读取注册表中的REG_QWORD和REG_BINARY(二进制)类型数据

已于 2023-04-22 18:24:48 修改
阅读量1.8k 收藏
点赞数
分类专栏: windows程序设计 文章标签: 注册表 c++ mfc
于 2023-04-22 18:23:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaopeng01zp/article/details/130306589
版权

读取注册表中的REG_QWORD和REG_BINARY二进制类型数据


发现的问题

首先我们要明确,REG_QWORD类型的数据,甚至某些REG_DWORD类型的数据,在win32程序中是读不出来的,例如下图中的1、CurrentMajorVersionNumber这类简单的REG_DWORD可以顺利在win32环境下读出来,而InstallDate的REG_DWORD却读不出来;
InstallTime这类REG_QWORD类型、REG_BINARY这类REG_BINARY类型的数据在win32环境下函数RegQueryInfoKey根本就不读取它(不理它、识别不了):

在这里插入图片描述
在x64环境下,函数RegQueryInfoKey能够识别判断出REG_QWORD和REG_BINARY这两种类型的数据。


注册表中的一些概念(统一认识)

注册表的结构是一个树状结构,一个(key,或称“项”)就是一个节点,子键(subkey)就是这个节点的子节点,子健也是键。
键的一条属性被称为一个value(值项)value由名称、类型、数据类型和数据组成
一个键可以有多个值,每个值的名称不同,如果值名称是空,则该值为该键的默认值。
这里所说的项就是键key,子项就是子键subkey,键的一条属性被称为一个value(值项),最底层的子键里面的项其实就是值项value,value由名称、类型、数据类型和数据组成,这里所说的值名对应的就是值项的名称,这里所说的值数据就是值项的数据)


读取代码(字节数据大于8的会显示f开头的前缀)

//m_list_key和m_list_value是两个CListCtrl控件变量,分别用来显示读取的注册表中的键和值项;m_strPath是CString类型的注册表键值路径。
//测试路径:SOFTWARE\Microsoft\Windows NT\CurrentVersion
//打开父键
	//m_strPath其实就是编辑框里面的内容(例如SYSTEM或者SYSTEM\CurrentControlSet\Services)
	if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,m_strPath,0,KEY_ALL_ACCESS,&hKey)==ERROR_SUCCESS)//打开
	{
		DWORD dwIndex=0,NameSize,NameCnt,NameMaxLen,Type;
		DWORD KeySize,KeyCnt,KeyMaxLen,MaxDateLen,DataSize;
		//这就是枚举了
		//如果某一个键的值项value为空(例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT只有一条名称为默认、
		//类型为REG_SZ、数据是数值未设置的值项)的话,NameCnt、NameMaxLen、MaxDateLen都为空,由于Windows NT下面只有一个
		//键CurrentVersion,该键名称一共14个字符(不包括结尾的空字符),所以KeyMaxLen的值就是0xe
		//当键为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的时候,NameCnt的为0x19,
		if(RegQueryInfoKey(hKey,NULL,NULL,NULL,&KeyCnt,&KeyMaxLen,NULL,&NameCnt,&NameMaxLen,&MaxDateLen,NULL,NULL)==ERROR_SUCCESS)
		{
			KeySize=KeyMaxLen + 1;
			char * tmp=new  char[KeySize];
			//枚举得到的每一个键
			for(dwIndex=0;dwIndex<KeyCnt;dwIndex++)		//枚举项
			{
				ZeroMemory(tmp,KeySize);
				DWORD i=KeySize;
				RegEnumKeyEx(hKey,dwIndex,tmp,&i,NULL,NULL,NULL,NULL);
				m_list_key.InsertItem(0,tmp,0);
			}
			delete[] tmp;

			tmp=new char [NameMaxLen+1];
			char *tmpData=new char[MaxDateLen+1];
			
			CString str;

