【转】在内核中之获取HKEY_CURRENT_USER对应路径

最新推荐文章于 2024-01-17 23:10:18 发布
最新推荐文章于 2024-01-17 23:10:18 发布
阅读量2.6k 收藏
点赞数 1
文章标签: 注册表 内核 windows

wesley心得,HKEY_CLASSES_ROOT路径下的注册表项(Local Settings),是由LocalMachine和users合并而成,并且users在前。

转载http://www.52pojie.cn/thread-30366-1-1.html

在内核中操作注册表,HKEY_LOCAL_MACHINE的路径可以用\Registry\Machine来表示.

HKEY_USERS可以用 \Registry\User表示.

HKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG,HKEY_CURRENT_USER,在内核没有对应的路径来表示.

实际上HKEY_CLASSES_ROOT是链接到HKEY_LOCAL_MACHINE\SOFTWARE\Classes

HKEY_CURRENT_CONFIG是链接到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current

可以这么理解为:

HKEY_CLASSES_ROOT = HKEY_LOCAL_MACHINE\SOFTWARE\Classes

HKEY_CURRENT_CONFIG = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current

因为用户态的程序是由系统当前登录用户运行,而内核态的程序是由system用户运行,而HKEY_CURRENT_USER保存系统当前登录用户的相关信息,所以在内核中,无法直接访问HKEY_CURRENT_USER.

但实际上,HKEY_CURRENT_USER也是链接到HKEY_USERS\[当前登录用户的SID],在这里主要说一下在内核中怎么获取到当前登录用户的SID,获取的方法几种,比如,先Attach到当前登录用户运行的进程,然后再调用RtlFormatCurrentUserKeyPath,或者在Ring3与驱动通信例程中获取等,当然,这里只是其中的一个比较搓的方法.

打开在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList,可以看到几个以SID命名的注册表项,例如S-1-5-18就是SYSTEM用户的SID,S-1-5-21-1606980848-854245398-839522115-500 就是当前登录的管理员账号的SID,详细的SID描述可以看一下微软的文档,http://support.microsoft.com/kb/243330,我们要的就是获取当前登录账号的SID,这样子基本上思路就有了,在内核中,我们可以用ZwEnumerateKey来枚举\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\下面的所有以SID命名的注册表项,然后在其中过滤出我们所需要的SID,我的过滤思路是,一般的系统登录管理账号的SID长度都是20个字节以上的,但如果是系统里存在多个管理用户账号的情况,又如何判断那个才是当前登录账号呢?呵呵,这时可以利用ProfileList项下的RefCount键值来进行判断,如果RefCount大于0的话,那就说明这个用户账号是当前登录账号.

