Delphi使用ZwQueryKey根据注册表句柄HKEY获取注册表路径

于 2022-08-30 09:56:20 发布
阅读量232 收藏 1
点赞数
分类专栏: Delphi 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43179046/article/details/126597435
版权

Hook注册表读写后,需要根据注册表项名称(注册表路径)做一些判断,但是hook只能拿到注册表句柄HEY,必要根据HEY获取注册路径。ntdll.dll中ZwQueryKey函数可以根据句柄获取一系列注册表信息,其中KeyNameInformation代表注册表项名称的信息。参考微软定义:
NTSYSAPI NTSTATUS ZwQueryKey(
[in] HANDLE KeyHandle,
[in] KEY_INFORMATION_CLASS KeyInformationClass,
[out, optional] PVOID KeyInformation,
[in] ULONG Length,
[out] PULONG ResultLength
);
转换为Delphi定义
function ZwQueryKey(hkey:THandle;ntype:DWORD;buffer:PVoid;bufferlen:ULONG;ncount:PULONG):integer;stdcall;external ‘ntdll.dll’;
调用过程很简单,32位测试正常,64位下没通过。排查ZwQueryKey函数定义参数是否在64位下大小是否与VS一致,没发现问题。最后检查ZwQueryKey返回结果是80000002,数据对齐错误。最终测试代码如下:

function GetKeyPathFromHKey(hkey:Thandle):string;
var
  ntype:dword;
  data:pvoid;
  buffer,obuffer:pchar;
  ncount:ULONG;
  bufferlen:LONG;
  n:integer;
begin
  result:='';
  ntype:=3;  //KeyNameInformation
  bufferlen:=1024*2;

  //64位要8位对齐
  GetMem(obuffer,bufferlen);
  n:=UInt64(obuffer) mod 8;
  if n<>0 then
    buffer:=obuffer+8-n
  else
    buffer:=obuffer;

