CHANGMEN's Blog | Network Security Professional

内核驱动监听Register注册表回调

最近更新：2026-05-01 | 字数总计：2.1k | 阅读估时：9分钟 | 阅读量：次

api介绍
windbg进行手动致盲
完整链表结构
摘除

api介绍

内核监控Register注册表回调在安全软件、系统监控和调试工具等领域有着广泛的应用。开发者可以利用这个机制来监视和拦截系统中的注册表操作，以保护系统安全。

CmRegisterCallback 设置注册表回调
CmUnRegisterCallback 注销注册表回调

默认情况下CmRegisterCallback需传入三个参数，参数一回调函数地址，参数二空余，参数三回调句柄，微软定义如下。

// 参数1：回调函数地址
// 参数2：无作用
// 参数3：回调句柄
NTSTATUS CmRegisterCallback(
  [in]           PEX_CALLBACK_FUNCTION Function,
  [in, optional] PVOID                 Context,
  [out]          PLARGE_INTEGER        Cookie
);

自定义注册表回调函数MyLySharkCallback需要保留三个参数，CallbackContext回调上下文，Argument1是操作类型，Argument2定义详细结构体指针。

1	NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)

在自定义回调函数内Argument1则可获取到操作类型，类型是一个REG_NOTIFY_CLASS枚举结构，微软对其的具体定义如下所示。

typedef enum _REG_NOTIFY_CLASS {
    RegNtDeleteKey,
    RegNtPreDeleteKey = RegNtDeleteKey,
    RegNtSetValueKey,
    RegNtPreSetValueKey = RegNtSetValueKey,
    RegNtDeleteValueKey,
    RegNtPreDeleteValueKey = RegNtDeleteValueKey,
    RegNtSetInformationKey,
    RegNtPreSetInformationKey = RegNtSetInformationKey,
    RegNtRenameKey,
    RegNtPreRenameKey = RegNtRenameKey,
    RegNtEnumerateKey,
    RegNtPreEnumerateKey = RegNtEnumerateKey,
    RegNtEnumerateValueKey,
    RegNtPreEnumerateValueKey = RegNtEnumerateValueKey,
    RegNtQueryKey,
    RegNtPreQueryKey = RegNtQueryKey,
    RegNtQueryValueKey,
    RegNtPreQueryValueKey = RegNtQueryValueKey,
    RegNtQueryMultipleValueKey,
    RegNtPreQueryMultipleValueKey = RegNtQueryMultipleValueKey,
    RegNtPreCreateKey,
    RegNtPostCreateKey,
    RegNtPreOpenKey,
    RegNtPostOpenKey,
    RegNtKeyHandleClose,
    RegNtPreKeyHandleClose = RegNtKeyHandleClose,
    //
    // .Net only
    //    
    RegNtPostDeleteKey,
    RegNtPostSetValueKey,
    RegNtPostDeleteValueKey,
    RegNtPostSetInformationKey,
    RegNtPostRenameKey,
    RegNtPostEnumerateKey,
    RegNtPostEnumerateValueKey,
    RegNtPostQueryKey,
    RegNtPostQueryValueKey,
    RegNtPostQueryMultipleValueKey,
    RegNtPostKeyHandleClose,
    RegNtPreCreateKeyEx,
    RegNtPostCreateKeyEx,
    RegNtPreOpenKeyEx,
    RegNtPostOpenKeyEx,
    //
    // new to Windows Vista
    //
    RegNtPreFlushKey,
    RegNtPostFlushKey,
    RegNtPreLoadKey,
    RegNtPostLoadKey,
    RegNtPreUnLoadKey,
    RegNtPostUnLoadKey,
    RegNtPreQueryKeySecurity,
    RegNtPostQueryKeySecurity,
    RegNtPreSetKeySecurity,
    RegNtPostSetKeySecurity,
    //
    // per-object context cleanup
    //
    RegNtCallbackObjectContextCleanup,
    //
    // new in Vista SP2 
    //
    RegNtPreRestoreKey,
    RegNtPostRestoreKey,
    RegNtPreSaveKey,
    RegNtPostSaveKey,
    RegNtPreReplaceKey,
    RegNtPostReplaceKey,

