内核模式下的注册表操作

最新推荐文章于 2023-05-08 15:10:56 发布
最新推荐文章于 2023-05-08 15:10:56 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: 驱动开发 文章标签: query null table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjz1409276/article/details/7304199
版权 
VOID RegTest()
{
	WCHAR* pKey=L"\\Registry\\Machine\\SOFTWARE\\Yjz";
	// 查找项
	if (!NT_SUCCESS(RtlCheckRegistryKey(RTL_REGISTRY_ABSOLUTE,pKey)))
	{
		KdPrint(("注册表项不存在\r\n"));
		// 创建项
		if (NT_SUCCESS(RtlCreateRegistryKey(RTL_REGISTRY_ABSOLUTE,pKey)))
		{
			KdPrint(("注册表项创建成功\r\n"));
			// 查找键值
			WCHAR* pBuf=(WCHAR*)ExAllocatePool(PagedPool,30);
			RtlZeroMemory(pBuf,30);
			RtlCopyMemory(pBuf,L"Hello,World",wcslen(L"Hello,World")*sizeof(WCHAR));
			RTL_QUERY_REGISTRY_TABLE RegTable;
			RegTable.Flags=RTL_QUERY_REGISTRY_DIRECT;
			RegTable.Name=L"Hello";
			RegTable.EntryContext=pBuf;
			RegTable.DefaultType=REG_SZ;
			RegTable.DefaultLength=30;
			RegTable.DefaultData=REG_NONE;
			if (!NT_SUCCESS(RtlQueryRegistryValues(RTL_REGISTRY_ABSOLUTE,pKey,&RegTable,NULL,NULL)))
			{
				KdPrint(("查询注册表键失败\r\n"));
				// 写入键值
				if (!NT_SUCCESS(RtlWriteRegistryValue(RTL_REGISTRY_ABSOLUTE,pKey,L"Hello",REG_SZ,pBuf,30+2)))
				{
					KdPrint(("写入注册表键值失败\r\n"));
				}
				else
				{
					KdPrint(("写入注册表键值=%ws\r\n",pBuf));
					ExFreePool(pBuf);
					pBuf=NULL;
					// 删除键值
					if (NT_SUCCESS(RtlDeleteRegistryValue(RTL_REGISTRY_ABSOLUTE,pKey,L"Hello")))
					{
						KdPrint(("删除键值成功\r\n"));
					}
					else
					{
						KdPrint(("删除键值失败\r\n"));
					}
				}
			}
			else
				KdPrint(("查询到的注册表键=%ws\r\n",pBuf));
		}
		else
			KdPrint(("注册表项创建失败\r\n"));
	}
	else
	{
		KdPrint(("注册表项存在\r\n"));
	}

