Windows内核-注册表操作(一)

最新推荐文章于 2024-08-17 14:27:30 发布
原创 最新推荐文章于 2024-08-17 14:27:30 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了一个Windows内核模式驱动程序如何实现对注册表的操作,包括创建、打开、设置和查询键值,以及枚举子键和键值等关键功能。 
///////////////////////////////////////////////////////////////////////////////
///
/// Copyright (c) 2014 - <company name here>
///
/// Original filename: RegOper.cpp
/// Project          : RegOper
/// Date of creation : 2014-06-20
/// Author(s)        : <author name(s)>
///
/// Purpose          : <description>
///
/// Revisions:
///  0000 [2014-06-20] Initial revision.
///
///////////////////////////////////////////////////////////////////////////////

// $Id$

#ifdef __cplusplus
extern "C" {
#endif
#include <ntddk.h>
#include <string.h>
#ifdef __cplusplus
}; // extern "C"
#endif

#define  M_REG_PATH L"\\REGISTRY\\MACHINE\\SOFTWARE\\WorldWang"
HANDLE g_hReg = NULL;


VOID DriverUnload(
    IN PDRIVER_OBJECT		DriverObject
    )
{
	KdPrint(("DriverUnload..."));
}

void mCloseReg()
{

	if (g_hReg)
	{
		ZwClose(g_hReg);
		g_hReg = NULL;
	}

}



NTSTATUS mCreateKey()
{

	NTSTATUS status = STATUS_SUCCESS;
	OBJECT_ATTRIBUTES obj;
	UNICODE_STRING usKey;
	RtlInitUnicodeString(&usKey,M_REG_PATH);

	ULONG uDisp;
	
	InitializeObjectAttributes(
		&obj,
		&usKey,
		OBJ_CASE_INSENSITIVE,
		NULL,
		NULL);

	status =  ZwCreateKey(
		&g_hReg,
		KEY_ALL_ACCESS,
		&obj,
		0,
		NULL,
		REG_OPTION_NON_VOLATILE,
		&uDisp);

	if (NT_SUCCESS(status))
	{
		if (uDisp == REG_CREATED_NEW_KEY)
		{
			KdPrint(("zwCreateKey ..REG_CREATED_NEW_KEY"));
		}else if (uDisp == REG_OPENED_EXISTING_KEY)
		{
			KdPrint(("zwCreateKey ..REG_OPENED_EXISTING_KEY"));
		}
	}else
	{
		KdPrint(("zwCreateKey error"));
		return status;
	}

	
}


NTSTATUS mOpenKey()
{

	NTSTATUS status = STATUS_SUCCESS;
	UNICODE_STRING usRegPath;
	OBJECT_ATTRIBUTES obj;
	RtlInitUnicodeString(&usRegPath,M_REG_PATH);

		InitializeObjectAttributes(
		&obj,
		&usRegPath,
		OBJ_CASE_INSENSITIVE,
		g_hReg,
		NULL);


	status = ZwOpenKey(&g_hReg,
		KEY_ALL_ACCESS,
		&obj);

	if (NT_SUCCESS(status))
	{
		if (status == STATUS_INVALID_HANDLE)
		{
			KdPrint(("ZwOpenKey STATUS_INVALID_HANDLE"));
		}else if (status == STATUS_ACCESS_DENIED)
		{
			KdPrint(("ZwOpenKey STATUS_ACCESS_DENIED"));
		}
		
	}else
	{
		KdPrint(("zwOpenKey error"));
		return status;
	}

	return status;

}

NTSTATUS mSetValueKey()
{
	NTSTATUS status = STATUS_SUCCESS;
	UNICODE_STRING usValueName;
	ULONG uData = 123321;


	UNICODE_STRING usSzName;
	PWCHAR szStr = L"his is a sz Data.123";

	RtlInitUnicodeString(&usSzName,L"szName");




