1

実行トレースに基づいて実行可能ファイルを分析しています。NtTraceツールを使用して実行トレースを取得しました。出力は、引数を使用した一連のネイティブAPI呼び出しです。次のAPI呼び出しを除いて、ほとんどのAPI呼び出しを解釈することができました。

NtQueryKey( KeyHandle=0x46a, KeyInformationClass=7 [KeyHandleTagsInformation], KeyInformation=0x312c4e0, Length=4, ResultLength=0x312c4dc [4] ) => 0

NtDeviceIoControlFile( FileHandle=0xbe4, Event=0xce8, ApcRoutine=null, ApcContext=null, IoStatusBlock=0x124cf2b0 [0/0xffc], IoControlCode=0x00012017, InputBuffer=0x124cf298, InputBufferLength=0x10, OutputBuffer=null, OutputBufferLength=0 ) => 0

で、を実際のレジストリキーNtQueryKeyにマップするにはどうすればよいですか。KeyHandle=0x46aさらに、それにNtDeviceIoControlFile基づいてIoControlCode=0x00012017、それがTCP_RECV、TCP_SENDなどであるかどうかを見つけることができます...

ありがとうございました。

4

2 に答える 2

1

Sysinternals (現在は Microsoft の一部) の Process Monitor は、レジストリ アクティビティを表示するときに実際のキー パスを表示します。また、ネットワーク アクティビティを監視することもできます。

Sysinternals ツール

于 2013-01-15T21:10:37.650 に答える
0

トレースを振り返って、そのキー ハンドルが開かれたポイントを見つけます。キーが別のキーに対して開かれている場合は、このプロセスを再帰的に繰り返す必要があります。今後は、sysinternals の procmon を使用することをお勧めします。出力ははるかに優れています。

于 2013-01-15T21:09:38.930 に答える