Discussion :

[RazielReaver]

Bonjour à tous,

Je suis nouveau sur le forum mais lecteur assidu de developpez.com

Voila je cherche à developper un utilitaire style regmon. Pour le moment j'ai explorer la piste de RegNotifyChangeKeyValue, qui notifie un changement dans la base de registre. Le pb est que cette fonction ne donne aucun renseignement sur la clé ou valuer modifiée, créée..

La fonction avertit seulement d'un changement sur une rootkey.

Avez vous des pites, une adresse sur ce thème.

Pour info j'ai regardé les fonctions importées par regmon avec scanbin (de Jean-Claude Bellamy) ben à ma grande surprise pas de RegNotifyChangeKeyValue

Voila je suis preneur pour la moindre info concernant ce sujet

Merci

[RazielReaver]

Je viens de penser a un truc. En regardant bien comment fonctionne regmon on s'apercoit qu'il arrive en fait a intercepter l'acces à la base de registre par un processus. Comment peut-on connaitre si tel ou tel processus ecrit dans la base de registre? car a ce momnet il serait facile de connaitre les modification exacte de la base en listant les processus en cours et en regardant s'ils font un requete vers la base !

Vous avez un avis?

[Laurent Dardenne]

As-tu consulté le SDK ?
http://msdn.microsoft.com/library/de...try_events.asp
et
http://msdn.microsoft.com/library/de...starttrace.asp

[Laurent Dardenne]

As-tu consulté le SDK ?
http://msdn.microsoft.com/library/de...try_events.asp
et
http://msdn.microsoft.com/library/de...starttrace.asp

[edit]
WMI permet aussi de surveiller l'activité sur la registry :

http://msdn.microsoft.com/library/de...ry_classes.asp

[RazielReaver]

merci beaucoup,

je vais explorer la piste desuite je te tiens au courant.

Juste un petit mot. J'ai trouvé cette explication sur le site de regmon.

"
On Windows NT, 2000 and XP the </I>Regmon</I> loads a device driver that uses a technique we pioneered for NT called system-call hooking. When a user-mode component makes a privileged system call, control is transfered to a software interrupt handler in NTOSKRNL.EXE (the core of the Windows NT operating system). This handler takes a system call number, which is passed in a machine register, and indexes into a system service table to find the address of the NT function that will handle the request. By replacing entries in this table with pointers to hooking functions, it is possible to intercept and replace, augment, or monitor NT system services. </I>Regmon</I>, which obviously hooks just the Registry-related services, is merely one example of this capability in action. "

De file en aiguille je suis remonté jusqu'a cet article "Hooking Windows NT System Services" qui se trouve ici : http://www.eviloctal.com/forum/htm_d...603/20388.html

Si ta cinq minutes dis moi ce que tu en penses (je me permet de te tutoyer).

En tout cas merci beaucoup pour ta piste..

Cordialement

[Laurent Dardenne]

Si ta cinq minutes dis moi ce que tu en penses

J'ai pas trop le temps désolé, cela me semble trés pointu.
Le code fourni utilise de l'assembleur et concerne un driver il me semble et si c'est le cas Delphi ne te seras d'aucun secours. Et je ne pense pas que cela soit la solution.

Sur le forum de Sysinternals si tu recherches RegNotifyChangeKeyValue un post renvoi vers des API de sécurité, à creuser aussi.

La citation sur regmon t'indique la piste à suivre maintenant faut trouver le début de la pelote

Tu peux aussi poster, après avoir placé celui-ci en résolu, dans le forum Développement Windows.
J'ai regardé sur CodeProject mais je n'ai rien trouvé de concluant, vérifie.

je me permet de te tutoyer.

Pas de soucis.