深度剖析WinPcap之(三)——所涉及的Windows驱动基础知识(4)

最新推荐文章于 2010-09-03 14:50:26 发布
最新推荐文章于 2010-09-03 14:50:26 发布
阅读量701 收藏
点赞数
分类专栏: 开源库 文章标签: windows 数据结构 attributes behavior object

本文转自http://eslxf.blog.51cto.com/918801/196917

 

v/:* {behavior:url(#default#VML);} o/:* {behavior:url(#default#VML);} w/:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

1.1.8 内核的注册表操作

在驱动程序的开发中,经常会对注册表进行操作。 DDK 提供一套对注册表操作的函数。
v/:* {behavior:url(#default#VML);} o/:* {behavior:url(#default#VML);} w/:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);} v/:* {behavior:url(#default#VML);} o/:* {behavior:url(#default#VML);} w/:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}
3-1 注册表的在组成
首先对注册表的五个主要组成部分说明一下,如图 3-1 所示。
注册表项:注册表中的一个项目,类似目录的概念。每个项中存储多个二元结构,键名一键值。每个项中,可以有若干个子项。
注册表子项:类似于目录中的子目录。
键名:通过键名可以寻找到相应的键值。
键值类别:每个键值存储的时候有不同的类别,可以是整型、字符串等数据。
键值:键名下对应存储的数据。
1.1.8.1     初始化一个 OBJECT_ATTRIBUTES 结构体
为了能对注册执行操作,必须首先调用 InitializeObjectAttributes 函数初始化一个 OBJECT_ATTRIBUTES 结构体,函数原形如下:
VOID
InitializeObjectAttributes(
OUT POBJECT_ATTRIBUTES  InitializedAttributes,
        IN PUNICODE_STRING  ObjectName,
        IN ULONG  Attributes,
        IN HANDLE  RootDirectory,
        IN PSECURITY_DESCRIPTOR  SecurityDescriptor
    );
参数 InitializedAttributes   指向需要初始化的 OBJECT_ATTRIBUTES 结构体。参数 ObjectName   描述需要打开注册表对象的名称,用 Unicode 字符串表示。参数 Attributes 为标识,如设置为 OBJ_CASE_INSENSITIVE ,那么把  ObjectName 与已存在的对象进行比较时就不区分大小写。参数 RootDirectory   描述 ObjectName 参数的根目录,如果 ObjectName 是一个完全的名称,则设为 NULL 。 参数 SecurityDescriptor 为一个安全描述,驱动程序可设为 NULL ,采用默认的安全。
 
1.1.8.2      打开注册表
  DDK 提供了内核函数 ZwOpenKey 打开一个已存在的注册表项。如果 ZwOpenKey 指定的项不存在,就不会创建这个项,而是返回一个错误状态。该函数的声明如下:
NTSTATUS
ZwOpenKey(
           OUT PHANDLE  KeyHandle,
           IN ACCESS_MASK  DesiredAccess,
           IN POBJECT_ATTRIBUTES  ObjectAttributes
    );
参数 KeyHandle 为返回被打开的句柄。参数 DesiredAccess 为打开的权限,一般设为 KEY_ALL_ACCESS 。参数 ObjectAttri110utesOBJECT_ATTRIBUTES 数据结构,指示打开的状态。
   如果打开成功函数ZwOpenKey返回STATUS_SUCCESS,否则返回一个错误代码,可能为STATUS_INVALID_HANDLE或STATUS_ACCESS_DENIED。
 
1.1.8.3     关闭注册表
打开的注册表,如果不在使用需要采用 ZwClose函数 关闭它,函数原型如下。
NTSTATUS
 ZwClose(
IN HANDLE  Handle
);
参数 Handle 为所要关闭的注册表句柄。
 
