内核模式 注册表编程

最新推荐文章于 2018-12-26 10:24:51 发布
最新推荐文章于 2018-12-26 10:24:51 发布
阅读量919 收藏
点赞数
分类专栏: 驱动学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/10905271
版权

//创建或打开某注册表项目:

#define  MY_REG_SOFTWARE_KEY_NAME		L"\\Registry\\Machine\\Software\\Zhangfan"
#pragma INITCODE
VOID CreateRegTest() 
{
	//创建或打开某注册表项目
	UNICODE_STRING RegUnicodeString;
	HANDLE hRegister;
	//初始化UNICODE_STRING字符串
	RtlInitUnicodeString( &RegUnicodeString, 
		MY_REG_SOFTWARE_KEY_NAME);
	
	OBJECT_ATTRIBUTES objectAttributes;
	//初始化objectAttributes
	InitializeObjectAttributes(&objectAttributes,
							&RegUnicodeString,
							OBJ_CASE_INSENSITIVE,//对大小写敏感 
							NULL, 
							NULL );
	ULONG ulResult;
	//创建或带开注册表项目
	NTSTATUS ntStatus = ZwCreateKey( &hRegister,
							KEY_ALL_ACCESS,
							&objectAttributes,
							0,
							NULL,
							REG_OPTION_NON_VOLATILE,
							&ulResult);
	if (NT_SUCCESS(ntStatus))
	{
		//判断是被新创建,还是已经被创建
		if(ulResult==REG_CREATED_NEW_KEY)
		{
			KdPrint(("The register item is created\n"));
		}else if(ulResult==REG_OPENED_EXISTING_KEY)
		{
			KdPrint(("The register item has been created,and now is opened\n"));
		}
	}

	//(2)创建或打开某注册表项目的子项
	UNICODE_STRING subRegUnicodeString;
	HANDLE hSubRegister;

	//初始化UNICODE_STRING字符串
	RtlInitUnicodeString( &subRegUnicodeString, 
		L"SubItem");


	OBJECT_ATTRIBUTES subObjectAttributes;
	//初始化subObjectAttributes
	InitializeObjectAttributes(&subObjectAttributes,
							&subRegUnicodeString,
							OBJ_CASE_INSENSITIVE,//对大小写敏感 
							hRegister, 
							NULL );
	//创建或带开注册表项目
	ntStatus = ZwCreateKey( &hSubRegister,
							KEY_ALL_ACCESS,
							&subObjectAttributes,
							0,
							NULL,
							REG_OPTION_NON_VOLATILE,
							&ulResult);

	if (NT_SUCCESS(ntStatus))
	{
		//判断是被新创建,还是已经被创建
		if(ulResult==REG_CREATED_NEW_KEY)
		{
			KdPrint(("The sub register item is created\n"));
		}else if(ulResult==REG_OPENED_EXISTING_KEY)
		{
			KdPrint(("The sub register item has been created,and now is opened\n"));
		}
	}
	//关闭注册表句柄
	ZwClose(hRegister);
	ZwClose(hSubRegister);
}


//打开注册表

#pragma INITCODE
VOID OpenRegTest()
{
	UNICODE_STRING RegUnicodeString;
	HANDLE hRegister;

	//初始化UNICODE_STRING字符串
	RtlInitUnicodeString( &RegUnicodeString, 
		MY_REG_SOFTWARE_KEY_NAME);
	
	OBJECT_ATTRIBUTES objectAttributes;
	//初始化objectAttributes
	InitializeObjectAttributes(&objectAttributes,
							&RegUnicodeString,
							OBJ_CASE_INSENSITIVE,//对大小写敏感
							NULL, 
							NULL );
	//打开注册表
	NTSTATUS ntStatus = ZwOpenKey( &hRegister,
							KEY_ALL_ACCESS,
							&objectAttributes);
	if (NT_SUCCESS(ntStatus))
	{
		KdPrint(("Open register successfully\n"));
	}
	ZwClose(hRegister);
}


//设置键值


                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  pandamac
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
内核操作注册表

				
			

			

				

					lygl35的博客
				

				

					01-19
					
					465
					
				

			

		

		

			
				
