内核与驱动_05_注册表

最新推荐文章于 2020-07-23 07:59:55 发布
最新推荐文章于 2020-07-23 07:59:55 发布
阅读量794 收藏 3
点赞数 1
分类专栏: 内核与驱动 文章标签: 内核 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35156596/article/details/104315320
版权

文章目录

注册表操作

  • 与应用程序编程的方式类似,注册表是一个巨大的树形结构,操作一般都是打开某个子健,子健下有若干个值可以获得,每一个值有一个名字。
  • 子健一般用一个路径来表示,与应用程序编程不同的是这个路径的写法不一样,在应用编程中需要提供一个根子健的句柄,而驱动编程中则需要全部用路径表示。
  • 下述是一个根子健句柄与内核注册表路径对照表:
应用编程中的子健驱动中对应的路径写法
HKEY_LOCAL_MACHINE\Registry\Machine
HKEY_USERS\Registry\User
HKEY_CLASSES_ROOT没有对应的路径
HKEY_CURRENT_USER没有简单的对应路径,但是可以求得

常用API

函数名作用
ZwCreateKey创建或打开一个键
ZwOpenKey打开一个键
ZwQueryValueKey读取键值
ZwSetValueKey写入键值
ZwDeleteKey删除Key
ZwDeleteValueKey删除键值
ZwQueryKey读取键的信息
  • 在驱动编程中最常使用ZwOpenKey函数,函数原型如下
NTATATUS ZwOptnKey(
	OUT PHANDLE KeyHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes
);
  • 函数也是要求输入一个OBJECT_ATTRIBUTES结构体指针。
  • DesireAccess可以是下述权限的任意组合:
描述
KEY_QUERY_VALUE读取键下的值
KEY_SET_VALUE设置键下的值
KEY_CREATE_SUB_KEY生成子子键
KEY_ENUMERATE_SUB_KEYS枚举子键
KEY_READ一个组合好的宏,可以直接用对应的还有KEY_WRITE,KEY_ALL_ACCESS

基础操作

  • 对于注册表主要实现打开、读、写这三种操作

打开:

  • ZwOpenKey()

读:

  • ZwQueryValueKey()
NTSTATUS ZwQueryValueKey(
    IN HANDLE KeyHandle,	//注册表键句柄
    IN PUNICODE_STRING ValueName,//要读取的值的名字
    IN KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass,	//索要查询的信息类型
    OUT PVOID KeyValueInformation,
    IN ULONG Length,	//输入空间的长度
    OUT PULONG Resultlength	//返回实际需要的长度
);
  • KeyValueInformationClass是一个枚举类型,要查询的信息类型可以是以下三种:
信息说明
KeyValueBasicInformation获得基础信息,包含值名和类型
KeyValueFullInformation获得完整信息,包含值名、类型和值的数据
KeyValuePartialInformation获得局部信息,包含类型和值的数据(最常用)
  • 当然也可是以下的枚举值中的一种:
typedef enum _KEY_INFORMATION_CLASS {
    KeyBasicInformation,
    KeyNodeInformation,
    KeyFullInformation,
    KeyNameInformation,
    KeyCachedInformation,
    KeyFlagsInformation,
    KeyVirtualizationInformation,
    KeyHandleTagsInformation,
    KeyTrustInformation,
    KeyLayerInformation,
    MaxKeyInfoClass  // MaxKeyInfoClass should always be the last enum
} KEY_INFORMATION_CLASS;
  • KeyValueInformation:当KeyValueInformationClass值为KeyValuePartialInformation+时,KEY_VALUE_PARTIAL_INFORMATION`这个结构将被返回到这个指针所指向的内存中。结构原型如下:
typedef struct _KEY_VALUE_PARTIAL_INFORMATION(
    ULONG TitileIndex;	//请忽略这个成员
    ULONG Type;			//数据类型
    ULONG DataLength;	//数据长度
    UCHAR Data[1];		//可变长度的数据
)KEY_VALUE_PARTIAL_INFORMATION,*PKEY_VALUE_PARTIAL_INFORMATION;
  • 返回值:如果实际需要的长度比Length大,那么返回STATUS_BUFFER_OVERFLOW-0x80000005或者STATUS_BUFFER_TOO_SMALL,成功返回STATUS_SUCCESS. c

