網絡安全編程:注冊表操作常用API函數
注冊表的操作和文件的操作非常類似,也存在打開、關閉、寫入、查詢等操作,也就是“增、刪、改、查”的功能都具備,只是所使用的API函數都是以Reg開頭的。
1. 打開和關閉注冊表
操作注冊表需要通過可以操作注冊表的句柄,與文件操作類似。對注冊表進行讀寫前,需要通過API函數打開注冊表,并返回用于操作注冊表的句柄,通過操作注冊表的API函數來打開返回的句柄,然后對注冊表進行讀寫操作。當讀寫操作完成后,再通過API函數將打開的注冊表句柄進行關閉。
打開注冊表使用的函數是RegOpenKeyEx()。在Win16下有一個函數名為RegOpenKey(),雖然這個函數在Win32下仍然可用,但是這是為了兼容目的而設置的。RegOpenKeyEx()函數的定義如下:
- LONG RegOpenKeyEx(
- HKEY hKey, // handle to open key
- LPCTSTR lpSubKey, // subkey name
- DWORD ulOptions, // reserved
- REGSAM samDesired, // security access mask
- PHKEY phkResult // handle to open key
- );
參數說明如下。
hKey:指定一個父鍵句柄。
lpSubKey:指向一個字符串,用來表示要打開的子鍵名稱。
ulOptions:系統保留,必須指定為 0 值。
samDesired:打開注冊表的存取權限,為了方便對注冊表的操作,通常使用 KEY_ALL_ACCESS 即可。
phkResult:指向一個雙子變量,用來接收打開的子鍵句柄。
如果函數執行成功,則返回 ERROR_SUCCESS,并且在 phkResult 中保存返回打開子鍵的句柄。
所謂打開注冊表,實質是打開注冊表的某一個子鍵,然后進行操作。
當對注冊表操作完成后,則需要關閉已打開的注冊表句柄以便釋放資源。關閉釋放注冊表句柄的函數定義如下:
- LONG RegCloseKey(
- HKEY hKey // handle to key to close
- );
該函數只有一個參數,是RegOpenKeyEx()函數的最后一個參數,即被打開的注冊表句柄。
2. 創建和刪除子鍵
創建一個子鍵的API函數為RegCreateKeyEx(),其定義如下:
- LONG RegCreateKeyEx(
- HKEY hKey, // handle to open key
- LPCTSTR lpSubKey, // subkey name
- DWORD Reserved, // reserved
- LPTSTR lpClass, // class string
- DWORD dwOptions, // special options
- REGSAM samDesired, // desired security access
- LPSECURITY_ATTRIBUTES lpSecurityAttributes, // inheritance
- PHKEY phkResult, // key handle
- LPDWORD lpdwDisposition // disposition value buffer
- );
參數說明如下。
hKey:用來指定父鍵句柄。
lpSubKey:指向一個字符串,用來表示要創建的子鍵名稱。
Reserved:系統保留,必須指定為 0 值。
lpClass:子鍵類名,一般設置為 NULL 值。
dwOptions:創建子鍵時的選項,通常情況下使用 REG_OPTION_NON_VOLATILE宏,表示創建的子鍵被創建到注冊表文件中,而不是內存中。
samDesired:打開注冊表的存取權限,為了方便對注冊表的操作,通常使用 KEY_ALL_ ACCESS 即可。
lpSecurityAttributes:該參數指向一個 SECURITY_ATTRIBUTES 結構體,用來指定鍵句柄的安全屬性,這里一般使用 NULL。
phkResult:指向一個雙子變量,用來接收打開的子鍵句柄。
lpdwDisposition:一般設置為 NULL 值。
如果函數執行成功,則返回ERROR_SUCCESS,并且在phkResult中保存返回創建子鍵的句柄。當需要創建的子鍵已經存在的時候,該函數起到與RegOpenKeyEx()函數同樣的作用,那么打開注冊表也可以使用RegCreateKeyEx()函數進行代替。不過該函數的參數比RegOpenKeyEx()函數的參數多。因此為了在寫代碼時更簡便,打開注冊表的操作還是使用RegOpenKeyEx()函數較為省事。
刪除子鍵使用RegDeleteKey()函數,其定義如下:
- LONG RegDeleteKey(
- HKEY hKey, // handle to open key
- LPCTSTR lpSubKey // subkey name
- );
該函數的值能用來刪除鍵值項,也就是函數只能刪除最下一層的子鍵。函數有2個參數,hKey為父鍵句柄,lpSubKey為指向要刪除的子鍵名稱字符串。
3. 注冊表鍵值的查詢、寫入與刪除
讀取鍵名稱中的數據或者查詢鍵名稱的屬性使用RegQueryValueEx()函數,其定義如下:
- LONG RegQueryValueEx(
- HKEY hKey, // handle to key
- LPCTSTR lpValueName, // value name
- LPDWORD lpReserved, // reserved