	RtlInitUnicodeString(&usValueName,L"DWORDName");

	
	 status = ZwSetValueKey(g_hReg,
		 &usValueName,
		 0,
		REG_DWORD,
		&uData,
		sizeof(ULONG));
	 if (!NT_SUCCESS(status))
	 {
		 KdPrint(("ZwSetValueKey Dword Error"));
	 }


	 status = ZwSetValueKey(g_hReg,
		 &usSzName,
		 0,
		 REG_SZ,
		szStr,
		 wcslen(szStr)*sizeof(WCHAR)+2);

	 if (!NT_SUCCESS(status))
	 {
		 KdPrint(("ZwSetValueKey sz Error"));
	 }


	 return status;

}


NTSTATUS mQueryValueKey()
{
	NTSTATUS  status  = STATUS_SUCCESS;
	UNICODE_STRING usValueName;
	UNICODE_STRING usSzName;

	ULONG uSize;
	PKEY_VALUE_PARTIAL_INFORMATION kvpi;


	RtlInitUnicodeString(&usSzName,L"szName");
	RtlInitUnicodeString(&usValueName,L"DWORDName");


	status = ZwQueryValueKey(g_hReg,
	&usValueName,
	KeyValuePartialInformation,
	NULL,
	0,
	&uSize);

	if (status == STATUS_OBJECT_PATH_NOT_FOUND)
	{
		KdPrint(("ZwQueryValueKey STATUS_OBJECT_PATH_NOT_FOUND"));
		return status;
	}

	kvpi = (PKEY_VALUE_PARTIAL_INFORMATION)ExAllocatePool(PagedPool,uSize);


	status = ZwQueryValueKey(g_hReg,
		&usValueName,
		KeyValuePartialInformation,
		kvpi,
		uSize,//sizeof(KEY_VALUE_PARTIAL_INFORMATION),
		&uSize);

	if (status == STATUS_OBJECT_PATH_NOT_FOUND || uSize == 0)
	{
		KdPrint(("ZwQueryValueKey STATUS_OBJECT_PATH_NOT_FOUND"));
		return status;
	}

	if (kvpi->Type == REG_DWORD && kvpi->DataLength == sizeof(ULONG))
	{
		PULONG pUvalue = (PULONG)kvpi->Data;
		KdPrint(("pUValue:%d",*pUvalue));
	}


	ExFreePool(kvpi);
	kvpi = NULL;

	//////////////////////////////////////////////////////////////////////////
	uSize = 0;
	status = ZwQueryValueKey(g_hReg,
		&usSzName,
		KeyValuePartialInformation,
		NULL,
		0,
		&uSize);

	if (status == STATUS_OBJECT_PATH_NOT_FOUND)
	{
		KdPrint(("ZwQueryValueKey STATUS_OBJECT_PATH_NOT_FOUND"));
		return status;
	}

	kvpi = (PKEY_VALUE_PARTIAL_INFORMATION)ExAllocatePool(PagedPool,uSize);


	status = ZwQueryValueKey(g_hReg,
		&usSzName,
		KeyValuePartialInformation,
		kvpi,
		uSize,//sizeof(KEY_VALUE_PARTIAL_INFORMATION),
		&uSize);

	if (status == STATUS_OBJECT_PATH_NOT_FOUND || uSize == 0)
	{
		KdPrint(("ZwQueryValueKey STATUS_OBJECT_PATH_NOT_FOUND"));
		return status;
	}

	if (kvpi->Type == REG_SZ)
	{
		PWCHAR pSZ = (PWCHAR)kvpi->Data;
		KdPrint(("pSZ:%S",pSZ));
	}


	ExFreePool(kvpi);

return status;

}




NTSTATUS mEnumSubKey()
{
	
		NTSTATUS  status;
		HANDLE hdlEnumSubKey = NULL;
		OBJECT_ATTRIBUTES oa;
		UNICODE_STRING usReg;

		RtlInitUnicodeString(&usReg,L"\\Registry\\MACHINE");