  • ZwSetValueKey
  • 较为简单,直接写入注册表就好,函数原型如下:
NTSTATUS ZwSetValueKey(
    IN HANDLE KeyHandle,
    IN PUNICODE_STRING ValueName,
    IN ULONG TitileIndex OPTIONAL,
    IN ULONG Type,
    IN PVOID Data,
    IN ULONG DataSize
);
//参数解释:
//1. 其中KeyHandle、ValueName两个参数和ZwQueryValueKey中的参数相同。
//2. Data和DataSize:Data是写入的数据的开始地址,DataSize是要写入数据的长度。Data类型为PVOID空指针,所以Data可以指向任何的数据
  • Type可以有如下的类型,具体查看MSDN:
含义
REG_BINARY任何形式的二进制数据
REG_DWORD一个四字节的数值
REG_LINK命名符号链接的Unicode字符串
REG_NONE没有特定类型的数据
REG_SZ空终止的Unicode字符串
  • 使用此函数时,如果键值已存在,那么就覆盖,不存在时会新建一个键。

驱动中注册表使用

  • 打开键的函数
//函数用来获取一个键
NTSTATUS MyZwOpenKey(PHANDLE hKey, PUNICODE_STRING pKeyPath)
{
	//初始化OBJECT_STTRIBUTE
	OBJECT_ATTRIBUTES objAttribute = { 0 };
	InitializeObjectAttributes(&objAttribute, pKeyPath, OBJ_CASE_INSENSITIVE, NULL, NULL);
	//打开key
	NTSTATUS status = STATUS_SUCCESS;
	status = ZwOpenKey(hKey, KEY_READ, &objAttribute);
	return status;
}
  • 读取键值
NTSTATUS MyZwQueryValueKey(HANDLE hKey,PUNICODE_STRING pKeyName)
{
	//定义一个用来试探key值大小的info
	KEY_VALUE_PARTIAL_INFORMATION firstInfo;
	//再定义一个实际用到的info结构体指针,之后动态申请堆空间
	PKEY_VALUE_PARTIAL_INFORMATION pInfo;
	ULONG length = 0;
	NTSTATUS status = STATUS_SUCCESS;
	//开始读取
	status = ZwQueryValueKey(hKey, pKeyName,KeyValuePartialInformation, &firstInfo, sizeof(KEY_VALUE_PARTIAL_INFORMATION),
		&length);
	if (!NT_SUCCESS(status)&&status!=STATUS_BUFFER_OVERFLOW&&status!=STATUS_BUFFER_TOO_SMALL)
	{
		return status;
	}
	//读取成功,申请空间,再次读取
	pInfo = (PKEY_VALUE_PARTIAL_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, length, 'tag1');
	status = ZwQueryValueKey(hKey, pKeyName, KeyValuePartialInformation, pInfo, length, &length);
	if (!NT_SUCCESS(status))
	{
		return status;
	}
	UNICODE_STRING strInfo;
	RtlInitUnicodeString(&strInfo, pInfo->Data);
	//输出键名称
	KdPrint(("键的值为:%wZ\n", &strInfo));
	ExFreePool(pInfo);
	return status;
}
  • 写入键值
//写入键值
NTSTATUS MyZwSetValueKey(HANDLE hKey,PUNICODE_STRING pKeyName, PUNICODE_STRING pKeyValue)
{
	NTSTATUS status = STATUS_SUCCESS;
	status = ZwSetValueKey(hKey, pKeyName, 0, REG_SZ, pKeyValue->Buffer, pKeyValue->Length);
	return status;
}