- LPDWORD lpType, // type buffer
- LPBYTE lpData, // data buffer
- LPDWORD lpcbData // size of data buffer
- );
參數說明如下。
hKey:用來指定要讀取的鍵值項所處的子鍵句柄。
lpValueName:用來指定要讀取的鍵值項的名稱。
lpReserved:保留參數,必須為 NULL 值。
lpType:接收返回的鍵值類型,如果不需要返回鍵值項類型,可以給 NULL 值。
lpData:指向一個緩沖區,用來接收返回的鍵值數據。
lpcbData:在調用該函數時,這個參數用來指定緩沖區的長度;當函數返回時,該變量保存緩沖區實際接收到的長度。
寫入鍵值項的函數為 RegSetValueEx(),其定義如下:
- LONG RegSetValueEx(
- HKEY hKey, // handle to key
- LPCTSTR lpValueName, // value name
- DWORD Reserved, // reserved
- DWORD dwType, // value type
- CONST BYTE *lpData, // value data
- DWORD cbData // size of value data
- );
參數說明如下。
hKey:用來指定要寫入的鍵值項所處的子鍵句柄。
lpValueName:指向定義鍵值項名稱的字符串。
Reserved:保留參數,必須為 0 值。
dwType:指出要寫入的鍵值數據的類型。
lpData:指向要寫入鍵值數據的緩沖區。
cbData:要寫入鍵值數據的緩沖區長度。
刪除鍵值項的函數為RegDeleteValue(),其定義如下:
- LONG RegDeleteValue(
- HKEY hKey, // handle to key
- LPCTSTR lpValueName // value name
- );
參數說明如下。
hKey:用來指定刪除的句柄。
lpValueName:被刪除鍵值項的名稱。
4. 子鍵和鍵值的枚舉
枚舉就是逐一獲取。子鍵的枚舉對指定鍵下面的子鍵進行逐一的獲取。鍵值的枚舉是對指定子鍵下的鍵值進行逐一的獲取。
枚舉子鍵的函數為RegEnumKeyEx(),其定義如下:
- LONG RegEnumKeyEx(
- HKEY hKey, // handle to key to enumerate
- DWORD dwIndex, // subkey index
- LPTSTR lpName, // subkey name
- LPDWORD lpcName, // size of subkey buffer
- LPDWORD lpReserved, // reserved
- LPTSTR lpClass, // class string buffer
- LPDWORD lpcClass, // size of class string buffer
- PFILETIME lpftLastWriteTime // last write time
- );
參數說明如下。
hKey:指定被枚舉的鍵句柄。
dwIndex:指定需要返回信息的子鍵索引編號。
lpName:用戶接收返回子鍵名稱的緩沖區。
lpcName:在調用該函數前,該參數保存 lpName 指向緩沖區的長度;在該函數調用完成后,該參數保存緩沖區實際接收到的數據的長度。
lpReserved:保留參數,必須為 NULL 值。
lpClass:一般為 NULL 值。
lpcClass:一般為 NULL 值。
lpftLastWriteTime:指向一個 FILETIME 結構體,用于接收最后一次被寫入的時間。
枚舉鍵值的函數為RegEnumValue(),其定義如下:
- LONG RegEnumValue(
- HKEY hKey, // handle to key to query
- DWORD dwIndex, // index of value to query
- LPTSTR lpValueName, // value buffer
- LPDWORD lpcValueName, // size of value buffer
- LPDWORD lpReserved, // reserved
- LPDWORD lpType, // type buffer
- LPBYTE lpData, // data buffer
- LPDWORD lpcbData // size of data buffer
- );
參數說明如下。
hKey:指定被枚舉的鍵句柄。
dwIndex:指定需要返回信息的鍵值索引編號。
lpValueName:用戶接收返回鍵值名稱的緩沖區。
lpcValueName:在調用該函數前,該參數保存 lpValueName 指向緩沖區的長度;在該函數調用完成后,該參數保存緩沖區實際接收到的數據的長度。
lpReserved:保留參數,必須為 NULL 值。
lpType:指向一個用于返回鍵值數據類型的雙字變量。
lpData:用戶接收返回鍵值數據的緩沖區。
lpcbData:在調用該函數前,該參數保存 lpData 指向緩沖區的長度;在該函數調用完成后,該參數保存緩沖區實際收到的數據的長度。
與注冊表操作相關的函數就介紹到這里。以上是注冊表操作的常用函數,這里無法將注冊表操作相關的函數一一介紹,其他相關函數在具體使用時請參考 MSDN 進行學習。
