Windows驱动开发(5) - 内核模式下的注册表操作

最新推荐文章于 2022-04-06 13:42:47 发布
最新推荐文章于 2022-04-06 13:42:47 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: Win驱动开发 文章标签: windows 驱动开发 内核 注册表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011471873/article/details/51175147
版权

Windows驱动开发(5) - 内核模式下的注册表操作

1、创建关闭注册表

1.1 创建注册表

NTSTATUS ZwCreateKey(
  _Out_      PHANDLE            KeyHandle,
  _In_       ACCESS_MASK        DesiredAccess,
  _In_       POBJECT_ATTRIBUTES ObjectAttributes,
  _Reserved_ ULONG              TitleIndex,
  _In_opt_   PUNICODE_STRING    Class,
  _In_       ULONG              CreateOptions,
  _Out_opt_  PULONG             Disposition
);

参数
- KeyHandle:[out] :获得的注册表句柄。
- DesiredAccess:[in] :访问权限,一般设置为KEY_ALL_ACCESS
- KEY_QUERY_VALUE:读键值
- KEY_SET_VALUE:写键值
- KEY_CREATE_SUB_KEY:创建键的子健
- KEY_ENUMERATE_SUB_KEYS:读键的子健
- KEY_CREATE_LINK:创建符号链接
- KEY_NOTIFY:
还可以指定下面的几个常量,它包含了一个或多个ACCESS_MASK标志。
- KEY_READ
- KEY_WRITE
- KEY_EXECUTE
- KEY_ALL_ACCESS
- ObjectAttributes:[in] :OBJECT_ATTRIBUTES 数据结构,指示打开的状态。
- TitleIndex:[in] :很少用到,一般设置为0。
- Class:[in] :很少用到,一般设置为NULL。
- CreateOptions:[in] :创建时的选项,一般设置为REG_OPTION_NON_VOLATILE。
- Disposition:[out] :返回是创建成功,还是打开成功。返回值是REG_CREATED_NEW_KEY,REG_OPENEND_EXISTING_KEY。

返回值
返回是否创建成功。

1.2 关闭注册表

NTSTATUS ZwClose(
  _In_  HANDLE Handle
);
  • Handle:注册表句柄

2、打开注册表

NTSTATUS ZwOpenKey(
  _Out_ PHANDLE            KeyHandle,
  _In_  ACCESS_MASK        DesiredAccess,
  _In_  POBJECT_ATTRIBUTES ObjectAttributes
);
  • KeyHandle:返回被打开的句柄
  • DesiredAccess:访问权限,一般设置为KEY_ALL_ACCESS
  • ObjectAttributes:OBJECT_ATTRIBUTES 数据结构,指示打开的状态
  • 返回值:返回是否创建成功。

3、添加、修改注册表键值

NTSTATUS ZwSetValueKey(
  _In_     HANDLE          KeyHandle,
  _In_     PUNICODE_STRING ValueName,
  _In_opt_ ULONG           TitleIndex,
  _In_     ULONG           Type,
  _In_opt_ PVOID           Data,
  _In_     ULONG           DataSize
);
  • KeyHandle:注册表句柄
  • ValueName:要新建或修改的键名
  • TitleIndex:很少用,一般设为0
  • Type:键值类型
    • REG_BINARY:二进制
    • REG_SZ:宽字符串
    • REG_EXPAND_SZ:扩展宽字符串
    • REG_MULTI_SZ:多个字符串
    • REG_DWORD:4字节整型
    • REG_QWORD:8字节存储
  • Data:对应Type类型的键值数据指针
  • DataSize:记录键值数据的大小
  • 返回值:返回新建或修改的结果

4、查询注册表

1)用ZwQueryValueKey 获取数据结构的长度。
2)分配如此长度的内存。
3)再次调用ZwQueryValueKey 查询。
4)回收内存。

NTSTATUS ZwQueryValueKey(
  _In_      HANDLE                      KeyHandle,
  _In_      PUNICODE_STRING             ValueName,
  _In_      KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass,
  _Out_opt_ PVOID                       KeyValueInformation,
  _In_      ULONG                       Length,
  _Out_     PULONG                      ResultLength
);
  • KeyHandle:注册表句柄
  • ValueName:要查询的键名
  • KeyValueInformationClass:根据KeyValueInformation的不同选择不同的查询类别
    • KeyValueBasicInformation
    • KeyValueFullInformation
    • KeyValuePartialInformation
  • KeyValueInformation:查询数据指针
  • Length:要查数据的长度
  • ResultLength:实际查询数据的长度
  • 返回值:表示查询数据是否成功