1.1.8.4   查询注册表
     驱动程序中有时需要对注册表的项进行查询,从而获取注册表的键值 aDDK 提供的 ZwQueryValueKey 函数可以完成这个任务,其声明如下:
NTSTATUS
ZwQueryValueKey(
           IN HANDLE  KeyHandle,
           IN PUNICODE_STRING  ValueName,
           IN KEY_VALUE_INFORMATION_CLASS  KeyValueInformationClass,
           OUT PVOID  KeyValueInformation,
           IN ULONG  Length,
           OUT PULONG  ResultLength
);
参数 KeyHandle 为打开的注册表句柄。参数 ValueName 为要查询的键名。参数 KeyValuelnformationClass 决定不同的查询类别。参数 KeyValuelnformation 选择一种查询类别。选择 KeyValueBasiclnformationKeyValueFulllnformation 或者 KeyValuePartiallnformation 。参数 Length 为要查数据的长度。参数 ResultLength 为实际查询返回的数据长度。
     如果打开成功函数返回 STATUS_SUCCESS ,否则返回一个错误代码。
使用 ZwQueryValueKey 函数查询注册表单时,需要用 KeyValuelnformationClass 选择一种查询方式。这可以是 KeyVajueBasiclnformationKeyValueFulllnformation 或者 KeyValuePartiallnformation 中的一种。这分别代表查询基本信息,查询全部信息和查询部分信息,每种查询类型会有对应的一种数据结构获得查询结果。
一般情况下,选择 KeyValuePartiallnformation 就可以查询键值的数据了,它对应的查询数据结构是 KEY_VALUE_PARTIAL_INFORMATION 的数据结构。
typedef struct _KEY_VALUE_PARTIAL_INFORMATION {
ULONG  TitleIndex;
ULONG  Type;
ULONG  DataLength;
UCHAR  Data[1];   //变量的大小
} KEY_VALUE_PARTIAL_INFORMATION, *PKEY_VALUE_PARTIAL_INFORMATION;
    KEY_VALUE_PARTIAL_INFORMATION 的数据结构长度不固定,所以首先要确定这个长度。一般使用 ZwQueryValueKey 分为 4 个步骤操作。
<!--[if !supportLists]--> Ø         <!--[endif]--> 用 ZwQueryValueKey 获取这个数据结构的长度。
<!--[if !supportLists]--> Ø         <!--[endif]--> 分配如此长度的内存,用来查询。
<!--[if !supportLists]--> Ø         <!--[endif]--> 再次调用 ZwQueryValueKey ,获取键值。
<!--[if !supportLists]--> Ø         <!--[endif]--> 回收内存。
如果选择 KeyValueFulllnformation,它对应的查询数据结构是 KEY_VALUE_FULL_INFORMATION的数据结构。
typedef struct _KEY_VALUE_FULL_INFORMATION {
ULONG  TitleIndex;
ULONG  Type;
ULONG  DataOffset;
ULONG  DataLength;
ULONG  NameLength;
WCHAR  Name[1];   //变量的大小
} KEY_VALUE_FULL_INFORMATION, *PKEY_VALUE_FULL_INFORMATION;
 
