【Windows驱动开发】注册表的基本操作(创建、打开、修改、读取、枚举)(附源码)

最新推荐文章于 2023-11-17 20:53:22 发布
最新推荐文章于 2023-11-17 20:53:22 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: Windows驱动开发 文章标签: Windows驱动开发 注册表操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43533553/article/details/122209069
版权

1、创建注册表项和子项

VOID RegCreateText()
{
	HANDLE hKey;
	HANDLE hSubkey;
	NTSTATUS status;
	OBJECT_ATTRIBUTES oa;
	ULONG ulRet;
	UNICODE_STRING RegPath = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\MyKey");
	UNICODE_STRING SubPath = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\MyKey\\SubKey");
	InitializeObjectAttributes(&oa, &RegPath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwCreateKey(&hKey, KEY_ALL_ACCESS, &oa, 0, NULL, REG_OPTION_NON_VOLATILE, &ulRet);
	if (NT_SUCCESS(status))
	{
		if (ulRet == REG_CREATED_NEW_KEY)
		{
			KdPrint(("项不存在创建成功\n"));
		}
		else
		{
			KdPrint(("项存在,打开它\n"));
		}
	}
	else
	{
		KdPrint(("创建注册表项失败\n"));
	}

	InitializeObjectAttributes(&oa, &SubPath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwCreateKey(&hSubkey, KEY_ALL_ACCESS, &oa, 0, NULL, REG_OPTION_NON_VOLATILE, &ulRet);
	if (NT_SUCCESS(status))
	{
		if (ulRet == REG_CREATED_NEW_KEY)
		{
			KdPrint(("子项不存在创建成功\n"));
		}
		else if(ulRet == REG_OPENED_EXISTING_KEY)
		{
			KdPrint(("子项存在,打开它\n"));
		}
	}
	else
	{
		KdPrint(("创建注册表子项是失败\n"));
	}
	ZwClose(hKey);
	ZwClose(hSubkey);
}

2、打开注册表、修改注册表并读取注册表的信息

VOID RegTest()
{
	HANDLE hKey;
	NTSTATUS status;
	OBJECT_ATTRIBUTES oa;
	UNICODE_STRING RegPath = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\MyKey");
	UNICODE_STRING ValueName;
	DWORD Value = -1;
	CHAR buffer[] = "hello world" ;
	PKEY_VALUE_PARTIAL_INFORMATION pvpi = (PKEY_BASIC_INFORMATION)ExAllocatePool(PagedPool, 1024);
	ULONG Length;
	InitializeObjectAttributes(&oa, &RegPath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwOpenKey(&hKey, KEY_ALL_ACCESS, &oa);
	if (NT_SUCCESS(status))
	{
		KdPrint(("打开成功\n"));
	}
	else
	{
		KdPrint(("打开失败\n"));
	}
	//修改注册表
	RtlInitUnicodeString(&ValueName, L"字符串");
	ZwSetValueKey(hKey, &ValueName, 0, REG_SZ, L"你好", wcslen(L"你好") * sizeof(WCHAR));
	
	RtlInitUnicodeString(&ValueName, L"整数");
	ZwSetValueKey(hKey, &ValueName, 0, REG_DWORD, &Value, sizeof(DWORD));

	RtlInitUnicodeString(&ValueName, L"二进制");
	ZwSetValueKey(hKey, &ValueName, 0, REG_BINARY, buffer, strlen(buffer));

	//读取字符串
	RtlZeroMemory(pvpi, 1024);
	RtlInitUnicodeString(&ValueName, L"字符串");
	ZwQueryValueKey(hKey, &ValueName, KeyValuePartialInformation, pvpi, 1024, &Length);
	if (pvpi->Type == REG_SZ)
	{
		KdPrint(("%ls\n", pvpi->Data));
	}