5、枚举子项

  用ZwQueryKey与ZwEnumerateKey 来枚举子项。
  ZwQueryKey获取某注册表项究竟有多少个子项,而ZwEnumerateKey 针对第几个子项获取该子项的具体信息。
  我们发现,凡是调用有长度的函数,一般都是两次调用,第一次调用来获得具体查询(使用该函数)需要的内存需要多大长度,第二次调用时来查询具体信息。

NTSTATUS ZwQueryKey(
  _In_       HANDLE KeyHandle,
  _In_       KEY_INFORMATION_CLASS KeyInformationClass,
  _Out_opt_  PVOID KeyInformation,
  _In_       ULONG Length,
  _Out_      PULONG ResultLength
);
  • KeyHandle:注册表项的句柄
  • KeyInformationClass:查询的类别,一般选择KeyFullInformation
  • KeyInformation:查询的数据指针。
  • Length:数据长度
  • ResultLength:返回的数据长度
  • 返回值:指示查询是否成功
NTSTATUS ZwEnumerateKey(
  _In_      HANDLE                KeyHandle,
  _In_      ULONG                 Index,
  _In_      KEY_INFORMATION_CLASS KeyInformationClass,
  _Out_opt_ PVOID                 KeyInformation,
  _In_      ULONG                 Length,
  _Out_     PULONG                ResultLength
);
  • KeyHandle:注册表项的句柄
  • Index:很少用到,一般为0
  • KeyInformationClass:查询的类别,一般选择KeyFullInformation
  • KeyInformation:查询的数据指针。
  • Length:子项信息的长度
  • ResultLength:返回的子项信息的长度
  • 返回值:指示枚举是否成功

6、枚举子健

通过ZwQueryKey与ZwEnumerateValueKey来枚举子键。

NTSTATUS ZwEnumerateValueKey(
  _In_      HANDLE                      KeyHandle,
  _In_      ULONG                       Index,
  _In_      KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass,
  _Out_opt_ PVOID                       KeyValueInformation,
  _In_      ULONG                       Length,
  _Out_     PULONG                      ResultLength
);

7、删除子健

只能删除没有子项的项目。

NTSTATUS ZwDeleteKey(
  _In_ HANDLE KeyHandle
);

8、其他

DDK中定义了一些运行时函数来简化上面的操作。
- RtlCreateRegistryKey:创建注册表
- RtlCheckRegistryKey:检查注册表中的一个给定的名称键是否存在
- RtlWriteRegistryValue:写注册表
- RtlDeleteRegistryValue“删除注册表

