在驱动里从注册表里读写参数

最新推荐文章于 2024-06-03 10:36:56 发布
最新推荐文章于 2024-06-03 10:36:56 发布
阅读量806 收藏
点赞数
原文链接:http://www.cnblogs.com/fanzi2009/archive/2009/05/06/1450707.html
版权

摘自ramdisk驱动程序 

VOID
RamDiskQueryDebugRegParameters(
    IN PUNICODE_STRING RegistryPath
    )
/*++

Routine Description:

    This routine is called from the DriverEntry to get the debug
    parameters from the registry. If the registry query fails, then
    default values are used.

Arguments:

    RegistryPath    - Points the service path to get the registry parameters

Return Value:

    None

--*/
{

    RTL_QUERY_REGISTRY_TABLE    rtlQueryRegTbl[ 4 + 1 ];  // Need 1 for NULL
    NTSTATUS                    status;
    DEBUG_INFO                  defDebugRegInfo;

    PAGED_CODE();

    DBGPRINT( DBG_COMP_INIT, DBG_LEVEL_VERBOSE, ("QueryDebugRegParameters\n" ) );
    ASSERT( RegistryPath->Buffer != NULL );

    // Set the default values

    defDebugRegInfo.BreakOnEntry      = DEFAULT_BREAK_ON_ENTRY;
    defDebugRegInfo.DebugLevel        = DEFAULT_DEBUG_LEVEL;
    defDebugRegInfo.DebugComp         = DEFAULT_DEBUG_COMP;

    RtlZeroMemory( rtlQueryRegTbl, sizeof(rtlQueryRegTbl) );

    //
    // Setup the query table
    //

    rtlQueryRegTbl[0].Flags         = RTL_QUERY_REGISTRY_SUBKEY;
    rtlQueryRegTbl[0].Name          = L"Parameters";
    rtlQueryRegTbl[0].EntryContext  = NULL;
    rtlQueryRegTbl[0].DefaultType   = (ULONG)NULL;
    rtlQueryRegTbl[0].DefaultData   = NULL;
    rtlQueryRegTbl[0].DefaultLength = (ULONG)NULL;

    //
    // Debug paramters
    //

    rtlQueryRegTbl[1].Flags         = RTL_QUERY_REGISTRY_DIRECT;
    rtlQueryRegTbl[1].Name          = L"BreakOnEntry";
    rtlQueryRegTbl[1].EntryContext  = &BreakOnEntry;
    rtlQueryRegTbl[1].DefaultType   = REG_DWORD;
    rtlQueryRegTbl[1].DefaultData   = &defDebugRegInfo.BreakOnEntry;
    rtlQueryRegTbl[1].DefaultLength = sizeof(ULONG);

    rtlQueryRegTbl[2].Flags         = RTL_QUERY_REGISTRY_DIRECT;
    rtlQueryRegTbl[2].Name          = L"DebugLevel";
    rtlQueryRegTbl[2].EntryContext  = &DbgLevel;
    rtlQueryRegTbl[2].DefaultType   = REG_DWORD;
    rtlQueryRegTbl[2].DefaultData   = &defDebugRegInfo.DebugLevel;
    rtlQueryRegTbl[2].DefaultLength = sizeof(ULONG);

    rtlQueryRegTbl[3].Flags         = RTL_QUERY_REGISTRY_DIRECT;
    rtlQueryRegTbl[3].Name          = L"DebugComp";
    rtlQueryRegTbl[3].EntryContext  = &DbgComp;
    rtlQueryRegTbl[3].DefaultType   = REG_DWORD;
    rtlQueryRegTbl[3].DefaultData   = &defDebugRegInfo.DebugComp;
    rtlQueryRegTbl[3].DefaultLength = sizeof(ULONG);

    status = RtlQueryRegistryValues(
                                    RTL_REGISTRY_ABSOLUTE | RTL_REGISTRY_OPTIONAL,    
                                    RegistryPath->Buffer,
                                    rtlQueryRegTbl,
                                    NULL,
                                    NULL
                                    );

    if ( !NT_SUCCESS( status ) ) {
        DBGPRINT( DBG_COMP_INIT, DBG_LEVEL_WARN, ("RrlQueryRegistryValues returned 0x%x\n", status ) );
        BreakOnEntry = defDebugRegInfo.BreakOnEntry;
        DbgLevel     = defDebugRegInfo.DebugLevel;
        DbgComp      = defDebugRegInfo.DebugComp;
    }
    DBGPRINT( DBG_COMP_INIT, DBG_LEVEL_INFO, ("BreakOnEntry = 0x%lx\n", BreakOnEntry) );
    DBGPRINT( DBG_COMP_INIT, DBG_LEVEL_INFO, ("DebugLevel   = 0x%lx\n", DbgLevel) );
    DBGPRINT( DBG_COMP_INIT, DBG_LEVEL_INFO, ("DebugComp    = 0x%lx\n", DbgComp) );
    return;
}   // End of RamDiskDebugQueryRegParameters()

