Windows驱动开发(5) - 内核模式下的注册表操作
1、创建关闭注册表
1.1 创建注册表
NTSTATUS ZwCreateKey(
_Out_ PHANDLE KeyHandle,
_In_ ACCESS_MASK DesiredAccess,
_In_ POBJECT_ATTRIBUTES ObjectAttributes,
_Reserved_ ULONG TitleIndex,
_In_opt_ PUNICODE_STRING Class,
_In_ ULONG CreateOptions,
_Out_opt_ PULONG Disposition
);参数
- KeyHandle:[out] :获得的注册表句柄。
- DesiredAccess:[in] :访问权限,一般设置为KEY_ALL_ACCESS
- KEY_QUERY_VALUE:读键值
- KEY_SET_VALUE:写键值
- KEY_CREATE_SUB_KEY:创建键的子健
- KEY_ENUMERATE_SUB_KEYS:读键的子健
- KEY_CREATE_LINK:创建符号链接
- KEY_NOTIFY:
还可以指定下面的几个常量,它包含了一个或多个ACCESS_MASK标志。
- KEY_READ
- KEY_WRITE
- KEY_EXECUTE
- KEY_ALL_ACCESS
- ObjectAttributes:[in] :OBJECT_ATTRIBUTES 数据结构,指示打开的状态。
- TitleIndex:[in] :很少用到,一般设置为0。
- Class:[in] :很少用到,一般设置为NULL。
- CreateOptions:[in] :创建时的选项,一般设置为REG_OPTION_NON_VOLATILE。
- Disposition:[out] :返回是创建成功,还是打开成功。返回值是REG_CREATED_NEW_KEY,REG_OPENEND_EXISTING_KEY。
返回值
返回是否创建成功。
1.2 关闭注册表
NTSTATUS ZwClose(
_In_ HANDLE Handle
);
- Handle:注册表句柄
2、打开注册表
NTSTATUS ZwOpenKey(
_Out_ PHANDLE KeyHandle,
_In_ ACCESS_MASK DesiredAccess,
_In_ POBJECT_ATTRIBUTES ObjectAttributes
);- KeyHandle:返回被打开的句柄
- DesiredAccess:访问权限,一般设置为KEY_ALL_ACCESS
- ObjectAttributes:OBJECT_ATTRIBUTES 数据结构,指示打开的状态
- 返回值:返回是否创建成功。
3、添加、修改注册表键值
NTSTATUS ZwSetValueKey(
_In_ HANDLE KeyHandle,
_In_ PUNICODE_STRING ValueName,
_In_opt_ ULONG TitleIndex,
_In_ ULONG Type,
_In_opt_ PVOID Data,
_In_ ULONG DataSize
);- KeyHandle:注册表句柄
- ValueName:要新建或修改的键名
- TitleIndex:很少用,一般设为0
-
Type:键值类型
- REG_BINARY:二进制
- REG_SZ:宽字符串
- REG_EXPAND_SZ:扩展宽字符串
- REG_MULTI_SZ:多个字符串
- REG_DWORD:4字节整型
- REG_QWORD:8字节存储
- Data:对应Type类型的键值数据指针
- DataSize:记录键值数据的大小
- 返回值:返回新建或修改的结果
4、查询注册表
1)用ZwQueryValueKey 获取数据结构的长度。
2)分配如此长度的内存。
3)再次调用ZwQueryValueKey 查询。
4)回收内存。
NTSTATUS ZwQueryValueKey(
_In_ HANDLE KeyHandle,
_In_ PUNICODE_STRING ValueName,
_In_ KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass,
_Out_opt_ PVOID KeyValueInformation,
_In_ ULONG Length,
_Out_ PULONG ResultLength
);- KeyHandle:注册表句柄
- ValueName:要查询的键名
-
KeyValueInformationClass:根据KeyValueInformation的不同选择不同的查询类别
- KeyValueBasicInformation
- KeyValueFullInformation
- KeyValuePartialInformation
- KeyValueInformation:查询数据指针
- Length:要查数据的长度
- ResultLength:实际查询数据的长度
- 返回值:表示查询数据是否成功
5、枚举子项
用ZwQueryKey与ZwEnumerateKey 来枚举子项。
ZwQueryKey获取某注册表项究竟有多少个子项,而ZwEnumerateKey 针对第几个子项获取该子项的具体信息。
我们发现,凡是调用有长度的函数,一般都是两次调用,第一次调用来获得具体查询(使用该函数)需要的内存需要多大长度,第二次调用时来查询具体信息。
NTSTATUS ZwQueryKey(
_In_ HANDLE KeyHandle,
_In_ KEY_INFORMATION_CLASS KeyInformationClass,
_Out_opt_ PVOID KeyInformation,
_In_ ULONG Length,
_Out_ PULONG ResultLength
);- KeyHandle:注册表项的句柄
- KeyInformationClass:查询的类别,一般选择KeyFullInformation
- KeyInformation:查询的数据指针。
- Length:数据长度
- ResultLength:返回的数据长度
- 返回值:指示查询是否成功
NTSTATUS ZwEnumerateKey(
_In_ HANDLE KeyHandle,
_In_ ULONG Index,
_In_ KEY_INFORMATION_CLASS KeyInformationClass,
_Out_opt_ PVOID KeyInformation,
_In_ ULONG Length,
_Out_ PULONG ResultLength
);- KeyHandle:注册表项的句柄
- Index:很少用到,一般为0
- KeyInformationClass:查询的类别,一般选择KeyFullInformation
- KeyInformation:查询的数据指针。
- Length:子项信息的长度
- ResultLength:返回的子项信息的长度
- 返回值:指示枚举是否成功
6、枚举子健
通过ZwQueryKey与ZwEnumerateValueKey来枚举子键。
NTSTATUS ZwEnumerateValueKey(
_In_ HANDLE KeyHandle,
_In_ ULONG Index,
_In_ KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass,
_Out_opt_ PVOID KeyValueInformation,
_In_ ULONG Length,
_Out_ PULONG ResultLength
);7、删除子健
只能删除没有子项的项目。
NTSTATUS ZwDeleteKey(
_In_ HANDLE KeyHandle
);8、其他
DDK中定义了一些运行时函数来简化上面的操作。
- RtlCreateRegistryKey:创建注册表
- RtlCheckRegistryKey:检查注册表中的一个给定的名称键是否存在
- RtlWriteRegistryValue:写注册表
- RtlDeleteRegistryValue“删除注册表