实现效果
注册表的查询,,可以查询到驱动的路径,把驱动拷贝到系统目录C:\Windows\System32\drivers,并且把驱动路径改为 C:\Windows\System32\drivers
知识点:
1、驱动文件在注册表中的路径 用 类似 “\SystemRoot\system32\drivers\afd.sys”这样的格式,比用
“??\C:\Windows\System32\drivers\MyDriver2.sys” 这种格式能满足你跟早的启动的需求
2、Start 值 越小启动越早,3是手

			
		

	



                

              
                



	

		

			

				
					
文件系统驱动编程基础篇之5——注册表与Inf (转)

				
			

			

				

					tempname866的专栏
				

				

					06-01
					
					1969
					
				

			

		

		

			
				
注册表以树形方式存储配置信息,树节点称为键(key),键可以包含子键(subkey)和称为值(value)的数据项。



一)需要关注的几种键(注:硬件键、类键、设备接口类应是所列位置下的子键):






二)第3点中的服务键的写法与其他键有所不同,它以\REGISTRY打头,这是内核模式下根键的规定写法。



User-mode Handle


Co

			
		

	



                


  
              

                


	

		

			

				
					
微软轻量级系统监控工具sysmon内核实现原理

				
			

			

				

					浪子_三少(邮箱:basketwill@qq.com)
				

				

					12-26
					
					1099
					
				

			

		

		

			
				
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。 

一、          驱动DriverEntry的初始化 

从DriverEntry(PDRIVER_OBJECTDriverObject, UNICODE_ST...

			
		

	





	

		

			

				
					
Windows驱动开发(5) - 内核模式下的注册表操作

				
			

			

				

					Vinx Blog
				

				

					04-17
					
					1739
					
				

			

		

		

			
				
Windows驱动开发(5) - 内核模式下的注册表操作1、创建关闭注册表1.1 创建注册表NTSTATUS ZwCreateKey(
  _Out_      PHANDLE            KeyHandle,
  _In_       ACCESS_MASK        DesiredAccess,
  _In_       POBJECT_ATTRIBUTES ObjectAttri

			
		

	



		

			
		



	

		

			

				
					
[note]RegMon驱动分析笔记(一)

				
			

			

				

					a519609598的博客
				

				

					11-12
					
					237
					
				

			

		

		

			
				
///////////////////////////////////////////RegMon学习与分析////////////////////////////////////////
//////////////////////////////////////////1.注册表回调机制///////////////////////////////////////
应用程...

			
		

	





	

		

			

				
					
ring0驱动内核注册表监控程序.zip

				
			

			

				

					01-27
				

			

		

		

			
				
ring0驱动程序,也称为内核模式驱动,就是运行在ring0级别的软件,它们通常用于设备驱动、系统服务等核心功能。由于其拥有极高的权限,一旦出现问题,可能导致整个系统的不稳定甚至崩溃,因此编写ring0驱动需要格外...

			
		

	





	

		

			

				
					
寒江独钓-Windows内核安全编程(完整版)--源码

				
			

			

				

					02-23
				

			

		

		

			
				
4. **内存管理**:内核模式下,内存管理更为复杂,涉及分页、分段等机制。开发者需要理解如何安全分配、释放内存,防止内存溢出和Use-After-Free漏洞。  5. **线程与进程管理**:内核级线程和进程管理涉及到调度策略...

			
		

	





	

		

			

				
					
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip

				
			

			

				

					01-27
				

			

		

		

			
				
Ring0驱动程序是操作系统内核最底层的代码,它运行在最高权限级别,通常被称为“环0”或“内核模式”。Rootkit是一种恶意软件,它的目标是隐藏自身和其他恶意软件的存在,使得常规的安全工具无法检测到它们。当...

			
		

	





	

		

			

				
					
window 内核编程与信息安全

				
			

			

				

					05-14
				

			

		

		

			
				
内核编程涉及到编写驱动程序,这些程序运行在内核模式,享有更高的权限,能够直接访问硬件资源,但同时也要求开发者有严谨的安全意识,因为任何错误都可能导致系统崩溃。  内核编程中的关键概念包括系统调用、中断...

