注册表操作

最新推荐文章于 2024-07-24 23:11:30 发布
最新推荐文章于 2024-07-24 23:11:30 发布
阅读量556 收藏
点赞数
分类专栏: windows 驱动开发 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90523662
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

注册表分键值对

REG_BINARY二进制
REG_DWORD四字节
REG_EXPAND_SZ可扩展字符串,可以引用系统变量 比如%temp% %systemroot% (ExpandEnvironmentStrings 展开%systemroot%,函数可查询系统变量 )
REG_SZ字符串
REG_MULTI_SZ多文本字符串 这个可以多个字符组合 中间以\0隔开 最后以\0\0结尾

驱动中只有\\Registry\\Machine\\software和REGISTRY\\User\\

REG_MULTI_SZ 补充:

“str1\0str2\0str3\0\0“多字符串,(str1,str2,str3本身不含’\0’了,也可理解为str1str2str3\0,str1,str2,str3为NULL结尾)

组合方法:
sprintf(buf,"%s%c%s%c%c","1.1.1.1",0,"2.2.2.2",0,0);

遍历方式


for(p=multistrz;*p==L'\0';p=p+wcslen(p)+1)

{

}

多字符串应用可以在删除与重命名:


BOOL WINAPI MoveFileEx(
  __in      LPCTSTR lpExistingFileName,
  __in_opt  LPCTSTR lpNewFileName,//第二个参数NULL就是删除,其他事重命名,发生在系统重启之后
  __in      DWORD dwFlags
);
//其实就是操作注册表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations

上面一般用在删除文件,文件正在被占用,或者更新卸载软件。

还有就是UNC应用(Universal Naming Convention)通用命名规则,比如网络访问文件UNC路径就是

\\servername\sharename\directory\filename比如就是\\\\192.168.0.1\\mydocs\\x.txt对应本地路径D:\\tete\\x.txt,这个就是在注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServe\Shares里有映射关系。mydocs映射着本地路径D:\\tete,通俗就是一个文件夹被共享。一般在安全软件下规则在本地路径,所以要把UNC路径转换成本地路径。

思路

在第三个和第四个"\"之间的就是share的valuekey名字,然后把期求出,然后遍历判断多字符串是否是path

开头,然后拼接起来,找到。那把注册表中的数据读入到一个buffer,解析这个buffer可以用一个指针指向buffer,可以用

for(p=multistrz;*p==L'\0';p=p+wcslen(p)+1)

注册表的存储

以文件形式存放在%systemroot%SYSTEM32/CONFIG目录下的6个HIVE文件,DEFAULT,SAM(用户名密码),SECURITY,SOFTWARE,USERDIFF和SYSTEM中。用户配置信息存在磁盘users/user中,ntuser.dat,ntuser.ini,ntuser.dat.log,每个文件路径由注册表HKLM/SYSTEM/currentControlSet/Control/HIVElist键值指出。

reghive注册表解析:

https://www.52pojie.cn/thread-41492-1-1.html

常用API


KEY就是左边的相当于文件夹,valuekey就是里面的内容,相当与文件。

ZwCreateKey 创建KEY
ZwEnumerateKey 枚举KEY
ZwQueryKey 查询KEY
ZwDeleteKey 删除KEY
ZwEnumerateValueKey 枚举valuekey
ZwQueryValueKey 查询valuekey
ZwSetValueKey 设置创建valuekey
ZwDeleteValueKey 删除valuekey
 

相关函数

ntStatus = ZwCreateKey( 
                &hRegister,
		KEY_ALL_ACCESS,
		&objectAttributes,
		0,
		NULL,
		REG_OPTION_NON_VOLATILE,//参数这样才能保留,如REG_OPTION_VOLATILE关机消失,只在内存中,不在文件中
		&ulResult);

如果要枚举流程是zwopenkey,然后zwquerykey查询,有多少个key和subkey,要查询两遍,第一次调用ZwQueryKey为了获取KEY_FULL_INFORMATION数据的长度,所以buffer为null,长度0,返回的是实际需要的大小,然后根据返回值分配内存,然后就可以查询了,然后ZwEnumerateKey也需要两次,第一次调用ZwEnumerateKey为了获取KEY_BASIC_INFORMATION数据的长度,第二次为了获取数据。

总体来说就是查询注册表不知道大小,要先传null得到大小,然后根据大小查询。

 