	//读取整数
	RtlZeroMemory(pvpi, 1024);
	RtlInitUnicodeString(&ValueName, L"整数");
	ZwQueryValueKey(hKey, &ValueName, KeyValuePartialInformation, pvpi, 1024, &Length);
	if (pvpi->Type == REG_DWORD)
	{
		KdPrint(("%d\n", *(PULONG)pvpi->Data));
	}

	//读取二进制
	RtlZeroMemory(pvpi, 1024);
	RtlInitUnicodeString(&ValueName, L"二进制");
	ZwQueryValueKey(hKey, &ValueName, KeyValuePartialInformation, pvpi, 1024, &Length);
	if (pvpi->Type == REG_BINARY)
	{
		KdPrint(("%s\n", pvpi->Data));
	}
}

3、枚举注册表子项

VOID RegEnumTest()
{
	HANDLE hkey;
	NTSTATUS status;
	ULONG Length;
	ULONG Index;

	OBJECT_ATTRIBUTES oa;	//对象属性
	//HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
	UNICODE_STRING RegPath = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\System\\CurrentControlSet\\Control");
	InitializeObjectAttributes(&oa, &RegPath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);	//初始化对象属性信息
	
	PKEY_FULL_INFORMATION pfi = (PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool, 1024);		//分配内存
	PKEY_BASIC_INFORMATION pbi = (PKEY_BASIC_INFORMATION)ExAllocatePool(PagedPool, 1024);	//分配内存
	PKEY_VALUE_FULL_INFORMATION pvpi = (PKEY_VALUE_FULL_INFORMATION)ExAllocatePool(PagedPool, 1024);

	status = ZwOpenKey(&hkey, KEY_ALL_ACCESS, &oa);		//打开注册表
	if (!NT_SUCCESS(status))
	{
		KdPrint(("打开注册表失败\n"));
		return;
	}
	status = ZwQueryKey(hkey, KeyFullInformation, pfi, 1024, &Length);	//查询注册表
	if (NT_SUCCESS(status))
	{
		KdPrint(("***********************************\n"));
		for (Index = 0; Index < pfi->SubKeys; Index++)	//遍历所有子项
		{
			RtlZeroMemory(pbi, 1024);
			ZwEnumerateKey(hkey, Index, KeyBasicInformation, pbi, 1024, &Length);	//枚举出注册表子项的基本信息
			if (NT_SUCCESS(status))
			{
				KdPrint(("%ls\n", pbi->Name));	//输出子项的名称
			}
		}
		KdPrint(("***********************************\n"));
		for (Index = 0; Index < pfi->Values; Index++)	//遍历所有子项的值
		{
			RtlZeroMemory(pvpi, 1024);
			status = ZwEnumerateValueKey(hkey, Index, KeyValueFullInformation, pvpi, 1024, &Length);	//枚举出注册表子项的值
			if (NT_SUCCESS(status))
			{
				switch (pvpi->Type)
				{
				case REG_DWORD:
					KdPrint(("%ls:%d\n", pvpi->Name, *(PULONG)((PCHAR)pvpi + pvpi->DataOffset)));
					break;
				case REG_SZ:
				case REG_MULTI_SZ:
				case REG_EXPAND_SZ:
					KdPrint(("%ls:%ls\n", pvpi->Name, (PCHAR)pvpi + pvpi->DataOffset));
					break;
				default:
					break;
				}
			}
		}
	}
	ZwClose(hkey);
	if (pfi != NULL)
	{
		ExFreePool(pfi);
	}
	if (pbi != NULL)
	{
		ExFreePool(pbi);
	}
	if (pvpi != NULL)
	{
		ExFreePool(pvpi);
	}
}

4、代码实现效果图
(1)注册表的创建、打开、修改、读取
在这里插入图片描述
(2)注册表子项的枚举
在这里插入图片描述
补充:
也可使用微软封装的RTL函数来进行注册表的相关操作。
请添加图片描述

