ZwOpenKey

最新推荐文章于 2024-05-29 14:12:08 发布
翻译 最新推荐文章于 2024-05-29 14:12:08 发布 · 1.1k 阅读 · 0
文章标签:

#attributes #structure #access #object #thread #system

本文详细介绍了ZwOpenKey函数的使用方法,包括其参数说明、返回值含义及注意事项等。该函数用于打开已存在的注册表键,并提供了一个用于操纵注册表键的句柄。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ZwOpenKey

The ZwOpenKey routine opens an existing registry key.

NTSTATUS
ZwOpenKey(
OUT PHANDLE KeyHandle ,
IN ACCESS_MASK DesiredAccess ,
IN POBJECT_ATTRIBUTES ObjectAttributes
);

Parameters
KeyHandle
Pointer to the HANDLE variable that receives the handle to the key.
DesiredAccess
Specifies an ACCESS_MASK value that determines the requested access to the object. For more information, see the DesiredAccess parameter of ZwCreateKey .
ObjectAttributes
Pointer to an OBJECT_ATTRIBUTES structure that specifies the object name and other attributes. Use InitializeObjectAttributes to initialize this structure. If the caller is not running in a system thread context, it must set the OBJ_KERNEL_HANDLE attribute when it calls InitializeObjectAttributes .
Return Value

ZwOpenKey returns STATUS_SUCCESS if the given key was opened. Otherwise, it can return an error status, including the following:

STATUS_INVALID_HANDLE

STATUS_ACCESS_DENIED

Comments

ZwOpenKey supplies a handle that the caller can use to manipulate a registry key. The routine provides a subset of the functionality of ZwCreateKey . For more information, see Using the Registry in a Driver.

If the specified key does not exist, ZwOpenKey returns an error status and does not return a key handle.

Once the handle pointed to by KeyHandle is no longer in use, the driver must call ZwClose to close it.

ZwOpenKey ignores the security information in the structure that the ObjectAttributes parameter points to.

If the caller is not running in a system thread context, it must ensure that any handles it creates are private handles. Otherwise, the handle can be accessed by the process in whose context the driver is running. For more information, see Object Handles.

For more information about working with registry keys, see Using the Registry in a Driver.

Note   If the call to this function occurs in user mode, you should use the name "NtOpenKey " instead of "ZwOpenKey ".

Requirements

IRQL: PASSIVE_LEVEL

Headers: Declared in Wdm.h . Include Wdm.h , Ntddk.h , or Ntifs.h .