}

红色代码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
注册表读写实时监控
04-23
Windows注册表监视工具。工作于内核模式,可以实时监控任何程序对注册表操作,如读写等等。很有用。
KernelModeMonitor:内核模式驱动程序和用户模式应用程序通信项目
05-11
内核模式监视器 内核模式驱动程序和用户模式应用程序通信项目。 由于存在加载到内核并与用户模式应用程序交换数据的驱动程序,因此在较低级别与操作系统本身进行交互非常有用。 可用的插件 流程浏览器:列出流程信息,直接从EPROCESS结构中提取一些数据 线程资源管理器:按进程ID获取线程信息 Ntfs Viewer:使用IRP而不是标准API函数列出数据的文件资源管理器,从而绕过了某些文件夹中钩子和隐藏文件的存在 注册表浏览器:模拟regedit.exe,但直接从驱动程序获取数据 对象资源管理器:模拟Microsoft的WinObj工具 模块:列出加载的模块(.dll和.sys文件) 驱动程序对象:列出目录对象内的所有驱动程序 VS版本 使用Visual Studio 2013 Ultimate和WDK(Windows驱动程序工具包)版本8.1编译项目。 如果您使用其他版本,那么如果您不先迁移
驱动开发之访问注册表
Lydia的博客
07-03 2212
访问注册表 Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它们的用法。 表3-9. 注册表访问函数 服务函数 描述  IoOpenDev
NT API 注册表键介绍ZW相关函数
木易云清
04-02 1920
核心提示:Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它... Windows NT和Windows 98把配置信息和其它重要信息都记录到注
对任意地址写漏洞的一次分析
qq_37936147的博客
07-02 1040
对任意地址写漏洞的一次分析概述漏洞分析漏洞利用 概述 漏洞文件是termdd.sys,该漏洞会造成对任意地址写操作(不是CVE-2019-0708),从Windows xp 到目前的最新版 Windows 10都存在该漏洞,在网上并未查到与之相关信息,也无法确定是否是已知CVE。这个漏洞触发与ms11-011类似,都是在使用RtlQueryRegistryValues函数时枚举指定的注册表键值时造...
六、 在驱动中操作注册表
autumn20080101的专栏
12-05 1941
六、 在驱动中操作注册表 注册表是Windows的核心,日常的许多操作其实最终都是转化成了对注册表操作,我们经常需要利用注册表达到一些特殊的效果,例如实现自启动等。 Windows 下设备驱动程序的开发方法 2120080411 计算机应用 赖锡盛 19 6.1 创建、打开注册表 和文件操作类似,在操作注册表之前需要首先打开注册表,获得一个句柄,这可以通过函数ZwCreateKey完
win10驱动开发14——注册表操作
qq_41610493的博客
12-11 693
注册表的创建、读值、写值、枚举(父子注册表相关的操作)。 #include <ntddk.h> #include <windef.h> VOID Unload(IN PDRIVER_OBJECT pDriverObject) { //驱动卸载的时候显示 KdPrint(("Goodbye driver\n")); } //创建注册表 VOID RegCreateTest() { HANDLE hKey;//文件句柄 NTSTATUS status;//返回状态 OBJ
windows驱动开发教程 滴水_47、Windows驱动程序模型笔记(五),内存管理
weixin_29505469的博客
12-23 450
内存管理1)内核模式与用户模式地址 图示 地址空间中用户模式部分和内核模式部分每个用户模式进程都有自己的地址上下文,它把用户模式的虚拟地址映射成一组唯一的物理页帧。这意味着,当Windows NT调度器把控制从一个进程的当前线程切换到另一个进程的某个线程时,与进程相对应的虚拟地址空间也被更换。线程切换的一个步骤就是改变处理器当前使用的页表,以便它能引用新线程的进程上下文。在编写驱动程序时我们要遵守...
文件系统驱动编程基础篇之5——注册表与Inf (转)
tempname866的专栏
06-01 1928
注册表以树形方式存储配置信息,树节点称为键(key),键可以包含子键(subkey)和称为值(value)的数据项。 一)需要关注的几种键(注:硬件键、类键、设备接口类应是所列位置下的子键): 二)第3点中的服务键的写法与其他键有所不同,它以\REGISTRY打头,这是内核模式下根键的规定写法。 User-mode Handle Co
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1001
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
Windows驱动开发基础视频教程.txt
12-20
第二十二课 内核模式注册表操作 第二十三课 内核模式注册表操作 第二十四课 内核模式注册表操作 第二十五课 内核模式注册表操作 第7章驱动程序的同步处理 第三十三课 内核模式下的同步与异步操作 第三...
Windows内核安全驱动开发(随书光盘)
08-02
4.2 注册表操作 53 4.2.1 注册表键的打开 53 4.2.2 注册表键值的读 55 4.2.3 注册表键值的写 57 4.3 时间与定时器 58 4.3.1 获得当前“滴答”数 58 4.3.2 获得当前系统时间 58 4.3.3 使用定时器 59 4.4 线程...
reactos操作系统实现(91)
anjichan4261的博客
09-20 120
驱动程序很多配置参数是保存在注册表里,比如IO资源参数,中断号等内容。因此只有了解注册表的读取,以及相关内容才可以清楚知道键盘驱动程序,主要操作那些相关的端口,还有配置参数。下面来分析函数ReadRegistryEntries的实现,如下: #001 NTSTATUS #002 ReadRegistryEntries( #003 IN PUNICODE_STRING...
微软轻量级系统监控工具sysmon内核实现原理
浪子_三少(邮箱:[email protected])
12-26 1034
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。  一、          驱动DriverEntry的初始化  从DriverEntry(PDRIVER_OBJECTDriverObject, UNICODE_ST...
tiechui_lesson06_注册表操作
简单的笔记本
05-08 559
这节课主要学习注册表的相关操作,包括注册表的打开,读取,修改,删除。可以自己通过底层API手动来获取和设置注册表,也可以用微软提供的运行时函数。我的看法是底层函数用来了解原理,真正在代码中使用的时候还是会优先使用微软封装好的Rtl运行时函数。而且通过这节课也让我对注册表有了一些认识,注册表就像是一种可视化的数据结构,存放一些程序需要或者系统需要的一些数值,是一些键值对的集合。
驱动实验六(实现注册表的修改)
个人笔记
12-25 354
驱动程序源代码: #include<ntifs.h> #include<windef.h> #include<ntstrsafe.h> #include<ntddk.h> #define DEVICE_NAME L"\\Device\\MyFirstDevice" #define SYM_NAME L"\\??\\MyFirstDevice" #define IOCTL_MUL CTL_CODE(FILE_DEVICE_UNKNOWN, 0x9888,
WINDOWS内核驱动开发(API简介)
weixin_42603425的博客
08-15 859
大部分内核api都是有前缀的,主要的函数以 Io、Ex、Rtl、Ke、Zw、Nt、Ps 开头与NDIS网络驱动开发的相关函数几乎都是以 Ndis 开头与WDF驱动相关的函数都是以 Wdf 开头。
能对敏感资源进行操作、仅能在内核模式下执行的指令叫
最新发布
06-09
能对敏感资源进行操作、仅能在内核模式下执行的指令叫特权指令。 特权指令是指只有在操作系统内核模式下才能执行的指令,具有访问敏感资源和执行特殊操作的权限。在操作系统中,内核模式和用户模式是两种不同的运行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值