Vinx911
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows驱动开发基础视频教程.txt
12-20
【适合小白入门】深入掌握Windows操作系统原理,提升程序开发水平,为学习驱动开发内核安全打下基础。学完本课程可以轻松的理解Windows内核,开阔思路,对没有底层开发基础的人起到有非常好的指导作用。在此基础上可以开发出有趣且功能强大的软件。 课程目录: 第1章windows驱动基础 第一课 认识windows驱动 第二课 在虚拟机里安装windows操作系统 第三课 windows操作系统基本概念 第四课 操作系统的分层结构 第2章windowsw驱动编译环境配置、安装及调试 第五课 安装驱动开发环境 第六课 安装驱动开发环境 第七课 实战:编写驱动程序加载器 第3章驱动程序的基本结构 第八课 复习c语言的指针和数据结构 第九课 windows驱动程序的基本结构 第十课 编程实战-创建设备对象 第4章windows内存管理 第十一课 内存管理操作 第十二课 驱动开发中使用链表 第十三课 驱动开发中使用快查表 第十四课 在驱动中使用c++中内存管理操作-newdelet 第十六课 驱动开发中宏与断言的使用 第5章应用程序与驱动程序通信 第二十六课 irp与派遣函数 第二十七课 缓冲区操作 第十五课 在驱动中使用结构化异常处理 第二十八课 缓冲区操作 第二十九课 模拟文件 第三十课 直接方式与其它方式操作 第三十一课 io设备控制操作 第三十二课 io设备控制操作 第6章windows内核函数 第十七课 内核模式下的字符串操作1 第十八课 内核模式下的字符串操作 第十九课 内核模式下的字符串操作 第二十课 内核模式下的文件操作 第二十一课 内核模式下的文件操作 第二十二课 内核模式注册表操作 第二十三课 内核模式注册表操作 第二十四课 内核模式注册表操作 第二十五课 内核模式注册表操作 第7章驱动程序的同步处理 第三十三课 内核模式下的同步与异步操作 第三十四课 用户模式下的同步对象1_事件 第三十五课 用户模式下的同步对象2_线程信号量与互斥体 第三十六课 内核模式下的同步对象3_系统线程创建与普 第三十七课 内核模式下的同步对象4_信号量与互斥体 第三十八课 内核模式与用户模式间的同步操作 第三十九课 其它内核同步要素 第8章IRP的同步与异步 第四十课 应用程序的对文件同步与异步操作 第四十一课 irp异步完成 第四十二课 irp的取消与startio函数 第四十三课 自定义startio函数 第9章定时器54分钟3节 第四十四课 io定时器与dpc定时器 第四十五课 内核模式下的等待操作 第四十六课 时间函数与irp超时处理 第10章驱动程序调用驱动程序1小时3节 第四十七课 通过设备句柄调用驱动程序 第四十八课 设备指针调用驱动程序 第四十九课 自定义irp与ObReferenceObject 第11章分层过滤驱动 第五十课 分层驱动:枚举设备栈上的设备对象 第五十一课 编写过滤驱动程序 第五十二课 irp完成函数 第12章驱动程序开发高级技能 第五十三课 驱动程序的兼容性 第五十五课 驱动调试之windbg与vmware 第五十六课 驱动调试vs vmware 第五十四课 驱动签名证书原理及制作 第五十七课 驱动调试神器virtualkd 第五十八课 汇编语言编写驱动之环境搭建 第五十九课 用汇编语言开发32与64位驱动程序
内核模式 注册表编程
weixin_30399797的博客
09-02 66
//////////////////////////////////////////////////////////////////////////////创建或打开某注册表项目: #define MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\Zhangfan" #pragma INITCODE VOID Crea...
内核中之获取HKEY_CURRENT_USER对应路径
125096
07-18 7234
内核操作注册表,HKEY_LOCAL_MACHINE的路径可以用\Registry\Machine来表示. HKEY_USERS可以用 \Registry\User表示. 而HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG,HKEY_CURRENT_USER,在内核没有对应的路径来表示. 实际上HKEY_CLASSES_ROOT是链接到HKEY_L
文件系统驱动编程基础篇之5——注册表与Inf (转)
tempname866的专栏
06-01 1928
注册表以树形方式存储配置信息,树节点称为键(key),键可以包含子键(subkey)和称为值(value)的数据项。 一)需要关注的几种键(注:硬件键、类键、设备接口类应是所列位置下的子键): 二)第3点中的服务键的写法与其他键有所不同,它以\REGISTRY打头,这是内核模式下根键的规定写法。 User-mode Handle Co
Windows驱动开发-注册表操作
weixin_42071117的博客
04-06 700
#include <ntddk.h> #include <windef.h> VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { KdPrint(("驱动卸载\n")); UNREFERENCED_PARAMETER(DriverObject); } VOID RegCreateTest() { NTSTATUS status = STATUS_SUCCESS; HANDLE hKey = NULL; HANDLE h
内核模式注册表操作Windows 驱动开发详解)
qq_41071646的博客
01-09 1729
首先说一下 应用层的注册表操作 主要也就是 遍历 增删改查 之类 的 然后 RegOpenKeyEx  函数  这个可以  打开 其中 RegCreateKeyEx 可以创造 也可以打开  然后 RegSetVableEx 函数 在注册表下设置指定值的数据和类型    其中如果想实现 某个程序开机自启动的话 其实也很简单   只不过在windows10 或者有些win7 要权限的  BO...
恶意代码分析实战 Lab 10-1 习题笔记
isinstance的博客
01-15 2144