    MaxRegNtNotifyClass //should always be the last enum
} REG_NOTIFY_CLASS;

其中对于注册表最常用的监控项为以下几种类型，当然为了实现监控则我们必须要使用之前，如果使用之后则只能起到监视而无法做到监控的目的。

RegNtPreCreateKey 创建注册表之前
RegNtPreOpenKey 打开注册表之前
RegNtPreDeleteKey 删除注册表之前
RegNtPreDeleteValueKey 删除键值之前
RegNtPreSetValueKey 修改注册表之前

如果需要实现监视则，首先CmRegisterCallback注册一个自定义回调，当有消息时则触发MyLySharkCallback其内部获取到lOperateType操作类型，并通过switch选择不同的处理例程，每个处理例程都通过GetFullPath得到注册表完整路径，并打印出来，这段代码实现如下。

#include <ntifs.h>
#include <windef.h>

// 未导出函数声明 pEProcess -> PID
PUCHAR PsGetProcessImageFileName(PEPROCESS pEProcess);

NTSTATUS ObQueryNameString(
	_In_ PVOID Object,
	_Out_writes_bytes_opt_(Length) POBJECT_NAME_INFORMATION ObjectNameInfo,
	_In_ ULONG Length,
	_Out_ PULONG ReturnLength
	);

// 注册表回调Cookie
LARGE_INTEGER g_liRegCookie;

// 获取注册表完整路径
BOOLEAN GetFullPath(PUNICODE_STRING pRegistryPath, PVOID pRegistryObject)
{
	// 判断数据地址是否有效
	if ((FALSE == MmIsAddressValid(pRegistryObject)) ||
		(NULL == pRegistryObject))
	{
		return FALSE;
	}
	// 申请内存
	ULONG ulSize = 512;
	PVOID lpObjectNameInfo = ExAllocatePool(NonPagedPool, ulSize);
	if (NULL == lpObjectNameInfo)
	{
		return FALSE;
	}
	// 获取注册表路径
	ULONG ulRetLen = 0;
	NTSTATUS status = ObQueryNameString(pRegistryObject, (POBJECT_NAME_INFORMATION)lpObjectNameInfo, ulSize, &ulRetLen);
	if (!NT_SUCCESS(status))
	{
		ExFreePool(lpObjectNameInfo);
		return FALSE;
	}
	// 复制
	RtlCopyUnicodeString(pRegistryPath, (PUNICODE_STRING)lpObjectNameInfo);
	// 释放内存
	ExFreePool(lpObjectNameInfo);
	return TRUE;
}

// 注册表回调函数
NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)
{
	NTSTATUS status = STATUS_SUCCESS;
	UNICODE_STRING ustrRegPath;

	// 获取操作类型
	LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;
	
	// 申请内存
	ustrRegPath.Length = 0;
	ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);
	ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);
	if (NULL == ustrRegPath.Buffer)
	{
		return status;
	}
	RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);
	
	// 判断操作
	switch (lOperateType)
	{
		// 创建注册表之前
	case RegNtPreCreateKey:
	{
		// 获取注册表路径
		GetFullPath(&ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->RootObject);
		DbgPrint("[创建注册表][%wZ][%wZ]\n", &ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName);
		break;
	}
	// 打开注册表之前
	case RegNtPreOpenKey:
	{
		// 获取注册表路径
		GetFullPath(&ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->RootObject);
		DbgPrint("[打开注册表][%wZ][%wZ]\n", &ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName);
		break;
	}
	// 删除键之前
	case RegNtPreDeleteKey:
	{
		// 获取注册表路径
		GetFullPath(&ustrRegPath, ((PREG_DELETE_KEY_INFORMATION)Argument2)->Object);
		DbgPrint("[删除键][%wZ] \n", &ustrRegPath);
		break;
	}
	// 删除键值之前
	case RegNtPreDeleteValueKey:
	{
		// 获取注册表路径
		GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);
		DbgPrint("[删除键值][%wZ][%wZ] \n", &ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName);

