#C++我的武器庫系列#之啓動項核心技術實現

一、編寫背景

註冊表是黑白必爭之地，惡意程序常見有文件關聯、增加啓動項、映像劫持、篡改瀏覽器等惡意行爲。本文以註冊表其中的啓動項爲核心，對啓動項進行展示、添加、刪除等操作，揭示黑客人員如何編寫程序實現惡意行爲。後期可以將進程信息、服務信息等相關信息進行整合，通過統一界面進行綜合管理，同時建設相關監測基線，實現異常啓動項、服務、進程異常快速發現。

二、編寫代碼

（1）主窗口代碼


// Regedit2Dlg.cpp : 實現文件
//

#include "stdafx.h"
#include "Regedit2.h"
#include "Regedit2Dlg.h"
#include "afxdialogex.h"
#include "RegAdd.h"
#ifdef _DEBUG
#define new DEBUG_NEW
#endif


// 用於應用程序“關於”菜單項的 CAboutDlg 對話框

class CAboutDlg : public CDialogEx
{
public:
	CAboutDlg();

// 對話框數據
	enum { IDD = IDD_ABOUTBOX };

	protected:
	virtual void DoDataExchange(CDataExchange* pDX);    // DDX/DDV 支持

// 實現
protected:
	DECLARE_MESSAGE_MAP()
};

CAboutDlg::CAboutDlg() : CDialogEx(CAboutDlg::IDD)
{
}

void CAboutDlg::DoDataExchange(CDataExchange* pDX)
{
	CDialogEx::DoDataExchange(pDX);
}

BEGIN_MESSAGE_MAP(CAboutDlg, CDialogEx)
END_MESSAGE_MAP()


// CRegedit2Dlg 對話框




CRegedit2Dlg::CRegedit2Dlg(CWnd* pParent /*=NULL*/)
	: CDialogEx(CRegedit2Dlg::IDD, pParent)
{
	m_hIcon = AfxGetApp()->LoadIcon(IDR_MAINFRAME);
}

void CRegedit2Dlg::DoDataExchange(CDataExchange* pDX)
{
	CDialogEx::DoDataExchange(pDX);
	DDX_Control(pDX, IDC_LIST1, m_RunList);
}

BEGIN_MESSAGE_MAP(CRegedit2Dlg, CDialogEx)
	ON_WM_SYSCOMMAND()
	ON_WM_PAINT()
	ON_WM_QUERYDRAGICON()
	ON_NOTIFY(LVN_ITEMCHANGED, IDC_LIST1, &CRegedit2Dlg::OnLvnItemchangedList1)
	ON_BN_CLICKED(IDC_BUTTON1, &CRegedit2Dlg::OnBnClickedButton1)
	ON_BN_CLICKED(IDC_BUTTON2, &CRegedit2Dlg::OnBnClickedButton2)
END_MESSAGE_MAP()


// CRegedit2Dlg 消息處理程序

BOOL CRegedit2Dlg::OnInitDialog()
{
	CDialogEx::OnInitDialog();

	// 將“關於...”菜單項添加到系統菜單中。

	// IDM_ABOUTBOX 必須在系統命令範圍內。
	ASSERT((IDM_ABOUTBOX & 0xFFF0) == IDM_ABOUTBOX);
	ASSERT(IDM_ABOUTBOX < 0xF000);

	CMenu* pSysMenu = GetSystemMenu(FALSE);
	if (pSysMenu != NULL)
	{
		BOOL bNameValid;
		CString strAboutMenu;
		bNameValid = strAboutMenu.LoadString(IDS_ABOUTBOX);
		ASSERT(bNameValid);
		if (!strAboutMenu.IsEmpty())
		{
			pSysMenu->AppendMenu(MF_SEPARATOR);
			pSysMenu->AppendMenu(MF_STRING, IDM_ABOUTBOX, strAboutMenu);
		}
	}

	// 設置此對話框的圖標。當應用程序主窗口不是對話框時，框架將自動
	//  執行此操作
	SetIcon(m_hIcon, TRUE);			// 設置大圖標
	SetIcon(m_hIcon, FALSE);		// 設置小圖標
	initList();
	showRunList();
	// TODO: 在此添加額外的初始化代碼

	return TRUE;  // 除非將焦點設置到控件，否則返回 TRUE
}

void CRegedit2Dlg::OnSysCommand(UINT nID, LPARAM lParam)
{
	if ((nID & 0xFFF0) == IDM_ABOUTBOX)
	{
		CAboutDlg dlgAbout;
		dlgAbout.DoModal();
	}
	else
	{
		CDialogEx::OnSysCommand(nID, lParam);
	}
}

