ZwQueryValueKey

最新推荐文章于 2023-11-19 20:17:11 发布
最新推荐文章于 2023-11-19 20:17:11 发布
阅读量1.1k 收藏
点赞数
分类专栏: WDK Document 文章标签: buffer microsoft include class windows query

ZwQueryValueKey

The ZwQueryValueKey routine returns a value entry for a registry key.

NTSTATUS
ZwQueryValueKey(
IN HANDLE KeyHandle ,
IN PUNICODE_STRING ValueName ,
IN KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass ,
OUT PVOID KeyValueInformation ,
IN ULONG Length ,
OUT PULONG ResultLength
);

Parameters
KeyHandle
Handle to the key to read value entries from. This handle is created by a successful call to ZwCreateKey or ZwOpenKey .
ValueName
Pointer to the name of the value entry to obtain data for.
KeyValueInformationClass
A KEY_VALUE_INFORMATION_CLASS value that determines the type of information returned in the KeyValueInformation buffer.
KeyValueInformation
Pointer to a caller-allocated buffer that receives the requested information.
Length
Specifies the size, in bytes, of the KeyValueInformation buffer.
ResultLength
Pointer to a variable that receives the size, in bytes, of the key information. If the ZwQueryValueKey routine returns STATUS_SUCCESS, callers can use the value of this variable to determine the amount of data returned. If the routine returns STATUS_BUFFER_OVERFLOW or STATUS_BUFFER_TOO_SMALL, callers can use the value of this variable to determine the size of buffer required to hold the key information.
Return Value

ZwQueryValueKey returns STATUS_SUCCESS on success, or the appropriate error code on failure. Possible error code values include:

STATUS_BUFFER_OVERFLOW
The buffer supplied is too small, and only partial data has been written to the buffer. * ResultLength is set to the minimum size required to hold the requested information.
STATUS_BUFFER_TOO_SMALL
The buffer supplied is too small, and no data has been written to the buffer. * ResultLength is set to the minimum size required to hold the requested information.
STATUS_INVALID_PARAMETER
The KeyInformationClass parameter is not a valid KEY_VALUE_INFORMATION_CLASS value.

Warning If you specify KeyValueBasicInformation for KeyValueInformationClass , Microsoft Windows 98 and Microsoft Windows Me return STATUS_SUCCESS even if the registry key or value name does not exist.

Comments

The KeyHandle passed to ZwQueryValueKey must have been opened with KEY_QUERY_VALUE access. This is accomplished by passing KEY_QUERY_VALUE, KEY_READ, or KEY_ALL_ACCESS as the DesiredAccess parameter to ZwCreateKey or ZwOpenKey .

For more information about working with registry keys, see Using the Registry in a Driver.

Note  If the call to this function occurs in user mode, you should use the name "NtQueryValueKey " instead of "ZwQueryValueKey ".

Requirements

IRQL: PASSIVE_LEVEL

Headers: Declared in wdm.h . Include wdm.h , ntddk.h , or ntifs.h .

