内核里操作注册表

RING0 操作注册表和 RING3 的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数,把 Zw系列的注册表函数进行了封装,也就是说,只剩下“执行操作”这一步了。

接下来说说注册表的本质。注册表其实是文件,它存储在 c:\windows\system32\config

这个目录下(打开目录,看到那几个带锁图标的文件就是。为什么带锁?因为被 SYSTEM 进

程独占访问了)。注册表文件被称为 HIVE 文件,此格式是微软专用的,不公开,每个系统都不一定相同,但总体来说变化不大。当系统关机之前,或者调用 ZwFlushKey 时,把内存中的修改存入磁盘。另外,我们用 WINDOWS 自带的注册表编辑器看到的注册表有 5 个根项,其实 这 是 “ 幻 象 ”, 真 正 的 根 项 只 有 两 个 : HKEY_LOCAL_MACHINE 和 HKEY_USERS 。HKEY_CLASSES_ROOT 和 HKEY_CURRENT_CONFIG 其实都是 HKEY_LOCAL_MACHINE 的“下属”。

HKEY_CURRENT_USER 则是 HKEY_USERS 的“下属”,独立列出来只为了方便操作。

关于注册表的操作不多,无非就是:新建 KEY、重命名 KEY、删除 KEY、新建/设置 VALUE、读取 VALUE、删除 VALUE、枚举子 KEY 和 VALUE。这里之所以用英文,是因为中文的表达较为混乱。比如 KEY,有的翻译为项,有的翻译为键;VALUE 有的翻译为值,有的翻译为键值。所以为了统一说法,就用英文 KEY 和 VALUE 了。

1.新建 KEY

//RegCreateKey(L"\\Registry\\Machine\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\A");

void RegCreateKey(LPWSTR KeyName)

{

OBJECT_ATTRIBUTES objectAttributes;

UNICODE_STRING usKeyName;

NTSTATUS ntStatus;

HANDLE hRegister;

RtlInitUnicodeString(&usKeyName, KeyName);

InitializeObjectAttributes(&objectAttributes,

&usKeyName,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

ZwCreateKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes, 0, NULL,

REG_OPTION_NON_VOLATILE, NULL);

ZwClose(hRegister);

}

2.重命名 KEY(不建议用,如果可以的话最好是 删除然后创建)

(这里用到的关键 API『ZwRenameKey』没有导出,需要自己定位,大家可以先

用硬编码测试。在 WINDNG 里输入 x nt!ZwRenameKey 即可获得函数地址)

typedef NTSTATUS(__fastcall *ZWRENAMEKEY)(IN HANDLE KeyHandle,IN PUNICODE_STRING ReplacementName);

//修改这个地址!!

ZWRENAMEKEY ZwRenameKey = 0xFFFFF80012345678;

void RegRenameKey(UNICODE_STRING usOldKeyName, UNICODE_STRING usNewKeyName)

{

OBJECT_ATTRIBUTES objectAttributes;

HANDLE hRegister;

NTSTATUS ntStatus;

InitializeObjectAttributes(&objectAttributes,

&usOldKeyName,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

ntStatus = ZwOpenKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes);

if (NT_SUCCESS(ntStatus))

{

ntStatus = ZwRenameKey(hRegister, &usNewKeyName);

ZwFlushKey(hRegister);

ZwClose(hRegister);

}

}

3.删除 KEY

void RegDeleteKey(LPWSTR KeyName)

{

OBJECT_ATTRIBUTES objectAttributes;

UNICODE_STRING usKeyName;

NTSTATUS ntStatus;

HANDLE hRegister;

RtlInitUnicodeString(&usKeyName, KeyName);

InitializeObjectAttributes(&objectAttributes,

&usKeyName,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

ntStatus = ZwOpenKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes);

if (NT_SUCCESS(ntStatus))

{

ntStatus = ZwDeleteKey(hRegister);

ZwClose(hRegister);

}}

4.新建/设置 VALUE

void RegSetValueKey(LPWSTR REG_KEY_NAME, LPWSTR REG_VALUE_NAME, DWORD

DataType, PVOID DataBuffer, DWORD DataLength)

{

OBJECT_ATTRIBUTES objectAttributes;

UNICODE_STRING usKeyName, usValueName;

NTSTATUS ntStatus;

HANDLE hRegister;

ULONG Type;

RtlInitUnicodeString(&usKeyName, REG_KEY_NAME);

