Windows内核:读注册表键的值

最新推荐文章于 2026-03-24 11:25:53 发布
原创 最新推荐文章于 2026-03-24 11:25:53 发布 · 646 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了一种读取Windows注册表键值的方法,并通过实验发现实际需要长度与输入长度可能不同。文中提供了具体的代码实现过程,包括初始化、读取及打印注册表键值等步骤。

今天 , 调试了一下读注册表键的值,有一个很有意思的发现实际需要长度aclength 和 输入长度DataLength可以是不一样的(虽然无法解释 ,但不影响使用)

打印键值直接采用

RtlInitUnicodeString(&value, ac_key_infor->Data);

KdPrintEx((DPFLTR_DEFAULT_ID, DPFLTR_ERROR_LEVEL, "%wZ", &value));

Data确实是可变长度的数组啊  !! 因为数据结构里,他起先只是一个长度的数组  UCHAR  DATA[1].


#include <ntddk.h>
#include <Ntstrsafe.h>
#include "set.h"



NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path){


HANDLE my_key;
NTSTATUS status;


driver->DriverUnload = DU;


UNICODE_STRING  my_key_path = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion");
OBJECT_ATTRIBUTES  my_obj_attr = { 0 };

InitializeObjectAttributes(&my_obj_attr, &my_key_path, OBJ_CASE_INSENSITIVE, NULL, NULL);
status = ZwOpenKey(&my_key, KEY_READ, &my_obj_attr);


if (!NT_SUCCESS(status)){


}


UNICODE_STRING  my_key_name = RTL_CONSTANT_STRING(L"SystemRoot");
KEY_VALUE_PARTIAL_INFORMATION  key_infor;
PKEY_VALUE_PARTIAL_INFORMATION   ac_key_infor = &key_infor;
ULONG  aclength = 0;
UNICODE_STRING value;
status  = ZwQueryValueKey(my_key ,&my_key_name , KeyValuePartialInformation,&key_infor  ,
sizeof(KEY_VALUE_PARTIAL_INFORMATION) ,&aclength);

ULONG temp = sizeof(KEY_VALUE_PARTIAL_INFORMATION);
//失败

//如果没有失败则分配足够的空间再次读取
ac_key_infor = ExAllocatePoolWithTag(NonPagedPool, aclength, MEM_TAG);
status = ZwQueryValueKey(my_key, &my_key_name, KeyValuePartialInformation, ac_key_infor,
aclength, &aclength);

RtlInitUnicodeString(&value, ac_key_infor->Data);