huang_shao_bin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtQueryValueKey
11-25
NtQueryValueKey NtQueryValueKey
Nt 函数NtQueryValueFile, NtReadFile, NtWriteFile.
11-26
NtQueryValueFile, NtReadFile, NtWriteFile.
ZwQueryValueKey()查询键值使用
BCMY0110的博客
02-29 907
直接上代码 .h文件 #pragma once #include<wdm.h> #define TAG 0x44434241 // 动态内存的标志 #ifdef __cplusplus extern "C" { #endif // __cplusplus NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRIN...
ZwQueryValueKey routine
死胖子的博客
02-05 1865
ZwQueryValueKey routine ZwQueryValueKey 返回一个注册表键的值。 Syntax   NTSTATUS ZwQueryValueKey(   _In_      HANDLE                      KeyHandle,   _In_      PUNICODE_STRING             ValueName,   _I
内核注册表操作_zwcreatekey _zwopenkey_zwsetvaluekey_zwqueryvaluekey_zwquerykey_zwenumeratekey_zwenumera
01-28 2375
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang_wode) { KdPrint(("驱动卸载历程 已经执行\n")); } HANDLE chuanjianzhucebiao_xiang(wchar_t *zhucebiaoxiang_lujing) //ZwCreateKey { HANDLE jubing;//创建注
内核下的注册表操作
qq_41490873的博客
07-23 888
注册表的相关概念 创建关闭注册表 ZwCreateKey NTSYSAPI NTSTATUS ZwCreateKey( PHANDLE KeyHandle, //获得的注册表句柄 ACCESS_MASK DesiredAccess, //访问权限,一般设置为KEY_ALL_ACCESS POBJECT_ATTRIBUTES ObjectAttributes, //OBJECT_ATTRIBUTES数据结构指针 ULONG Ti
8.5 Windows驱动开发:内核注册表增删改查
最新发布
CSDN
11-19 4256
注册表是Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息,注册表是一个巨大的树形结构,无论在应用层还是内核层操作注册表都有独立的API函数可以使用,而在内核中读写注册表则需要使用内核装用API函数,如下将依次介绍并封装一些案例,实现对注册表的创建,删除,更新,查询等操作。 在Windows内核中,注册表是一种存储系统配置信息的机制,包括应用程序、硬件、驱动程序和操作系统的各种设置。内核提供了一些API函数,可以让驱动程序通过代码访问和修改注册表,以实现系统的配置和管理。
ZwOpenKey routine
死胖子的博客
02-05 1960
ZwOpenKey routine ZwOpenKey 例程打开一个已经存在的注册表键。 Syntax   NTSTATUS ZwOpenKey(   _Out_ PHANDLE            KeyHandle,   _In_  ACCESS_MASK        DesiredAccess,   _In_  POBJECT_ATTRIBUTES ObjectAttrib
对360沙盒的驱动的一点逆向分析
研究源码的最底层,只持有正确的仓位
01-15 3635
主要内容: 一.360Box沙箱DriverEntry函数安装驱动过滤框架分析二. 360Box沙箱注册表监控分析三. 360沙箱文件系统监控分析一.360Box沙箱DriverEntry函数安装驱动过滤框架分析360Box沙箱的驱动入口代码如下所示,下面单步跟踪分析入口代码安装360对注册表、进程、文件系统等过滤函数的安装过程。从下代码可以看出,360Box安装过滤的顺序为文件系统minifi...
Hook内核函数ZwSetValueKey
05-11
给初学驱动的人的一个简单例子,Hook掉内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候附加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
Windows内核面试题(持续更新,目前完成度30%约1.8万字)
qq_18811919的博客
11-03 2231
WINDOWS内核编程问题与答案 1.WDK和SDK的区别是什么 2.WDK全称叫做 3.如何创建WDK程序 4.WinDbg如何连接虚拟机 5.Windows内核符号表的作用 6.如何设置内核符号表与源文件 7.如何设置断点与源码调试 8.什么时候共享内核空间 9.内核模块与驱动程序的区别是什么 10.内核模块运行在什么空间 11.PsGetCurrentProcessId函数的作用是什么 12.System进程的作用是什么 13.x64和x86操作系统的用户空间和内核空间的范围分别是多少 14.WDK基
驱动开发之访问注册表
Lydia的博客
07-03 2229
访问注册表 Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它们的用法。 表3-9. 注册表访问函数 服务函数 描述  IoOpenDev
虫趣:当NV显卡驱动碰上Verifier
张佩的技术库
04-08 6760
今天开电脑的时候,刚完成用户登陆,就遇到一个蓝屏。桌面还没有进去呢。趁着系统正处于抓取dump文件的过程中,赶紧拍了一张照,留作纪念。造成蓝屏的不是别人,乃是负责图形渲染和显示的显卡驱动:Nvidia显卡驱动。
07-驱动中的注册表
ahaozi01的博客
07-16 489
注册表的打开与创建: 一般都需要打开或创建一个注册表键,可使用ZwCreateKey函数,函数原型如下: NTSTATUS ZwCreateKey( Out PHANDLE KeyHandle, In ACCESS_MASK DesiredAccess, In POBJECT_ATTRIBUTES ObjectAttributes, Reserved ULONG TitleIndex, In_opt PUNICODE_STRING Class, In ULONG CreateOptions, Out_opt
linux wenj 立即生效_Linux系统调用(转载)
weixin_39991935的博客
12-22 7771
目录:1. Linux系统调用原理2. 系统调用的实现3. Linux系统调用分类及列表4.系统调用、用户编程接口(API)、系统命令和内核函数的关系5. Linux系统调用实例6. Linux自定义系统调用1.系统调用原理系统调用,顾名思义,说的是操作系统提供给用户程序调用的一组“特殊”接口。用户程序可以通过这组“特殊”接口来获得操作系统内核提供的服务,比如用户可以通过文件系统相关的调用请求系统...
Windows NT内核函数大全
qq_42577465的博客
06-06 1509
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
64位内核开发第九讲,注册表编程.
weixin_30371469的博客
06-08 260
目录 一 注册表编程 二 注册表简介 2.1 ring3注册表 2.2 重启删除原理 三丶注册表API操作 3.1 Reg操作API 四丶注册表操作例子 4.1 ZwCreateKey创建key ...
EXE和SYS通信MiniFilter基于事件方式
125096
12-30 1530
#ifndef _HEADER_HEAD_FILE #define _HEADER_HEAD_FILE #pragma once #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 260 #endif NTKERNELAPI UCHAR * PsGetProcessImageFileN
Windows驱动开发(5) - 内核模式下的注册表操作
Vinx Blog
04-17 1729
Windows驱动开发(5) - 内核模式下的注册表操作1、创建关闭注册表1.1 创建注册表NTSTATUS ZwCreateKey( _Out_ PHANDLE KeyHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttri

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值