[cpp]  view plain  copy
  1. /******************************************* 
  2.   
  3. 函数说明:在内核中获取HKEY_CURRENT_USER路径 
  4.   
  5. Code:zzage 
  6.   
  7. From:http://hi.baidu.com/zzage 
  8.   
  9. ********************************************/  
  10.    
  11. VOID GetCurrentUser()  
  12.    
  13. {  
  14.    
  15. HANDLE hRegister;  
  16.    
  17. OBJECT_ATTRIBUTES ObjectAttributes;  
  18.    
  19. ULONG ulSize;  
  20.    
  21. PKEY_FULL_INFORMATION pfi;  
  22.    
  23. ULONG i;  
  24.    
  25. PKEY_BASIC_INFORMATION pbi;  
  26.    
  27. UNICODE_STRING uniKeyName;  
  28.    
  29. WCHAR CurrentUserbuf[256];  
  30.    
  31. WCHAR ProfileListbuf[256];  
  32.    
  33. UNICODE_STRING RegCurrentUser,RegUser;  
  34.    
  35. UNICODE_STRING RegProfileList,RegProf;  
  36.    
  37. RTL_QUERY_REGISTRY_TABLE paramTable[2];  
  38.    
  39. ULONG udefaultData=0;  
  40.    
  41. ULONG uQueryValue;  
  42.    
  43.   
  44. RtlZeroMemory(paramTable,sizeof(paramTable));  
  45.    
  46.   
  47. paramTable[0].Flags=RTL_QUERY_REGISTRY_DIRECT;  
  48.    
  49. paramTable[0].Name=L"RefCount";  
  50.    
  51. paramTable[0].EntryContext=&uQueryValue;  
  52.    
  53. paramTable[0].DefaultType=REG_DWORD;  
  54.    
  55. paramTable[0].DefaultData=&udefaultData;  
  56.    
  57. paramTable[0].DefaultLength=sizeof(ULONG);  
  58.    
  59.     
  60.    
  61.     
  62.    
  63. RtlInitUnicodeString(&RegProf,L"\\Registry\\Machine\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList\\");  
  64.    
  65. RtlInitUnicodeString(&RegUser,L"\\Registry\\User\\");   
  66.   
  67. RtlInitEmptyUnicodeString(&RegCurrentUser,CurrentUserbuf,256*sizeof(WCHAR));  
  68.    
  69. RtlInitEmptyUnicodeString(&RegProfileList,ProfileListbuf,256*sizeof(WCHAR));  
  70.    
  71.      
  72.    
  73. RtlCopyUnicodeString(&RegCurrentUser,&RegUser);  
  74.    
  75. RtlCopyUnicodeString(&RegProfileList,&RegProf);  
  76.    
  77.   
  78. InitializeObjectAttributes(&ObjectAttributes,&RegProf,OBJ_CASE_INSENSITIVE,NULL,NULL);  
  79.    
  80.   
  81. ZwOpenKey(&hRegister,KEY_ALL_ACCESS,&ObjectAttributes);  
  82.    
  83.   
  84. ZwQueryKey(hRegister,KeyFullInformation,NULL,0,&ulSize);  
  85.    
  86.   
  87. pfi=(PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool,ulSize);  
  88.    
  89.   
  90. ZwQueryKey(hRegister,KeyFullInformation,pfi,ulSize,&ulSize);  
  91.    
  92.   
  93.   
  94. for (i=0;i<pfi->SubKeys;i++)  
  95.    
  96. {  
  97.    
  98.    ZwEnumerateKey(hRegister,  
  99.    
  100.     i,  
  101.    
  102.     KeyBasicInformation,  
  103.    
  104.     NULL,  
  105.    
  106.     0,  
  107.    
  108.     &ulSize);  
  109.    
  110.   
  111.    pbi =(PKEY_BASIC_INFORMATION)ExAllocatePool(PagedPool,ulSize);  
  112.    
  113.     
  114.    
  115.    ZwEnumerateKey(hRegister,  
  116.    
  117.     i,  
  118.    
  119.     KeyBasicInformation,  
  120.    
  121.     pbi,  
  122.    
  123.     ulSize,  
  124.    
  125.     &ulSize);  
  126.    
  127.   
  128.   
  129.    uniKeyName.Length =   
  130.    uniKeyName.MaximumLength =(USHORT)pbi->NameLength;  
  131.    
  132.    uniKeyName.Buffer = pbi->Name;  
  133.    
  134.   
  135.    if (pbi->NameLength>20)  
  136.    
  137.    {  
  138.    
  139.   
  140.   
  141.          RtlAppendUnicodeStringToString(&RegCurrentUser,&uniKeyName);  
  142.    
  143.             RtlAppendUnicodeStringToString(&RegProfileList,&uniKeyName);  
  144.    
  145.             RtlQueryRegistryValues(RTL_REGISTRY_ABSOLUTE,RegProfileList.Buffer,paramTable,NULL,NULL);  
  146.    
  147.       if (uQueryValue>0)  
  148.    
  149.     {  
  150.    
  151.       KdPrint(("HKET_CURRENT_USER: %wZ\n",&RegCurrentUser));  
  152.    
  153.     }  
  154.    
  155.   
  156.    }  
  157.    
  158.   
  159.   
  160.    RtlCopyUnicodeString(&RegCurrentUser,&RegUser);  
  161.    
  162.    RtlCopyUnicodeString(&RegProfileList,&RegProf);  
