Registrymon

Windows XP s sebou přináší nový mechanismus monitorování (a potažmo blokování) operací prováděných nad registrem. Před zavedením tohoto rozhraní řešily bezpečnostní aplikace tento problém pomocí modifikace tabulky systémových volání (SSDT hooking). Pravda je taková, že dost bezpečnostních aplikací tento problém touto technikou řešilo ještě dlouho poté, co bylo dané rozhraní zavedeno.

Toto “nové” rozhraní se obvykle označuje jako Registry Callbacks a bylo vylepšeno s každou novou verzí Windows. Jeho dnešní podoba umožňuje jednotlivé operace nejen monitorovat, blokovat či měnit jejich parametry, ale také dovoluje cizímu ovladači je obsloužit úplně “na vlastní náklady” – tím chci říct, že správce konfigurací, do jehož pravomocí a povinností spadá obsluha registru, se nemusí vůbec dostat ke slovu.

Projekt Registrymon ukazuje, jak toto nové rozhraní využít pro účely monitorovací. Dá se říci, že tento projekt může sloužit ke stejnému účelu jako aplikace Regmon, kterou kdysi bylo možné stáhnout na stránkách Sysinternals. Projekt se skládá z ovladače, jenž provádní vlastní monitorování, a aplikace, která zobrazuje informace o prováděných operacích nad registrem.

Projekt by měl dobře fungovat na všech verzích operačního systému počínaje Windows Server 2003. Na Windows XP funguje, ale nesprávně informuje o návratových kódech jednotlivých operací (výjimkou jsou operace vzniku handle ke klíčům registru), protože tuto funkcionalitu rozhraní na této verzi operačního systému ještě téměř nepodporuje.

Systém Verze kernelu
Windows XP 32bit *
Windows XP 64bit *
Windows Server 2003 R2 32bit *
Windows Server 2003 R2 64bit *
Windows Vista 32bit *
Windows Vista 64bit *
Windows 7 32bit *
Windows 7 64bit *

Stáhnout

Leave a Reply

Your email address will not be published. Required fields are marked *