		// 获取当前进程, 即操作注册表的进程
		PEPROCESS pEProcess = PsGetCurrentProcess();
		if (NULL != pEProcess)
		{
			UCHAR *lpszProcessName = PsGetProcessImageFileName(pEProcess);
			if (NULL != lpszProcessName)
			{
				DbgPrint("进程 [%s] 删除了键值对 \n", lpszProcessName);
			}
		}
		break;
	}
	// 修改键值之前
	case RegNtPreSetValueKey:
	{
		// 获取注册表路径
		GetFullPath(&ustrRegPath, ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->Object);
		DbgPrint("[修改键值][%wZ][%wZ] \n", &ustrRegPath, ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->ValueName);
		break;
	}
	default:
		break;
	}

	// 释放内存
	if (NULL != ustrRegPath.Buffer)
	{
		ExFreePool(ustrRegPath.Buffer);
		ustrRegPath.Buffer = NULL;
	}

	return status;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint(("Uninstall Driver Is OK \n"));

	// 注销当前注册表回调
	if (0 < g_liRegCookie.QuadPart)
	{
		CmUnRegisterCallback(g_liRegCookie);
	}
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint(("hello lyshark.com \n"));

	// 设置注册表回调
	NTSTATUS status = CmRegisterCallback(MyLySharkCallback, NULL, &g_liRegCookie);
	if (!NT_SUCCESS(status))
	{
		g_liRegCookie.QuadPart = 0;
		return status;
	}

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

运行驱动程序，则会输出当前系统中所有针对注册表的操作，如下图所示。

如上的代码只能实现注册表项的监视，而如果需要保护则需要在回调函数MyLySharkCallback判断，如果指定注册表项是需要保护的则直接返回status = STATUS_ACCESS_DENIED;从而达到保护注册表的目的，核心代码如下所示。

// 反注册表删除回调
NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)
{
	NTSTATUS status = STATUS_SUCCESS;
	UNICODE_STRING ustrRegPath;

	// 获取操作类型
	LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;
	ustrRegPath.Length = 0;
	ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);
	ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);
	if (NULL == ustrRegPath.Buffer)
	{
		return status;
	}

	RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);
	// 判断操作
	switch (lOperateType)
	{
		// 删除键值之前
	case RegNtPreDeleteValueKey:
	{
		// 获取注册表路径
		GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);
		DbgPrint("[删除键值][%wZ][%wZ]\n", &ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName);

		// 如果要删除指定注册表项则拒绝
		PWCH pszRegister = L"\\REGISTRY\\MACHINE\\SOFTWARE\\lyshark.com";
		if (wcscmp(ustrRegPath.Buffer, pszRegister) == 0)
		{
			DbgPrint("[lyshark] 注册表项删除操作已被拦截! \n");
			// 拒绝操作
			status = STATUS_ACCESS_DENIED;
		}
		break;
	}
	default:
		break;
	}

	// 释放内存
	if (NULL != ustrRegPath.Buffer)
	{
		ExFreePool(ustrRegPath.Buffer);
		ustrRegPath.Buffer = NULL;
	}

	return status;
}

运行驱动程序，然后我们尝试删除\\LyShark\HKEY_LOCAL_MACHINE\SOFTWARE\lyshark.com里面的子项，则会提示如下信息。

当然这里的RegNtPreDeleteValueKey是指的删除操作，如果将其替换成RegNtPreSetValueKey，那么只有当注册表被创建才会拦截，此时就会变成拦截创建。