  163.    
  164.     
  165.    
  166. }  
  167.    
  168. ExFreePool(pbi);  
  169.    
  170. ExFreePool(pfi);  
  171.    
  172. ZwClose(hRegister);  
  173.    
  174.       
  175. }  
wesley2005
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
精选_Ring0内核层下创建注册表键_源码打包
03-10
在用户模式下,这通常是通过打开HKLM(HKEY_LOCAL_MACHINE)或HKCU(HKEY_CURRENT_USER)等预定义的键完成的。而在内核模式,我们可以使用 ZwOpenKey 函数,指定适当的根键,如 \Registry\Machine 或 \Registry\User...
如何读取指定用户的 HKEY_CURRENT_USER 注册表
白水绕东城
03-28 7341
注册表 HKEY_CURRENT_USER 键下的内容隶属当前用户,所以当你以不同用户登陆时该键下的内容都是不尽相同的。但有时候我们有读取指定用户该键下内容的需求。比如,我们有一个服务程序运行在 Session0, SYSTEM 权限,而我们想读取的却是当前登陆到本地控制台的用户的 IE 代理服务器设置参数。我们当然不能直接从服务打开 HKEY_CURENT_USER 键, 用我们当前令牌打开
找不到注册表HKEY_CURRENT_USER的问题
weixin_43330974的博客
04-13 4616
找不到注册表HKEY_CURRENT_USER的问题 一开始通过regedit打开注册表后,按照H字母开头的顺序寻找HKEY_CURRENT_USER未果,之后发现HKEY开头都在注册表的最下面
内核获取HKEY_CURRENT_USER对应路径
125096
07-18 7383
内核操作注册表,HKEY_LOCAL_MACHINE的路径可以用\Registry\Machine来表示. HKEY_USERS可以用 \Registry\User表示. 而HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG,HKEY_CURRENT_USER,在内核没有对应路径来表示. 实际上HKEY_CLASSES_ROOT是链接到HKEY_L
Windows注册表内容详解
luoxiaojuan2的专栏
01-18 6316
第一课  注册表基础 一、什么是注册表     注册表windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。     注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注
驱动开发之注册表获取注册表HKEY_CURRENT_USER对应路径(SID)
wull_的博客
01-13 2023
内核hook注册表必须要使用换后的路径,例如HKEY_LOCAL_MACHINE的路径对应的是“\Registry\Machine”,但是HKEY_CURRENT_USER相对比较特殊,因为它不是一个固定的值,需要你根据其他东西判断。因此本文给出几种获取HKEY_CURRENT_USER对应路径的方法。 方法一 根据注册表获取 我最开始使用的获取HKEY_CURRENT_USER对应路径的...
GetNtUser.tar.gz_GETNTUSER.T_GetNTUser _getntus_getntuser window
07-15
1. **Windows注册表结构**:了解注册表的各个键,特别是与用户账户信息相关的如"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList"和"HKEY_LOCAL_MACHINE\Sam\SamDomains\User"等。...
获取IE收藏夹默认路径的资源
07-01
注册表编辑器,定位到`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders`。在这里,找到名为`Favorites`的键,其值就是IE收藏夹的路径。这种方法需要谨慎操作,因为...
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
修改相关的注册表键值,例如`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`,可以改变进程启动时使用的路径。 3. **系统API调用**:Windows API提供了许多函数来查询和修改进程信息,如...
在MS-DOS下玩注册表
03-06
注册表分为几个主要部分,即HKEY_LOCAL_MACHINE (HKLM)、HKEY_CURRENT_USER (HKCU)、HKEY_CLASSES_ROOT (HKCR)、HKEY_USERS (HKU) 和 HKEY_CURRENT_CONFIG (HKCC)。这些键分别代表不同的配置信息: - HKLM 存储与...
处理进程在SYSTEM权限下无法读取HKEY_CURRENT_USER注册表的问题
最新发布
不定期更新的博客
01-17 1069
最近在工作碰到了,某个进程在SYSTEM权限下无法读取到HKEY_CURRENT_USER注册表的问题。所以写一下文章记录下排查和处理的过程。
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER开机启动程序的区别
Think88666的博客
12-17 5210
HKEY_LOCAL_MACHINE 存放的是这个计算机的设置, 而 HKEY_CURRENT_USER 存放的是有关当前登录的用户的设置, 也就是说,不同的用户登录时 HKEY_CURRENT_USER 的内容是不同的,而 HKEY_LOCAL_MACHINE 是相同的。 还有,假设一个程序只能以管理员身份运行,那么将该程序写入到HKEY_CURRENT_USER时,开机后程序不能正常启动...
通过注册表禁用桌面鼠标右键等
weixin_30505225的博客
05-18 444
忽然发现快近一年不在这个博客上载文章了,悔恨不已,近日在网上查到此文,特此载。 通过注册表禁用桌面鼠标右键等[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单)"NoRecentDo...
Windows C盘清理技巧,释放大量空间的方法,移动Users,Program Data到d盘
zsq_csh1的博客
10-24 1万+
Win10将C盘Windows外的所有系统文件夹移到C盘之外
windows修改用户文件夹名称 更改用户名 修改C盘Users目录下文件夹名称
热门推荐
Heyuanfly的博客
05-12 3万+
简短的说: 1 - 新建一个管理员账户A(名称随意,不要和其他账户一样),退出需要修改的账户,登录新建的账户A 2 - 修改userS目录下的用户文件夹名, 3 - 找到注册表的如下位置,更改ProfileImagePath为你修改后的用户文件夹路径。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<你的sid>\ 4 - 创建软链接(可选),把原来的文件夹重定向到现在的用户...
服务读取当前用户注册表HKEY_CURRENT_USER
ly402609921的专栏
06-19 7733
服务读取当前用户注册表HKEY_CURRENT_USER 原文地址:http://hi.baidu.com/solohac/item/dfc68f5301fedb918c12ed4b tag: 服务 HKEY_CURRENT_USER HKEY_USER 读取 RegQueryValueEx 注册表   我在服务程序使用RegQueryValueEx读取注册表HKEY_CURREN
使用Registry和RegistryKey操作注册表
爱.NET
10-07 988
Registry 类 此类提供在运行 Windows 的计算机上的注册表找到的标准根项集。注册表是一个存储设备,包含有关应用程序、用户和默认系统设置的信息。例如,应用程序可使用注册表来存储在应用程序关闭后需要保留的信息,并可在应用程序重新加载时访问这些信息。例如,可以存储颜色首选项、屏幕位置或窗口大小。通过将信息存储在注册表的不同位置,可以为各位用户分别控制这些数据。 由 Registry...
Android 在内核获取进程的task_struct
03-01
在Android内核,每个进程都对应一个task_struct结构体,通过task_struct结构体可以获取进程的相关信息,如进程ID、进程优先级、进程状态等。要获取进程的task_struct结构体,可以使用函数find_task_by_vpid或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值