对于注册表的REG_MULTI_SZ类型的数据个人感觉一直比较蛋疼,一个是因为在Delphi下竟然没有相关的函数,第二个是因为对于这类型的数据在使用ssdt hook修改数据的时候出现了很多问题。
为了明白到底是怎么处理的,于是就把相关的调用流程跟踪了一遍。至于是什么程序调用的这里就不提了,直接贴代码吧。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | 103B29D8 8B4C24 18 mov ecx,dword ptr ss:[esp+0x18] 103B29DC 8B3D 34F0EE10 mov edi,dword ptr ds:[<&ADVAPI32.RegQuer>; ADVAPI32.RegQueryValueExA 103B29E2 894424 14 mov dword ptr ss:[esp+0x14],eax 103B29E6 8D4424 14 lea eax,dword ptr ss:[esp+0x14] 103B29EA 50 push eax 103B29EB 6A 00 push 0x0 103B29ED 6A 00 push 0x0 103B29EF 6A 00 push 0x0 103B29F1 68 088FFD10 push iTunes_1.10FD8F08 ; ASCII "SystemBiosVersion" 103B29F6 51 push ecx 103B29F7 FFD7 call edi103B29F9 85C0 test eax,eax 103B29FB 75 48 jnz XiTunes_1.103B2A45 103B29FD 8B5424 14 mov edx,dword ptr ss:[esp+0x14] 103B2A01 52 push edx 103B2A02 50 push eax 103B2A03 E8 7820CDFF call iTunes_1.10084A80 103B2A08 50 push eax 103B2A09 FF15 84FEEE10 call dword ptr ds:[<&KERNEL32.HeapAlloc>>; ntdll.RtlAllocateHeap 103B2A0F 8B4C24 18 mov ecx,dword ptr ss:[esp+0x18] 103B2A13 8BF0 mov esi,eax 103B2A15 8D4424 14 lea eax,dword ptr ss:[esp+0x14] 103B2A19 50 push eax 103B2A1A 56 push esi 103B2A1B 6A 00 push 0x0 103B2A1D 6A 00 push 0x0 103B2A1F 68 088FFD10 push iTunes_1.10FD8F08 ; ASCII "SystemBiosVersion" 103B2A24 51 push ecx 103B2A25 FFD7 call edi |
这里是应用层的第一次调用,在调用的时候第一次并没有分配相应的缓冲区来存放数据。这次调用的根本目的是为了获取注册表中对应的数据的大小。
