Kernel File and registry API

最新推荐文章于 2020-09-01 21:49:16 发布
最新推荐文章于 2020-09-01 21:49:16 发布
阅读量672 收藏
点赞数
分类专栏: Windows 相关 文章标签: file null attributes string microsoft buffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whispermyname/article/details/6849322
版权 

//Create File

	OBJECT_ATTRIBUTES objectAttributes;
	IO_STATUS_BLOCK iostatus;
	HANDLE hFile;
	UNICODE_STRING logFileUnicodeString;

	RtlInitUnicodeString(&logFileUnicodeString, L"\\??\\C:\\1.log");
	InitializeObjectAttributes(&objectAttributes,
							&logFileUnicodeString,
							OBJ_CASE_INSENSITIVE,
							NULL,
							NULL);
	NTSTATUS ntStatus = ZwCreateFile(&hFile,
								GENERIC_WRITE,
								&objectAttributes,
								&iostatus,
								NULL,
								FILE_ATTRIBUTE_NORMAL,
								FILE_SHARE_READ,
								FILE_OPEN_IF,
								FILE_SYNCHRONOUS_IO_NONALERT,
								NULL,
								0);
	if (NT_SUCCESS(ntStatus))
	{
		KdPrint(("Create file successfully ! \n"));
	}
	else
	{
		KdPrint(("Create File unsuccessfully ! \n"));
	}
	
	const int BUFFER_SIZE = 1024;
	PUCHAR pBuffer = (PUCHAR)ExAllocatePool(PagedPool, BUFFER_SIZE);
	RtlFillMemory(pBuffer, BUFFER_SIZE, 0xcc);

	ZwWriteFile(hFile, NULL, NULL, NULL, &iostatus, pBuffer, BUFFER_SIZE, NULL, NULL);
	KdPrint(("Writed %d bytes", iostatus.Information));
	RtlFillMemory(pBuffer, BUFFER_SIZE, 0xBB);

	LARGE_INTEGER number;
	number.QuadPart = 1024i64;

	ZwWriteFile(hFile, NULL, NULL, NULL, &iostatus, pBuffer, BUFFER_SIZE, &number, NULL);
	KdPrint(("The program Really appended %d bytes \n", iostatus.Information));

	FILE_STANDARD_INFORMATION fsi;
	ntStatus = ZwQueryInformationFile(hFile,
										&iostatus,
										&fsi,
										sizeof(FILE_STANDARD_INFORMATION),
										FileStandardInformation);
	KdPrint(("Allocate Size is %d \n", fsi.AllocationSize));
	KdPrint(("Number of Links is %d \n", fsi.NumberOfLinks));
	KdPrint(("The File want to read %d Bytes\n", fsi.EndOfFile.QuadPart));

	PUCHAR pBufferRead = (PUCHAR)ExAllocatePool(PagedPool,
										(LONG)fsi.EndOfFile.QuadPart);
	ZwReadFile(hFile, NULL,
				NULL, NULL,
				&iostatus,
				pBufferRead,
				(LONG)fsi.EndOfFile.QuadPart,
				NULL, NULL);
	KdPrint(("The program really read %d bytes \n", iostatus.Information));
	ZwClose(hFile);
	ExFreePool(pBuffer);
	ExFreePool(pBufferRead);

文件操作常用API:

ZwCreateFile

ZwWriteFile

ZwOpenFile

ZwQueryInformationFile

ZwSetinformationFile


注册表操作常用API:

	UNICODE_STRING RegUnicodeString;
	HANDLE hRegistry;
#define MY_REG_SOFTWARE_KEY_NAME		L"\\Registry\\Machine\\Software\\M"
	RtlInitUnicodeString(&RegUnicodeString, MY_REG_SOFTWARE_KEY_NAME);
	OBJECT_ATTRIBUTES objectAttributes;
	InitializeObjectAttributes(&objectAttributes,
							&RegUnicodeString,
							OBJ_CASE_INSENSITIVE,
							NULL,
							NULL);
	ULONG ulResult;
	NTSTATUS ntStatus = ZwCreateKey( &hRegistry,
								KEY_ALL_ACCESS,
								&objectAttributes,
								0,
								NULL,
								REG_OPTION_NON_VOLATILE,
								&ulResult);
	if (NT_SUCCESS(ntStatus))
	{
		if (ulResult == REG_CREATED_NEW_KEY)
		{
			KdPrint(("The Register item is created \n"));
		}
		else
		{
			KdPrint(("The register item has been Created ,and now is opened\n"));
		}
	}

