存档
看了看wrk的代码,发现一个函数会调用ZwCreateFile打开注册表的文件,这个函数就是CmpOpenHiveFiles 这个函数会打开两个注册表文件,master为不带后辍的,secondary为带后辍的。 system32\config\system和software就是这样被加载的。 查找过程,先找SAM,这个词不常见,grep一下找到一个配置表: HIVE_LIST_ENTRY CmpMachineHiveList[] = { { L"HARDWARE", L"MACHINE\\", NULL, HIVE_VOLATILE , 0 , NULL, FALSE, FALSE, FALSE}, { L"SECURITY", L"MACHINE\\", NULL, 0 , 0 , NULL, FALSE, FALSE, FALSE}, { L"SOFTWARE", L"MACHINE\\", NULL, 0 , 0 , NULL, FALSE, FALSE, FALSE}, { L"SYSTEM", L"MACHINE\\", NULL, 0 [...]
四 15th, 2008 | Filed under 开发
标签: 注册表 内核