			//-----------这里开始枚举键值-------------------------------------
			for(dwIndex=0;dwIndex<NameCnt;dwIndex++)
			{
				str.Empty();
				ZeroMemory(tmp, NameMaxLen+1);
				ZeroMemory(tmpData, MaxDateLen+1);
				NameSize = NameMaxLen + 1;		//注意,因为每执行一次RegEnumValue,NameSize和DataSize都会
				DataSize = MaxDateLen + 1;		//变成实际的缓冲区大小,所以这里每次循环都要重新赋值
				LSTATUS status = ::RegEnumValue(hKey,dwIndex,tmp,&NameSize,NULL,&Type,(BYTE*)tmpData,&DataSize);//读取键值
				if(status != ERROR_SUCCESS)
				{
					break;
				}
				m_list_value.InsertItem(0,tmp,0);     //写入名称(即值名称)
				//键值的类型不同我们应该处理一下,显示不同类型的字符
				if(Type==REG_SZ)
				{
					m_list_value.SetItemText(0,1,"REG_SZ");
					//插入数值
					str=tmpData;
				}
				if(Type==REG_EXPAND_SZ)
				{
					m_list_value.SetItemText(0,1,"REG_EXPAND_SZ");
					//插入数值
					str=tmpData;
				}
				if(Type==REG_DWORD)
				{
					m_list_value.SetItemText(0,1,"REG_DWORD");
					str.Format("0x%08x",*(PDWORD)tmpData);
				}
				if(Type==REG_QWORD)
				{
					m_list_value.SetItemText(0,1,"REG_QWORD");
					str.Format("0x%llx",*(PQWORD)(tmpData));
				}
				if(Type==REG_BINARY)
				{
					m_list_value.SetItemText(0,1,"REG_BINARY");
					CString cstr;
					size_t i = 0;
					for(i = 0; i < DataSize; i++)
					{
						cstr.Empty();
						cstr.Format(_T("%hx"), tmpData[i]);
						//插入数值
						str += cstr + " ";
					}
				}

				m_list_value.SetItemText(0,2,str);
			}

			RegCloseKey(hKey);
			return ;
		}
	}

说明(备注)

if(Type==REG_QWORD)
				{
					m_list_value.SetItemText(0,1,"REG_QWORD");
					str.Format("0x%llx",*(PQWORD)(tmpData));
				}

在这里插入图片描述
因为REG_QWORD占64位,所以字符串格式化符选用0x%llx即可打印完整。

if(Type==REG_BINARY)
				{
					m_list_value.SetItemText(0,1,"REG_BINARY");
					CString cstr;
					size_t i = 0;
					for(i = 0; i < DataSize; i++)
					{
						cstr.Empty();
						cstr.Format(_T("%hx"), tmpData[i]);
						//插入数值
						str += cstr + " ";
					}
				}

在这里插入图片描述
而DigitalProductId这类二进制数据的长度也是在函数RegQueryInfoKey中获取的(切记获取的这个长度不包括结尾的空字符0,所以我们为了读取该数据分配的空间大小,要在这个长度上加1);
通过函数RegEnumValue获取的二进制数据在内存中的为:

在这里插入图片描述
我们看到这些内存中的十六进制数据,通过一个for循环一个一个用cstr.Format(_T("%02x"), tmpData[i]);输出的话:

CString cstr;
					size_t i = 0;
					for(i = 0; i < DataSize; i++)
					{
						cstr.Empty();
						cstr.Format(_T("%02x"), tmpData[i]);
						//插入数值
						str += cstr + " ";
					}

效果如下:

在这里插入图片描述
我们看到输出中a4变成了ffffffa4,这是由于a4、d2这类十六进制数据的二进制位是以1开头导致的;
所以我们可以强制只输出2个十六进制字符,即只输出1个字节:
cstr.Format(_T("%hx"), tmpData[i]);

