我目前正在研究编写Windows内核模式驱动程序,并且在注册表访问方面,我在MSDN上找到了RtlQueryRegistryValues . 但是,虽然RtlQueryRegistryValues有助于查询实际的注册表值,但我想知道是否有用于确定给定regkey的子键数的注册表函数?再次,我在MSDN上找到RegQueryInfoKey,但我的理解是它适用于用户模式应用程序 . 是否有Windows内核模式驱动程序的等效功能?
谢谢 .
我目前正在研究编写Windows内核模式驱动程序,并且在注册表访问方面,我在MSDN上找到了RtlQueryRegistryValues . 但是,虽然RtlQueryRegistryValues有助于查询实际的注册表值,但我想知道是否有用于确定给定regkey的子键数的注册表函数?再次,我在MSDN上找到RegQueryInfoKey,但我的理解是它适用于用户模式应用程序 . 是否有Windows内核模式驱动程序的等效功能?
谢谢 .
1 回答
您可以在内核模式下使用ZwXxx函数,特别是带有KeyFullInformation参数的ZwQueryKey .
此API与其NtXxx类似物非常相似,您可以在内核模式下使用这两个API集 . 不同之处在于ZwXxx不执行某些访问检查和参数验证,因此运行速度更快 .
有关更多信息,请参阅this article