本帖最后由 材鸟 于 2019-8-9 16:57 编辑
个人调试某软件时,发现其对注册表进行操作。
regedit 注册表编辑器里查看该路径。确发现并没有该键~
而调试时,RegOpenKeyExW 确实返回0 即SUCCESS ,此时的我一脸懵逼
各种百度,只查阅到一篇相关的贴子:https://bbs.csdn.net/topics/230066445
原文:
是这样的,我在调试别人的Exe程序时,看到在程序中它调用了RegOpenKeyExA这个函数
但它传入的参数中,有一个子键,该子键我在整个注册表中都未查到,但这个函数它却能够成功的调用,所以感到很迷惑,
后来在上网查了一下,原来还有隐藏键之说,但有关这类子键的访问,网上实在找不到可用的资料
哪位大侠做过这方面研究,是否可提供一些参考意见?
然而遗憾的是并没有任何收获。
茫然之间打开了...Process Monitor监视了一遍注册表操作
过滤之后结果如图
是的没错,WOW6432Node
64 位版本 Windows 包含的默认 64 位版本注册表编辑器 (Regedit.exe) 可显示 64 位和 32 位的 注册表项。WOW64 注册表重定向器为 32 位程序提供了对应于 32 位程序注册表项的不同注册表项。在 64 位版本的注册表编辑器中,32 位注册表项显示在以下注册表项下:HKEY_LOCAL_MACHINE\Software\WOW6432Node
| 
发表于 2019-8-9 16:54
