11月222014
注册表映像劫持Au3函数源码
;www.JianYiIT.com by:绿色风 2014.11.22
;做标记,用来判断是否是本UDF所写入的数据
Global Const $mark_Ver = "wow" ;使用时,根据自己设置所改
;映像劫持的主键
If @OSArch = "X64" Then ;判断系统 结构
Dim $regver = "HKLM64"
Else
Dim $regver = "HKLM"
EndIf
Global Const $Reg_Ver = $regver&"\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"
;映像劫持取消
;JY_DelHook() ;这个是根据自己所设置的 $mark_Ver 标记去取消支持的映像
Func JY_DelHook()
For $i = 1 To 9999
Local $var = RegEnumKey($Reg_Ver, $i)
If @error Then ExitLoop ;没项时,退出循环
RegRead($Reg_Ver & $var, $mark_Ver) ;读取标记
If Not @error Then ;成功 说明读到标记字段
RegDelete($Reg_Ver & $var) ;删除 该项
EndIf
Next
EndFunc ;==>JY_DelHook
;映像劫持注册
;JY_RegHook(Hook的程序名,劫持到的目程序)
;成功返回 1
;失败返回 0
Func JY_RegHook($processname, $RegExe = 'ntsd -d') ;这里是我自用的 ntsd -d 是个空值
RegWrite($Reg_Ver & $processname, $mark_Ver, "REG_SZ", 0) ;这里是做个标识用的
Return RegWrite($Reg_Ver & $processname, "Debugger", "REG_SZ", $RegExe)
EndFunc ;==>JY_RegHook```
按需使用吧。
根据自己所使用的环境。
本文固定链接: http://jianyiit.com/post-31.html
扫描二维码,在手机上阅读
- 运行时间: 20106 天
- 日志总数: 365 篇
- 评论数量: 506 条
- 微语数量: 6 条
- 附件总量: 388 件
-
逝出的青春
-
打赏"绿色风"
扫码关注本站公众号 可搜本站内容
-
Autoit V3 脚本交流群
-
常驻群1:905774875
常驻群2:40672266
-
链接
-
分类
站点统计
发表评论
木有头像就木JJ啦!还木有头像吗?点这里申请属于你的个性Gravatar头像吧!