		InitializeObjectAttributes(
			&oa,
			&usReg,
			OBJ_CASE_INSENSITIVE,
			NULL,
			NULL
			);


		status = ZwOpenKey(&hdlEnumSubKey,KEY_ALL_ACCESS,&oa);
		if (!NT_SUCCESS(status))
		{
			KdPrint(("ZwOpenKey error.."));
			return status;
		}
		

		PKEY_FULL_INFORMATION pkfi;
		ULONG uSize = 0;


		status = ZwQueryKey(
			hdlEnumSubKey,
			KeyFullInformation,
			NULL,
			0,
			&uSize);
		
		pkfi = (PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool,uSize);


		status = ZwQueryKey(
			hdlEnumSubKey,
			KeyFullInformation,
			pkfi,
			uSize,
			&uSize);


		if (!NT_SUCCESS(status))
		{
			return status;
		}

		for (int i=0;i<pkfi->SubKeys;i++)
		{


			PKEY_BASIC_INFORMATION  pkbi = NULL;
			ULONG uLength = 0;

			ZwEnumerateKey(
				hdlEnumSubKey,
				i,
				KeyBasicInformation,
				NULL,
				0,
				&uLength);


			pkbi = (PKEY_BASIC_INFORMATION)ExAllocatePool(PagedPool,uLength);


			ZwEnumerateKey(
				hdlEnumSubKey,
				i,
				KeyBasicInformation,
				pkbi,
				uLength,
				&uLength);

			UNICODE_STRING usRes;
			usRes.Length = usRes.MaximumLength = pkbi->NameLength;
			usRes.Buffer = pkbi->Name;

			KdPrint(("ZwEnumerateKey::i:%d---%wZ\n",i,&usRes));

			ExFreePool(pkbi);
			pkbi = NULL;


		}


		ExFreePool(pkfi);
		pkfi = NULL;

	return STATUS_SUCCESS;
}

NTSTATUS mEnumSubKeyValue()
{
	NTSTATUS  status;
	HANDLE hdlEnumSubKey = NULL;
	OBJECT_ATTRIBUTES oa;
	UNICODE_STRING usReg;

	RtlInitUnicodeString(&usReg,L"\\Registry\\MACHINE\\SYSTEM\\WorldWang");


	InitializeObjectAttributes(
		&oa,
		&usReg,
		OBJ_CASE_INSENSITIVE,
		NULL,
		NULL
		);


	status = ZwOpenKey(&hdlEnumSubKey,KEY_ALL_ACCESS,&oa);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("ZwOpenKey error.."));
		return status;
	}


	PKEY_FULL_INFORMATION pkfi;
	ULONG uSize = 0;


	status = ZwQueryKey(
		hdlEnumSubKey,
		KeyFullInformation,
		NULL,
		0,
		&uSize);

	pkfi = (PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool,uSize);


	status = ZwQueryKey(
		hdlEnumSubKey,
		KeyFullInformation,
		pkfi,
		uSize,
		&uSize);


	if (!NT_SUCCESS(status))
	{
		return status;
	}

	for (int i=0;i<pkfi->Values;i++)
	{


		PKEY_VALUE_BASIC_INFORMATION  pkvbi = NULL;
		ULONG uLength = 0;

		ZwEnumerateValueKey(
			hdlEnumSubKey,
			i,
			KeyValueBasicInformation,
			NULL,
			0,
			&uLength);


		pkvbi = (PKEY_VALUE_BASIC_INFORMATION)ExAllocatePool(PagedPool,uLength);


		ZwEnumerateValueKey(
			hdlEnumSubKey,
			i,
			KeyValueBasicInformation,
			pkvbi,
			uLength,
			&uLength);

		UNICODE_STRING usRes;
		usRes.Length = usRes.MaximumLength = pkvbi->NameLength;
		usRes.Buffer = pkvbi->Name;

		KdPrint(("ZwEnumerateValueKey::i:%d---%wZ\n",i,&usRes));

		ExFreePool(pkvbi);
		pkvbi = NULL;


