDate,&DateSize);//读取键值
if(Type==REG_SZ)
...{
/**//*判断键值项类型并做其它操作......*/
}
if(Type==REG_DWORD)
...{
}
}
与枚举子键相似,在每次循环中应该重新设置数据长度DateSize=MaxDateLen+1键值名称长度NameSize=NameMaxLen+1
创建/删除子键
创建子键跟打开子键差不多,要以用RegCreateKeyEx函数来实现,其原型如下
RegCreateKeyEx(
hkey,//父键句柄
lpSubKey,//子键句柄
Reserved,//系统保留,指定为0
lpClass,//定义子键类名,通常设为NULL
dwOptions,//创建子键时的选项
samDesired,//创建后操作权限
lpSecurityAttributes,//指向SECURITY_ATTRIBUTES结构,指定键句柄的继承性
phkResult,//返回创建句柄
lpdwDisposition//通常设为NULL
)
个人感觉这个API罗哩罗嗦不好使大多参数在大多数时候都放NULL,还不如16位下的API函数RegCreateKey用着方便
其实例代码如下:
HKEYKEY;
if(ERROR_SUCCESS!=RegCreateKey(HKEY_LOCAL_MACHINE,"SOFTWARE/Microsoft/Windows/MyKey",&KEY))
...{
MessageBox("创建失败!");
}else
...{
MessageBox("创建成功!");
}
嘿嘿是不是简单多了?
不关什么事破坏总比创建要容易,删除一个键可以用RegDeleteKey()实现,它有两个参数原型如下
RegDeleteKey(
hkey,//主键句柄
lpSubKey,//子键名称字符串
)
如果想删除上面创建的MyKey子键可以用下面的代码实现:
if(ERROR_SUCCESS==RegDeleteKey(HKEY_LOCAL_MACHINE,"SOFTWARE/Microsoft/Windows/MyKey"))
...{
AfxMessageBox("删除成功!");
}else
...{
AfxMessageBox("删除失败!");
}
需要注意的是在创建子键时可以创建多级子键,比如
RegCreateKey(HKEY_LOCAL_MACHINE,"SOFTWARE/Microsoft/Windows/MyKey1/MyKey2",&KEY)
如果MyKey1不存在的话那么它将先创建MyKey1再创建MyKey2,这一点与文件系统中创建目录是不同的
但是删除的时候却不能删除多级子键比如我想删除MyKey1那么我必须先删除MyKey2才可以,不过一个子键下面的多个键值
可以一次删除.
木马编程DIY之注册表管理文/图冷风
创建/删除键值项
创建键值可以用RegSetValueEx函数来实现,它的原型如下:
RegSetValueEx(
hkey,//键句柄,键值项将保存在此键下
lpValueName,//键值项名称
Reserved,//系统保留,指定为0
dwType,//键值项类型
lpDate,//键值项数据
cbDate//键值项长度
)
使用这个函数的时个有一点需要注意,其中参数lpDate和cbDate的值要跟据dwType的值来设定,按常用设置我们分三种情况
1当dwType为REG_SZ时,这时跟通常一样,lpDate为要设置的数据,cbDate为数据的长度
2当dwType为REG_DWORD时,cbDate应该设为4,为什么?因为不设为4就不对
3当dwType为REG_BINARY时,cbDate也应该设为4,没有为什么了吧呵呵
如果调用时,键值项名称以经存在了会怎么样呢?答案是:覆盖用新的键值项数据覆盖原来的,如果没有就新建一个
我们来看一下实现功能的实例代码:
voidCreateValue::OnCreate()
...{
HKEYkey;
UpdateData(true);
if(m_type=="REG_SZ")
...{
if(RegOpenKeyEx(MKEY,SubKey,0,KEY_ALL_ACCESS,&key)==ERROR_SUCCESS)
...{
if(::RegSetValueEx(key,m_name,0,REG_SZ,(constunsignedchar*)m_date,MAX_PATH)==ERROR_SUCCESS)
...{
MessageBox("创建成功!");
}
}
}
if(m_type=="REG_DWORD")
...{
if(RegOpenKeyEx(MKEY,SubKey,0,KEY_ALL_ACCESS,&key)==ERROR_SUCCESS)
...{