Lab 10-1 一些准备工作 首先就是配置内核调试的环境 我这里用的是VirtualBox而不是书上的VMware 所以这里可能会有一些的不同 书上说的是这样的 与用户态调试不同,内核调试需要一些初始化配置。首先需要配置虚拟操作系统并开启内核调试,然后配置VMware使虚拟机和宿主操作系统之间有一条虚拟化的串口,同时还应该配置宿主操作系统中的WinDbg 我们按照书上的...
内核下的注册表操作
qq_41490873的博客
07-23 834
注册表的相关概念 创建关闭注册表 ZwCreateKey NTSYSAPI NTSTATUS ZwCreateKey( PHANDLE KeyHandle, //获得的注册表句柄 ACCESS_MASK DesiredAccess, //访问权限,一般设置为KEY_ALL_ACCESS POBJECT_ATTRIBUTES ObjectAttributes, //OBJECT_ATTRIBUTES数据结构指针 ULONG Ti
windows驱动开发技术详解-part2
07-06
 6.3 内核模式下的注册表操作  6.3.1 创建关闭注册表  6.3.2 打开注册表  6.3.3 添加、修改注册表键值  6.3.4 查询注册表  6.3.5 枚举子项  6.3.6 枚举子键  6.3.7 删除子项  6.3.8 其他  6.4 小...
Windows驱动开发技术详解的光盘-part1
07-06
用实例详细讲解PCI、USB、虚拟串口、虚拟摄像头、SDIO等驱动程序的开发,归纳了多种调试驱动程序的高级技巧,如用WinDBG和VMWARE软件对驱动进行源码级调试,深入Windows操作系统的底层和内核,透析Windows驱动开发的...
R0级操作注册表RegDriver
05-15
R0级操作注册表RegDriver R0级操作注册表RegDriver
Windows内核安全驱动开发(随书光盘)
08-02
2.5 Windows驱动开发模型 29 2.6 WDK编程中的特殊点 30 2.6.1 内核编程的主要调用源 30 2.6.2 函数的多线程安全性 30 2.6.3 代码的中断级 32 2.6.4 WDK中出现的特殊代码 32 第3章 字符串与链表 35 3.1 字符...
Windows内核安全与驱动开发光盘源码
07-11
2.5 Windows驱动开发模型 29 2.6 WDK编程中的特殊点 30 2.6.1 内核编程的主要调用源 30 2.6.2 函数的多线程安全性 30 2.6.3 代码的中断级 32 2.6.4 WDK中出现的特殊代码 32 第3章 字符串与链表 35 3.1 字符...
WDK驱动开发之路——对注册表进行操作
AuddyTab的博客
11-22 217
#include <wdm.h> //卸载派遣函数 void DriverUnload(PDRIVER_OBJECT pdriver) { NTSTATUS status = STATUS_SUCCESS; DbgPrint("Driver Unload!"); } //驱动加载入口 NTSTATUS DriverEntry(PDRIVER_OBJECT pdriver, PUNICODE_STRING path) { DbgPrint("Hello Driver!!"); NTS.
win10驱动开发14——注册表操作
qq_41610493的博客
12-11 693
注册表的创建、值、写值、枚举(父子注册表相关的操作)。 #include <ntddk.h> #include <windef.h> VOID Unload(IN PDRIVER_OBJECT pDriverObject) { //驱动卸载的时候显示 KdPrint(("Goodbye driver\n")); } //创建注册表 VOID RegCreateTest() { HANDLE hKey;//文件句柄 NTSTATUS status;//返回状态 OBJ
驱动程序注册表
weixin_43589450的博客
08-22 1176
1、WDM设备安装在注册表中的变化 P81 WDM驱动程序安装在三个方面修改注册表,分别是硬件子键(Hardware)、类子键(Class)以及服务子键(Service) 硬件子键:称为实例子键,在计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum;其中的信息与INF文件中相对应, ClassGUID是设备所属类,Class此设备所属的设备类。DeviceDesc显示此设备在设备管理器中显示的名字。 类子键:每个设备都会从属与一个设备类,这个设备也就
[病毒分析]WinDBG实战教学(1)
网络安全知识分享
03-12 3816
WinDBG实战教学(1)一、初始任务二、开始分析三、分析代码四、WinDBG调试 这里的实例选自《恶意代码分析与实战》第十章实验一 大家可以在这里下载哦 点击下载—提取码:8189 实验工具: 1、WinDBG 2、IDA 3、Dependency Walker 一、初始任务 我们将下载好的文件放到指定位置 C:\Windows\System32 使用WinGDB 连接至虚拟机(CSDN中有很多关于WinDBG的初始教学,大家可以先看看) 出现下面的界面表示连接成功: 二、开始分析 第一步,我们使用D
Windows驱动开发注册表操作
enjoy5512的博客
07-06 5049
内核驱动开发注册表操作
VS2013 + WDK7.6搭建驱动开发环境
热门推荐
Vinx Blog
04-10 1万+
1、下载安装VS2013、WDK7.6 VS2013:https://www.visualstudio.com/zh-cn/downloads/download-visual-studio-vs.aspx WDK7.6:https://msdn.microsoft.com/zh-cn/windows/hardware/hh852365.aspx连这 安装就不用说了吧,连这都搞不定,就放弃吧!!! 2
windows内核安全与驱动开发 pdf
最新发布
10-04
Windows内核安全与驱动开发》是一本针对Windows操作系统内核安全和驱动开发的重要指南。该书主要介绍了关于Windows内核安全和驱动开发的基础知识和技术,对于希望深入了解和学习这方面知识的者来说具有很高的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值