通过输出我们发现ffffffa4变为了ffa4,仍然达不到我们的目标。

改进代码

//测试路径:SOFTWARE\Microsoft\Windows NT\CurrentVersion
if(Type==REG_BINARY)
				{
					m_list_value.SetItemText(0,1,"REG_BINARY");
					CString cstr;
					DWORD dwData = 0;
					
					size_t i = 0;
					for(i = 0; i < DataSize; i++)
					{
						cstr.Empty();
						//cstr.Format(_T("%02hx"), tmpData[i]);
						dwData = tmpData[i];
						UINT temp = 0;
						while(dwData > 0)
						{
							temp = dwData % 16;
							if(temp < 10)
								cstr.AppendChar(temp + '0');
							else
								cstr.AppendChar('a' + temp - 10);
							dwData = dwData >> 4;
						}
						
						cstr.AppendChar('0');
						cstr.AppendChar('0');

						cstr.MakeReverse();
						//插入数值
						str += cstr.Right(2) + " ";
					}
				}

参考链接

int转string时候保留前导位0

读取注册表REG_BINARY(二进制)类型的数据

zhaopeng01zp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
注册表-部分详解
橙-极纪元-cplvfx-JJY.Cheng
08-30 3927
什么是注册表  在windows的开始/运行菜单输入"regedit"你就可以通过注册表编辑器看到注册表,注册表是什么呢?简单地说,它是用来对windows操作系统进行配置的一个工具.通过它,可以对操作系统及应用软件进行优化,可以自己设置windows的使用权限,可以解决硬件及网络设置不当带来的故障甚至可以改造自己的操作系统. 在windows 3.X时代,主要通过WIN.INI及SYSTE...
qword:基于“保持简单并使之正常工作”的理念的x86_64操作系统
02-03
qword:基于“保持简单并使之正常工作”的理念的x86_64操作系统
读取注册表REG_BINARY(二进制)类型数据
qq_49149479的博客
07-12 2466
c++ 获得注册表二进制类型(REG_BINARY)的数据(原串)
注册表里的秘密
回忆的往昔
08-24 3217
注册表里的秘密 对于一般用户来说,系统注册表是深奥莫测的,隐藏着巨大的秘密。同时注册表本身却十分脆弱,稍不小心就会引起Windows操作系统的出错甚至瘫痪。但如果你有一定的注册表常识,则可以通过修改注册表让Windows更好地为你服务。注册表事实上就是一个集管理系统硬件设施、软件配置等信息的数据库,其存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程
内容识别快捷键
07-17
将网上获得的各类白底图,批量变成画布大小为1000x1000,产品大小为806的ps动作,两者参数都可以在载入动作后进行修改
Windows注册表内容详解
luoxiaojuan2的专栏
01-18 6168
第一课  注册表基础 一、什么是注册表     注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。     注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注
网络安全学习(十六)
m0_56413004的博客
05-28 333
安装win10 win2016 略 安装kali 选择第一个 设置账户密码 分区——一直下一步 这里选是 安装默认软件 是 源(仓库) Linux操作系统在安装软件的时候,几种安装方式,最简单的方式就是去源里面提取软件包直接进行安装 kali是基于debian 包管理dep 使用的源apt centOS 基于红帽 使用的源yum 使用root用户进去...
Reg注册表读写
qq_54169998的博客
12-04 1374
在Windows 95及其后继版本,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集起来并存储各种配置信息。按照这一原则,Windows各版本都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。我们可以通过win+R,输入regedit 查看注册表编辑器。RegCreateKeyW( )函数 参数hKey 打开的注册表句柄, 或是以下预定义键之一。要创建表项的名称,必须是hKey参数
正确读取REG_DWORD键值
oceanark的博客
07-13 4737