转载于:https://www.cnblogs.com/fanzi2009/archive/2009/05/06/1450707.html

修改注册表,让它允许运行ActiveX控件,
07-20
修改注册表,让它允许运行ActiveX控件,对于要经常用到.CAB的很有用哦,
Win7 USB摄像头注册表
05-31
摄像头 由于其配置信息(注册表中的)不完整或已损坏,Windows 无法启动这个硬件设备。 (代码 19) QQ视频打开出现摄像头启动失败请检查驱动设施。 直接把 {6BDD1FC6-810F-11D0-BEC7-08002BE2092F}都删掉,有一项删不掉。 然后导入此注册文件,重启。
Windows驱动开发之注册表操作
enjoy5512的博客
07-06 5197
内核驱动开发之注册表操作
六、 在驱动中操作注册表
autumn20080101的专栏
12-05 2043
六、 在驱动中操作注册表 注册表是Windows的核心,日常的许多操作其实最终都是转化成了对注册表的操作,我们经常需要利用注册表达到一些特殊的效果,例如实现自启动等。 Windows 下设备驱动程序的开发方法 2120080411 计算机应用 赖锡盛 19 6.1 创建、打开注册表 和文件操作类似,在操作注册表之前需要首先打开注册表,获得一个句柄,这可以通过函数ZwCreateKey完
读写注册表信息
the_sea1的博客
11-04 483
1.简介: 注册表是为Windows NT和Windows95中所有32位硬件/驱动和32位应用程序设计的数据文件,用于存储系统和应用程序的设置信息。16位驱动在Winnt (Windows New Technology)下无法工作,所以所有设备都通过注册表来控制,一般这些是通过BIOS(基本输入输出系统)来控制的。在Win95下,16位驱动会继续以实模式方式设备工作,它们使用system.ini来控制。16位应用程序会工作在NT或者Win95 下,它们的程序仍然会参考win.ini和system.ini
驱动读取注册表
Cosmopolitan的博客
09-25 728
#include <ntddk.h> #define MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\lxw" NTSTATUS Unload(PDRIVER_OBJECT driver) { DbgPrint("unload driver"); return STATUS_SUCCESS; } VOID ...
x64驱动操作注册表
LYSM
08-04 539
创建注册表目录 HANDLE create_regedit_dir(UNICODE_STRING registryPath) { // 初始化 OBJECT_ATTRIBUTES objectAttributes = { 0 }; InitializeObjectAttributes( &objectAttributes, // 返回 OBJECT_ATTRIBUTES 结构体指针 &registryPath, // 注册表路径 OBJ_CAS
Linux中C语言的文件读写
wozuishuai_的博客
12-15 956
在Linux中,一切都是文件。程序可以通过文件描述操作文件。文件描述存储在进程的内核区,不能直接使用,因此Linux提供了文件描述符。文件描述符是文件描述在用户空间的引用,我们可以调用一系列系统函数,对文件描述符进行操作。
MySQL之中间件Mycat实现读写分离
wwwu1998的博客
07-14 1373
MySQL之中间件Mycat实现读写分离
STM32驱动开发:从零到一,构建自己的驱动世界
本论文全面介绍了STM32驱动开发,从硬件基础和外设操作开始,深入到驱动开发的理论基础、实践案例、高级技巧,并展望了未来发展趋势。文章首先阐述了STM32微控制器的硬件架构、外设初始化以及存储管理技术,随后深入...
如何写好QSPI驱动
wgp2hpp的博客
09-02 1985
1. 摘要本篇笔记主要介绍,如何开发稳定可靠,功能齐全的QSPI驱动。2. 准备工作 1, IAR 8.32.1 2, STM32Cube_FW_H7_V1.6.03. ...
驱动开发:内核解析PE结构导出表
支持一对一答疑的编程作家朱文伟的博客!
06-03 711
参数,本章将继续延申这个话题,实现对PE文件导出表的解析任务,导出表无法动态获取,解析导出表则必须读入内核模块到内存才可继续解析,所以我们需要分两步走,首先读入内核磁盘文件到内存,然后再通过。取出函数的入口RVA,然后通过RVA加上模块基址便是第一个导出函数的地址,向后每次相加导出函数偏移即可依次遍历出所有的导出函数地址。导出函数存储在PE文件的导出表里,导出表的位置存放在PE文件头中的数据目录表中,与导出表对应的项目是数据目录中的首个。得到导出表的地址,依次循环读取即可得到完整的导出表。