	}


	ExFreePool(pkfi);
	pkfi = NULL;

	return STATUS_SUCCESS;
}


void mDeleteKeyValue()
{
	UNICODE_STRING usDwName;
	UNICODE_STRING usSzName;
	RtlInitUnicodeString(&usDwName,L"DWORDName");
	RtlInitUnicodeString(&usSzName,L"szName");
	
	ZwDeleteValueKey(g_hReg,&usDwName);
	ZwDeleteValueKey(g_hReg,&usSzName);

}

void mDeleteKey()
{
	NTSTATUS status = STATUS_SUCCESS;
	status = ZwDeleteKey(g_hReg);
	if (status == STATUS_ACCESS_DENIED)
	{
		KdPrint(("ZwDeleteKey  STATUS_ACCESS_DENIED.."));
	}else
	{
		KdPrint(("ZwDeleteKey  ok.."));
	}
}

#ifdef __cplusplus
extern "C" {
#endif
NTSTATUS DriverEntry(
    IN OUT PDRIVER_OBJECT   DriverObject,
    IN PUNICODE_STRING      RegistryPath
    )
{
	KdPrint(("DriverEntry..."));

   

	mOpenKey();
	mCreateKey();
	mCloseReg();

	mOpenKey();
	mSetValueKey();
	mQueryValueKey();
	mDeleteKeyValue();
	mDeleteKey();
	mCloseReg();
	//////////////////////////////////////////////////////////////////////////
	mEnumSubKey();

	mEnumSubKeyValue();


    DriverObject->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
#ifdef __cplusplus
}; // extern "C"
#endif