// 拦截创建操作
NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)
{
	NTSTATUS status = STATUS_SUCCESS;
	UNICODE_STRING ustrRegPath;

	// 获取操作类型
	LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;

	// 申请内存
	ustrRegPath.Length = 0;
	ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);
	ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);
	if (NULL == ustrRegPath.Buffer)
	{
		return status;
	}
	RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);

	// 判断操作
	switch (lOperateType)
	{
	// 修改键值之前
	case RegNtPreSetValueKey:
	{
		// 获取注册表路径
		GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);

		// 拦截创建
		PWCH pszRegister = L"\\REGISTRY\\MACHINE\\SOFTWARE\\lyshark.com";
		if (wcscmp(ustrRegPath.Buffer, pszRegister) == 0)
		{
			DbgPrint("[lyshark] 注册表项创建操作已被拦截! \n");
			status = STATUS_ACCESS_DENIED;
		}
		break;
	}
	default:
		break;
	}

	// 释放内存
	if (NULL != ustrRegPath.Buffer)
	{
		ExFreePool(ustrRegPath.Buffer);
		ustrRegPath.Buffer = NULL;
	}

	return status;
}

加载驱动保护，然后我们尝试在\\LyShark\HKEY_LOCAL_MACHINE\SOFTWARE\lyshark.com里面创建一个子项，则会提示创建失败。

文章大部分复制粘贴https://www.lyshark.com/post/4e0f6bde.html，并且驱动开发这一模块，我曾经邮件过作者取得授权，但是要说明是作者的，前几篇没做标记，这里郑重说明，大部分代码和截图使用https://www.lyshark.com/感兴趣可以去大佬的官网进行学习。

windbg进行手动致盲

注册表回调则有点不同，所有回调函数都保存在一个叫 nt!CallbackListHead的链表

首先我们需要找到一个使用 nt！CallbackListHead 的函数，理想情况下还要有一个导出函数，用于字节搜索。

首先，让我们计算 nt 的偏移量！从 nt 基底的 CallbackListHead。

1 2	lkd> ? nt!CallbackListHead - nt Evaluate expression: 15691152 = 00000000`00ef6d90

然后在 IDA 中，我们通过跳跃=> 跳转到地址 ，并使用 00ef6d90 来到达该地址。

现在我们可以把鼠标悬停在 CallbackListHead => 上，点击它=>，然后按 X 进行交叉比对，这样我们就能知道到底是谁在使用这个列表。

幸运的是，第一个函数 CmUnRegisterCallback 也是导出函数，因此我们可以用以下函数作为搜索的起点和结尾。

nt！CallbackListHead 是一个链表，其中偏移量 0x28 处的每个条目是被调用的函数。

加载上我们编译好的驱动。看效果。

完整链表结构

Head (49048590)
  ↓ Flink
71ce0d90  MyLySharkCallback    Blink→Head
  ↓ Flink
6b3f4140  UCPD+0x7470          Blink→71ce0d90
  ↓ Flink
72a2e510  VrpRegistryCallback  Blink→6b3f4140
  ↓ Flink
Head (49048590)

摘除

需要改两处：

; 1. Head.Flink 跳过 71ce0d90，直接指向 6b3f4140
eq fffff807`49048590 ffffa60d`6b3f4140

; 2. 6b3f4140.Blink 跳过 71ce0d90，指回 Head
eq ffffa60d`6b3f4148 fffff807`49048590

验证：

1 2	dq fffff807`49048590 L2 dq ffffa60d`6b3f4140 L2

期望结果：

1 2	Head: ffffa60d`6b3f4140 ffffa60d`72a2e510 6b3f4140: ffffa60d`72a2e510 fffff807`49048590

这样 71ce0d90 就从链表中孤立了，g 之后不会崩溃。

此时的链表。

重新弄了一个图

2026-04-25 该篇文章被 CHANGMEN 打上标签: 内核