// 如果向對話框添加最小化按鈕，則需要下面的代碼
//  來繪製該圖標。對於使用文檔/視圖模型的 MFC 應用程序，
//  這將由框架自動完成。

void CRegedit2Dlg::OnPaint()
{
	if (IsIconic())
	{
		CPaintDC dc(this); // 用於繪製的設備上下文

		SendMessage(WM_ICONERASEBKGND, reinterpret_cast<WPARAM>(dc.GetSafeHdc()), 0);

		// 使圖標在工作區矩形中居中
		int cxIcon = GetSystemMetrics(SM_CXICON);
		int cyIcon = GetSystemMetrics(SM_CYICON);
		CRect rect;
		GetClientRect(&rect);
		int x = (rect.Width() - cxIcon + 1) / 2;
		int y = (rect.Height() - cyIcon + 1) / 2;

		// 繪製圖標
		dc.DrawIcon(x, y, m_hIcon);
	}
	else
	{
		CDialogEx::OnPaint();
	}
}

//當用戶拖動最小化窗口時系統調用此函數取得光標
//顯示。
HCURSOR CRegedit2Dlg::OnQueryDragIcon()
{
	return static_cast<HCURSOR>(m_hIcon);
}



void CRegedit2Dlg::OnLvnItemchangedList1(NMHDR *pNMHDR, LRESULT *pResult)
{
	LPNMLISTVIEW pNMLV = reinterpret_cast<LPNMLISTVIEW>(pNMHDR);
	// TODO: 在此添加控件通知處理程序代碼
	*pResult = 0;
}

void CRegedit2Dlg::initList(){
m_RunList.SetExtendedStyle(LVS_EX_GRIDLINES|LVS_EX_FULLROWSELECT);
    LONG lStyle;
    lStyle = GetWindowLong(m_RunList.m_hWnd, GWL_STYLE);//獲取當前窗口style
    lStyle &= ~LVS_TYPEMASK; //清除顯示方式位
    lStyle |= LVS_REPORT; //設置style
    SetWindowLong(m_RunList.m_hWnd, GWL_STYLE, lStyle);//設置style

    //添加列
    m_RunList.InsertColumn(0, _T("序號"));//插入列
    m_RunList.InsertColumn(1,_T("鍵值名稱"));        
    m_RunList.InsertColumn(2,_T("鍵值"));    
	m_RunList.SetColumnWidth(0,LVSCW_AUTOSIZE_USEHEADER);
	m_RunList.SetColumnWidth(1,LVSCW_AUTOSIZE_USEHEADER);
	m_RunList.SetColumnWidth(2,LVSCW_AUTOSIZE_USEHEADER);
}
void CRegedit2Dlg::showRunList(){
	
	m_RunList.DeleteAllItems();//刪除所有數據
	DWORD dwType; //類型
	DWORD dwBufferSize = MAXBYTE;
	DWORD dwKeySize = MAXBYTE; //指向filetime結構體
	char szValueName[MAXBYTE]= {0}; //值名稱
	char szValueKey[MAXBYTE]= {0}; //值

	HKEY hKey = NULL;//獲取接收打開的子健句柄
	LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,REG_RUN,0,KEY_ALL_ACCESS,&hKey); //打開註冊表，打開自啓動內容
	if(lRet != ERROR_SUCCESS){
		return;
	}
	int i=0;
	CString strTmp;
	while(TRUE){
		lRet =  RegEnumValue(hKey, i, szValueName, 
            &dwBufferSize, NULL, &dwType, 
            (unsigned char *)szValueKey, &dwKeySize); //子健和鍵值枚舉
		if(lRet == ERROR_NO_MORE_ITEMS){
		 
		   break;
	    }
		strTmp.Format("%d",i);

		m_RunList.InsertItem(i, strTmp);//插入內容
		m_RunList.SetItemText(i,1,szValueName);
		m_RunList.SetItemText(i,2,szValueKey);
		ZeroMemory(szValueKey,MAXBYTE);
		ZeroMemory(szValueName,MAXBYTE);
		dwBufferSize = MAXBYTE;
		dwKeySize = MAXBYTE;
		i++;
	}
	RegCloseKey(hKey);
}

