内核注册表操作_zwcreatekey _zwopenkey_zwsetvaluekey_zwqueryvaluekey_zwquerykey_zwenumeratekey_zwenumera

最新推荐文章于 2024-05-30 17:29:28 发布
最新推荐文章于 2024-05-30 17:29:28 发布
阅读量2.4k 收藏
点赞数 1
分类专栏: 内核驱动全部集合
本文介绍了一个Windows驱动程序中注册表的基本操作,包括创建、打开、设置键值、查询及枚举子项等。通过具体代码示例展示了如何利用Windows内核API进行注册表管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include"ntddk.h"
VOID xiezai1(PDRIVER_OBJECT qudongduixiang_wode)
{
	KdPrint(("驱动卸载历程 已经执行\n"));
}
HANDLE chuanjianzhucebiao_xiang(wchar_t *zhucebiaoxiang_lujing) //ZwCreateKey
{
	HANDLE jubing;//创建注册表项的句柄
	OBJECT_ATTRIBUTES shuxing_duixiang;
	UNICODE_STRING zhucebiaoxiangmingzi;//注册表项的名字也就是路径
	ULONG fanhui1;//创建一个新的项 或是现有的键被打开了
	RtlInitUnicodeString(&zhucebiaoxiangmingzi, zhucebiaoxiang_lujing);
	InitializeObjectAttributes(&shuxing_duixiang, &zhucebiaoxiangmingzi, OBJ_CASE_INSENSITIVE, NULL, NULL);
	ZwCreateKey(&jubing, GENERIC_ALL, &shuxing_duixiang, 0, &zhucebiaoxiangmingzi, REG_OPTION_NON_VOLATILE, &fanhui1);
	if (fanhui1 == REG_CREATED_NEW_KEY)
	{
		KdPrint(("创建一个新的密钥\n"));
	}if (fanhui1 == REG_OPENED_EXISTING_KEY)
	{
		KdPrint(("现有的键被打开了\n"));
	}
	return jubing;
}
HANDLE dakaizhucebiao_xiang(wchar_t *zhucebiaoxiang_lujing)//ZwOpenKey
{
	HANDLE jubing;//创建注册表项的句柄
	UNICODE_STRING zhucebiaoxiangmingzi;//注册表项的名字也就是路径
	OBJECT_ATTRIBUTES shuxing_duixiang;
	NTSTATUS zhuangtai1;
	RtlInitUnicodeString(&zhucebiaoxiangmingzi, zhucebiaoxiang_lujing);
	InitializeObjectAttributes(&shuxing_duixiang, &zhucebiaoxiangmingzi, OBJ_CASE_INSENSITIVE, NULL, NULL);
	zhuangtai1=ZwOpenKey(&jubing, GENERIC_ALL, &shuxing_duixiang);
	if (zhuangtai1==STATUS_SUCCESS)
	{
		KdPrint(("注册表_项 打开成功\n"));
		return jubing;
	}
	else
	{
		KdPrint(("注册表_项 打开失败\n"));
		return jubing;
	}
	return jubing;
}
VOID shezhixiangdejiandezhi(HANDLE jubing)//设置项的键的值 ZwSetValueKey
{
	NTSTATUS zhuangtai1;
	ULONG jiandezhi = 100;
	UNICODE_STRING jiandemingzi;
	RtlInitUnicodeString(&jiandemingzi, L"m_1");
	zhuangtai1 = ZwSetValueKey(jubing, &jiandemingzi, 0, REG_DWORD, &jiandezhi, sizeof(jiandezhi)); 
	if (!NT_SUCCESS(zhuangtai1))
	{
		KdPrint(("设置键值失败\n"));
	}
	else
	{
		KdPrint(("设置键值成功\n"));
	}
}
ULONG chaxun_xiang(HANDLE jubing)//查询项 例如个数 ZwQueryKey
{
	KEY_FULL_INFORMATION*xinxi = NULL;
	ULONG fanhui1 = 0;//这个项的信息大小
	if (jubing)
	{
		ZwQueryKey(jubing, KeyFullInformation, 0, 0, &fanhui1);//先得到这个项的信息大小
		xinxi = ExAllocatePool(NonPagedPool, fanhui1);
		ZwQueryKey(jubing, KeyFullInformation, xinxi, fanhui1, &fanhui1);//再得到这个项的全信息
	}
	KdPrint(("子项的个数%d\n", xinxi->SubKeys));
	ExFreePool(xinxi);
	return xinxi->SubKeys;
}