if(::RegSetValueEx(key,m_name,0,REG_DWORD,(constunsignedchar*)m_date,4)==ERROR_SUCCESS)//注意数据长度应该设为4
...{
MessageBox("创建成功!");
}
}
}
/**//*其它类型的设置......*/
}
删除键值可以用RegDeleteValue来实现它的函数原型如下
RegDeleteValue(
hkey,//父键句柄
lpValueName//要删除的键值项名称
)
其实例代码如下:
HKEYkey;
charvalue[MAX_PATH]="LengFeng"//键值
LPCTSTRdata="SOFTWARE/Microsoft/Windows/CurrentVersion/Run";//路径
RegOpenKeyEx(HKEY_LOCAL_MACHINE,data,0,KEY_WRITE,&key);//打开
if(ERROR_SUCCESS==::RegDeleteValue(key,value))//删除
...{
MessageBox("删除成功!");
}
备份/恢复注册表
备份和恢复注册表相对来说用的不是太多,我在程序中也没有加入这项功能,但为了这这篇文章完整一些,就用一个运行在CONSOLE
下的小程序来讨论一下它们的实现
备份注册表可以用RegSaveKey函来实现它的原形如下
RegSaveKey(
hkey,//要备份的键句柄
lpFile,//保存信息的文件名称
lpSecurityAttributes//文件安全属性
)
hkey为要备份的键句柄,可以是系统预定义的,也可以是用RegOpenKey()打开或是RegCreateKeyEx()创建的
lpFile为保存信息的文件名称,注意这个文件必须是不存在的,而且也不能有扩展名(否则RegRestoreKey()函无法读取)
lpSecurityAttributes,它在NT系统中用来设置新文件的安全属性,通常设置为NULL
在使用这个函数时需要有SE_BACKUP_NAME权限,而这个权限是不可以在RegOpenKey()或是RegCreateKeyEx()指定的
要做到这一点我们需要提升自己的权限,其具体实现如下代码如示:
#include<windows.h>
#include<stdio.h>
#include<stdlib.h>
voidmain()
...{
charstrKey[]="Software/Microsoft/InternetExplorer";
LPTSTRszSaveFileName;
HKEYkey;
//申请备份权限
HANDLEhToken;
TOKEN_PRIVILEGEStkp;
if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
return;
LookupPrivilegeValue(NULL,SE_BACKUP_NAME,&tkp.Privileges[0].Luid);//申请SE_BACKUP_NAME权限
tkp.PrivilegeCount=1;
tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,FALSE,&tkp,0,(PTOKEN_PRIVILEGES)NULL,0);
//开始备份工作
szSaveFileName=LPTSTR("D:/KeyDate");//注意文件不可存在否则无法成功
RegOpenKeyEx(
HKEY_CURRENT_USER,
(LPCTSTR)strKey,
0,
KEY_ALL_ACCESS,
&key);
RegSaveKey(key,szSaveFileName,NULL);
RegCloseKey(key);
}
上面用到了提升权限的代码,以前杂志上面有很多可以参考一下来看,这样备份就完成了.而恢复可以用函数RegRestoreKey来实现
它的原形如下
RegRestoreKey(
hkey,//要恢复的键句柄
lpFile,//保存信息的文件名称
dwFlage//标志是否易失
)
此函数的前两个参数可以与RegSaveKey相同,而参数dwFlage为TRUE的话是暂时恢复注册表,如果为FALSE则是永久修改注册表值.同样需要
注意的是使用这个函数需要有SE_RESTORE_NAME权限
木马编程DIY之注册表管理 文/图 冷风
到现在对注册表的基本操作就做完了,我们也可以休息一下了,至于具体细节的实现可以参考一下本文所附的源代码,当然喽程序虽然是模仿WINDOWS的注册表,不过功能和细节和WINDOWS的注册表相比还是有很大差距的,如果有兴趣的话可以继续改进,呵呵虽然如此,但在一些对注册表限至比较严的网吧中,用来顾顾急救救火还是可以的。这篇文章和程序断断续续写了一周,如果本文能帮助你解决几个即使很小的问题,那么我也倍感欣慰了呵呵
