在内核中之获取HKEY_CURRENT_USER对应路径

最新推荐文章于 2024-01-17 23:10:18 发布
最新推荐文章于 2024-01-17 23:10:18 发布
阅读量7.5k 收藏 7
点赞数 3
分类专栏: 驱动编程

在内核中操作注册表,HKEY_LOCAL_MACHINE的路径可以用\Registry\Machine来表示.

HKEY_USERS可以用 \Registry\User表示.

HKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG,HKEY_CURRENT_USER,在内核没有对应的路径来表示.

实际上HKEY_CLASSES_ROOT是链接到HKEY_LOCAL_MACHINE\SOFTWARE\Classes

HKEY_CURRENT_CONFIG是链接到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current

可以这么理解为:

HKEY_CLASSES_ROOT = HKEY_LOCAL_MACHINE\SOFTWARE\Classes

HKEY_CURRENT_CONFIG = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current

因为用户态的程序是由系统当前登录用户运行,而内核态的程序是由system用户运行,而HKEY_CURRENT_USER保存系统当前登录用户的相关信息,所以在内核中,无法直接访问HKEY_CURRENT_USER.

但实际上,HKEY_CURRENT_USER也是链接到HKEY_USERS\[当前登录用户的SID],在这里主要说一下在内核中怎么获取到当前登录用户的SID,获取的方法几种,比如,先Attach到当前登录用户运行的进程,然后再调用RtlFormatCurrentUserKeyPath,或者在Ring3与驱动通信例程中获取等,当然,这里只是其中的一个比较搓的方法.

打开在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList,可以看到几个以SID命名的注册表项,例如S-1-5-18就是SYSTEM用户的SID,S-1-5-21-1606980848-854245398-839522115-500 就是当前登录的管理员账号的SID,详细的SID描述可以看一下微软的文档,http://support.microsoft.com/kb/243330,我们要的就是获取当前登录账号的SID,这样子基本上思路就有了,在内核中,我们可以用ZwEnumerateKey来枚举\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\下面的所有以SID命名的注册表项,然后在其中过滤出我们所需要的SID,我的过滤思路是,一般的系统登录管理账号的SID长度都是20个字节以上的,但如果是系统里存在多个管理用户账号的情况,又如何判断那个才是当前登录账号呢?呵呵,这时可以利用ProfileList项下的RefCount键值来进行判断,如果RefCount大于0的话,那就说明这个用户账号是当前登录账号.

/*******************************************
 
函数说明:在内核中获取HKEY_CURRENT_USER路径
 
Code:zzage
 
From:http://hi.baidu.com/zzage
 
********************************************/
 
VOID GetCurrentUser()
 
{
 
HANDLE hRegister;
 
OBJECT_ATTRIBUTES ObjectAttributes;
 
ULONG ulSize;
 
PKEY_FULL_INFORMATION pfi;
 
ULONG i;
 
PKEY_BASIC_INFORMATION pbi;
 
UNICODE_STRING uniKeyName;
 
WCHAR CurrentUserbuf[256];
 
WCHAR ProfileListbuf[256];
 
UNICODE_STRING RegCurrentUser,RegUser;
 
UNICODE_STRING RegProfileList,RegProf;
 
RTL_QUERY_REGISTRY_TABLE paramTable[2];
 
ULONG udefaultData=0;
 
ULONG uQueryValue;
 

RtlZeroMemory(paramTable,sizeof(paramTable));
 

paramTable[0].Flags=RTL_QUERY_REGISTRY_DIRECT;
 
paramTable[0].Name=L"RefCount";
 
paramTable[0].EntryContext=&uQueryValue;
 
paramTable[0].DefaultType=REG_DWORD;
 
paramTable[0].DefaultData=&udefaultData;
 
paramTable[0].DefaultLength=sizeof(ULONG);
 
  
 
  
 
RtlInitUnicodeString(&RegProf,L"\\Registry\\Machine\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList\\");
 
RtlInitUnicodeString(&RegUser,L"\\Registry\\User\\"); 

RtlInitEmptyUnicodeString(&RegCurrentUser,CurrentUserbuf,256*sizeof(WCHAR));
 
RtlInitEmptyUnicodeString(&RegProfileList,ProfileListbuf,256*sizeof(WCHAR));
 
   
 
RtlCopyUnicodeString(&RegCurrentUser,&RegUser);
 
RtlCopyUnicodeString(&RegProfileList,&RegProf);
 

InitializeObjectAttributes(&ObjectAttributes,&RegProf,OBJ_CASE_INSENSITIVE,NULL,NULL);
 

ZwOpenKey(&hRegister,KEY_ALL_ACCESS,&ObjectAttributes);
 

ZwQueryKey(hRegister,KeyFullInformation,NULL,0,&ulSize);
 

pfi=(PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool,ulSize);
 