VOID meiju_xiang(HANDLE jubing,ULONG j)//枚举注册表项
{
	ULONG fanhui1 = 0;
	KEY_BASIC_INFORMATION*xinxi = NULL;
	for (ULONG i = 0; i < j;i++)
	{
		ZwEnumerateKey(jubing, i, KeyBasicInformation, NULL, 0, &fanhui1);//0就是从第一个想开始遍历
		xinxi = ExAllocatePool(NonPagedPool, fanhui1);
		ZwEnumerateKey(jubing, i, KeyBasicInformation, xinxi, fanhui1, &fanhui1);
		KdPrint(("子项的名字%S", xinxi->Name));
	}
	ExFreePool(xinxi);

}
NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang_wode, PUNICODE_STRING zhucebiao_wode)
{
	KdPrint(("打印本驱动的注册表路径%wZ\n", zhucebiao_wode));
	HANDLE jubing=NULL;
	ULONG xiang_geshu = 0;
	jubing=chuanjianzhucebiao_xiang(L"\\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\services\\lisaisaidequdong_xiang");//创建注册表项
	jubing = dakaizhucebiao_xiang(L"\\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\services\\lisaisaidequdong_xiang");//打开注册表项
	shezhixiangdejiandezhi(jubing);//设置项的键的值
	xiang_geshu = chaxun_xiang(jubing);//查询项的子项个数
	meiju_xiang(jubing, xiang_geshu);//遍历子项
	//ZwDeleteKey(jubing);删除注册表_项
	ZwClose(jubing);
	qudongduixiang_wode->DriverUnload = xiezai1;
	return STATUS_SUCCESS;
}

内核与驱动_05_注册表
hskull的博客
02-14 861
文章目录注册表操作常用API基础操作打开:读:写驱动中注册表使用高级操作-遍历注册表 注册表操作 与应用程序编程的方式类似,注册表是一个巨大的树形结构,操作一般都是打开某个子健,子健下有若干个值可以获得,每一个值有一个名字。 子健一般用一个路径来表示,与应用程序编程不同的是这个路径的写法不一样,在应用编程中需要提供一个根子健的句柄,而驱动编程中则需要全部用路径表示。 下述是一个根子健句柄与内核注...
Win64 驱动内核编程-6.内核操作注册表
墨鱼菜鸡
12-18 185
内核操作注册表 RING0操作注册表和RING3的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核API不能使用WIN32API。不过内核里有一套RTL函数,把Zw系列的注册表函数进行了封装,也就是说,只剩下“执行操作”这一步了。 接下来说说...
Hook内核函数ZwSetValueKey
05-11
给初学驱动的人的一个简单例子,Hook掉内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候附加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
ZwEnumerateKey
黄少彬的专栏
02-06 1079
ZwEnumerateKeyThe ZwEnumerateKey routine returns information about the subkeys of an open registry key.NTSTATUS ZwEnumerateKey( IN HANDLE KeyHandle, IN ULONG Index,
ZwQueryValueKey
黄少彬的专栏
02-06 1263
ZwQueryValueKeyThe ZwQueryValueKey routine returns a value entry for a registry key.NTSTATUS ZwQueryValueKey( IN HANDLE KeyHandle, IN PUNICODE_STRING ValueName,
ZwQueryValueKey routine
死胖子的博客
02-05 1935
ZwQueryValueKey routine ZwQueryValueKey 返回一个注册表键的值。 Syntax   NTSTATUS ZwQueryValueKey(   _In_      HANDLE                      KeyHandle,   _In_      PUNICODE_STRING             ValueName,   _I
ZwQueryValueKey()查询键值使用
BCMY0110的博客
02-29 1066
直接上代码 .h文件 #pragma once #include<wdm.h> #define TAG 0x44434241 // 动态内存的标志 #ifdef __cplusplus extern "C" { #endif // __cplusplus NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRIN...
