在用户态下面,有大把的API可供我们操作注册表,例如RegOpenKey,RegCloseKey等,这些API都是由windows提供给用户态使用的API。
那么对于驱动层了,因为驱动编程,并没有哪个能够提供额外的库可供我们调用,肯定是不能调用如RegOpenKey等这些API函数,那难道内核态就不能操作注册表嘛?答案显示是不成立的。那我们回头想想API的调用方式,任何注册表的操作,实际都是调用上层API,然后触发内核态API执行真正的操作,既然我们进入了内核态,那不是就可以直接调用上层API的真正实现函数么?于是乎,打开ntdll文件一看,大把的类似于ZwOpenKey,ZwEnumerateKey等函数,都是用来操作注册表的。如此,我们就一一的讨论关于注册表的一些常见操作。
一 注册表中常见数据结构
typedef struct _KEY_BASIC_INFORMATION {
LARGE_INTEGER LastWriteTime;
ULONG TitleIndex;
ULONG NameLength;
WCHAR Name[1]; // Variable-length string
} KEY_BASIC_INFORMATION, *PKEY_BASIC_INFORMATION;
typedef struct _KEY_NODE_INFORMATION {
LARGE_INTEGER LastWriteTime;
ULONG TitleIndex;
ULONG ClassOffset;
ULONG ClassLength;
ULONG NameLength;
WCHAR Name[1]; // Variable-length string
} KEY_NODE_INFORMATION, *PKEY_NODE_INFORMATION;
typedef _KEY_FULL_INFORMATION {
LARGE_INTEGER LastWriteTime;
ULONG TitleIndex;
ULONG ClassOffset;
ULONG ClassLength;
ULONG SubKeys;
ULONG MaxNameLen;
ULONG MaxClassLen;
ULONG Values;
ULONG MaxValueNameLen;
ULONG MaxValueDataLen;
WCHAR Class[1]; } KEY_FULL_INFORMATION; PKEY_FULL_INFORMATION
其中,KEY_BASIC_INFORMATION表示一个键下面所有的子键的信息;
KEY_NODE_INFORMATION表示该键的所有信息;
KEY_FULL_INFORMATION表示该键的所有信息,包括自身和子键的信息;
二 API函数概述
1.ZwCreateKey:打开或者创建一个新的注册表键;
2.ZwOpenKey:打开一个已在的注册表键;
3.ZwFlushKey:
4.ZwQueryKey:查询某注册表项所属的类,以及子键的数量和长度;
5.ZwQueryValueKey:查询某注册表项的所有键值信息;
6.ZwEnumerateKey:查询某子项的所有信息;
7.ZwEnumerateValueKey:获取某注册表子键的所有信息;
8.ZwClose:关闭注册表句柄;
三 注册表操作。
1.路径的表示方式
HEKY_LOCAL_MACHINE对应在内核编程里的写法是\Registery\Machine
HEKY_USERS对应在内核编程里的写法是\Registry\User
另外两个主目录暂时没讨论;
2.注册表基本操作
(1)枚举注册表键下面的所有子项:利用ZwQueryKey和ZwEnumerateKey完成。
如下例:
RtlInitUnicodeString(&ustrRegString,strKey);
InitializeObjectAttributes(&obj_attrib,&ustrRegString,OBJ_CASE_INSENSITIVE,NULL,NULL);
// 打开注册表
status = ZwOpenKey(&hRegister, KEY_READ, &obj_attrib);
ZwQueryKey(hRegister, KeyFullInformation, NULL, 0, &ulSize);
pfi = (PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool, ulSize);
ZwQueryKey(hRegister, KeyFullInformation, pfi, ulSize, &ulSize);
for (i = 0; i < pfi->SubKeys; i++)
{
ZwEnumerateKey(hRegister, i, KeyBasicInformation, NULL, 0, &ulSize);
pbi = (PKEY_BASIC_INFORMATION)ExAllocatePool(PagedPool, ulSize);
ZwEnumerateKey(hRegister, i, KeyBasicInformation, pbi, ulSize, &ulSize);
ustrKeyName.Length = (USHORT)pbi->NameLength;
ustrKeyName.Buffer = pbi->Name;
ExFreePool(pbi);
}
ExFreePool(pfi);
大致流程如下:
A.先将文件路径信息转换为OBJECT_ATTRIBUTES类型;(同文件操作一致)
B.打开路径对应的注册表项;
C.调用ZwQueryKey获取该键对应的子项内容;
D.调用ZwEnumrateKey获取子项的所有信息;
细心发现上面没个API函数都调用两次,第一次的目的是获取子项的大小,以此动态分配内存,节约存储空
间。
(2)枚举子项下面的某对应名字的子键的内容值
如下例:
RtlInitUnicodeString( &RegUnicodeKeyName,L"DisplayName");
InitializeObjectAttributes(&objectAttributes,pStrKey, OBJ_CASE_INSENSITIVE,NULL,NULL );
ntStatus = ZwOpenKey( &hRegister,GENERIC_READ,&objectAttributes);
ntStatus = ZwQueryValueKey(hRegister,&RegUnicodeKeyName,KeyValueFullInformation,NULL,0,&ulSize);
pvfi =(PKEY_VALUE_FULL_INFORMATION)ExAllocatePool(PagedPool,ulSize);
ZwQueryValueKey(hRegister,&RegUnicodeKeyName,KeyValueFullInformation,pvfi,ulSize,&ulSize);
调用流程不在敖述,大致同上面类似,只是最后取子键值的时候,调用ZwQueryValueKey获取,对于KeyValueFullInformation值,该值记载了子键对应的名字和内容,内容在名字之后,偏移是根据DataOffset获取的。
(3)枚举子项下面的所有子键信息
InitializeObjectAttributes(&objectAttributes,&RegUnicodeString,OBJ_CASE_INSENSITIVE,NULL, NULL );
ntStatus = ZwOpenKey( &hRegister,KEY_ALL_ACCESS, &objectAttributes);
ZwQueryKey(hRegister,KeyFullInformation,NULL,0,&ulSize);
pfi=(PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool,ulSize);
ZwQueryKey(hRegister,KeyFullInformation,pfi,ulSize,&ulSize);
for ( i=0;i<pfi->Values;i++)
{
ZwEnumeratueKey(hRegister,i,KeyValueBasicInformation,NULL,0,&ulSize);
pvbi =(PKEY_VALUE_BASIC_INFORMATION)ExAllocatePool(PagedPool,ulSize);
ZwEnumeratueKey(hRegister,i,KeyValueBasicInformation,pvbi,ulSize,&ulSize);
}
上面的流程首先打开某注册表子项,调用ZwQueryKey获取该子项对应的子键信息(数目和长度),然后调用ZwEnumeratueKey遍历该子项下面的所有子键信息。
微信
支付宝