ZwQueryKey(hRegister,KeyFullInformation,pfi,ulSize,&ulSize);
 


for (i=0;i<pfi->SubKeys;i++)
 
{
 
   ZwEnumerateKey(hRegister,
 
    i,
 
    KeyBasicInformation,
 
    NULL,
 
    0,
 
    &ulSize);
 

   pbi =(PKEY_BASIC_INFORMATION)ExAllocatePool(PagedPool,ulSize);
 
  
 
   ZwEnumerateKey(hRegister,
 
    i,
 
    KeyBasicInformation,
 
    pbi,
 
    ulSize,
 
    &ulSize);
 


   uniKeyName.Length = 
   uniKeyName.MaximumLength =(USHORT)pbi->NameLength;
 
   uniKeyName.Buffer = pbi->Name;
 

   if (pbi->NameLength>20)
 
   {
 


         RtlAppendUnicodeStringToString(&RegCurrentUser,&uniKeyName);
 
            RtlAppendUnicodeStringToString(&RegProfileList,&uniKeyName);
 
            RtlQueryRegistryValues(RTL_REGISTRY_ABSOLUTE,RegProfileList.Buffer,paramTable,NULL,NULL);
 
      if (uQueryValue>0)
 
    {
 
      KdPrint(("HKET_CURRENT_USER: %wZ\n",&RegCurrentUser));
 
    }
 

   }
 


   RtlCopyUnicodeString(&RegCurrentUser,&RegUser);
 
   RtlCopyUnicodeString(&RegProfileList,&RegProf);
 
  
 
}
 
ExFreePool(pbi);
 
ExFreePool(pfi);
 
ZwClose(hRegister);
 
    
}


 

转载http://www.52pojie.cn/thread-30366-1-1.html

 