注册表操作
zhuhuibeishadiao
04-03 1807
先介绍一个有意思的 在删除文件中 有一个函数 BOOL WINAPI MoveFileEx( __in LPCTSTR lpExistingFileName, __in_opt LPCTSTR lpNewFileName, __in DWORD dwFlags ); 文档中是这么说的 If the dwFlags parameter specif
Windows驱动开发-注册表操作
weixin_42071117的博客
04-06 789
#include <ntddk.h> #include <windef.h> VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { KdPrint(("驱动卸载\n")); UNREFERENCED_PARAMETER(DriverObject); } VOID RegCreateTest() { NTSTATUS status = STATUS_SUCCESS; HANDLE hKey = NULL; HANDLE h
ZwOpenKey
黄少彬的专栏
02-06 1125
ZwOpenKeyThe ZwOpenKey routine opens an existing registry key. NTSTATUS ZwOpenKey( OUT PHANDLE KeyHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES
NtQueryValueKey
11-25
NtQueryValueKey NtQueryValueKey
ZwOpenKey routine
死胖子的博客
02-05 2022
ZwOpenKey routine ZwOpenKey 例程打开一个已经存在的注册表键。 Syntax   NTSTATUS ZwOpenKey(   _Out_ PHANDLE            KeyHandle,   _In_  ACCESS_MASK        DesiredAccess,   _In_  POBJECT_ATTRIBUTES ObjectAttrib
NT API 注册表键介绍ZW相关函数
木易云清
04-02 2054
核心提示:Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问,你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同,我想有必要描述一下它... Windows NT和Windows 98把配置信息和其它重要信息都记录到注
Windows内核函数 - 枚举子项
最新发布
wendyWJGU的博客
05-30 609
Windows内核函数 - 枚举子项
《Undocumented Windows 2000 Secrets》翻译 --- 附录B(表B-1)
Kendiv's Box
02-01 3335
附录  B内核API函数(Kernel API Functions) 附录B包含在第二章讨论的系统模块:win32k.sys、ntdll.dll和ntoskrnl.exe导出的函数列表。N/A表示不支持(Not Available)。 表B-1.    Windows 2000 Native API 函数名称INT 2ehNtdll.
8.5 Windows驱动开发:内核注册表增删改查
优快云
11-19 5260
注册表是Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息,注册表是一个巨大的树形结构,无论在应用层还是内核操作注册表都有独立的API函数可以使用,而在内核中读写注册表则需要使用内核装用API函数,如下将依次介绍并封装一些案例,实现对注册表的创建,删除,更新,查询等操作。 在Windows内核中,注册表是一种存储系统配置信息的机制,包括应用程序、硬件、驱动程序和操作系统的各种设置。内核提供了一些API函数,可以让驱动程序通过代码访问和修改注册表,以实现系统的配置和管理。
Windows内核函数 - 创建关闭注册表
wendyWJGU的博客
05-28 435
Windows内核函数 - 创建关闭注册表
内核模式的注册表操作(Windows 驱动开发详解)
qq_41071646的博客
01-09 2116
首先说一下 应用层的注册表操作 主要也就是 遍历 增删改查 之类 的 然后 RegOpenKeyEx  函数  这个可以  打开 其中 RegCreateKeyEx 可以创造 也可以打开  然后 RegSetVableEx 函数 在注册表下设置指定值的数据和类型    其中如果想实现 某个程序开机自启动的话 其实也很简单   只不过在windows10 或者有些win7 要权限的  BO...
64位内核开发第九讲,注册表编程.
weixin_30371469的博客
06-08 278
目录 一 注册表编程 二 注册表简介 2.1 ring3注册表 2.2 重启删除原理 三丶注册表API操作 3.1 Reg操作API 四丶注册表操作例子 4.1 ZwCreateKey创建key ...
Ring0内核层键值修改与源码打包工具发布
这通常涉及到调用如ZwOpenKey, ZwSetValueKey, ZwCreateKey等函数。 5. 安全性和稳定性:由于在Ring0下操作的危险性,需要确保代码的安全性和稳定性。这包括对输入参数进行校验,避免安全漏洞,如缓冲区溢出,以及...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值