 

kernweak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
matlab开发-通过Matlab读取和写入其他注册表的值
08-22
matlab开发-通过Matlab读取和写入其他注册表的值。使用matlab从注册表读取和写入值
Reg注册表读写
qq_54169998的博客
12-04 1491
在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。我们可以通过win+R,输入regedit 查看注册表编辑器。RegCreateKeyW( )函数 参数hKey 打开的注册表句柄, 或是以下预定义键之一。要创建表项的名称,必须是hKey参数
windows注册表:开机自启动程序配置
最新发布
Bobowen的博客
07-24 3116
在Windows操作系统中,注册表是一个关键的数据库,它存储了系统和应用程序的设置和选项。设置开机自启动程序通常涉及到对注册表的修改。以下是一些关键点和注意事项。
注册表文件(.reg)编写方法
热门推荐
寂竹
07-31 1万+
原本是很早以前写在blogspot的文章,今天重新整理了一下。注册表的概述这里就不多说了,本文主要介绍如何通过.reg文件操作注册表,其他的操作方式也不是本文涉及的内容。本文主要内容包括: 1. .reg文件的语法  2.  添加注册表项或添加和更改注册表值 3. 删除注册表项和值 4. 重命名注册表项和值 5. 需要注意的问题 .reg文件的语法 .reg文件实际上是一个文本文件,.reg 文件具有以下语法: 1: RegistryEditorVersion
Reg命令使用详解 批处理操作注册表必备
www.coderr.org
07-15 3586
首先要说明:编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据 只有在别无选择的情况下,才直接编辑注册表注册表编辑器会忽略标准的安全措施,从而使得这些设置会降低性能、破坏系统,甚至要求用户重新安装Windows。可以利用“控制面板”或“Microsoft管理控制台(MMC)”中的程序安全更改多数注册表设置。如果必须直接编辑
编写注册表reg文件及批处理操作注册表
不若乘风来
12-04 7818
编写注册表文件新建一个文本文件,在其中输入以下内容: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 注意:“REGEDIT4”这行与后面行之间
易语言注册表操作详解(微尘)
06-01
在易语言中,注册表操作是一项重要的功能,它允许程序员读取、写入和管理系统的注册表,以此来实现对系统设置的控制和程序的配置存储。注册表是Windows操作系统中的一个重要数据库,用于存储系统和应用程序的各种...
C#编程 系统及注册表操作 DummyKey(源码)(源码)
07-01
C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 DummyKey(源码)(源码)C#编程 系统及注册表操作 ...
C#注册表操作类(完整版))
05-09
在本段内容中,主要介绍了C#中注册表操作类的基础知识,包括注册表基项的定义和注册表数据类型的分类。这些知识点是进行C#编程时,尤其是进行系统配置和管理时的重要组成部分。 注册表是Windows操作系统中的一个...
C#编程 系统及注册表操作 GetMousePosition(源码)(源码)
07-01
C#编程 系统及注册表操作 GetMousePosition(源码)(源码)C#编程 系统及注册表操作 GetMousePosition(源码)(源码)C#编程 系统及注册表操作 GetMousePosition(源码)(源码)C#编程 系统及注册表操作 GetMousePosition...
易语言注册表操作
03-29
在易语言中,注册表操作类是一个重要的模块,用于对计算机的注册表进行读写、查询和修改等操作注册表是Windows操作系统中的核心数据库,存储了系统和应用程序的各种设置信息,如用户配置、软件安装路径、硬件...
matlab注册表版本号,通过注册表发现Windows版本信息
weixin_35958783的博客
03-18 674
以前我们部署地下管线地理信息系统的时候,首先部署ArcGIS运行环境,即部署ArcGIS License Manager,部署ArcGIS Engine Runtime;然后部署我们的打包程序。这两块是分离开的。今天下午利用Setup Factory想把ArcGIS运行环境和我们的系统同时打包,于是写了ArcGISLicense和ArcGISEngineRuntime两个附属脚本(.Net Fr...
遍历注册表某键下的所有子键及其KeyValue
u011061503的专栏
03-21 2726
[cpp] view plaincopy "http://msdn.microsoft.com/zh-cn/site/ms724256">http://msdn.microsoft.com/zh-cn/site/ms724256   [cpp] view plaincopy // QueryKey - Enumerate
ZwEnumerateKey
黄少彬的专栏
02-06 1042
ZwEnumerateKeyThe ZwEnumerateKey routine returns information about the subkeys of an open registry key.NTSTATUS ZwEnumerateKey( IN HANDLE KeyHandle, IN ULONG Index,
【Windows驱动开发】注册表的基本操作(创建、打开、修改、读取、枚举)(附源码)
皮皮不调皮的博客
12-29 1613
1、创建注册表项和子项 VOID RegCreateText() { HANDLE hKey; HANDLE hSubkey; NTSTATUS status; OBJECT_ATTRIBUTES oa; ULONG ulRet; UNICODE_STRING RegPath = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\MyKey"); UNICODE_STRING SubPath = RTL_CONSTANT_STRING(L
VC++递归删除注册表子键
woyaowenzi的专栏
02-03 6111
转载:VC++递归删除注册表子键文章出处:http://www.diybl.com/course/3_program/c++/cppxl/20081119/152041.html VC6中没有提供删除带有子键的注册表键,而最新的.net则提供了这个函数。不过很多程序还是用VC6写的。我就发个自己弄出来的代码:   测试绝对能用! /****DeleteSubKeyTree(HK
Windows注册表操作类库
- 修改注册表操作需谨慎,错误的修改可能导致系统不稳定甚至崩溃。 - 在释放资源时,确保关闭打开的注册表键以防止资源泄露。 - 使用`SetReg`类时,要确保传入正确的路径和值名,避免访问非法或敏感的注册表位置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值