RtlInitUnicodeString(&usValueName, REG_VALUE_NAME);

InitializeObjectAttributes(&objectAttributes,

&usKeyName,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

ntStatus = ZwOpenKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes);

if (NT_SUCCESS(ntStatus))

{

ntStatus = ZwSetValueKey(hRegister, &usValueName, 0, DataType,

DataBuffer, DataLength);

ZwFlushKey(hRegister);

ZwClose(hRegister);

}

}

5.读取 VALUE

typedef struct _KEY_VALUE_PARTIAL_INFORMATION {

ULONG TitleIndex;

ULONG Type;

ULONG DataLength;

UCHAR Data[1];

} KEY_VALUE_PARTIAL_INFORMATION, *PKEY_VALUE_PARTIAL_INFORMATION;

NTSTATUS RegQueryValue(UNICODE_STRING usKeyName, PUNICODE_STRING pValueName,

PKEY_VALUE_PARTIAL_INFORMATION *pkvpi)

{

ULONG ulSize;

NTSTATUS ntStatus;

PKEY_VALUE_PARTIAL_INFORMATION pvpi;

OBJECT_ATTRIBUTES objectAttributes;

HANDLE hRegister;

InitializeObjectAttributes(&objectAttributes,

&usKeyName,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

ntStatus = ZwOpenKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes);

if (!ntStatus)

{

return ntStatus;

}

ntStatus = ZwQueryValueKey(hRegister,

pValueName,

KeyValuePartialInformation,

NULL,

0,

&ulSize);

if (ntStatus == STATUS_OBJECT_NAME_NOT_FOUND || ulSize == 0)

{

return STATUS_UNSUCCESSFUL;

}

pvpi = (PKEY_VALUE_PARTIAL_INFORMATION)ExAllocatePool(PagedPool, ulSize);

ntStatus = ZwQueryValueKey(hRegister,

pValueName,

KeyValuePartialInformation,

pvpi,

ulSize,

&ulSize);

if (!NT_SUCCESS(ntStatus))

{

return STATUS_UNSUCCESSFUL;

}

*pkvpi = pvpi;  //这里的 pvpi 是没有释放的,用完要释放 ExFreePool(pvpi);

return STATUS_SUCCESS;

}

6.

删除 VALUE

void RegDeleteValueKey(LPWSTR REG_KEY_NAME, LPWSTR REG_VALUE_NAME)

{

OBJECT_ATTRIBUTES objectAttributes;

UNICODE_STRING usKeyName, usValueName;

NTSTATUS ntStatus;

HANDLE hRegister;

RtlInitUnicodeString(&usKeyName, REG_KEY_NAME);

RtlInitUnicodeString(&usValueName, REG_VALUE_NAME);

InitializeObjectAttributes(&objectAttributes,

&usKeyName,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

ntStatus = ZwOpenKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes);

if (NT_SUCCESS(ntStatus))

{

ntStatus = ZwDeleteValueKey(hRegister, &usValueName);

ZwFlushKey(hRegister);

ZwClose(hRegister);

}

}

7.枚举子 KEY

VOID EnumerateSubItemRegTest()

{

#define  MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\xxxxxxxx"

UNICODE_STRING RegUnicodeString;

HANDLE hRegister;

//初始化 UNICODE_STRING 字符串

RtlInitUnicodeString(&RegUnicodeString, MY_REG_SOFTWARE_KEY_NAME);

OBJECT_ATTRIBUTES objectAttributes;

//初始化 objectAttributes

InitializeObjectAttributes(&objectAttributes,

&RegUnicodeString,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

//打开注册表

NTSTATUS ntStatus = ZwOpenKey(&hRegister,

KEY_ALL_ACCESS,

&objectAttributes);

if (NT_SUCCESS(ntStatus))

{

KdPrint(("Open register successfully\n"));

}

ULONG ulSize;

//第一次调用 ZwQueryKey 为了获取 KEY_FULL_INFORMATION 数据的长度

ZwQueryKey(hRegister,

KeyFullInformation,

NULL,

0,

&ulSize);

PKEY_FULL_INFORMATION pfi =

(PKEY_FULL_INFORMATION)

ExAllocatePool(PagedPool, ulSize);

//第二次调用 ZwQueryKey 为了获取 KEY_FULL_INFORMATION 数据的数据

ZwQueryKey(hRegister,

KeyFullInformation,

pfi,

ulSize,

&ulSize);

for (ULONG i = 0; i<pfi->SubKeys; i++)