//添加啓動項
void CRegedit2Dlg::OnBnClickedButton1()
{
	// TODO: 在此添加控件通知處理程序代碼
	RegAdd regAdd;
    regAdd.DoModal();
	regAdd.m_szKeyValue;
	if(strlen(regAdd.m_szKeyValue)>0 && strlen(regAdd.m_szKeyName)>0){
		HKEY hKey = NULL;
		LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,REG_RUN,0,KEY_ALL_ACCESS,&hKey); //打開註冊表，打開自啓動內容
		if(lRet != ERROR_SUCCESS){
			return;
		}
		//添加註冊表
		RegSetValueEx(hKey, regAdd.m_szKeyName, 0, 
            REG_SZ, (const unsigned char*)regAdd.m_szKeyValue,
            strlen(regAdd.m_szKeyValue) + sizeof(char));
        RegCloseKey(hKey);
		showRunList();
	}else{
	    AfxMessageBox("請輸入完整內容");
	}
}


void CRegedit2Dlg::OnBnClickedButton2()
{
	// TODO: 在此添加控件通知處理程序代碼
	POSITION pos = m_RunList.GetFirstSelectedItemPosition();//獲取選擇內容

	int nSelected = -1;

	while(pos){
		nSelected = m_RunList.GetNextSelectedItem(pos);
		if(-1 == nSelected){
		  AfxMessageBox("請選擇要刪除的啓動項");
		  return;
		}
		char szKeyName[MAXBYTE] ={0};
		m_RunList.GetItemText(nSelected,1,szKeyName,MAXBYTE);
		HKEY hKey;
		LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,REG_RUN,0,KEY_ALL_ACCESS,&hKey); //打開註冊表，打開自啓動內容
		RegDeleteValue(hKey,szKeyName); //刪除
		RegCloseKey(hKey);
		showRunList();
	}

}

（2）添加啓動項代碼


// Regedit2.cpp : 定義應用程序的類行爲。
//

#include "stdafx.h"
#include "Regedit2.h"
#include "Regedit2Dlg.h"

#ifdef _DEBUG
#define new DEBUG_NEW
#endif


// CRegedit2App

BEGIN_MESSAGE_MAP(CRegedit2App, CWinApp)
	ON_COMMAND(ID_HELP, &CWinApp::OnHelp)
END_MESSAGE_MAP()


// CRegedit2App 構造

CRegedit2App::CRegedit2App()
{
	// 支持重新啓動管理器
	m_dwRestartManagerSupportFlags = AFX_RESTART_MANAGER_SUPPORT_RESTART;

	// TODO: 在此處添加構造代碼，
	// 將所有重要的初始化放置在 InitInstance 中
}


// 唯一的一個 CRegedit2App 對象

CRegedit2App theApp;


// CRegedit2App 初始化

BOOL CRegedit2App::InitInstance()
{
	// 如果一個運行在 Windows XP 上的應用程序清單指定要
	// 使用 ComCtl32.dll 版本 6 或更高版本來啓用可視化方式，
	//則需要 InitCommonControlsEx()。否則，將無法創建窗口。
	INITCOMMONCONTROLSEX InitCtrls;
	InitCtrls.dwSize = sizeof(InitCtrls);
	// 將它設置爲包括所有要在應用程序中使用的
	// 公共控件類。
	InitCtrls.dwICC = ICC_WIN95_CLASSES;
	InitCommonControlsEx(&InitCtrls);

	CWinApp::InitInstance();


	AfxEnableControlContainer();

	// 創建 shell 管理器，以防對話框包含
	// 任何 shell 樹視圖控件或 shell 列表視圖控件。
	CShellManager *pShellManager = new CShellManager;

	// 標準初始化
	// 如果未使用這些功能並希望減小
	// 最終可執行文件的大小，則應移除下列
	// 不需要的特定初始化例程
	// 更改用於存儲設置的註冊表項
	// TODO: 應適當修改該字符串，
	// 例如修改爲公司或組織名
	SetRegistryKey(_T("應用程序嚮導生成的本地應用程序"));

	CRegedit2Dlg dlg;
	m_pMainWnd = &dlg;
	INT_PTR nResponse = dlg.DoModal();
	if (nResponse == IDOK)
	{
		// TODO: 在此放置處理何時用
		//  “確定”來關閉對話框的代碼
	}
	else if (nResponse == IDCANCEL)
	{
		// TODO: 在此放置處理何時用
		//  “取消”來關閉對話框的代碼
	}

	// 刪除上面創建的 shell 管理器。
	if (pShellManager != NULL)
	{
		delete pShellManager;
	}

	// 由於對話框已關閉，所以將返回 FALSE 以便退出應用程序，
	//  而不是啓動應用程序的消息泵。
	return FALSE;
}

實現效果截圖：

1、添加自定義啓動項

2、通過系統配置查看新增啓動項

3、刪除新增啓動項

三、後期優化

#C++我的武器庫系列#之啓動項核心技術實現

SQL優化-20231016

機器學習之CPU利用率預測

數據安全治理方法論

Oracle的TNS協議解析

#逆向分析系列#逆向0X02|什麼是緩衝區溢出

#我的武器庫#之進程及DLL獲取核心實現

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結