【驱动开发】005 注册表操作
dller的博客
11-08 510
注册表        驱动中的注册操作和R3注册表操作还是有一些不同的。         应用程序中需要提供一个跟子健的句柄,而驱动程序中则用全部路径表示。         如下图所示: 应用编程中对应的子健 驱动编程中对应路径的写法 HKEY_LOCAL_MACHINE \Registry\Machine HKEY_USERS \Registry
WDK驱动开发之路——对注册表进行操作
AuddyTab的博客
11-22 293
#include <wdm.h> //卸载派遣函数 void DriverUnload(PDRIVER_OBJECT pdriver) { NTSTATUS status = STATUS_SUCCESS; DbgPrint("Driver Unload!"); } //驱动加载入口 NTSTATUS DriverEntry(PDRIVER_OBJECT pdriver, PUNICODE_STRING path) { DbgPrint("Hello Driver!!"); NTS.
ZwOpenKey routine
死胖子的博客
02-05 2031
ZwOpenKey routine ZwOpenKey 例程打开一个已经存在的注册表键。 Syntax   NTSTATUS ZwOpenKey(   _Out_ PHANDLE            KeyHandle,   _In_  ACCESS_MASK        DesiredAccess,   _In_  POBJECT_ATTRIBUTES ObjectAttrib
内核注册表操作_zwcreatekey _zwopenkey_zwsetvaluekey_zwqueryvaluekey_zwquerykey_zwenumeratekey_zwenumera
01-28 2487
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang_wode) { KdPrint(("驱动卸载历程 已经执行\n")); } HANDLE chuanjianzhucebiao_xiang(wchar_t *zhucebiaoxiang_lujing) //ZwCreateKey { HANDLE jubing;//创建注
hook小结
03-24 2558
 我们安全爱好者,都接触过Rootkit,它对我们入侵后的保护提供了强大的支持。现今比较流行的Rootkit有Hxdef,NtRootkit和AFX Rootkit,而且Hxdef和AFX Rootkit还提供了源代码,对我们的学习提供了很大的方便。这些Rootkit都是使用HOOK技术实现的,欺骗的是用户,而不是操作系统。使用HOOK开发Rootkit是比较简单的,虽然现在也有很多其他的技术,但
Windows内核函数 - 打开注册表
wendyWJGU的博客
05-29 323
Windows内核函数 - 打开注册表
【Windows内核驱动开发】——读取注册表
zcr214的博客
11-28 3343
【我的】Windows驱动开发——读取注册表 作者:zcr214 时间:2016/5/5   注册表对于驱动来说是很重要的小伙伴,注册表可以很好的扮演用户到内核的桥梁角色,很多时候用户可以通过修改注册表的内容来达到控制驱动的目的。那么驱动要做的首先当然是读取到注册表啦,WDK提供了标准的接口函数,所以直接使用就可以了。 1.    ZwOpenKey()打开注册表 WDK提供了打开注册表
数字驱动分析笔记之360SelfProtection1
08-03
在技术实现上,文档提到了一系列伪造的系统调用,如`Fake_ZwCreateFile`、`Fake_ZwOpenKey`等,这些都是为了模拟真实系统调用来欺骗潜在的攻击者。这些伪造的函数可以实现如下功能: - `Fake_ZwCreateFile`:控制对...
精选_Ring0内核层下删除注册表键和键值_源码打包
03-10
可以使用 ZwEnumerateKey 和 ZwOpenKey 来列举和打开子键,然后再进行删除操作。 4. **删除键值**:使用 ZwSetValueKey 函数可以设置注册表键的值,但要删除键值,则需使用 ZwDeleteValueKey。提供要删除的键的句柄...
驱动开发之访问注册表
Lydia的博客
07-03 2376
访问注册表 Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它们的用法。 表3-9. 注册表访问函数 服务函数 描述  IoOpenDev
Windows内核函数(3) - 内核模式下的注册表操作
收集学习过程中对自己有帮助的牛人文章
11-29 1282
转载自:http://mzf2008.blog.163.com/blog/static/355997862010111313716234/ 注册表里的几个概念:     1.       创建关闭注册表项 NTSTATUS    ZwCreateKey(     OUT PHANDLE  KeyHandle,     IN ACCESS_MASK
注册表操作--->各个函数操作代码库
zhuhuibeishadiao
04-03 2209
代码来自TA.张帆和部分书籍 《windows内核安全与与驱动开发》 详细说明可以到此http://msdn.microsoft.com/en-us/library/windows/hardware/ff567122(v=vs.85).aspx查询 ZwCreateKey  创建 KEY ZwDeleteKey  删除 KEY ZwDeleteValueKey  删除 VALUE Z
3.6 注册表编程
it技术学习
08-23 1020
3.6 注册表编程 驱动程序和其它的系统组件一样,依赖于注册表存储配置信息,系统本身也使用注册表存储所有与设备、驱动相关的信息 3.7.1 注册表对象管理函数
Win64 驱动内核编程-6.内核里操作注册表
天使也掉毛
03-04 1583
内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数,把 Zw系列的注册表函数进行了封装,也就是说,只剩下“执行操作”这一步了。 接下来说说注册表的本质。注册表其实是文件,它存储在 c:\windows\system32\config 这个
[Win32驱动1]Windows驱动注册表操作
輚至消亡
10-20 1247
111111111
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4751
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
SSDT Hook
zhuhuibeishadiao
04-10 3340
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
Windows内核驱动开发教程
最新发布
01-08
### Windows 内核驱动开发教程 #### 创建基础环境 为了开始编写 Windows 内核模式驱动程序,开发者需安装 Windows 驱动工具包 (WDK),并配置集成开发环境 Visual Studio。通过Visual Studio创建新的WDM(Windows Driver Model)驱动项目时可以选择“Empty WDM Driver”,这会提供一个基本框架用于进一步定制[^2]。 #### 连接调试器 在实际环境中测试和调试内核级代码至关重要。连接至目标计算机上的调试器允许实时监控驱动行为以及捕获潜在错误信息。具体操作可参照官方文档指导完成设置过程[^1]。 #### 注册表访问 注册表作为操作系统存储配置数据的地方,在驱动开发中有重要作用。它不仅能够保存硬件参数还能记录软件状态等信息。利用 `ZwOpenKey()` 函数可以实现对指定路径下键值的操作权限获取;而像`IoOpenDeviceRegistryKey` 和 `IoOpenDeviceInterfaceRegistryKey`这样的API则专门用来处理与设备实例及其接口关联的特殊位置的数据读写需求[^3][^4]。 ```cpp NTSTATUS OpenRegKey(PHANDLE KeyHandle, PUNICODE_STRING RegPath){ OBJECT_ATTRIBUTES obja; HANDLE hKey = NULL; InitializeObjectAttributes(&obja, RegPath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL); NTSTATUS status = ZwOpenKey(KeyHandle, KEY_READ|KEY_WRITE, &obja); if (!NT_SUCCESS(status)){ DbgPrint("Failed to open registry key %wZ with error code:%X\n", RegPath,status ); *KeyHandle=NULL; } return status; } ``` 此C++片段展示了如何定义一个辅助方法来简化注册表键的打开流程,并包含了必要的异常处理逻辑以确保稳健性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值