{

//第一次调用 ZwEnumerateKey 为了获取 KEY_BASIC_INFORMATION 数据的长度

ZwEnumerateKey(hRegister,

i,

KeyBasicInformation,

NULL,

0,

&ulSize);

PKEY_BASIC_INFORMATION pbi =

(PKEY_BASIC_INFORMATION)

ExAllocatePool(PagedPool, ulSize);

//第二次调用 ZwEnumerateKey 为了获取 KEY_BASIC_INFORMATION 数据的数据

ZwEnumerateKey(hRegister,

i,

KeyBasicInformation,

pbi,

ulSize,

&ulSize);

UNICODE_STRING uniKeyName;

uniKeyName.Length =

uniKeyName.MaximumLength =

(USHORT)pbi->NameLength;

uniKeyName.Buffer = pbi->Name;

KdPrint(("The %d sub item name:%wZ\n", i, &uniKeyName));

ExFreePool(pbi);

}

ExFreePool(pfi);

ZwClose(hRegister);

}

8.枚举子 VALUE

VOID EnumerateSubValueRegTest()

{

#define  MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\xxxxxxxx"

UNICODE_STRING RegUnicodeString;

HANDLE hRegister;

//初始化 UNICODE_STRING 字符串

RtlInitUnicodeString(&RegUnicodeString, MY_REG_SOFTWARE_KEY_NAME);

OBJECT_ATTRIBUTES objectAttributes;

//初始化 objectAttributes

InitializeObjectAttributes(&objectAttributes,

&RegUnicodeString,

OBJ_CASE_INSENSITIVE,//对大小写敏感

NULL,

NULL);

//打开注册表

NTSTATUS ntStatus = ZwOpenKey(&hRegister,

KEY_ALL_ACCESS,

&objectAttributes);

if (NT_SUCCESS(ntStatus))

{

KdPrint(("Open register successfully\n"));

}

ULONG ulSize;

//查询 VALUE 的大小

ZwQueryKey(hRegister,

KeyFullInformation,

NULL,

0,

&ulSize);

PKEY_FULL_INFORMATION pfi =

(PKEY_FULL_INFORMATION)

ExAllocatePool(PagedPool, ulSize);

ZwQueryKey(hRegister,

KeyFullInformation,

pfi,

ulSize,

&ulSize);

for (ULONG i = 0; i<pfi->Values; i++)

{

//查询单个 VALUE 的大小

ZwEnumerateValueKey(hRegister,

i,

KeyValueBasicInformation,

NULL,

0,

&ulSize);

PKEY_VALUE_BASIC_INFORMATION pvbi =

(PKEY_VALUE_BASIC_INFORMATION)

ExAllocatePool(PagedPool, ulSize);

//查询单个 VALUE 的详情

ZwEnumerateValueKey(hRegister,

i,

KeyValueBasicInformation,

pvbi,

ulSize,

&ulSize);

UNICODE_STRING uniKeyName;

uniKeyName.Length =

uniKeyName.MaximumLength =

(USHORT)pvbi->NameLength;

uniKeyName.Buffer = pvbi->Name;

KdPrint(("The %d sub value name:%wZ\n", i, &uniKeyName));

if (pvbi->Type == REG_SZ)

{

KdPrint(("The sub value type:REG_SZ\n"));

}

else if (pvbi->Type == REG_MULTI_SZ)

{

KdPrint(("The sub value type:REG_MULTI_SZ\n"));

}

else if (pvbi->Type == REG_DWORD)

{

KdPrint(("The sub value type:REG_DWORD\n"));

}

else if (pvbi->Type == REG_BINARY)

{

KdPrint(("The sub value type:REG_BINARY\n"));

}

ExFreePool(pvbi);

}

ExFreePool(pfi);

ZwClose(hRegister);

}

最后总结一下几个常见的、和注册表相关的Zw函数的功能:

Win64 驱动内核编程-6.内核里操作注册表的更多相关文章

  1. Win64 驱动内核编程-32.枚举与删除注册表回调

    枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果.部分游戏保护还会在注册表回调上做功夫,监控 service ...

  2. c++ 操作注册表

    1.       注册表简介 注册表是为Windows NT和Windows95中所有32位硬件/驱动和32位应用程序设计的数据文件,用于存储系统和应用程序的设置信息.16位驱动在Winnt (Win ...