1.1.8.5    枚举子项
     在注册表的操作中,还经常有另外两种操作,分别是枚举子项和枚举子键。枚举子项就是事先不知道该项中有多少个子项目,用某个函数将子项一一列举出来。而枚举子键是事先不知道该项中有多少个子键,用某个函数一一将子键列举出来。
DDK 提供了列举子项的 ZwQueryKey 函数和 ZwEnumerateKey 。先看一下这两个函数的声明。
NTSTATUS
ZwQueryKey(
    IN HANDLE  KeyHandle,
    IN KEY_INFORMATION_CLASS  KeyInformationClass,
    OUT PVOID  KeyInformation,
    IN ULONG  Length,
    OUT PULONG  ResultLength
);
参数 KeyHandle 为注册表项的句柄。参数 KeylnformationClass 为查询的类别,一般选择 KeyFulllnformation 。参数 Keylnformation 为查询的数据指针。如果 KeylnformationClassKeyFulllnformation ,则该指针指向一个 KEY_FULL_INFORMATION 的数据结构。参数  Length 为数据长度。参数 ResultLength 为实际返回数据的长度。
如果函数成功则返回 STATUS_SUCCESS ,否则返回一个错误代码。
NTSTATUS
ZwEnumerateKey(
IN HANDLE  KeyHandle,
             IN ULONG  Index,
           IN KEY_INFORMATION_CLASS  KeyInformationClass,
           OUT PVOID  KeyInformation,
           IN ULONG  Length,
           OUT PULONG  ResultLength
    );
参数 KeyHandle 为注册表项句柄。参数 Index: 为由 0 开始的索引。参数 KeylnformationClass 为子项的信息类型。参数 Length 为子项信息的长度。参数 ResultLength 为返回子键信息的长度。
如果函数成功则返回 STATUS_SUCCESS ,否则返回一个错误代码。
    ZwQueryKey 的作用主要是获得某注册表项究竟有多少个子项,而 ZwEnumerateKey 的作用主要是针对第几个子项获取该子项的具体信息。
     在使用 ZwQueryKey 时,可以将参数 KeylnformationClass 指定为 KeyFulllnformation 。这样参数 Keylnformation 就对应一个 KEY_FULL_INFORMATION 的数据结构,该数据结构中的 SubKeys 指明了项中有多少个子项。
   KEY_FULL_INFORMATION 数据结构的大小是变长的,所以要调用两次
ZwQueryKey 。第一次获取 KEY_FULL_INFORMATION 数据的长度,第二次真正获取 KEY_FULL_INFORMATION 数据。
     在使用 ZwEnumerateKey 时,需要将参数 KeylnformationClass 设置为 KeyBasicInformation ,这样其参数 Keylnformation 兢能对应 KEY_B ASIC_INFORMATION 的数据结构。
同理 KEY_BASIC_INFORMATION 也是变长的数据结构,需要两次调用 ZwEnumerateKey 。第一次获取 KEY_BASIC_INFORMATION 的长度,第二次获取 KEY_BASIC_INFORMATION 数据。
   
1.1.8.6     枚举子键
     和枚举子项类似,枚举子键是通过 ZwQueryKeyZwEnumerateValueKey 两个函数的配合完成的。 ZwEnumerateValueKey 函数的使用和 ZwEnumerateKey 函数的使用类似。
NTSTATUS
ZwEnumerateValueKey(
IN HANDLE  KeyHandle,
        IN ULONG  Index,
        IN KEY_VALUE_INFORMATION_CLASS  KeyValueInformationClass,
        OUT PVOID  KeyValueInformation,
        IN ULONG  Length,
        OUT PULONG  ResultLength
    );
 
1.1.8.7    WinPcap中注册表操作实例
下列代码是 WinPcap 中对注册操作的实际代码。
PWCHAR getAdaptersList(void)
{
    …
  /*
*设置一个OBJECT_ATTRIBUTES类型的参数objAttrs,为了后续调用
*其中NDIS_STRING AdapterListKey =
*  NDIS_STRING_CONST("//Registry//Machine//System//CurrentControlSet
*      //Control//Class//{4D36E972-E325-11CE-BFC1-08002BE10318}");
*/
    InitializeObjectAttributes(&objAttrs, &AdapterListKey,
        OBJ_CASE_INSENSITIVE, NULL, NULL);
 
/*打开注册表表项,返回objAttrs中所描述的注册表表项的句柄*/
    status = ZwOpenKey(&keyHandle, KEY_READ, &objAttrs);
    if (!NT_SUCCESS(status)) {
        //打开失败
    }
    else { //打开成功      
        ULONG resultLength;
        KEY_VALUE_PARTIAL_INFORMATION valueInfo;
        CHAR AdapInfo[1024];
        UINT i=0;
        /*遍历设备链表,获取一个已打开注册表项子项的信息*/                      while((status=ZwEnumerateKey(keyHandle,i,KeyBasicInformation,
AdapInfo,sizeof(AdapInfo),&resultLength))==STATUS_SUCCESS)
{
            …     
/*设置一个OBJECT_ATTRIBUTES类型的参数objAttrs,为了后续调用*/
            InitializeObjectAttributes(&objAttrs, &AdapterKeyName,
                    OBJ_CASE_INSENSITIVE, NULL, NULL);     
          /*打开注册表表项,返回objAttrs中所描述的注册表表项的句柄*/
status=ZwOpenKey(&ExportKeyHandle,KEY_READ,&objAttrs);
            /*查找“Export”键名的键值信息*/
            status = ZwQueryValueKey(ExportKeyHandle, &FinalExportKey,
                    KeyValuePartialInformation, &valueInfo,
                    sizeof(valueInfo), &resultLength);
               
if  (!NT_SUCCESS(status) && (status != STATUS_BUFFER_OVERFLOW)) {
                //查询失败
            }
            else { //查询成功
/*计算所需的内存大小*/
/*分配内存,用于查询*/
                if (valueInfoP != NULL) {//分配内存成功
                    status = ZwQueryValueKey(ExportKeyHandle,
                            &FinalExportKey,
                            KeyValuePartialInformation,
                            valueInfoP,
                            valueInfoLength, &resultLength);
                    if (!NT_SUCCESS(status)) {
                        //查询失败
                    }
                    else{//查询成功
                    …
                    }
                    ExFreePool(valueInfoP);
                }
                else {
//分配用于查询的内存失败
                }
            }//一次查找“Export”键名的键值信息结束
            …
            //关闭注册表子项
            ZwClose (ExportKeyHandle);
            i++;
        }//结束while语句
 
/*关闭注册表项*/
        ZwClose (keyHandle);          
    }
}

napu_sh
关注
专栏目录
深度剖析WinPcap之()——内核驱动NPF涉及基础知识(1)
千江月的专栏
09-10 1792
WinPcap的内核驱动程序NPF是一个协议驱动程序,其涉及到一些编写Windows驱动程序的基础知识与NDIS协议驱动程序编写的基础知识。本章主要对这些基础知识进行简要的描述以便于后续的理解。  1.1        Windows驱动基础知识本节主要描述在WinPcap的NPF中经常使用一些编写Windows驱动程序所需掌握的部分基础知识,以便于后面的理解。1.1.1  
深度剖析WinPcap之(二)——网络分析与嗅探的基础知识(2)
cheriselin的专栏
05-06 943
1.2 谁需要使用网络分析? 系统管理员、网络工程师、安全工程师、系统操作员、与程序员都需要使用网络分析器,其对诊断与解决网络问题、系统配置问题、与应用程序的难点(或瓶颈)都是无价的工具。在历史上,网络分析器曾经专注于昂贵与难于使用的硬件设备。然而,新出现的先进技术允许基于软件进行网络分析器开发,其为有效解决网络问题提供了一种更为方便与廉价的工具,它也具备网络分析的能力。网络分析
深度剖析WinPcap之()——所涉及Windows驱动基础知识(3)
理性的幻想
06-22 598
本文转自http://eslxf.blog.51cto.com/918801/196914   1.1.6      内核的内存操作     Windows驱动程序使用的内存资源非常珍贵,分配内存时要尽量节约。和应用程序一样,局部变量是存放在栈( Stack)空间中的。但栈空间不会像应用程序那么大,所以驱动程序不适台递归调用或者局部变量是大型结构体。如果需要大型结构体,请在堆( He
深度剖析WinPcap之(一)——WinPcap简介
千江月的专栏
09-06 2645
WinPcapWindows平台下访问网络数据链路层的开源库,该库已达到工业标准的应用要求。WinPcap允许应用程序绕开网络协议栈来捕获与传递网络数据包,并具有额外的有用特性,包括内核层的数据包过滤、一个网络统计引擎与支持远程数据包捕获。 1.1.   什么是WinPcap大多数网络应用程序通过被广泛使用的操作系统原语来访问网络,诸如sockets。操作系统已经处理了底层的细节问题
剖析WinPcap之()——所涉及Windows驱动基础知识(2)
理性的幻想
06-22 601
本文转自http://eslxf.blog.51cto.com/918801/196913   1.5.1        同步处理     Windows是个多任务抢占式的操作系统,如果没有同步机制的控制,所有的线程会任意运行。如果多个线程要求操作同一个资源,这时就需要同步处理。如果驱动程序没有很好地处理同步问题,程序会出错误、操作系统的性能下降、甚至出现死锁等现象。 1.5.1.1
深度剖析WinPcap之(四)——WinPcap的体系架构(2)
理性的幻想
06-22 1276
本文转自http://eslxf.blog.51cto.com/918801/197410     1.3 WinPcap驱动内部说明 WinPcap的结构如图2-4所示,NPF是WinPcap的组件,用来处理网络上传输的数据包,并对用户层导出数据包捕获、发送与分析的能力。下面将描述NPF与操作系统与其基础结构体的交互。 图2-4 NPF的结构 1.3.1 NPF与NDIS 网
深度剖析WinPcap(网络编程进阶必备)
11-06
### 深度剖析WinPcap(网络编程进阶必备) #### 一、WinPcap简介及作用 WinPcap是一款广泛应用于Windows平台上的开源网络分析包捕获库,它为开发者提供了强大的网络数据包捕获功能。对于深入学习网络编程技术的...
深度剖析WinPcap之(四)——WinPcap的体系架构(1)
理性的幻想
06-22 1341
本文转自http://eslxf.blog.51cto.com/918801/197405   WinPcapWin32平台下用于数据包捕获与网络分析的一个架构。它包含一个内核层数据包过滤器,一个底层动态链接库(packet.dll),与一个高层并独立于系统的库(wpcap.dll)。 1.1 WinPcap的主要组成 WinPcap的各个主要组成部分如图2-1所示。 图2-1
深度剖析WinPcap
09-20
深度剖析WinPcap,对Winpcap进行了详细的分析,如packet.dll, wpcap.dll, npf分析等,同时包含了一些例子
winpcap驱动
07-20
winpcap驱动开发所需要的安装包和lib库, 包是4.1.2版 关于winpcap驱动在vc中的调用方法请参考文章:http://blog.csdn.net/shanzhizi/article/details/7534501
winpcap驱动及开发包
12-06
什么是WinPcap WinPcap是一个基于Win32平台的,用于捕获网络数据包并进行分析的开源库. 大多数网络应用程序通过被广泛使用的操作系统元件来访问网络,比如sockets。 这是一种简单的实现方式,因为操作系统已经妥善处理了底层具体实现细节(比如协议处理,封装数据包等等),并且提供了一个与读写文件类似的,令人熟悉的接口。 然而,有些时候,这种“简单的方式”并不能满足任务的需求,因为有些应用程序需要直接访问网络中的数据包。也就是说,那些应用程序需要访问原始数据包,即没有被操作系统利用网络协议处理过的数据包。 WinPcap产生的目的,就是为Win32应用程序提供这种访问方式; WinPcap提供了以下功能 捕获原始数据包,无论它是发往某台机器的,还是在其他设备(共享媒介)上进行交换的 在数据包发送给某应用程序前,根据用户指定的规则过滤数据包 将原始数据包通过网络发送出去 收集并统计网络流量信息 以上这些功能需要借助安装在Win32内核中的网络设备驱动程序才能实现,再加上几个动态链接库DLL。 所有这些功能都能通过一个强大的编程接口来表现出来,易于开发,并能在不同的操作系统上使用。这本手册的主要目标是在一些程序范例的帮助下,叙述这些编程接口的使用。 如果您现在就想开始摸索这些功能,您可以直接进入 WinPcap用户手册. 哪些程序在使用WinPcap WinPcap可以被用来制作许多类型的网络工具,比如具有分析,解决纷争,安全和监视功能的工具。特别地,一些基于WinPcap的典型应用有: 网络与协议分析器 (network and protocol analyzers) 网络监视器 (network monitors) 网络流量记录器 (traffic loggers) 网络流量发生器 (traffic generators) 用户级网桥及路由 (user-level bridges and routers) 网络入侵检测系统 (network intrusion detection systems (NIDS)) 网络扫描器 (network scanners) 安全工具 (security tools) 什么是WinPcap做不到的 WinPcap能 独立地 通过主机协议发送和接受数据,如同TCP-IP。这就意味着WinPcap不能阻止、过滤或操纵同一机器上的其他应用程序的通讯:它仅仅能简单地"监视"在网络上传输的数据包。所以,它不能提供类似网络流量控制、服务质量调度和个人防火墙之类的支持
WinPcap4.02完整包(驱动、dll、库、头文件)
03-29
1:安装WinPcap_4_0_2.exe 2:将库文件和头位件放到适当位置,比如VC6.0的库文件夹和头文件夹中。 3:应用过程中 #pragma comment(lib,"wpcap.lib") #include 即可。
深度剖析WinPcap之(一)—— WinPcap简介
热门推荐
cheriselin的专栏
05-06 1万+
WinPcap简介   WinPcapWindows平台下访问网络数据链路层的开源库,该库已达到工业标准的应用要求。WinPcap允许应用程序绕开网络协议栈来捕获与传递网络数据包,并具有额外的有用特性,包括内核层的数据包过滤、一个网络统计引擎与支持远程数据包捕获。 1.1.       什么是WinPcap大多数
深度剖析WinPcap之(十)——数据包的内核过滤(7)
理性的幻想
06-23 676
本文转自http://eslxf.blog.51cto.com/918801/241953   Tcpdump与WinDump Tcpdump软件最初是由美国加里福利亚大学伯克利分校洛仑兹实验室的Vin Jacobson,Craig Leres和Steve McCanne共同开发完成,它可以收集网上的IP报文,井用来分析网络可能存在的问题。现在,Tcpdump已被移植到几乎所有的UNIX
深度剖析WinPcap之(五)——在Visual studio 2005中使用WinPcap库进行程序开发
理性的幻想
06-22 613
本文转自http://eslxf.blog.51cto.com/918801/199155   1.6. 使用WinPcap库进行程序开发 下面详细介绍在Microsoft Visual Studio 2005下如何使用WinPcap库来进行开发,实例程序为打开本机的设备列表,并显示出来。下面为具体操作步骤: 1) 建立一个工程名称为devlist的空工程(Empty Project)
深度剖析WinPcap之(二)——网络分析与嗅探的基础知识(4)
理性的幻想
06-22 778
本文转自http://eslxf.blog.51cto.com/918801/201358   1.3.3  CSMA/CD 以太网使用载波监听多点接入/冲突检测(CSMA/CD)协议,为了设备在网络上家交换数据。多点接入这个术语指许多网络设备连接到同一个网段 有发送的机会。 每个设备赋予等同的发送机会;没有任何设备优先于其它设备。载波监听描述了一个网络设备的以太网接口在传送之前如何监
深度剖析WinPcap之(二)——网络分析与嗅探的基础知识(5)
weixin_34019929的博客
09-03 137
1.3.6 交换机欺骗 正如前面所提及的,在一个网络上使用交换机使得嗅探更困难。从理论上而言,连接到交换机的计算机应该只看见发给自己的网络流量,然而存在一些技术可绕过该技术限定。下面列举了攻溃交换机防守的几种方式: Ø交换洪泛(Switch Flooding) 一些交换机可以像一个集线器的方式运行,所有的数据包被广播给所有的计算机。这可以通过大量的假MAC地址使交换...
WinPcap驱动的网络监测系统设计与协议深度剖析
WinPcap是一个被业界广泛认可的Windows平台下的网络数据包捕获库,它扩展了操作系统对底层网络访问的权限,允许开发者通过函数库轻松访问网络协议和底层数据。 论文首先介绍了网络监测的重要性,它是网络安全管理的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值