Win64 驱动内核编程-6.内核里操作注册表

最新推荐文章于 2024-10-21 16:33:28 发布
原创 最新推荐文章于 2024-10-21 16:33:28 发布 · 1.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核里操作注册表 #驱动 #WIN64驱动

本文介绍了在Win64驱动中如何进行注册表操作,虽然与用户态(RING3)相似,但需使用内核API。注册表本质上是存储在系统目录的HIVE文件,其根项只有两个:HKEY_LOCAL_MACHINE和HKEY_USERS。常见操作包括新建KEY、设置VALUE等,而Zw函数是进行这些操作的关键。

内核里操作注册表

RING0 操作注册表和 RING3 的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数,把 Zw系列的注册表函数进行了封装,也就是说,只剩下“执行操作”这一步了。

接下来说说注册表的本质。注册表其实是文件,它存储在 c:\windows\system32\config

这个目录下(打开目录,看到那几个带锁图标的文件就是。为什么带锁?因为被 SYSTEM 

程独占访问了)。注册表文件被称为 HIVE 文件,此格式是微软专用的,不公开,每个系统都不一定相同,但总体来说变化不大。当系统关机之前,或者调用 ZwFlushKey 时,把内存中的修改存入磁盘。另外,我们用 WINDOWS 自带的注册表编辑器看到的注册表有 个根项,其实 这 是 “ 幻 象 ”, 真 正 的 根 项 只 有 两 个 : HKEY_LOCAL_MACHINE 和 HKEY_USERS HKEY_CLASSES_ROOT 和 HKEY_CURRENT_CONFIG 其实都是 HKEY_LOCAL_MACHINE 