#pragma comment(lib,"advapi32") #include #include #include int main() { LPCTSTR Regkey = _T("Software\\Microsoft\\Windows NT\\CurrentVersion"); DWORD dwInsTime = 0; DWORD dwType
qword_qword_qwordqt_qtword_word_QT_
09-29
QT word 开发,对office word 进行读写和储存
操作系统安全:使用注册表编辑器新建和修改注册表项和值项.pptx
06-02
注册表编辑器新建和修改;注册表编辑器新建;...项我们可以创建新的键值,键值的类型有字符串,二进制,DWORD,QWORD,多字符串以及可扩充字符串值等类型,选择恰当的类型后即可创建键值,比如我们可以创建一个名为
NDI_Enc.zip
07-07
vidr_rdata : in QWORD_T; vidr_read : out std_logic; vidr_burstcount : out std_logic_vector(AVL_BURST_WIDTH - 1 downto 0); vidr_byteenable : out std_logic_vector(7 downto 0); -- Write Interface ...
注册表查看编辑器 + 源码
11-24
2.插入、修改REG_SZ、REG_EXPAND_SZ、REG_MULTI_SZ、REG_DWORD、REG_DWORD_BIG_ENDIAN、REG_QWORD六种值类型(value)的名称跟数据; 3.删除所有类型的键值(value); 4.插入键(key),删除不含子键的键(key); 5.左侧树形...
【C】 初识C语言
努力学习C/C++
04-21 762
从本篇开始,带你从不会C语言到精通C语言。这篇是让大家对C语言有个初步的了解。下面的内容会拆分不同篇幅单独进行详细讲叙。数据类型变量、常量字符串转义字符注释选择语句循环语句函数数组操作符常见关键字define定义常量和宏指针结构体1.什么是C语言?C语言是一门面向过程的计算机编程语言,与C++、C#、Java等面向对象编程语言有所不同。C语言的设计目标是提供一种能以简易的方式编译、处理低级存储器、仅产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。
《Beginning C++20 From Novice to Professional》第四章 Making Decisions
xiaowenhao的博客
04-20 950
书上对做决策解释得挺清楚的,指的是根据比较的结果更改执行顺序的这个过程;这也是将计算机与计算器区别开的一个重要特征,计算机能够做决策不过根本还是在人的代码写得怎么样。
C++ WebServer的细节理解
我的博客
04-22 594
在非阻塞模式下,如果 I/O 操作不能立即完成(例如,因为没有数据可读 或 写缓冲区满),系统不会让调用进程阻塞等待,而是立即返回一个错误(通常为 EAGAIN 或 EWOULDBLOCK)。先查询文件描述符 fd 当前的标志,然后将 O_NONBLOCK 标志加入其,并通过 F_SETFL 来更新文件描述符,最终实现将该文件描述符切换为非阻塞模式。这意味着,如果没有待处理的连接请求(即没有客户端尝试连接到服务器),accept() 会一直阻塞,直到有新的连接请求到达或发生其他特定条件(如超时)为止。
笨蛋学C++C++基础第六弹】
最新发布
YSL_Monet的博客
04-24 779
定义类需要用到关键字 class,然后指定类的名称,类的主体是包含在一对花括号,主体包含类的成员变量和成员函数class 类名{访问修饰符(public/protected/private):成员变量;成员函数();
C++——初识模板
qq_74245477的博客
04-22 884
之前实现的数据结构,比如栈,我们为了便于修改存储的数据类型,通常使用typedef来重定义数据类型,但是这样有一个缺陷,会导致我们定义的栈存储的都是一种数据,如果同时需要两个栈,一个存储int,一个存储自定义类型,那么typedef就不管用了。比如:当用int类型使用函数模板时,编译器通过对实参类型的推演,将T确定为int类型,然后产生一份专门处理int类型的代码,对于字符类型也是如此。概念:函数模板代表了一个函数家族,该函数模板与类型无关,在使用时被参数化,根据实参类型产生函数的特定类型的版本。
#define MAKE_QWORD(dwh,dwl) (((uint64_t)(dwh & 0xffffffff) << 32) | (uint64_t)(dwl & 0xffffffff))翻译一下
07-09
这个宏定义名为`MAKE_QWORD`,它接受两个参数 `dwh` 和 `dwl`。 这个宏的目的是将两个32位的无符号整数 `dwh` 和 `dwl` 合并成一个64位的无符号整数。 具体而言,宏的实现使用了位运算和逻辑运算符。首先,`(dwh & 0xffffffff)` 将 `dwh` 限制在32位范围内,确保高32位的位值都为0。然后,将结果左移32位,即 `(uint64_t)(dwh & 0xffffffff) << 32`。接着,通过逻辑或 `|` 运算符将高32位和低32位合并,得到一个64位的整数。 最后,这个宏返回合并后的64位整数。 总之,这个宏定义用于将两个32位无符号整数合并成一个64位无符号整数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值