Taron31
Messages postés199Date d'inscriptionvendredi 16 avril 2004StatutMembreDernière intervention28 février 2008
-
22 mars 2006 à 22:48
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019
-
23 mars 2006 à 21:33
Bonjour, dans mon programme j'utilise un hook de la fonction RegCreateKeyEx pour détecter les tentatives d'écriture de la registry et ça fonctionne
très bien avec n'importe quels programmes tels que winamp ou firefox.
Par contre, lorsque j'utilise regedit ou un encore un backup d'une certaine clée (.reg),
mon programme est bypassé, il ne détecte pas la tentative d'écriture.
Pourtant, en faisant des tests la dll de hook est correctement injectée
dans le processus regedit alors pourquoi le hook ne fonctionne pas ?
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 23 mars 2006 à 01:27
Ce seraque regedit n'utilise pas RegCreateKeyEx à ce moment mais peut-être repasse les données à un service qui le fera écrire par un driver par exelmple, auquel cas aucun passage par l'API du mode user mais direct ZwCreateKey du mode kernel.
Voila une possibilité mais en cherchant un peu on en trouverait certainement d'autres.
Taron31
Messages postés199Date d'inscriptionvendredi 16 avril 2004StatutMembreDernière intervention28 février 2008 23 mars 2006 à 13:03
Ok merci, donc une solution serait de hooker ZwCreateKey afin d'intercepter l'appel, serait-ce possible ? Ca ne pose pas de pb que ce soit une fonction mode kernel ?