最低0.47元/天 解锁文章
Windows内核驱动开发】——读取注册表
zcr214的博客
11-28 3397
【我的】Windows驱动开发——读取注册表 作者:zcr214 时间:2016/5/5   注册表对于驱动来说是很重要的小伙伴,注册表可以很好的扮演用户到内核的桥梁角色,很多时候用户可以通过修改注册表的内容来达到控制驱动的目的。那么驱动要做的首先当然是读取到注册表啦,WDK提供了标准的接口函数,所以直接使用就可以了。 1.    ZwOpenKey()打开注册表 WDK提供了打开注册表
Win64 驱动内核编程-20.UnHook SSDT
天使也掉毛
03-23 1711
UNHOOK SSDT     要恢复 SSDT,首先要获得 SSDT 各个函数的原始地址,而 SSDT 各个函数的原始地址,自然是存储在内核文件的。于是,有了以下思路: 1.获得内核 KiServiceTable 的地址(变量名称:KiServiceTable) 2.获得内核文件在内核的加载地址(变量名称:NtosBase) 3.获得内核文件在 PE32+结构体的映像基址(变量名
天使也掉毛 Win64 驱动内核编程
11-24
天使也掉毛 Win64 驱动内核编程高清PDF,对于学习驱动帮助很大,需要的就下载吧
Windows内核函数(3) - 内核模式下的注册表操作
收集学习过程中对自己有帮助的牛人文章
11-29 1322
转载自:http://mzf2008.blog.163.com/blog/static/355997862010111313716234/ 注册表的几个概念:     1.       创建关闭注册表项 NTSTATUS    ZwCreateKey(     OUT PHANDLE  KeyHandle,     IN ACCESS_MASK
Windows内核编程之:注册表操作
weixin_33752045的博客
05-17 228
注册表项:注册表中的一个项目,类似于目录的概念注册表子项:类似于目录中的子目录键名:通过键名可以寻找到相应的键值键值类别:每个键值存储的时候有不同的类别,可以是整形,字符串等数据键值:键名下对应存储的数据 1、创建关闭注册表 /************************************************************************ * 函数名称:...
Win64 驱动内核编程-32.枚举与删除注册表回调
墨鱼菜鸡
12-18 371
枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那还有一层)。而在卡巴斯基等HIPS类软件...
Win64 驱动内核编程-15.回调监控注册表
墨鱼菜鸡
12-18 383
回调监控注册表WIN32平台上,监控注册表的手段通常是SSDTHOOK。不过用SSDTHOOK 的方式监控注册表实在是太麻烦了,要HOOK一大堆函数,还要处理一些NT6系统有而NT5系统没有的函数。下面我就来介绍一种完胜SSDTHOOK监控注册表的方法,效果跟S...
Win64 驱动内核编程-17. MINIFILTER(文件保护)
墨鱼菜鸡
12-18 502
MINIFILTER(文件保护) 使用HOOK来监控文件操作的方法有很多,可以在SSDT上HOOK一堆和FILE有关的函数,也可以对FSD进行IRPHOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在VISTA之后,推荐使用MINI...
驱动操作注册表
weixin_33682790的博客
06-29 358
1.Registry Key Object Routines A driver can manipulate a registry-key object by performing the following steps: Open a handle to the registry-key object. For more information, see Opening a Hand...
R0级操作注册表RegDriver
05-15
R0级操作注册表RegDriver R0级操作注册表RegDriver
windows 64驱动程序开发
03-13
微软的有关64驱动开发的移植和编程指南,对从32位转64位非常有帮助
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核使用内存 |-内核操作字符串 |-内核操作文件 |-内核操作注册表 |-内核操作进线程 |-驱动的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
Win64DriverStudy_Src:WIN64驱动编程基础教程-源码作者:胡文亮
03-24
#### WIN64驱动编程基础教程作者:胡文亮 原始码的编译环境是WDK7600 以下是记者介绍 【原创+福利+源码包】WIN64驱动编程基础教程(含PASS DSE的文件) 大家好,我的是Tesla.Angela。 这份指南本来是拿来出售的,不过由于某些原因导致部分章节出现在了互联网上,于是决定彻底公开了。 详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld 2.内核编程基础 | -WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核使用内存 |-内核操作字符串 |-内核操作文件 |-内核操作注册表 |-内核操作进线程 |-驱动的其他常用代码 3.内核HOOK与UNHOOK |-系统调用,WOW64与兼容模式 |-编程
驱动操作注册表
ccx_john的专栏
10-26 1388
注册表Windows的核心,日常的许多操作其实最终都是转化成了对注册表操作,在ring3我们就经常利用注册表达到一些简单而特殊的效果,例如实现自启动等。到了ring0,有关注册表操作更加频繁,在ring0我们主要使用Zw系列函数,与ZwCreateKey、ZwDeleteKey等。     除此之外,DDK还提供了一系列以Rtl开头的运行时函数,它们可以是对Zw系列函数的封装,可以有效地简
驱动注册表操作
最新发布
weixin_48257887的博客
10-21 165
【代码】驱动注册表操作
x64驱动操作注册表
LYSM
08-04 600
创建注册表目录 HANDLE create_regedit_dir(UNICODE_STRING registryPath) { // 初始化 OBJECT_ATTRIBUTES objectAttributes = { 0 }; InitializeObjectAttributes( &objectAttributes, // 返回 OBJECT_ATTRIBUTES 结构体指针 &registryPath, // 注册表路径 OBJ_CAS
六、 在驱动操作注册表
autumn20080101的专栏
12-05 2098
六、 在驱动操作注册表 注册表Windows的核心,日常的许多操作其实最终都是转化成了对注册表操作,我们经常需要利用注册表达到一些特殊的效果,例如实现自启动等。 Windows 下设备驱动程序的开发方法 2120080411 计算机应用 赖锡盛 19 6.1 创建、打开注册表 和文件操作类似,在操作注册表之前需要首先打开注册表,获得一个句柄,这可以通过函数ZwCreateKey完
Windows驱动开发-注册表操作
weixin_42071117的博客
04-06 822
#include <ntddk.h> #include <windef.h> VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { KdPrint(("驱动卸载\n")); UNREFERENCED_PARAMETER(DriverObject); } VOID RegCreateTest() { NTSTATUS status = STATUS_SUCCESS; HANDLE hKey = NULL; HANDLE h
全面解析WIN64驱动编程内核级技术
### WIN64驱动编程基础教程知识点详解 #### 0.基础的基础 ##### 学习WIN64驱动开发的...以上内容构成了WIN64驱动编程的基础,涵盖了从入门到高级的多个层面,是深入了解和学习Windows内核编程不可或缺的知识体系。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值