//微软封装的RTL函数
VOID RtlTest()
{ 
	NTSTATUS status;
	status = RtlCreateRegistryKey(RTL_REGISTRY_SERVICES, L"MyService");
	if (NT_SUCCESS(status))
	{
		KdPrint(("Rtl创建子项成功\n"));
	}
	status = RtlCheckRegistryKey(RTL_REGISTRY_SERVICES, L"MyService");
	if (NT_SUCCESS(status))
	{
		KdPrint(("注册表子项存在\n"));
	}
	status = RtlWriteRegistryValue(RTL_REGISTRY_SERVICES, L"MyService", L"字符串", REG_SZ, L"你好世界", 8);
	if (NT_SUCCESS(status))
	{
		KdPrint(("写入成功\n"));
	}

	status = RtlDeleteRegistryValue(RTL_REGISTRY_SERVICES, L"MyService", L"字符串");
	if (NT_SUCCESS(status))
	{
		KdPrint(("删除成功\n"));
	}
}
邢饱饱
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows内核驱动开发】——读取注册表
zcr214的博客
11-28 3198
【我的】Windows驱动开发——读取注册表 作者:zcr214 时间:2016/5/5   注册表对于驱动来说是很重要的小伙伴,注册表可以很好的扮演用户到内核的桥梁角色,很多时候用户可以通过修改注册表的内容来达到控制驱动的目的。那么驱动要做的首先当然是读取注册表啦,WDK提供了标准的接口函数,所以直接使用就可以了。 1.    ZwOpenKey()打开注册表 WDK提供了打开注册表
Windows注册表的读写操作
_Santiago的博客
02-26 2164
本文介绍了Windows注册表的基本知识,以及C++中打开\关闭\查询\修改注册表的常用接口。
C/C++ 实现读写注册表
热门推荐
CSDN
07-16 1万+
这是一个例子,有多余的代码。功能大概是遍历了某个注册表键下的所有键值,酌情修改其中的某个数据 。
注册表基本操作、应用、维护及优化
最新发布
cooper的笔记本
11-17 2536
注册表的概述、基本操作、以及注册表的应用、维护和优化
读取注册表的方法
RainbowPY的博客
11-12 2428
最近在做一些关于注册表的程序,发现原来读取注册表都是大有讲究的,所以就想写一篇文章来记录下来。 一、操作系统 32位的Windows操作系统已经非常罕见了,现在主流的操作系统是64位的Windows。64位的系统为了兼容32位的应用程序,内置了一套模拟32位的子系统,它就是WOW64 (Windows-on-Windows 64-bit)。但是64位系统对于x64和Win32程序是分别对待的,注册表就是一个例子。 二、注册表视图 下面我们分别以x64方式(系统默认)和Win32的方式打开注册表编辑器
易语言源码枚举注册表.rar
02-22
"易语言源码枚举注册表.rar"是一个压缩包文件,其中包含了使用易语言编写的源代码,用于枚举操作Windows操作系统中的注册表注册表Windows系统中存储系统设置和应用程序配置信息的重要数据库,它控制着系统的...
易语言源码易语言枚举注册表项与键值.rar
03-31
在易语言中,枚举注册表项与键值是一项重要的操作,这涉及到系统配置的读取修改。下面将详细介绍这个主题。 注册表Windows操作系统中的一个重要组成部分,它存储了系统和应用程序的各种配置信息,如启动项、...
枚举注册表.zip易语言项目例子源码下载
03-22
在“枚举注册表.zip”这个易语言项目例子中,我们将会探讨如何使用易语言来操作枚举Windows操作系统中的注册表注册表Windows系统中的一个重要组成部分,它存储着系统的配置信息,包括软件设置、硬件设备信息...
易语言枚举注册表项与键值.zip易语言项目例子源码下载
03-24
在“易语言枚举注册表项与键值.zip”这个项目中,我们主要探讨的是如何利用易语言来操作和管理Windows操作系统中的注册表注册表Windows系统中的一个重要组成部分,它存储着系统的配置信息、软件设置以及硬件...
易语言枚举注册表项与键值
07-16
在易语言中,枚举注册表项和键值意味着程序会依次读取注册表中某个位置下的所有子项和它们的键值,这通常用于获取或修改相关设置。 以下是一些易语言中进行枚举操作的关键子程序: 1. **子程序起始**:这是枚举...
