Форум программистов, компьютерный форум, киберфорум
C++: WinAPI
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.92/13: Рейтинг темы: голосов - 13, средняя оценка - 4.92
0 / 0 / 0
Регистрация: 03.04.2013
Сообщений: 8
1

Мониторинг реестра WinAPI + логирование (С++)

30.10.2013, 17:04. Показов 2496. Ответов 4
Метки нет (Все метки)

Здравствуйте! Передо мной стоит задание написать утилитку на С++, которая бы осуществляла мониторинг по интервальному признаку со снятием снимков с системных файлов и реестра, производила бы их сравнение, выдавала информацию об изменениях в лог файл. В задании сказано реализовать как утилиту с набором ключей, но это не самое важное.
У меня вопрос к форумчанам - может ли кто-то скинуть какие-либо примеры по данной теме? Нашла большую справку на MSDN по поводу действия с реестром, но увы - там мне осталисб непонятно моменты по поводу снятия снимков с систменых файлов, сравнения и того, как делать лог (хотя насчет лога возможно решение очень простое и я просто выдумываю из этого что-то сложное). Буду рада любой полезной информации.
Простите, если пишу о примитивных или много раз разжеванных вещах(
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
30.10.2013, 17:04
Ответы с готовыми решениями:

Мониторинг реестра
Нужна софтина , которая вела наблюдения за определённой программой Чтобы она записывала лог ,...

Мониторинг реестра
Как узнать какая программа сменила значение какого то параметра есть примеры?:(

Мониторинг реестра
Добрый день. Имеется задача по мониторингу реестра. Решил начать с самого простого -...

Мониторинг ветки реестра
Есть ветка HKEY_LOCAL_MACHINE\SOFTWARE\Task_Queue\Parameters\Task_Execution_Duration Что нужно...

4
Ушел с форума
Эксперт С++
16434 / 7398 / 1186
Регистрация: 02.05.2013
Сообщений: 11,617
Записей в блоге: 1
31.10.2013, 01:58 2
Цитата Сообщение от AlenaFox Посмотреть сообщение
Передо мной стоит задание написать утилитку на С++, которая бы осуществляла мониторинг по интервальному признаку...
Что такое интервальный признак в данном контексте ?

Цитата Сообщение от AlenaFox Посмотреть сообщение
...со снятием снимков с системных файлов и реестра...
Какие файлы считать системными, а какие нет ?

Цитата Сообщение от AlenaFox Посмотреть сообщение
производила бы их сравнение, выдавала информацию об изменениях в лог файл.
Имхо, операция сравнения здесь лишняя.

Цитата Сообщение от AlenaFox Посмотреть сообщение
Нашла большую справку на MSDN по поводу действия с реестром, но увы - там мне осталисб непонятно моменты по поводу снятия снимков с систменых файлов, сравнения и того, как делать лог
Слежение за реестром или файлами не делается через снимки и сравнение,
потому что это медленно и неэффективно. Но если очень нужно, можете попробовать
функции FindFirstChangeNotification/ReadDirectoryChangesW (файлы), а также
RegNotifyChangeKeyValue (реестр).

Ну а качественная реализация данных вещей - это установка callback-ов ядра на
изменения реестра (CmRegisterCallback) и файловый фильтр для отслеживания
изменений файлов. Оба решения работают в режиме ядра (драйвер).
1
0 / 0 / 0
Регистрация: 03.04.2013
Сообщений: 8
31.10.2013, 17:30  [ТС] 3
Цитата Сообщение от Убежденный Посмотреть сообщение
Что такое интервальный признак в данном контексте ?
Имеется ввиду через заданный промежуток времени просматривать файл реестра и все его структуры
Цитата Сообщение от Убежденный Посмотреть сообщение
Какие файлы считать системными, а какие нет ?
Сегодня преподавательница уточнила, что тут может быть любой файл (например config или profile файлы).. Т.е. программа в этмо смысле должна быть универсальной ..
Цитата Сообщение от Убежденный Посмотреть сообщение
Имхо, операция сравнения здесь лишняя.
Смысл разрабатываемого монитора в том, чтобы выдавать разницу в конкретных структурах(параметрах) реестра, чтобы, допустим, смотреть - не изменилось ли что в структурах, касающихся безопасности или администрирования системы.

Цитата Сообщение от Убежденный Посмотреть сообщение
файловый фильтр для отслеживания
изменений файлов
Здесь для меня вообще ничего понятно нет Оо к сожалению..( Да и в callback - ах тоже я ноль.. =\

Сегодня мне еще уточнили, что надо каким-то образом для реализации данной задачи работать с системным логом (непонятно для меня зачем?), ну а "монитор реестра" должен быть именно как слепок, который через дельта t снимается и сравнивается с предыдущим
0
Ушел с форума
Эксперт С++
16434 / 7398 / 1186
Регистрация: 02.05.2013
Сообщений: 11,617
Записей в блоге: 1
31.10.2013, 17:55 4
Цитата Сообщение от AlenaFox Посмотреть сообщение
Смысл разрабатываемого монитора в том, чтобы выдавать разницу в конкретных структурах(параметрах) реестра, чтобы, допустим, смотреть - не изменилось ли что в структурах, касающихся безопасности или администрирования системы.
Это не секьюрно.
Представьте: некая вредоносная программа вносит изменения в реестр, а затем быстро выполняет перезагрузку.
Не факт, что монитор успеет поймать эту операцию, да если даже и поймает, что-то делать будет уже поздно.
Обычно проактивные защиты, защищающие файлы, реестр и прочие объекты, умеют не только отслеживать
обращения к этим объектам, но и блокировать доступ на основе предопределенных правил, или даже в
интерактивном режиме, по решению пользователя. Но с функциями мониторинга файлов/реестра, которые я
приводил выше, такого не сделать.
0
0 / 0 / 0
Регистрация: 03.04.2013
Сообщений: 8
31.10.2013, 18:00  [ТС] 5
Цитата Сообщение от Убежденный Посмотреть сообщение
Это не секьюрно.
Мне надо сделать всего лишь "учебный" примерчик, выполняющий то, что я описала. Само собой понятно, что для решения вопросов реальных, касающихся безопасности, это мало подойдет =D
Но само задание все равно есть и представления о том как делать пока не прибавилось =/ Даже алгоритм работы в голове не совсем укладывается
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
31.10.2013, 18:00

Мониторинг WinAPI вызовов
Можно ли "слушать" вызовы WinAPI всех запущенных процессов без инжекта dll в процесс. Сейчас...

Создание файла импорта реестра средствами WinApi
Всем привет! Появилась такая задача: создать файл для реестра Windows (reg-файл) с помощью WinApi...

Как предотвратить windows xp от потери реестра? или поломки реестра...
Хочу узнать как предотвратить windows xp от потери реестра. Ато уже как то надоело раз в месяц...

Указаный файл не является файлом данных реестра, возможен импорт только двоичных файлов данных реестра
помогите пожалуйста , при загруске файла в системный реестр у меня выбивает ошибку , я не могу...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru