ZwOpenKey

最新推荐文章于 2020-10-20 11:26:25 发布
最新推荐文章于 2020-10-20 11:26:25 发布
阅读量1k 收藏
点赞数
分类专栏: WDK Document 文章标签: attributes structure access object thread system

ZwOpenKey

The ZwOpenKey routine opens an existing registry key.

NTSTATUS
ZwOpenKey(
OUT PHANDLE KeyHandle ,
IN ACCESS_MASK DesiredAccess ,
IN POBJECT_ATTRIBUTES ObjectAttributes
);

Parameters
KeyHandle
Pointer to the HANDLE variable that receives the handle to the key.
DesiredAccess
Specifies an ACCESS_MASK value that determines the requested access to the object. For more information, see the DesiredAccess parameter of ZwCreateKey .
ObjectAttributes
Pointer to an OBJECT_ATTRIBUTES structure that specifies the object name and other attributes. Use InitializeObjectAttributes to initialize this structure. If the caller is not running in a system thread context, it must set the OBJ_KERNEL_HANDLE attribute when it calls InitializeObjectAttributes .
Return Value

ZwOpenKey returns STATUS_SUCCESS if the given key was opened. Otherwise, it can return an error status, including the following:

STATUS_INVALID_HANDLE

STATUS_ACCESS_DENIED

Comments

ZwOpenKey supplies a handle that the caller can use to manipulate a registry key. The routine provides a subset of the functionality of ZwCreateKey . For more information, see Using the Registry in a Driver.

If the specified key does not exist, ZwOpenKey returns an error status and does not return a key handle.

Once the handle pointed to by KeyHandle is no longer in use, the driver must call ZwClose to close it.

ZwOpenKey ignores the security information in the structure that the ObjectAttributes parameter points to.

If the caller is not running in a system thread context, it must ensure that any handles it creates are private handles. Otherwise, the handle can be accessed by the process in whose context the driver is running. For more information, see Object Handles.

For more information about working with registry keys, see Using the Registry in a Driver.

Note   If the call to this function occurs in user mode, you should use the name "NtOpenKey " instead of "ZwOpenKey ".

Requirements

IRQL: PASSIVE_LEVEL

Headers: Declared in Wdm.h . Include Wdm.h , Ntddk.h , or Ntifs.h .