三种方法获取着摄像头信息
07-11
获取摄像头 vfw DirectShowLib AForge
Windows驱动编程 文件读写 以及注册表操作
zacklin的专栏
04-16 7005
3.3 文件的读写操作 打开文件之后,最重要的操作是对文件的读写。读与写的方法是对称的。只是参数输入与输出的方向不同。读取文件内容一般用ZwReadFile,写文件一般使用ZwWriteFile。 C++代码 NTSTATUS ZwReadFile( IN HANDLE FileHandle, IN HANDLE Event  OPTIONAL, IN PIO_APC_ROU
初学驱动开发-文件+注册表
Fly_Sky
06-23 422
在前几篇的基础上增加文件读写注册表操作 主要由函数TestFile 和 TestReg 来实现 #ifdef __cplusplusextern "C"{#endif#include #ifdef __cplusplus}#endif #define PAGEDCODE code_seg("PAGE")#define LOCKEDCODE code_seg()#define INITC
调用windows注册表获得参数
weixin_34025151的博客
01-04 439
有时候要获得注册表中系统参数,需要调用系统信息,网上例子也有很多,先来个例子 首先调用如下命名空间, usingMicrosoft.Win32; 然后代码调用 /**////<summary> ///CPU频率 ///</summary> ///<returns></returns> publi...
windows7自己加载的驱动注册表中的位置
qq_43689668的博客
01-19 1176
HKEY_LOVAL_MACHINE->SYSTEM->CurrentControlSet->Services->驱动
[VB.NET]读写注册表
VB.NET学习网-VB.NET实例、VB.NET教程、VB.NET源码下载
12-02 1563
读写注册表 实例说明在本实例中,我们将制作一个能读写注册表的程序。程序运行后,可以选择要添加、删除、修改或查询的键和键值。程序运行结果如图68-1所示。<!--google_ad_client = "pub-8333940862668978";/* 728x90, 创建于 08-11-30 */google_ad_slot = "4485230109";google_a
Windows注册表读写操作
_Santiago的博客
02-26 2736
本文介绍了Windows注册表的基本知识,以及C++中打开\关闭\查询\修改注册表的常用接口。
注册表删除的文件在哪
最新发布
03-13
### 已删除的 Windows 注册表键值存储位置 在 Windows 操作系统中,当通过标准方法(如 `reg delete` 命令或注册表编辑器 GUI)删除某个注册表项时,该数据并不会立即被物理清除。相反,它会被标记为“已删除”,并可能暂时存在于内存中的缓存区域或者磁盘上的未分配空间中[^1]。 #### 临时存储机制 - **NTUSER.DAT 和 SYSTEM hive 文件**:如果某些应用程序依赖于特定用户的配置文件,则这些更改可能会反映到 `%UserProfile%\ntuser.dat` 或者系统的蜂巢文件(hive files),即使它们已被逻辑上移除。 - **页面文件 (Pagefile.sys)**:有时,在执行复杂操作期间,操作系统会将部分注册表内容交换到硬盘驱动器上的虚拟内存页文件;尽管这通常不会保存敏感信息超过必要时间长度[^2]。 #### 数据恢复可能性 对于那些希望找回曾经存在但现在不可见的数据来说,可以考虑以下几种方式来尝试定位残留痕迹: 1. 使用专业的取证工具扫描整个硬盘寻找丢失记录; 2. 利用第三方软件重建历史状态下的注册表结构; 3. 如果之前创建过系统还原点的话,可以从那提取旧版副本[^3]。 需要注意的是,并不存在一个专门用来存放所有曾被删掉条目的集中目录——因为一旦某项真正意义上从数据库层面消失之后,就再也不会重新显现出来除非采取特别措施去挖掘深层细节。 ```powershell # 示例 PowerShell 脚本片段展示如何查询当前加载的 hives Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager' | Select-Object -ExpandProperty PendingFileRenameOperations ``` 以上脚本仅作为例子说明访问低级系统参数的方法之一,并不直接关联到检索已消除项目的过程当中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值