Ngoài cách Hook API ra có còn cách nào để bảo vệ một value trong Registry ko vậy? Nếu hook API (RegSetValue, RegDeleteValue) thì làm thế nào để biết được HKey trong đối số của APi là thuộc về key nào ko? Ai có kinh nghiệm trong việc này xin chỉ giúp. (Hook API system wide được rồi, khỏi chỉ vấn đề này)

Bác JiShan có thể chỉ giáo về system wide hook trên Delphi không, ví dụ luôn về hook RegSetValue ngay trên kìa. Còn tham số hKey là 1 trong mấy root key

HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS

có gì đâu nhỉ

Chời, cái đó chỉ là root key. Còn khi hKey là key handle, khi tạo hay mở bằng RegCreateKey, RegOpenKey thì nó sẽ trả về một hKey, và các hàm như RegSetValue, RegDeleteValue chỉ dùng cái hKey đó mà ko cần biết nó thực sự là cái key nào. Trên Delphi thì tui dùng madCodeHook của madshi.net để hook API (dùng bản phi thương mại). Bộ API Hooking SDK khó hiểu quá.

Bộ madCodeHook trước tui dùng nhưng nó bắt trả tiền cơ mà

Bản phi thương mại thì miễn phí.

A` bác có biết sử dụng madSecurity không nhỉ mình mò mãi nhunưg chưa biết sử dủnga sao

(Hook API system wide được rồi, khỏi chỉ vấn đề này)

Muốn API Hooking để che giấu registry thì dĩ nhiên là mắc phải cái hkey handle :lick:
Phải dùng 1 chút "tiểu xảo" mới qua được :bb:
Còn không thì dùng "tiểu xảo" nốt :D : Unicode Registry key. Lúc trước Girl_Next_Door có demo 1 cái chơi nhưng giờ đâu mất tiêu rồi. Nội dung chính là sử dụng NativeAPI để tại 1 Unicode key.

madCodeHook bản Free thì :
1. Không cho hook hàm : NtQuerySystemInformation
2. Không được sử dụng trong commercial.

Tui thì có license cho madCodeHook (license thứ thiệt chứ ko phải hàng "lậu" đâu nhé :w00t: ) nhưng không thể share được vì thằng client mà biết thì nó kiện chết :D. :helpsmili

PS : Mấy thằng nhóc icon nhìn vui quá nhỉ :1eye:

Bác LeVuHoang có thể nói thêm 1 một tý về cái tiểu xảo đó ko? Chẳng lẽ phải hook luôn mấy hàm Create.. , Open.. và lưu lại key string ứng với hKey ah?

Bác LeVuHoang có thể nói thêm 1 một tý về cái tiểu xảo đó ko? Chẳng lẽ phải hook luôn mấy hàm Create.. , Open.. và lưu lại key string ứng với hKey ah?
Chứ sao nữa :))... Lưu hay/dở là do từng người. Có cái RegMon của www.sysinternals.com, không/chưa biết nó dùng phương pháp nào. Download source về xem thì rõ :D

Bác muốn tìm hiểu thêm cái system wide hook thì nên tìm cái freecap_3.11-src down về mà tìm hiểu . Viết bằng Delphi, chương trình của nó là hook winsock. Trên trang torry có đấy nhưng hiện nay trang này bị lỗi +_+. Cái mad bản free ko có source thì ko hiểu được những cái quan trọng nhất đâu.

Registry Monitor có source à? Sao ko thấy nhỉ?

cái RegMon lúc trước có kèm luôn source. Search trên google thì thấy. Nay không hiểu sao chuyển lên Enterprise rồi nên mất luôn source. Chắc chịu khó mò trên net cũng ra. Nó viết bằng VC++.

Bác LeVuHoang có thể nói thêm 1 tý về Unicode Registry key với Native API ko?