huang_shao_bin
关注
专栏目录
数字驱动分析笔记之360SelfProtection1
08-03
在技术实现上,文档提到了一系列伪造的系统调用,如`Fake_ZwCreateFile`、`Fake_ZwOpenKey`等,这些都是为了模拟真实系统调用来欺骗潜在的攻击者。这些伪造的函数可以实现如下功能: - `Fake_ZwCreateFile`:控制对...
【驱动开发】005 注册表操作
dller的博客
11-08 425
注册表        驱动中的注册操作和R3注册表操作还是有一些不同的。         应用程序中需要提供一个跟子健的句柄,而驱动程序中则用全部路径表示。         如下图所示: 应用编程中对应的子健 驱动编程中对应路径的写法 HKEY_LOCAL_MACHINE \Registry\Machine HKEY_USERS \Registry
ZwOpenKey routine
死胖子的博客
02-05 1979
ZwOpenKey routine ZwOpenKey 例程打开一个已经存在的注册表键。 Syntax   NTSTATUS ZwOpenKey(   _Out_ PHANDLE            KeyHandle,   _In_  ACCESS_MASK        DesiredAccess,   _In_  POBJECT_ATTRIBUTES ObjectAttrib
内核注册表操作_zwcreatekey _zwopenkey_zwsetvaluekey_zwqueryvaluekey_zwquerykey_zwenumeratekey_zwenumera
01-28 2403
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang_wode) { KdPrint(("驱动卸载历程 已经执行\n")); } HANDLE chuanjianzhucebiao_xiang(wchar_t *zhucebiaoxiang_lujing) //ZwCreateKey { HANDLE jubing;//创建注
【Windows内核驱动开发】——读取注册表
zcr214的博客
11-28 3219
【我的】Windows驱动开发——读取注册表 作者:zcr214 时间:2016/5/5   注册表对于驱动来说是很重要的小伙伴,注册表可以很好的扮演用户到内核的桥梁角色,很多时候用户可以通过修改注册表的内容来达到控制驱动的目的。那么驱动要做的首先当然是读取到注册表啦,WDK提供了标准的接口函数,所以直接使用就可以了。 1.    ZwOpenKey()打开注册表 WDK提供了打开注册表
精选_Ring0内核层下删除注册表键和键值_源码打包
03-10
可以使用 ZwEnumerateKeyZwOpenKey 来列举和打开子键,然后再进行删除操作。 4. **删除键值**:使用 ZwSetValueKey 函数可以设置注册表键的值,但要删除键值,则需使用 ZwDeleteValueKey。提供要删除的键的句柄...
精选_Ring0内核层下创建注册表键_源码打包
03-10
而在内核模式,我们可以使用 ZwOpenKey 函数,指定适当的根键,如 \Registry\Machine 或 \Registry\User。 2. **定义安全描述符**:由于在Ring0级别操作,安全性尤为重要。需要定义一个安全描述符(SECURITY_...
使用NT本机API进行注册表操作
04-08
3. 使用` Zw*Xxx* `(例如`ZwOpenKey`)形式的函数名,因为NT API在Windows NT内核模式中使用,而在用户模式下则使用`Nt*Xxx*`形式。 4. 使用`LPCWSTR`或`PUNICODE_STRING`类型来传递宽字符(Unicode)的注册表路径...
Windows下设备驱动程序的开发方法
06-26
操作注册表的常用API包括ZwCreateKeyZwOpenKeyZwSetValueKeyZwQueryValueKey等。 七、在驱动中获取系统时间 获取系统时间对于驱动程序来说是基本功能。Windows提供了KeQueryPerformanceCounter函数来获取...
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4569
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
Windows内核函数(3) - 内核模式下的注册表操作
收集学习过程中对自己有帮助的牛人文章
11-29 1233
转载自:http://mzf2008.blog.163.com/blog/static/355997862010111313716234/ 注册表里的几个概念:     1.       创建关闭注册表项 NTSTATUS    ZwCreateKey(     OUT PHANDLE  KeyHandle,     IN ACCESS_MASK
Win64 驱动内核编程-6.内核里操作注册表
天使也掉毛
03-04 1515
内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数,把 Zw系列的注册表函数进行了封装,也就是说,只剩下“执行操作”这一步了。 接下来说说注册表的本质。注册表其实是文件,它存储在 c:\windows\system32\config 这个
3.6 注册表编程
it技术学习
08-23 968
3.6 注册表编程 驱动程序和其它的系统组件一样,依赖于注册表存储配置信息,系统本身也使用注册表存储所有与设备、驱动相关的信息 3.7.1 注册表对象管理函数
[Win32驱动1]Windows驱动注册表操作
輚至消亡
10-20 1149
111111111
注册表操作--->各个函数操作代码库
zhuhuibeishadiao
04-03 2115
代码来自TA.张帆和部分书籍 《windows内核安全与与驱动开发》 详细说明可以到此http://msdn.microsoft.com/en-us/library/windows/hardware/ff567122(v=vs.85).aspx查询 ZwCreateKey  创建 KEY ZwDeleteKey  删除 KEY ZwDeleteValueKey  删除 VALUE Z
hook小结
03-24 2501
 我们安全爱好者,都接触过Rootkit,它对我们入侵后的保护提供了强大的支持。现今比较流行的Rootkit有Hxdef,NtRootkit和AFX Rootkit,而且Hxdef和AFX Rootkit还提供了源代码,对我们的学习提供了很大的方便。这些Rootkit都是使用HOOK技术实现的,欺骗的是用户,而不是操作系统。使用HOOK开发Rootkit是比较简单的,虽然现在也有很多其他的技术,但
驱动读取注册表问题
陈刚编程心得与知识集
01-19 1314
这是读取注册表\\Registry\\Machine\\Software\\Zhangfan\test的代码,test的值是"valueoftest!"   红色代码是我的疑问,哪位前辈看看这是什么原因?  谢谢! 代码: #define MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\Zhangfan" VOID
ObjectType HOOK干涉注册表操作
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 683
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象。   对象头(object_header)有一个object type结构,object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER    typedefstruct_OBJECT_TYPE_INITIALIZER{   USHORTLen
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值