	UNICODE_STRING subRegistryUString;
	HANDLE hSubRegister;

	RtlInitUnicodeString(&subRegistryUString, L"SubItem");
	OBJECT_ATTRIBUTES subObjectAttributes;

	InitializeObjectAttributes(&subObjectAttributes,
							&subRegistryUString,
							OBJ_CASE_INSENSITIVE,
							hRegistry,
							NULL);
	ntStatus = ZwCreateKey(&hSubRegister,
							KEY_ALL_ACCESS,
							&subObjectAttributes,
							0,
							NULL,
							REG_OPTION_NON_VOLATILE,
							&ulResult);
	if (NT_SUCCESS(ntStatus))
	{
		if (ulResult == REG_CREATED_NEW_KEY)
		{
			KdPrint(("The sub register item is created \n"));
		}
		else
		{
			KdPrint(("The sub register item has been created, now is opened\n"));
		}
	}

	ZwClose(hRegistry);
	ZwClose(hSubRegister);

ZwSetValuekey:

	UNICODE_STRING ValueName;
	RtlInitUnicodeString(&ValueName, L"REG_DWORD Value Test");   //Key Name

	ULONG ulValue = 1000;  //Key Value
	ZwSetValueKey(hRegForWrite, &ValueName,
		0,
		REG_DWORD,
		&ulValue,
		sizeof(ulValue));

枚举注册表子项:

VOID KeEnumerateKeyTest()
{
	UNICODE_STRING RegUTestString;
	RtlInitUnicodeString(&RegUTestString, L"\\Registry\\Machine\\Software\\Microsoft\\Windows\\CurrentVersion");
	
	OBJECT_ATTRIBUTES objectRegAttributes;
	InitializeObjectAttributes(&objectRegAttributes,
		&RegUTestString,
		OBJ_CASE_INSENSITIVE,
		NULL,
		NULL);
	
	HANDLE hRegForWrite;
	NTSTATUS ntStatus = ZwOpenKey(&hRegForWrite, KEY_ALL_ACCESS, &objectRegAttributes);
	if (!NT_SUCCESS(ntStatus))
	{
		KdPrint(("Open key Faild!\n"));
		return;
	}

	ULONG ulSize = 0;

	ZwQueryKey(hRegForWrite,
		KeyFullInformation,
		NULL,
		0,
		&ulSize);

	PKEY_FULL_INFORMATION pfi = 
		(PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool, ulSize);

	ZwQueryKey(hRegForWrite,
			KeyFullInformation,
			pfi,
			ulSize,
			&ulSize);
	ULONG i = 0;
	KdPrint(("The subkeys is %d \n", pfi->SubKeys));
	for (; i < pfi->SubKeys; i++)
	{
		NTSTATUS ntStatus;
		ntStatus = ZwEnumerateKey(hRegForWrite,
			i,
			KeyBasicInformation,
			NULL,
			0,
			&ulSize);

		PKEY_BASIC_INFORMATION pbi =
			(PKEY_BASIC_INFORMATION)ExAllocatePool(PagedPool, ulSize);

		ntStatus = ZwEnumerateKey(hRegForWrite,
					i,
					KeyBasicInformation,
					pbi,
					ulSize,
					&ulSize);

		UNICODE_STRING uKeyName;
		uKeyName.Length = 
		uKeyName.MaximumLength = (USHORT)pbi->NameLength;
		uKeyName.Buffer = pbi->Name;
		KdPrint(("The %d sub Item name : %wZ\n", i, &uKeyName));

		ExFreePool(pbi);
	}
	ExFreePool(pfi);
	ZwClose(hRegForWrite);
}

枚举子键:

VOID KeEnumerateSubValueTest()
{
	UNICODE_STRING RegUTestString;
	RtlInitUnicodeString(&RegUTestString, L"\\Registry\\Machine\\Software\\Microsoft\\Windows\\CurrentVersion");
	
	OBJECT_ATTRIBUTES objectRegAttributes;
	InitializeObjectAttributes(&objectRegAttributes,
		&RegUTestString,
		OBJ_CASE_INSENSITIVE,
		NULL,
		NULL);
	
	HANDLE hRegForWrite;
	NTSTATUS ntStatus = ZwOpenKey(&hRegForWrite, KEY_ALL_ACCESS, &objectRegAttributes);
	if (!NT_SUCCESS(ntStatus))
	{
		KdPrint(("Open key Faild!\n"));
		return;
	}
	
	ULONG ulSize = 0;
	