内核操作注册表
lygl35的博客
01-19 630
实现效果 注册表的查询,,可以查询到驱动的路径,把驱动拷贝到系统目录C:\Windows\System32\drivers,并且把驱动路径改为 C:\Windows\System32\drivers 知识点: 1、驱动文件在注册表中的路径 用 类似 “\SystemRoot\system32\drivers\afd.sys”这样的格式,比用 “??\C:\Windows\System32\drivers\MyDriver2.sys” 这种格式能满足你跟早的启动的需求 2、Start 值 越小启动越早,3是手
Win64 驱动内核编程-6.内核操作注册表
墨鱼菜鸡
12-18 198
内核操作注册表 RING0操作注册表和RING3的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核API不能使用WIN32API。不过内核里有套RTL函数,把Zw系列的注册表函数进行了封装,也就是说,只剩下“执行操作”这步了。 接下来说说...
Windows内核编程之:注册表操作
weixin_33752045的博客
05-17 218
注册表项:注册表中的个项目,类似于目录的概念注册表子项:类似于目录中的子目录键名:通过键名可以寻找到相应的键值键值类别:每个键值存储的时候有不同的类别,可以是整形,字符串等数据键值:键名下对应存储的数据 1、创建关闭注册表 /************************************************************************ * 函数名称:...
Windows驱动开发(5) - 内核模式下的注册表操作
Vinx Blog
04-17 1833
Windows驱动开发(5) - 内核模式下的注册表操作1、创建关闭注册表1.1 创建注册表NTSTATUS ZwCreateKey( _Out_ PHANDLE KeyHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttri
windows内核开发学习笔记四十四:注册表存储结构-储巢
jyl_sh的专栏
07-05 758
篇文章学习了注册表的逻辑结构,接下来我这篇文章来学习注册表的存储结构。注册表实际存储是由组储巢构成,每个储巢包含了个由键和值构成的层次结构。下面表是windows的各个储巢的注册表路径和文件路径。个系统的储巢列表存放在HKLM\SYSTEM\CurrentControlSet\Control\hivelist键下。当系统初始化时,HKLM\SYSTEM总是被先加载进来,然后配置管理器找到hivelist键,继续加载其他的储巢,并创建注册表的根键,将这些储巢连接起来,就建立起了完整的...
Windows-Kernel-Explorer:免费但功能强大的Windows内核研究工具
02-06
Windows-Kernel-Explorer(WKE)是款专为Windows内核研究设计的免费工具,它为开发者和安全研究人员提供了深入理解操作系统内核的窗口,是Windows调试和驱动开发的重要辅助软件。通过这款工具,用户可以查看、分析...
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
01-27
在Ring0层,Rootkit可以更有效地实现这些功能,因为它能直接操作内核数据结构,如文件系统和网络栈,来隐藏文件、注册表项和网络端口。 **隐藏文件和注册表项** 在Windows系统中,Rootkit可以修改文件系统驱动,使...
ring0驱动内核注册表监控程序.zip
01-27
注册表Windows操作系统中的个重要组件,存储着系统配置、应用程序设置等关键信息。注册表监控则是针对注册表的读写操作进行跟踪和记录的过程。通过监控注册表,可以了解哪些程序正在访问哪些键值,这对于系统...
windows内核开发学习笔记四十三:注册表逻辑结构
jyl_sh的专栏
07-05 1072
Windows系统的很多组件都是可以配置的
遍历注册表子项
10-12
本程序设计用于遍历注册表的子项,各位还可以根据此进行其它方面的扩展
Windows内核函数(3) - 内核模式下的注册表操作
收集学习过程中对自己有帮助的牛人文章
11-29 1296
转载自:http://mzf2008.blog.163.com/blog/static/355997862010111313716234/ 注册表里的几个概念:     1.       创建关闭注册表项 NTSTATUS    ZwCreateKey(     OUT PHANDLE  KeyHandle,     IN ACCESS_MASK
内核与驱动_05_注册表
hskull的博客
02-14 888
文章目录注册表操作常用API基础操作打开:读:写驱动中注册表使用高级操作-遍历注册表 注册表操作 与应用程序编程的方式类似,注册表个巨大的树形结构,操作般都是打开某个子健,子健下有若干个值可以获得,每个值有个名字。 子健般用个路径来表示,与应用程序编程不同的是这个路径的写法不样,在应用编程中需要提供个根子健的句柄,而驱动编程中则需要全部用路径表示。 下述是个根子健句柄与内核注...
WDK驱动开发之路——对注册表进行操作
AuddyTab的博客
11-22 300
#include <wdm.h> //卸载派遣函数 void DriverUnload(PDRIVER_OBJECT pdriver) { NTSTATUS status = STATUS_SUCCESS; DbgPrint("Driver Unload!"); } //驱动加载入口 NTSTATUS DriverEntry(PDRIVER_OBJECT pdriver, PUNICODE_STRING path) { DbgPrint("Hello Driver!!"); NTS.
内核模式的注册表操作Windows 驱动开发详解)
qq_41071646的博客
01-09 2165
首先说下 应用层的注册表操作 主要也就是 遍历 增删改查 之类 的 然后 RegOpenKeyEx  函数  这个可以  打开 其中 RegCreateKeyEx 可以创造 也可以打开  然后 RegSetVableEx 函数 在注册表下设置指定值的数据和类型    其中如果想实现 某个程序开机自启动的话 其实也很简单   只不过在windows10 或者有些win7 要权限的  BO...
递归遍历注册表
leo_xiongda的博客
04-24 988
内容暂待填充
WDK驱动开发之路——注册表回调
AuddyTab的博客
11-22 453
//当有注册表行为时进行回调 进行注册表保护 #include <wdm.h> #include <ntddk.h> #include <ntifs.h> LARGE_INTEGER cookies = {0}; //参数1决定操作类型 参数2决定操作数据 NTSTATUS RegisterCallBack(PVOID context,PVOID arg1,PVOID arg2) { NTSTATUS status = STATUS_SUCCESS; DbgP.
注册表提示“打开项时出错”或“无法打开Kernel”的解决办法
最新发布
lsy9202C的专栏
08-17 2736
注册表提示“打开项时出错”或“无法打开Kernel,由于某个错误无法打开该秘钥”
Windows驱动编程视频教程:注册表操作详解
6. **注册表操作示例**:示例中“创建”注册表项,可能意味着打开个键(如果不存在则创建),并在该键下创建新的子键或值项。创建操作通常伴随着对数据的初始设定,例如为个新安装的设备设置默认配置。 ###...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值