  if ZwQueryKey(hKey,ntype,pvoid(buffer),bufferlen,PULONG(@ncount))=0 then begin
    buffer:=buffer+2;   //前4位是长度
    ncount:=ncount-4;
    buffer[ncount div 2]:=#0;
    result:=buffer;
  end;
  freeMem(obuffer);
end;
procedure TForm1.Button2Click(Sender: TObject);
var
  reg:TRegistry;
begin
  Reg:=TRegistry.Create ;
  Reg.RootKey := HKEY_LOCAL_MACHINE;
  if(Reg.OpenKey('SoftWare\Microsoft',False)) then begin
    memo1.Lines.Add(getkeypathfromhkey(Reg.CurrentKey));
  end;
  Reg.Free;
end;
start13148
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HOOK注册表.rar
04-05
HOOK注册表.rar
Delphi 读写注册表的单元(修改后)
01-21
1. **注册表结构**:Windows 注册表由几个主要部分组成,包括 HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USERS 和 HKEY_CURRENT_CONFIG。每个部分都有自己的子键和键值,用于存储不同种类的...
语言hook注入java_易语言DLL制作调用及hook-注册表注入
weixin_33835122的博客
03-01 810
1、注册表注入的特性是可以在程序启动的时候注入,注入到其他程序还没有初始化完的的时候执行自己的代码2、通过注册表的方式来实现DLL注入,只需要针对特定的注册表项进行修改即可3、如果被注入的进程是64位进程,则注入的DLL也需要是64位的,同理,注入32位的进程也需要是32位的DLL。4、注入64位系统上的32位进程1) 将被注入的DLL名称填入到AppInit_DLLs注册表项:HKEY_LOCA...
驱动开发之访问注册表
Lydia的博客
07-03 2239
访问注册表 Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它们的用法。 表3-9. 注册表访问函数 服务函数 描述  IoOpenDev
在内核中之获取HKEY_CURRENT_USER对应路径
125096
07-18 7404
在内核中操作注册表,HKEY_LOCAL_MACHINE的路径可以用\Registry\Machine来表示. HKEY_USERS可以用 \Registry\User表示. 而HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG,HKEY_CURRENT_USER,在内核没有对应的路径来表示. 实际上HKEY_CLASSES_ROOT是链接到HKEY_L
C++中根据HKey查找当前打开的注册表路径Key Name
weixin_34007886的博客
11-10 194
在StackOverFlow里找到的,一定要收藏起来。#include &lt;windows.h&gt;#include &lt;string&gt;typedef LONG NTSTATUS;#ifndef STATUS_SUCCESS#define STATUS_SUCCESS ((NTSTATUS)0x00000000L)#endif#ifndef STATUS_BUFFER_TOO_SM...
Delphi通过注册表读取BIOS相关设置信息.rar
07-10
Delphi通过注册表读取BIOS相关设置信息,因为Windows的注册表中存储有系统获取到的BIOS信息,所以本程序实际上是通过读取注册表,来获取相关的BIOS设置信息:  打开HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\...
Delphi7注册表基本操作
05-12
3. **读取注册表值**:要获取某个注册表键下的值,使用`RegQueryValueEx`函数。输入参数包括键的句柄、值名称和接收数据的缓冲区。 4. **写入注册表值**:使用`RegSetValueEx`可以设置或修改注册表键的值。需要指定...
backupregedit_delphi_
10-04
在给定的标题“backupregedit_delphi_”中,我们可以推测这是一个关于使用Delphi来编写程序,实现对注册表进行备份和恢复功能的示例或教程。描述中提到的“Delphi 使用winexec执行备份还原注册表”进一步明确了这个...
通过Delphi修改IE的主页与标题..rar
05-12
IE的主页设置存储在Windows注册表中,特别是`HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main`路径下的`Start Page`键值。当用户打开浏览器时,这个键值对应的URL会被加载为默认主页。因此,我们需要...
HOOK 系统注册表 HOOK API SYSTEM REGISTRY
12-21
HOOK 系统注册表 HOOK API SYSTEM REGISTRY 文件清单: PHookRegistry.exe HOOK管理主程序 PNtHOOK.dll HOOK API DLL 功能描述: 1. 只针对用户级别的程序API陷井式HOOK, 这里只对以下API进行HOOK: RegCloseKey RegDeleteKeyA RegDeleteKeyW RegQueryValueExW RegQueryValueExA RegQueryValueA RegQueryValueW RegOpenKeyExW RegCreateKeyExW RegSetValueExW RegDeleteValueW RegOpenKeyExA RegCreateKeyExA RegSetValueExA RegDeleteValueA 以上API就足以完成注册表数据的截获。 2.如何HOOK程序启动初始化时的API问题? 第一次选中目标程序启动对它的HOOK,然后关闭该程序,不要释放HOOK接着再打开该程序就会进入启动时的HOOK。
Delphi 操作注册表的HKEY_LOCAL_MACHINE根键优化二级缓存.rar
07-10
Delphi 如何优化二级缓存呢?请参考这个例子的方法吧,很简单,面向Delphi初学者,优化过程中,适时显示百分比进度条,代码中操作注册表的HKEY_LOCAL_MACHINE根键,用到了相关的函数,TRegistry.Create,RootKey,OpenKey,WriteInteger等,更多代码编写细节请下载源码。
Delphi获取进程的命令行参数
autumn20080101的专栏
05-05 2240
您现在的位置:首页 >> 算法基础 >> 信息正文 Delphi获取进程的命令行参数 2009-4-16 15:20:35 来源: 转载 作者:wr960204 访问:909 次 被顶:3 次 字号:【大 中 小】 type UNICODE_STRING = packed record Length: Word; MaximumLength: Word;
Delphi实现对注册表的监控和扫描
weixin_34320159的博客
04-01 69
Delphi自带的TRegistry类只能实现注册表的基本操作,假如我们要实时监控注册表的变化或扫描注册表特定项下的任何子项,TRegistry类就无能为力了。我啃了半天SDK,终于实现了Delphi注册表的监控和扫描,不敢独享,拿来献给广大的Delphi爱好者。 监控注册表相关项的改变要用到一个API:RegNotifyChangeKeyValue。 LONG...
Delphi7通过进程ID获取句柄
最新发布
05-18
Delphi7 中,可以通过 `OpenProcess` 函数来获取进程句柄。以下是一个示例代码: ```delphi function GetProcessHandle(ProcessID: DWORD): THandle; begin Result := OpenProcess(PROCESS_ALL_ACCESS, False, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值