	ZwQueryKey(hRegForWrite,
		KeyFullInformation,
		NULL,
		0,
		&ulSize);
	
	PKEY_FULL_INFORMATION pfi = 
		(PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool, ulSize);
	
	ZwQueryKey(hRegForWrite,
		KeyFullInformation,
		pfi,
		ulSize,
		&ulSize);
	ULONG i = 0;
	KdPrint(("The subkeys is %d \n", pfi->Values));

	for (; i < pfi->Values; i++)
	{
		ZwEnumerateValueKey(hRegForWrite,
					i,
					KeyValueBasicInformation,
					NULL,
					0,
					&ulSize);

		PKEY_VALUE_BASIC_INFORMATION pbi =
			(PKEY_VALUE_BASIC_INFORMATION)ExAllocatePool(PagedPool, ulSize);

		ZwEnumerateValueKey(hRegForWrite,
						i,
						KeyValueBasicInformation,
						pbi,
						ulSize,
						&ulSize);

		UNICODE_STRING uKeyName;
		uKeyName.Length =
		uKeyName.MaximumLength = (USHORT)pbi->NameLength;
		uKeyName.Buffer = pbi->Name;

		KdPrint(("The %d Sub Value Name: %wZ\n", i, &uKeyName));
		
		if (pbi->Type == REG_SZ)
		{
			KdPrint(("The sub value type:REG_SZ\n"));
		}
		else if(pbi->Type == REG_MULTI_SZ)
		{
			KdPrint(("The sub value type:REG_MULTI_SZ\n"));
		}
		else if(pbi->Type == REG_DWORD)
		{
			KdPrint(("The sub value type:REG_DWORD\n"));
		}
		else if(pbi->Type == REG_BINARY)
		{
			KdPrint(("The sub value type:REG_BINARY\n"));
		}
		ExFreePool(pbi);
	}
	ExFreePool(pfi);
	ZwClose(hRegForWrite);
}
封装的注册表操作API:

