ZwFlushKey可以提交子键吗？

kbkb1216 2013-11-28 05:23:17

想备份当前注册表，但是在备份之前需要将内存中的修改数据提交到文件系统，找到一个名为ZwFlushKey的函数，但是有几点疑问：
1、如果给的参数是根键的句柄它能提交该根键的所有子键吗？
2、该函数可以提交非该驱动修改的数据吗？

...全文

73 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大，同样是“获得句柄->执行操作->关闭句柄”的模式，同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数，把 Zw系列的注册表函数进行了封装，也就是说，只剩下“执行操作”这一步了。接下来说说注册表的本质。注册表其实是文件，它存储在 c:\windows\system32\config 这个

注册表是Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息，注册表是一个巨大的树形结构，无论在应用层还是内核层操作注册表都有独立的API函数可以使用，而在内核中读写注册表则需要使用内核装用API函数，如下将依次介绍并封装一些案例，实现对注册表的创建，删除，更新，查询等操作。同时，需要仔细考虑键的名称和路径等信息，确保要列举值的键是正确的，并且不会对系统造成不良影响。同时，需要仔细考虑键的名称和路径等信息，确保要写入值的键是正确的，并且不会对系统造成不良影响。

代码来自TA.张帆和部分书籍《windows内核安全与与驱动开发》详细说明可以到此http://msdn.microsoft.com/en-us/library/windows/hardware/ff567122(v=vs.85).aspx查询 ZwCreateKey 创建 KEY ZwDeleteKey 删除 KEY ZwDeleteValueKey 删除 VALUE Z

核心提示：Windows NT和Windows 98把配置信息和其它重要信息都记录到注册表(registry)中。WDM驱动程序可以使用表3-9列出的函数访问注册表。如果你在用户模式编程中曾涉及过注册表访问，你可能会猜出如何在驱动程序中使用这些函数。然而这些内核模式中的支持函数确有些不同，我想有必要描述一下它... Windows NT和Windows 98把配置信息和其它重要信息都记录到注

一概述 RING0 操作注册表和 RING3 的区别也不大，同样是“获得句柄->执行操作->关闭句柄”的模式，同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数，把 Zw系列的注册表函数进行了封装。接下来说说注册表的本质。注册表其实是文件，它存储在 c:\windows\system32\config 这个目录下（打开目录，看到那几个带锁图标的文件就是。为什么带锁？因为被 SYSTEM 进程独占访问了）。注册表文件被称为 HIVE 文件，此格..

驱动开发/核心开发

21,618

社区成员

21,708

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章