ZwRegistryOpen 规则 (wdm)
ZwRegistryOpen 规则指定在调用 ZwOpenKey 后,驱动程序仅在保持注册表项 (打开句柄时调用以下注册表函数,即在调用 ZwClose 或 ZwDeleteKey 之前) :
此规则还指定如果驱动程序已持有该注册表项的打开句柄,则不得调用 ZwOpenKey 。
最后,此规则指定驱动程序在持有注册表项的打开句柄时,不得从调度例程返回或取消例程。
此规则不会验证驱动程序在调用 ZwClose 或 ZwDeleteKey 时是否持有正确注册表项的打开句柄。
驱动程序模型:WDM
如何测试
| 编译时 |
|---|
运行 静态驱动程序验证程序 并指定 ZwRegistryOpen 规则。 使用以下步骤运行代码分析:有关详细信息,请参阅 使用静态驱动程序验证程序查找驱动程序中的缺陷。 |
适用于
ZwCloseZwCreateKeyZwDeleteKeyZwEnumerateKeyZwEnumerateValueKeyZwFlushKeyZwOpenKeyZwQueryKeyZwQueryValueKeyZwSetValueKey
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