KdPrintEx((DPFLTR_DEFAULT_ID, DPFLTR_ERROR_LEVEL, "%wZ", &value));
}

Windows内核驱动开发】——注册表
zcr214的博客
11-28 3473
【我的】Windows驱动开发——注册表 作者:zcr214 时间:2016/5/5   注册表对于驱动来说是很重要的小伙伴,注册表可以很好的扮演用户到内核的桥梁角色,很多时候用户可以通过修改注册表的内容来达到控制驱动的目的。那么驱动要做的首先当然是取到注册表啦,WDK提供了标准的接口函数,所以直接使用就可以了。 1.    ZwOpenKey()打开注册表 WDK提供了打开注册表
DebugView for Vista Windows 7 打印显示问题
chenyujing1234的专栏
12-12 1745
使用DebugView打印内核调试信息是开发驱动的非常重要的手段,但DebugView在VISTA/WINDOWS 7下却无法获取内核的调试日志,修改方法是:     HKLM/SYSTEM/CurrentControlSet/Control/Session Manager,打开或者创建子项Debug Print Filter,然后新建一个DWORDDEFAULT,将其设置成0xF,重启即可。
Win 驱动编程 - 内核操作注册表
bcbobo21cn的专栏
06-05 724
一 概述 RING0 操作注册表和 RING3 的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核 API 不能使用 WIN32API。不过内核有一套 RTL 函数,把 Zw系列的注册表函数进行了封装。 接下来说说注册表的本质。注册表其实是文件,它存储在 c:\windows\system32\config 这个目录下(打开目录,看到那几个带锁图标的文件就是。为什么带锁?因为被 SYSTEM 进 程独占访问了)。注册表文件被称为 HIVE 文件,此格..
内核下的注册表操作
qq_41490873的博客
07-23 1313
注册表的相关概念 创建关闭注册表 ZwCreateKey NTSYSAPI NTSTATUS ZwCreateKey( PHANDLE KeyHandle, //获得的注册表句柄 ACCESS_MASK DesiredAccess, //访问权限,一般设置为KEY_ALL_ACCESS POBJECT_ATTRIBUTES ObjectAttributes, //OBJECT_ATTRIBUTES数据结构指针 ULONG Ti
Windows驱动开发(5) - 内核模式下的注册表操作
Vinx Blog
04-17 1901
Windows驱动开发(5) - 内核模式下的注册表操作1、创建关闭注册表1.1 创建注册表NTSTATUS ZwCreateKey( _Out_ PHANDLE KeyHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttri
驱动开发:内核注册表增删改查
热门推荐
LYSHARK
06-21 1万+
注册表Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息,注册表是一个巨大的树形结构,无论在应用层还是内核层操作注册表都有独立的API函数可以使用,而在内核注册表则需要使用内核装用API函数,如下将依次介绍并封装一些案例,实现对注册表的创建,删除,更新,查询等操作。
Windows Internals》10.1.2 注册表的使用场景:Windows 到底在什么时候“”和“写”注册表
最新发布
CSDN 操作系统技术领域专家,专注企业级 Windows 桌面运维、Sysinternals 证据链排障、PowerShell 自动化与系统部署,持续沉淀一线实战经验。
03-24 1801
摘要 本文解析了《Windows Internals》中关于注册表使用场景的核心内容。注册表并非简单的配置集合,而是贯穿Windows系统关阶段(启动、内核初始化、用户登录、应用运行)的配置中枢。文章详细阐述了注册表在四个主要时机的取过程:初始启动时boot loader取启动配置,内核初始化时加载驱动和系统参数,用户登录时恢复个性化设置,应用启动时取程序配置。同时指出注册表的常见修改场景包括系统/软件/驱动安装及设置变更。这种"配置剧本"式的理解方式,能帮助者更好地掌握注册表
8.5 Windows驱动开发:内核注册表增删改查
LYSHARK
11-19 5555
注册表Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息,注册表是一个巨大的树形结构,无论在应用层还是内核层操作注册表都有独立的API函数可以使用,而在内核注册表则需要使用内核装用API函数,如下将依次介绍并封装一些案例,实现对注册表的创建,删除,更新,查询等操作。 在Windows内核中,注册表是一种存储系统配置信息的机制,包括应用程序、硬件、驱动程序和操作系统的各种设置。内核提供了一些API函数,可以让驱动程序通过代码访问和修改注册表,以实现系统的配置和管理。
Windows内核-注册表操作(一)
World-wang
06-20 1165
/////////////////////////////////////////////////////////////////////////////// /// /// Copyright (c) 2014 - /// /// Original filename: RegOper.cpp /// Project : RegOper /// Date of creation
DebugView配置显示KdPrintEx调试信息
qonsnow的博客
05-25 1042
DebugView配置显示KdPrintEx调试信息 今天编写驱动,想通过DebugView捕获驱动中KdPrintEx函数产生的调试信息。而DebugView有多种捕获选项。因此究竟哪种能捕获到KdPrintEx产生的调试信息呢? Capture Win32 Capture Global Win32 Capture Kernel Enable Verbose Kernel Output Pass-Through Capture Events Log Boot 经过测试发现只有同时开启Capture K
KdPrintEx DbgPrintEx KdPrint DbgPrint 的输出格式
jiangc251的博客
04-20 1514
Unicode_String  使用  %wZ Ansi_String 使用 %Z
Windows内核函数(3) - 内核模式下的注册表操作
收集学习过程中对自己有帮助的牛人文章
11-29 1354
转载自:http://mzf2008.blog.163.com/blog/static/355997862010111313716234/ 注册表的几个概念:     1.       创建关闭注册表项 NTSTATUS    ZwCreateKey(     OUT PHANDLE  KeyHandle,     IN ACCESS_MASK
Windows内核函数 - 查询注册表
wendyWJGU的博客
05-30 732
Windows内核函数 - 查询注册表
DbgPrintEx KdPrintEx 如何输出信息
sqqsongqiqi的专栏
06-06 3598
详细内容参看msdn: https://msdn.microsoft.com/en-us/library/ff551519%28v=vs.85%29.aspx
深度剖析WinPcap之(六)——驱动程序的初始化与清除(3)
理性的幻想
06-22 777
本文转自http://eslxf.blog.51cto.com/918801/197742   1.3.2        getTcpBindings函数 函数getTcpBindings返回绑定到TCP/IP的MAC。函数原型如下: PKEY_VALUE_PARTIAL_INFORMATION getTcpBindings(VOID); 如果getAdaptersList函
KdPrint使用方法
王俊超 专栏
01-24 1万+
KdPrint使用方法类似printf,注意KdPrint((" ",  ));使用的是双括号。用KdPrint(())来代替printf 输出信息。这些信息可以在DbgView 中看到。KdPrint(())自身是一个宏,为了完整传入参数所以使用了两重括弧。这个比DbgPrint 调用要稍好。因为在free 版不被编译。DebugPrint格式说明符         格式说明符                类型%c ANSI字符                 char%C 宽字符           
Windows内核--DbgPrint/KdPrint Kernel log(3.1)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-05 1707
Kernel和Driver可以通过DbgPrint或DbgPrintEx打log. Windows内核并不会把Kernel log用UART输出,而是通过系统服务(int 2dh)的方式输出. DbgPrint的实现确实不走寻常路!
深度剖析WinPcap之(三)——所涉及的Windows驱动基础知识(4)
理性的幻想
06-22 843
本文转自http://eslxf.blog.51cto.com/918801/196917   v/:* {behavior:url(#default#VML);} o/:* {behavior:url(#default#VML);} w/:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);} 1.1.8 内
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值