RtlCreateRegistryKey

RtlCheckRegistryKey

RtlWriteRegistryValue

RtlDeleteRegistryValue

RtlQueryRegistryValues



whispermyname
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WSO2 Synergies ESB and Registry
10-02
Seamless protocol conversion between:  File, (S)FTP, HTTP(S), JMS, MQSeries, AMQP, Email, FIX, JDBC, TCP, Hessian, XMPP/Jabber, REST, SOAP/WS*, etc  Fast effective ...routing and dynamic routing
NT API 注册表键介绍ZW相关函数
木易云清
04-02 1921
核心提示:Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它... Windows NT和Windows 98把配置信息和其它重要信息都记录到注
驱动开发之访问注册表
Lydia的博客
07-03 2215
访问注册表 Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它们的用法。 表3-9. 注册表访问函数 服务函数 描述  IoOpenDev
22、Windows内核函数(3)-Windows驱动开发详解笔记,注册表操作
weixin_34372728的博客
10-29 121
注册表项相当于文件夹,注册表子项子文件夹(类似目录)。  1、创建关闭  ZwCreateKey   示例代码 代码 1 VOID CreateRegTest() 2 { 3 //创建或打开某注册表项目 4 UNICODE_STRING RegUnicodeString; 5 HANDLE hRegister; 6 7 //初始化UNIC...
六、 在驱动中操作注册表
autumn20080101的专栏
12-05 1945
六、 在驱动中操作注册表 注册表是Windows的核心,日常的许多操作其实最终都是转化成了对注册表的操作,我们经常需要利用注册表达到一些特殊的效果,例如实现自启动等。 Windows 下设备驱动程序的开发方法 2120080411 计算机应用 赖锡盛 19 6.1 创建、打开注册表 和文件操作类似,在操作注册表之前需要首先打开注册表,获得一个句柄,这可以通过函数ZwCreateKey完
windows内核情景分析 --- 服务管理
maomao171314的专栏
04-04 861
随时可以看到任务管理器中有一个services.exe进程,这个就是系统的服务控制管理进程,简称SCM 这个进程专门用来管理服务(启动、停止、删除、配置等操作) 系统中所有注册的服务都登记在\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services键下,这个键专门叫做‘服务键’,服务键下面的每个子键代表一个服务,记录了各个服务的信息。
Hooking the native API and controlling process creation on a system-wide basis
lixiangminghate的专栏
12-26 897
Introduction Recently I came across the description of a quite interesting security product, called Sanctuary. This product prevents execution of any program that does not appear on the list of soft
Docker Private Registry
yeqixian123456的博客
09-01 471
Docker Registry 网上有很多的Registry服务器都支持第三方用户注册,而后基于用户名去做自己的仓库,但是使用互联网上的Registry有一个缺陷,那就是我们去推送和下载镜像时都不会很快,而在生产环境中很可能并行启动的容器将达到几十、上百个,而且很有可能每个服务器本地是没有镜像的,此时如果通过互联网去下载镜像会有很多问题,比如下载速度会很慢、带宽会用很多等等,如果带宽不够的话,下载至启动这个过程可能要持续个几十分钟,这已然违背了使用容器会更加轻量、快速的初衷和目的。因此,很多时候我们很有可能
Api-schema-registry.zip
09-18
Api-schema-registry.zip,用于kafka schema registryschema registry cli和client的cli和go客户端,一个api可以被认为是多个软件设备之间通信的指导手册。例如,api可用于web应用程序之间的数据库通信。通过提取实现...
micrometer-registry-prometheus-1.8.2-API文档-中文.zip
03-30
赠送原API文档:micrometer-registry-prometheus-1.8.2-javadoc.jar 赠送源代码:micrometer-registry-prometheus-1.8.2-sources.jar 包含翻译后的API文档:micrometer-registry-prometheus-1.8.2-javadoc-API文档...
micrometer-registry-prometheus-1.8.2-API文档-中英对照.zip
03-30
赠送原API文档:micrometer-registry-prometheus-1.8.2-javadoc.jar 赠送源代码:micrometer-registry-prometheus-1.8.2-sources.jar 包含翻译后的API文档:micrometer-registry-prometheus-1.8.2-javadoc-API文档...
注册表:Registry API允许团队跟踪和管理API的机器可读描述
02-10
注册表API Registry API使团队可以上载和共享正在使用和开发中的API的机器可读描述。 这些描述包括标准格式的API规范,例如 , 和。 这些API规范可以由诸如linter,浏览器,文档生成器,测试运行器,代理以及API...
内核模式 注册表编程
weixin_30399797的博客
09-02 66
//////////////////////////////////////////////////////////////////////////////创建或打开某注册表项目: #define MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\Zhangfan" #pragma INITCODE VOID Crea...
Kernel 中调用其它驱动程序的几种方法
The past will never return.
10-13 1320
1.ZwCreateFile UNICODE_STRING DeviceName; RtlInitUnicodeString( &DeviceName, L"\\Device\\MyDDKDA" ); OBJECT_ATTRIBUTES objectAttribut
匈牙利变量前缀表示法
The past will never return.
06-10 1183
变量的前缀及含义  前缀 隐含的数据类型 说明   b BOOL 实际为整型   by BYTE 无符号字符   c char 字符   dw DWORD 无符号长型   fn function 函数   h HANDLE 无符号整型   i integer 整数   l LONG 长型   lp Long pointer 远指针   n Short(i
DLL编译入EXE然后释放资源
The past will never return.
09-25 1182
首先必须先将写好的DLL文件添加进资源文件里,然后就是用到了下面几个API int _tmain(int argc, _TCHAR* argv[]) { HMODULE hThis = GetModuleHandle(NULL); HRSRC hRes =
X64 调试 ERR(1275) This driver has been blocked from loading
The past will never return.
06-07 1139
1.用的Visual KD 在VM 里面运行 target 文件夹里的vminstall.exe。然后打开vmmon.EXE 设置一下Windbg的目标。    2.以管理员身份运行 Cmd.exe ,然后输入。bcdedit -set loadoptions DDISABLE_INTEGRITY_CHECKS    3.重新启动,自动进入Windows 7 x64 test mode 就可以
windbg 源码调试 驱动程序
The past will never return.
10-20 820
一直知道WINDBG有源码调试的功能,但没有试过。 今天试了下,感觉不错。 我用的是VM7.0 进行调试的,关于如何让Windbg 和VM进行双机调试,就不写了,就是用虚拟串口调试。可以GOOGLE一下。 这里只记录一下,源码调试方法。 1st.先设置真机的Windbg,需要设置如下三个地方,如下图 这里我的目录是,这样设置的,这里可以设置一样的,注意:Symbol File Pat
docker registry api报错manifest unknown
最新发布
05-01
这个错误通常表示您尝试拉取的镜像不存在于指定的 Docker Registry 中,或者您尝试拉取的镜像的标签不存在。您可以尝试以下步骤来解决此问题: 1. 确认您的 Docker Registry URL 是否正确。 2. 确认您正在使用正确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值