高级操作-遍历注册表

  • 使用函数ZwQueryKey ZwEnumerateKey枚举子项
//枚举所有子项
VOID MyZwEnumAllKey(HANDLE hKey)
{
	NTSTATUS status = STATUS_SUCCESS;
	//使用函数ZwQueryKey获取子项数量
	ULONG size = 0;
	ZwQueryKey(hKey,KeyFullInformation, NULL, 0, &size);
	PKEY_FULL_INFORMATION pInfo = (PKEY_FULL_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, size, 'tag2');
	ZwQueryKey(hKey, KeyFullInformation, pInfo, size, &size);
	__try {
		//通过关键字段subKeys进行遍历
		for (ULONG i = 0; i < pInfo->SubKeys; i++)
		{
			//ZwEnumerateKey来枚举子项
			ZwEnumerateKey(hKey, i, KeyBasicInformation, NULL, 0, &size);
			PKEY_BASIC_INFORMATION pBasicInfo = (PKEY_BASIC_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, size, 'tag3');
			ZwEnumerateKey(hKey, i, KeyBasicInformation, pBasicInfo, size, &size);
			//打印遍历出的信息
			UNICODE_STRING	keyName;
			//不能直接初始化,会产生乱码
			//RtlInitUnicodeString(&keyName, pBasicInfo->Name);
			keyName.Length = keyName.MaximumLength = pBasicInfo->NameLength;
			keyName.Buffer = pBasicInfo->Name;
			KdPrint(("第 %d 项的名称 : %wZ\n", i, &keyName));
			//释放堆空间
			ExFreePool(pBasicInfo);
		}
		ExFreePool(pInfo);
	}
	__except (EXCEPTION_EXECUTE_HANDLER){}
}
  • 使用函数ZwQueryKeyZwEnumerateValueKey枚举子健
//枚举对应项下的所有子健
VOID MyZwEnumAllValueKey(HANDLE hKey)
{
	ULONG size = 0;
	//获得子健的个数
	ZwQueryKey(hKey, KeyFullInformation, NULL, 0, &size);
	if (size<=0)
	{
		return;
	}
	PKEY_FULL_INFORMATION pInfo = (PKEY_FULL_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, size, 'tag4');
	ZwQueryKey(hKey, KeyFullInformation, pInfo, size, &size);
	__try {
		//枚举所有子健
		for (ULONG i = 0; i < pInfo->Values; i++)
		{
			//先获取大小
			ZwEnumerateValueKey(hKey, i, KeyValueBasicInformation, NULL, 0, &size);
			PKEY_VALUE_BASIC_INFORMATION pValueInfo = (PKEY_VALUE_BASIC_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, size, 'tag5');
			ZwEnumerateValueKey(hKey, i, KeyValueBasicInformation, pValueInfo, size, &size);
			//打印信息
			UNICODE_STRING valueKeyName;
			valueKeyName.Length = valueKeyName.MaximumLength = pValueInfo->NameLength;
			valueKeyName.Buffer = pValueInfo->Name;
			KdPrint(("第 %d 个子健名称为: %wZ \n", i, &valueKeyName));
			ExFreePool(pValueInfo);
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {}
	ExFreePool(pInfo);
}
hskull
关注
专栏目录
核心态加载驱动和本地应用
12-11 2301
Loading drivers and Native applications from kernel mode, without touching registry By: vipinkumar You are Responsible for everything.Also,if you develop something off this,you should give credit to
关于 win32 下磁盘的遍历方法
magictong的专栏
08-07 3565
   最近要写个在线专杀的东东,虽然是专杀(本来只要清除几个特定的文件和杀几个特定的进程,然后把用户的注册表恢复正常,很多病毒木马最喜欢干的一件事情就是写 映像劫持 然后机器一重启,安全相关的软件全部玩完了,不过这也没什么技术含量,利用了操作系统的“漏洞”而已),但是因为是 磁碟机,这个病毒(木马)很恶心,是感染型的,你磁盘上的exe文件可以全部给你感染成一个个的“小磁碟机”,很恐怖,呵呵,所
遍历注册表子项
10-12
本程序设计用于遍历注册表的子项,各位还可以根据此进行其它方面的扩展
驱动篇之注册表操作
把梦想放飞在蓝色的天空里...
09-10 1038
 在用户态下面,有大把的API可供我们操作注册表,例如RegOpenKey,RegCloseKey等,这些API都是由windows提供给用户态使用的API。      那么对于驱动层了,因为驱动编程,并没有哪个能够提供额外的库可供我们调用,肯定是不能调用如RegOpenKey等这些API函数,那难道内核态就不能操作注册表嘛?答案显示是不成立的。那我们回头想想API的调用方式,任何注册表
内核模式的注册表操作(Windows 驱动开发详解)
qq_41071646的博客
01-09 1894
首先说一下 应用层的注册表操作 主要也就是 遍历 增删改查 之类 的 然后 RegOpenKeyEx  函数  这个可以  打开 其中 RegCreateKeyEx 可以创造 也可以打开  然后 RegSetVableEx 函数 在注册表下设置指定值的数据和类型    其中如果想实现 某个程序开机自启动的话 其实也很简单   只不过在windows10 或者有些win7 要权限的  BO...