  3. C#操作注册表全攻略

    相信每个人对注册表并不陌生,在运行里面输入“regedit”就可以打开注册表编辑器了.这东西对Windows系统来说可是比较重要的,也是病 毒常常会光顾的地方,比如病毒和恶意软件常常会在注册表的启动项 ...

  4. Process Monitor监控进程操作注册表如何实现?

    http://zhidao.baidu.com/link?url=Kqav4qkQSprC5FnpHPOGJvhqvY9fJ9-Vdx9g_SWh4w5VOusdRJo4Vl7qIdrG4LwRJvr ...

  5. [转]C#操作注册表

    原文链接:http://www.cnblogs.com/txw1958/archive/2012/08/01/csharp-regidit.html 下面我们就来用.NET下托管语言C#注册表操作,主 ...

  6. [荐]使用Js操作注册表

    使用Js操作注册表 要操作注册表需要通过ActiveX控件调用WScript.shell对象,通过该对象的一些方法来操作. WshShell对象:可以在本地运行程序.操纵注册表内容.创建快捷方式或访问 ...

  7. .Net操作注册表--un

    C#操作注册表 导入命名空间 Using MicroSoft.Win32;//64位系统装的64位版本

  8. C#获取cpu序列号 硬盘ID 网卡硬地址以及操作注册表 .

    转:http://blog.csdn.net/smartsmile2012/article/details/8682295 #region 获取cpu序列号 硬盘ID 网卡硬地址 /**/ /// & ...

  9. VBS 操作注册表 十六进制

    使用VBS操作注册表,通常使用RegRead/RegWrite/RegDelete方法,如: RegRead: 'read.vbs(将以下代码存为read.vbs文件) Dim OperationRe ...

随机推荐

  1. 25个关键技术点,带你熟悉Python

    摘要:本文收纳了Python学习者经常使用的库和包,并介绍了Python使用中热门的问题. 01.Python 简介 什么是 Python 一种面向对象的高级动态可解释型脚本语言. Python 解释 ...

  2. WebRTC 音视频同步原理与实现

    所有的基于网络传输的音视频采集播放系统都会存在音视频同步的问题,作为现代互联网实时音视频通信系统的代表,WebRTC 也不例外.本文将对音视频同步的原理以及 WebRTC 的实现做深入分析. 时间戳 ...

  3. python基础学习之函数基础和部分内置函数

    在函数调用的时候,必备参数必须要传入 函数定义: def  函数名: 代码块pass return  返回值 函数名命名规则: 字母.数字和下划线组成,和变量命名规则一致 pass在这里表示什么都没有 ...

  4. 安全框架Drozer安装和简单使用

    安全框架Drozer安装和简单使用 说明: drozer(即以前的Mercury)是一个开源的Android安全测试框架 drozer不是什么新工具,但确实很实用,网上的资料教程都很多了,最近自己项目 ...

  5. 推荐模型DeepCrossing: 原理介绍与TensorFlow2.0实现

    DeepCrossing是在AutoRec之后,微软完整的将深度学习应用在推荐系统的模型.其应用场景是搜索推荐广告中,解决了特征工程,稀疏向量稠密化,多层神经网路的优化拟合等问题.所使用的特征在论文中 ...

  6. Flutter教程- Dart语言规范-知识点整理

    Flutter教程- Dart语言知识点整理 Dart语言简介 Dart语言介绍 ① 注释的方式 ② 变量的声明 ③ 字符串的声明和使用 ④ 集合变量的声明 ⑤ 数字的处理 ⑥ 循环的格式 ⑦ 抛异常 ...

  7. MySQL按天备份二进制日志

    #!/usr/bin/env python # -*- coding:utf-8 -*- # Author:guozhen.zhang     import MySQLdbimport timeimp ...

  8. 2020年Acm暑期考核Hznu _2797

    题目链接:http://acm.hznu.edu.cn/OJ/problem.php?id=2797 题意:求1-N中有多少数字满足: x是正整数且无前导0. x(mod 666) = S(x). 6 ...

  9. Activity类组成分析(一)Instrumentation

    目录 前言 解剖 继承关系 重要成员 Instrumentation 总结 前言 要了解清楚StartActivity的过程,Activity对象实例的构造过程是重要组成部分:而要弄清楚Activit ...

  10. GoldenEye靶机work_through暨CVE-2013-3630复现

    前言 备考OSCP,所以接下来会做一系列的OSCP向靶机来练手 靶机描述 I recently got done creating an OSCP type vulnerable machine th ...