[Win32驱动1]Windows驱动注册表操作
輚至消亡
10-20 1100
111111111
六、 在驱动操作注册表
autumn20080101的专栏
12-05 1971
六、 在驱动操作注册表 注册表Windows的核心,日常的许多操作其实最终都是转化成了对注册表操作,我们经常需要利用注册表达到一些特殊的效果,例如实现自启动等。 Windows 下设备驱动程序的开发方法 2120080411 计算机应用 赖锡盛 19 6.1 创建打开注册表 和文件操作类似,在操作注册表之前需要首先打开注册表,获得一个句柄,这可以通过函数ZwCreateKey完
bat添加修改注册表键值 批处理修改注册表
一个懒鬼的博客
02-21 8435
REG支持递归创建新的键(子键),只要在RegistryPath中加入想创建的键(子键)即可,不用单独创建上级键,如果上边的键路劲不存在citrix键,在创建GenericUSB时会自动创建Citrix\ICA Client\键。REG_QWORD 以十六进制显示双字一个64位的二进制值,显示为16位的十六进制值,也可显示为20位十进制值。REG_DWORD 以十六进制显示双字一个32位的二进制值,显示为8位的十六进制值,也可显示为10位十进制值。
「Win」Windows注册表介绍与操作
何曾参静谧的博客
06-04 3604
Windows注册表:是一个重要的系统组件,用于存储操作系统和应用程序的配置信息。它类似于一个数据库,包含了各种键值对、参数、设置等,可以通过注册表来管理和修改系统和应用程序的行为。在本文中,我们将详细介绍Windows注册表,包括其结构、功能和使用方法。
注册表windows系统注册表常用修改方案
学习 记录 总结 分享
08-08 9694
当我们使用了系统一段时间,装了很多的程序,常常会造成鼠标右键菜单中“新建”菜单的长度增加,这时,我们想减轻“新建”菜单的负担,我们可以修改注册表。在HKEY_LOCAL_MACHINE\Software\CLASSES\Drive\shell 下创建一个主键“Defrag”在右边窗口中把“默认”的值改为:“整理磁盘碎片” ,并在此主键“NewWindow”下创建一个主键“command”,单击“command”,在右边窗口中把“默认”的值改为“C:\WINDOWS\defrag.exe %1”。
Windows 修改注册表实现键位修改
littleWell的博客
12-30 1万+
windows 修改 Scancode Map 实现键位修改 一、修改步骤 open regedit cmd - regedit 打开注册表 进入目录 "计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" 右键新建二进制值文件,并命名为 ScanCode Map 按规则编辑文件 注销或重启计算机即可用,不再使用则删除该表即可 【注:这幅图中键位扫描码填反了,按照下面那幅图填写】 上面的所有
驱动读取注册表
Cosmopolitan的博客
09-25 666
#include <ntddk.h> #define MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\lxw" NTSTATUS Unload(PDRIVER_OBJECT driver) { DbgPrint("unload driver"); return STATUS_SUCCESS; } VOID ...
[Win32] 注册表操作(2)枚举注册表
zuishikonghuan的博客
07-21 4972
本文由CSDN用户zuishikonghuan所作,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/46981391 上一篇“[Win32] 注册表操作(1)基本操作创建开机自启动 ”(http://blog.csdn.net/zuishikonghuan/article/details/46967369)中,介绍了注
C++读取注册表
Bobowen的博客
09-16 1897
C++读注册表
C# 注册表操作指南:创建读取与删除
"这篇资源提供了一个C#编程语言中的注册表操作类,涵盖了创建读取、检查和删除注册表项及键值的功能。通过枚举类型RegDomain定义了常见的注册表主键,如HKEY_CLASSES_ROOT、HKEY_CURRENT_USER等,方便开发者进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邢饱饱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值