和枚举子项类似,枚举自检是通过ZwQueryKey和ZwEnumerateValueKey两个函数的配合完成的。
ZwEnumerateValueKey函数的使用和ZwEnumerateKey函数的使用类似。
下面的例子演示了如何在驱动程序中枚举子键。
UNICODE_STRING RegUnicodeStr;HANDLE hRegister;// 初始化 UNICODE_STRINGRtlInitUnicodeString(&RegUnicodeStr, MY_REG_SOFTWARE_KEY_NAME);OBJECT_ATTRIBUTES objectAttributes;// 初始化objectAttributesInitializeObjectAttributes(&objectAttributes,&RegUnicodeStr,OBJ_CASE_INSENSITIVE, // 对大小写敏感NULL,NULL);// 打开注册表项NTSTATUS ntStatus = ZwOpenKey(&hRegister,KEY_ALL_ACCESS,&objectAttributes);// 判断操作是否成功if (NT_SUCCESS(ntStatus)){KdPrint(("Open register successfully. \n"));}// 第一次调用ZwQueryKey,为了获取PKEY_FULL_INFORMATION 数据的长度ULONG ulSize;ZwQueryKey(hRegister,KeyFullInformation,NULL,0,&ulSize);PKEY_FULL_INFORMATION pfi =(PKEY_FULL_INFORMATION)ExAllocatePool(PagedPool, ulSize);// 第二次调用ZwQueryKey,为了获取 KEY_FULL_INFORMATION 数据ZwQueryKey(hRegister,KeyFullInformation,pfi,ulSize,&ulSize);for (ULONG i = 0; i < pfi->Values; i++){// 枚举注册表 第一次调用 ZwEnumerateKey, 为了获取 KEY_VALUE_BASIC_INFORMATION 数据的长度ZwEnumerateValueKey(hRegister,i,KeyValueBasicInformation,NULL,0,&ulSize);PKEY_VALUE_BASIC_INFORMATION pbi =(PKEY_VALUE_BASIC_INFORMATION)ExAllocatePool(PagedPool, ulSize);// 枚举注册表 第二次调用 ZwEnumerateKey, 为了获取 KEY_VALUE_BASIC_INFORMATION 数据ZwEnumerateValueKey(hRegister,i,KeyValueBasicInformation,pbi,ulSize,&ulSize);UNICODE_STRING uniKeyName;uniKeyName.Length = pbi->NameLength;uniKeyName.MaximumLength = pbi->NameLength;uniKeyName.Buffer = pbi->Name;KdPrint(("The %d sub value name: %wZ\n", i, &uniKeyName));if (pbi->Type == REG_SZ){KdPrint(("The sub value type : REG_SZ\n"));}else if (pbi->Type == REG_MULTI_SZ){KdPrint(("The sub value type : REG_MULTI_SZ\n"));}else if (pbi->Type == REG_DWORD){KdPrint(("The sub value type : REG_DWORD\n"));}else if (pbi->Type == REG_BINARY){KdPrint(("The sub value type : REG_BINARY\n"));}// 回收内存ExFreePool(pbi);}// 回收内存ExFreePool(pfi);// 关闭句柄ZwClose(hRegister);