遍历注册表
落单的毛毛虫
03-25 1295
Const HKLM = &H80000002 strPath = "SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace" Set oreg = GetObject("Winmgmts:\root\default:StdRegProv") oreg.EnumKey HKLM,strPath,arr For E
Win 驱动编程 - 内核里操作注册表
bcbobo21cn的专栏
06-05 551
一 概述 RING0 操作注册表和 RING3 的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数,把 Zw系列的注册表函数进行了封装。 接下来说说注册表的本质。注册表其实是文件,它存储在 c:\windows\system32\config 这个目录下(打开目录,看到那几个带锁图标的文件就是。为什么带锁?因为被 SYSTEM 进 程独占访问了)。注册表文件被称为 HIVE 文件,此格..
hidereg.rar_Hidden registry_icesword_reg_注册表_隐藏注册表
09-21
标题中的“hidereg.rar_Hidden registry_icesword_reg_注册表_隐藏注册表”表明这是一个关于隐藏注册表键值的技术,特别与icesword这款内核检测软件有关。icesword,又名冰刃,是一款功能强大的系统监控和分析工具,...
ring0驱动内核注册表监控程序.zip
01-27
这些源码可以作为学习和研究内核级监控技术的宝贵资料,通过阅读和分析,我们可以了解到如何编写这样的驱动程序,如何在ring0级别实现注册表事件的捕获和处理,以及如何与操作系统内核进行交互。 总的来说,"ring0...
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
01-27
当Rootkit与Ring0驱动结合时,其隐蔽性将大大增强,因为它们可以直接操作内核,从而控制系统的各个方面。 **Ring0驱动的原理** Ring0驱动程序是在硬件级别直接与CPU交互的软件,具有系统最高权限。它们能够修改系统...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
4. **驱动级隐藏**:更深层次的隐藏方法是编写驱动程序驱动可以直接与操作系统内核交互。通过驱动,可以在系统层面上隐藏进程,使其不被常规的进程枚举函数如`EnumProcesses`和`OpenProcess`发现。 在压缩包内的...
精选_Ring0内核层下创建注册表键_源码打包
03-10
这样的库对于开发驱动程序或其他内核级组件的开发者来说非常有用,因为他们需要直接与注册表交互以存储配置信息或实现特定功能。 在编写内核模式的注册表操作时,需要注意以下几点: - 错误处理:内核模式编程容错...
递归遍历注册表
leo_xiongda的博客
04-24 889
内容暂待填充
内核术语--内核模式,用户模式,内核对象,内核调试,安全,注册表,Unicode,驱动
gnimgnot
06-23 2312
内核模式 VS 用户模式 为了防止普通的应用程序修改或访问临界区的操作系统的数据,Windows使用两种访问模式:内核模式和用户模式。用户级别的应用程序代码运行在用户模式下,操作系统的代码运行在内核模式(比如系统服务和驱动)。内核模式下有权限访问所有内存和所有的CPU指令。内核模式比用户模式权限高的目的是保证系统的稳定性。 注意:X86和X64处理器定义了4个级别的代码执行权限(也叫做ring
内核中之获取HKEY_CURRENT_USER对应路径
125096
07-18 7554
内核中操作注册表,HKEY_LOCAL_MACHINE的路径可以用\Registry\Machine来表示. HKEY_USERS可以用 \Registry\User表示. 而HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG,HKEY_CURRENT_USER,在内核没有对应的路径来表示. 实际上HKEY_CLASSES_ROOT是链接到HKEY_L
驱动开发之注册表:获取注册表HKEY_CURRENT_USER对应路径(SID)
wull_的博客
01-13 2112
内核中hook注册表必须要使用转换后的路径,例如HKEY_LOCAL_MACHINE的路径对应的是“\Registry\Machine”,但是HKEY_CURRENT_USER相对比较特殊,因为它不是一个固定的值,需要你根据其他东西判断。因此本文给出几种获取HKEY_CURRENT_USER对应路径的方法。 方法一 根据注册表项获取 我最开始使用的获取HKEY_CURRENT_USER对应路径的...
在服务中模拟当前登录用户读取HKEY_CURRENT_USER
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-21 1107
在服务中模拟当前登录用户读取HKEY_CURRENT_USER #include #include #pragma comment(lib, "Wtsapi32.lib") int main() {     DWORD ActiveConsoleSessionId = 0;     HANDLE phToken;     HKEY hKEY;     long ret
内核下的注册表操作
qq_41490873的博客
07-23 1026
注册表的相关概念 创建关闭注册表 ZwCreateKey NTSYSAPI NTSTATUS ZwCreateKey( PHANDLE KeyHandle, //获得的注册表句柄 ACCESS_MASK DesiredAccess, //访问权限,一般设置为KEY_ALL_ACCESS POBJECT_ATTRIBUTES ObjectAttributes, //OBJECT_ATTRIBUTES数据结构指针 ULONG Ti
内核驱动_08_键盘驱动原理及代码
hskull的博客
02-17 1819
文章目录技术原理Windows中从击键到内核流程键盘硬件原理键盘过滤的框架搭建应用设备扩展键盘过滤模块的动态卸载键盘过滤的请求处理通常的处理PNP的处理读的处理读完成的处理从请求中打印出按键信息从缓冲区中获得KEYBOARD_INPUT_DATA从KEYBOARD_INPUT_DATA中得到键从MakeCode得到实际字符完整代码 技术原理 Windows中从击键到内核 打开任务管理器,可以看到...
内核驱动开发详解:驱动框架与运行机制
"驱动框架-内核驱动开发" 本文主要探讨了内核驱动开发的相关知识,包括驱动框架的几个重要模型和技术,以及驱动程序的基本运行机制。内容涵盖了NT模型、WDM模型,以及一些常见的驱动服务和通信方式。 首先,NT模型...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值