			
		

	





	

		

			

				
					
编程技术_Windows 内核级进程隐藏侦测技术-综合文档

				
			

			

				

					05-19
				

			

		

		

			
				
3. **内核级侦测**:内核级侦测是指在操作系统内核层面进行监控和分析,这使得它可以更早地捕获恶意活动,因为大部分恶意软件在用户模式下运行,而内核模式可以观察到它们的所有行为。  4. **内核调试技术**:为了...

			
		

	





	

		

			

				
					
微软轻量级系统监控工具sysmon原理与实现完全分析(下篇)

				
			

			

				

					weixin_33806509的博客
				

				

					09-19
					
					532
					
				

			

		

		

			
				
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。

驱动DriverEntry的初始化

从DriverEntry(PDRIVER_OBJECT DriverObject, U...

			
		

	





	

		

			

				
					
键盘驱动系列---JIURL键盘驱动 4

				
			

			

				

					多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
				

				

					08-10
					
					1992
					
				

			

		

		

			
				
6.2 初始化与注册表

在驱动的初始化中,注册表起着非常重要的作用。

6.2.1 重要认识

    每台计算机的硬件配置可能是不同的,系统是如何知道需要为哪些硬件载入驱动?系统是如何知道要载入的驱动文件是哪个文件?答案是通过注册表注册表中保存着这些信息。那么注册表中的这些信息是哪里来的?答案是在安装驱动的时候,安装程序放到注册表中的。

6.2.2 确定驱动载入顺序的基本知

			
		

	





	

		

			

				
					
NDIS驱动学习笔记

				
			

			

				

					
				

				

					01-08
					
					4171
					
				

			

		

		

			
				
by   ufphpc从Ndis Intermediate Miniport driver说吧,参考passthruNTSTATUSDriverEntry(    IN    PDRIVER_OBJECT        DriverObject,    IN    PUNICODE_STRING        RegistryPath    )程序入口没什么好说的 而NDIS不符合WDM往下到了N

			
		

	





	

		

			

				
					
内核模式下的注册表操作

				
			

			

				

					yjz1409276的专栏
				

				

					02-28
					
					4234
					
				

			

		

		

			
				
VOID RegTest()
{
	WCHAR* pKey=L"\\Registry\\Machine\\SOFTWARE\\Yjz";
	// 查找项
	if (!NT_SUCCESS(RtlCheckRegistryKey(RTL_REGISTRY_ABSOLUTE,pKey)))
	{
		KdPrint(("注册表项不存在\r\n"));
		// 创建项
		if (NT_SUCCESS

			
		

	





	

		

			

				
					
windows内核情景分析 --- 服务管理

				
			

			

				

					maomao171314的专栏
				

				

					04-04
					
					876
					
				

			

		

		

			
				
随时可以看到任务管理器中有一个services.exe进程,这个就是系统的服务控制管理进程,简称SCM
这个进程专门用来管理服务(启动、停止、删除、配置等操作)
系统中所有注册的服务都登记在\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services键下,这个键专门叫做‘服务键’,服务键下面的每个子键代表一个服务,记录了各个服务的信息。




			
		

	





	

		

			

				
					
驱动开发之访问注册表

				
			

			

				

					Lydia的博客
				

				

					07-03
					
					2244
					
				

			

		

		

			
				
访问注册表
Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它们的用法。

表3-9. 注册表访问函数
服务函数 描述 
IoOpenDev

			
		

	





	

		

			

				
					
寒江独钓-键盘过滤学习2修改IDT + IOAPIC重定位表截获PS2键盘中断

				
			

			

				

					zcc1414的专栏
				

				

					12-07
					
					1882
					
				

			

		

		

			
				
分析在源码上
直接上源码吧


取出了扫描码  其实就知道了  按了哪些健了    一般按一下   有两个  扫描码   一个是 按下  一个是弹起
我将原来的源码改写可以输出  ASCII码····························
主要是如果台式机的USB键盘可能就不支持了 
但想来大多数都是用的  PS/2系列键盘的吧?


修改IDT-- 说白了就是HO

			
		

	





	

		

			

				
					
Windows编程深入实践:API、MFC与内核探索

				
			

			

				

					
				

			

		

		

			
				
深入到Win32程序运行原理,书中涵盖了CPU保护模式下的Windows系统,解释了多任务实现、虚拟内存、内核模式和用户模式的区别,以及如何创建和控制进程。通过实例,如游戏内存修改器,让者理解如何在不同进程之间...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值