;www.JianYiIT.com  by:绿色风   2014.11.22
;做标记，用来判断是否是本UDF所写入的数据
Global Const $mark_Ver = "wow" ;使用时，根据自己设置所改
;映像劫持的主键
If @OSArch = "X64" Then ;判断系统 结构
 Dim  $regver = "HKLM64"
Else
 Dim  $regver = "HKLM"
EndIf
Global Const $Reg_Ver = $regver&"\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"
 

;映像劫持取消
;JY_DelHook() ;这个是根据自己所设置的 $mark_Ver 标记去取消支持的映像
Func JY_DelHook()
    For $i = 1 To 9999
        Local $var = RegEnumKey($Reg_Ver, $i)
        If @error Then ExitLoop ;没项时，退出循环
        RegRead($Reg_Ver & $var, $mark_Ver) ;读取标记
        If Not @error Then ;成功 说明读到标记字段
            RegDelete($Reg_Ver & $var) ;删除 该项
        EndIf
    Next
EndFunc   ;==>JY_DelHook
;映像劫持注册
;JY_RegHook(Hook的程序名,劫持到的目程序)
;成功返回 1
;失败返回 0
Func JY_RegHook($processname, $RegExe = 'ntsd -d') ;这里是我自用的 ntsd -d 是个空值
    RegWrite($Reg_Ver & $processname, $mark_Ver, "REG_SZ", 0) ;这里是做个标识用的
    Return RegWrite($Reg_Ver & $processname, "Debugger", "REG_SZ", $RegExe)
EndFunc   ;==>JY_RegHook```

    



    按需使用吧。  


    根据自己所使用的环境。 


		 

		 
	 
		

本文固定链接: http://jianyiit.com/post-31.html