浅谈基于CallBack的注册表监控和过滤技术

说起注册表监控技术，大家的第一反应应该就是SSDT或者inline hook Zw／Nt系列的注册表操作函数（大多数杀毒软件和HIPS都是采用这种方式，最经典的莫过于sysinternal出品的ReqMon了），再深入一点可能会想到Hook Obiect系列的函数，比如coldzenleft曾经在黑防上发表过hook ObOpenObjectByPointer、

再谈注册表CallBack的检测和卸载

在上一篇文章里，我给大家简单讲述了使用CmRegistryCallback函数来加载注册表callback进行注册表的监视和过滤。之后使用各种公开的ARK工具测试了一下，IceSword、Rku、XueTr、Gmer、CodeWalker、PsNull、狙剑都没有检测这种方式的注册表过滤的功能。好奇之余，我自己反汇编看了看，略有所得．在这里跟大家分享一下。