125096
关注
专栏目录
如何读取指定用户的 HKEY_CURRENT_USER 注册表键
白水绕东城
03-28 7408
注册表 HKEY_CURRENT_USER 键下的内容隶属当前用户,所以当你以不同用户登陆时该键下的内容都是不尽相同的。但有时候我们有读取指定用户该键下内容的需求。比如,我们有一个服务程序运行在 Session0, SYSTEM 权限,而我们想读取的却是当前登陆到本地控制台的用户的 IE 代理服务器设置参数。我们当然不能直接从服务打开 HKEY_CURENT_USER 键, 用我们当前令牌打开
驱动开发之注册表:获取注册表HKEY_CURRENT_USER对应路径(SID)
wull_的博客
01-13 2112
内核hook注册表必须要使用转换后的路径,例如HKEY_LOCAL_MACHINE的路径对应的是“\Registry\Machine”,但是HKEY_CURRENT_USER相对比较特殊,因为它不是一个固定的值,需要你根据其他东西判断。因此本文给出几种获取HKEY_CURRENT_USER对应路径的方法。 方法一 根据注册表项获取 我最开始使用的获取HKEY_CURRENT_USER对应路径的...
服务读取当前用户注册表HKEY_CURRENT_USER
ly402609921的专栏
06-19 7806
服务读取当前用户注册表HKEY_CURRENT_USER 原文地址:http://hi.baidu.com/solohac/item/dfc68f5301fedb918c12ed4b tag: 服务 HKEY_CURRENT_USER HKEY_USER 读取 RegQueryValueEx 注册表   我在服务程序使用RegQueryValueEx读取注册表HKEY_CURREN
Windows注册表(hkey_classes_root;hkey_current_user;hkey_local_machine;hkey_current_config;hkey_users;)
qq_43118674的博客
06-28 831
Windows注册表(hkey_classes_root;hkey_current_user;hkey_local_machine;hkey_current_config;hkey_users;)
找不到注册表HKEY_CURRENT_USER的问题
weixin_43330974的博客
04-13 4749
找不到注册表HKEY_CURRENT_USER的问题 一开始通过regedit打开注册表后,按照H字母开头的顺序寻找HKEY_CURRENT_USER未果,之后发现HKEY开头都在注册表的最下面
浏览器设置说明禁止浏览器缩放:在注册表键HKEY-CURRENT-USER\Software\Microsoft\Intern
11-15
在注册表编辑器,定位到`HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Zoom`键,创建一个DWORD值,名为`ZoomDisabled`,并将其值设置为1。这个步骤会阻止用户在浏览器缩放页面。请注意,修改注册表...
精选_Ring0内核层下创建注册表键_源码打包
03-10
在用户模式下,这通常是通过打开HKLM(HKEY_LOCAL_MACHINE)或HKCU(HKEY_CURRENT_USER)等预定义的键完成的。而在内核模式,我们可以使用 ZwOpenKey 函数,指定适当的根键,如 \Registry\Machine 或 \Registry\User...
GetNtUser.tar.gz_GETNTUSER.T_GetNTUser _getntus_getntuser window
07-15
1. **Windows注册表结构**:了解注册表的各个键,特别是与用户账户信息相关的如"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList"和"HKEY_LOCAL_MACHINE\Sam\SamDomains\User"等。...
pyqt5实现在IE内核下打开web界面,并实现自动解除IE安全策略问题。
weixin_43998604的博客
01-15 912
主要因为我在html里需要使用到ActiveX插件,但是也不可能让客户只用IE打开,所以就用pyqt封装了IE内核打开网页,话不多说,上代码。 import sys from PyQt5.QtWidgets import * from PyQt5.QAxContainer import QAxWidget class MainWindow(QMainWindow): def __init__(self): super(MainWindow, self).__init__()
python系统基本信息获取_Python获取Linux或Windows系统的基本信息
weixin_29624785的博客
02-04 906
本文和大家分享的主要是使用python获取Linux或Windows系统的基本信息相关介绍,希望对大家学习python有所帮助。程序执行后,看起来就像登录Ubuntu Linux系统时提示的motd信息一样,可以看到:1.系统的类型、发行版本(具体信息)、内核版本等2.当前系统的时间、时区3.系统每一个CPU核心的负载和CPU整体负载4.进程数量5.根分区的磁盘空间,Windows下默认C盘6.登...
从系统服务进程访问HKEY_CURRENT_USER主键
codemanrock
12-09 2483
DWORD user_pid; HANDLE hprocess, htoken; HKEY hkey_cur_user = NULL; LONG status; user_pid = get_user_process_id(); if (!user_pid) { vd_printf("get_user_process_id fa
处理进程在SYSTEM权限下无法读取HKEY_CURRENT_USER注册表的问题
最新发布
不定期更新的博客
01-17 1192
最近在工作碰到了,某个进程在SYSTEM权限下无法读取到HKEY_CURRENT_USER注册表的问题。所以写一下文章记录下排查和处理的过程。
在服务模拟当前登录用户读取HKEY_CURRENT_USER
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-21 1107
在服务模拟当前登录用户读取HKEY_CURRENT_USER #include #include #pragma comment(lib, "Wtsapi32.lib") int main() {     DWORD ActiveConsoleSessionId = 0;     HANDLE phToken;     HKEY hKEY;     long ret
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER开机启动程序的区别
Think88666的博客
12-17 5330
HKEY_LOCAL_MACHINE 存放的是这个计算机的设置, 而 HKEY_CURRENT_USER 存放的是有关当前登录的用户的设置, 也就是说,不同的用户登录时 HKEY_CURRENT_USER 的内容是不同的,而 HKEY_LOCAL_MACHINE 是相同的。 还有,假设一个程序只能以管理员身份运行,那么将该程序写入到HKEY_CURRENT_USER时,开机后程序不能正常启动...
C# 根据注册表获取当前用户的常用目录整理
weixin_34087503的博客
03-15 411
1.使用C#获取当前程序或解决方案的路径 2.使用C#获取当前登录用户的相关目录 3.也可以获取当前系统通用目录 4.获取Windows系统的目录,从注册表获取。 一、当前用户的目录,HKEY_Current_User 二、系统通用目录,当前机器,Hkey_Local_Machine   三、代码实例   class LocalPathHelper { //wi...
注册表主键的含义
编辑编辑器
04-27 2753
我们都知道,我们在使用电脑时。在“开始”→“运行”输入“regedit”并单击“确定”按钮后,可以打开“注册表编辑器”对话框,此时可以看见在左边的窗口显示了注册表的所有主键。对于Windows 2003/2000/XP 来说只有五个主键。新手要想看的懂注册表就必须了解这五个主键的指向是什么。下面我们就来一起学习下注册表主键的具体含义。   1.HKEY_CLASSES_ROOT
windows修改用户文件夹名称 更改用户名 修改C盘Users目录下文件夹名称
热门推荐
Heyuanfly的博客
05-12 3万+
简短的说: 1 - 新建一个管理员账户A(名称随意,不要和其他账户一样),退出需要修改的账户,登录新建的账户A 2 - 修改userS目录下的用户文件夹名, 3 - 找到注册表的如下位置,更改ProfileImagePath为你修改后的用户文件夹路径。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<你的sid>\ 4 - 创建软链接(可选),把原来的文件夹重定向到现在的用户...
Android 在内核获取进程的task_struct
03-01
这是一个技术问题,我可以回答。在Android内核,每个进程都对应一个task_struct结构体,通过task_struct结构体可以获取进程的相关信息,如进程ID、进程优先级、进程状态等。要获取进程的task_struct结构体,可以使用函数find_task_by_vpid或者find_task_by_pid_ns。其,find_task_by_vpid函数用于通过进程ID查找task_struct结构体,而find_task_by_pid_ns函数用于通过PID和PID命名空间查找task_struct结构体。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值