Q&A
C言語のプロ(英語もできる方)
レジストリを編集したPIDおよびオブジェクト名を検知することができるらしいんですが、
わからないコマンドだらけで解読できません。
できれば、
レジストリを編集したPIDおよびオブジェクト名を検知するコマンドをどう呼び出すか教えてほしいのですが、
もしくは何から勉強すればいいのか教えていただきたいのです。
C言語はほぼ初心者で一週間でわかるC言語というサイトで発展編までしか学習しておりません。
回答1件
0
ベストアンサー
Windowsのカーネルモードドライバ開発の知識が必要です。
C言語初心者ということであればWindows APIの知識もほぼないんじゃないでしょうか。
ビルド手順は以下が参考になると思います。
Windows 10 でサンプル ドライバーをビルドするまで
カーネルモードでCmRegisterCallbackEx(XPの場合はCmRegisterCallback)でコールバック関数を登録するとレジストリの操作を拾えるようになるようです。
sysフォルダがドライバのソースコードで読むには
Getting Started with the Windows Driver Kit
WDM(Windows Driver Model)
この辺りを見ればいいんじゃないでしょうか。
日本語の本だとWDMプログラミングというのが古本で入手はできそうです。(amazon)
このサンプルはユーザーモード側のexeからDeviceIoControlでカーネルモード側のドライバを呼び出します。
最初はカーネルモードでのレジストリ操作を拾うサンプルの実行。
続いてユーザーモード側でのレジストリ操作を拾うサンプルの実行。
となっています。
例えば
https://github.com/Microsoft/Windows-driver-samples/blob/master/general/registry/regfltr/exe/regctrl.c#L105
のDoKernelModeSamples();
を呼び出すとDeviceIoControlで
https://github.com/Microsoft/Windows-driver-samples/blob/master/general/registry/regfltr/sys/regfltr.c#L276
のDoCallbackSamplesが呼び出されるという感じです。
投稿2017/09/21 15:05
総合スコア818
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/09/23 03:29
2017/09/23 09:44
2017/10/11 08:35