在遠景中如何REG.EXE的FLAGS開關工作嗎?分開2
筆記:這原來從http://mygreenpaste.blogspot.com內容.如果時間你正從一些另一地點,請花費拜訪我的格林漿糊公司看出它,感謝你.
從前,我計劃性地在遠景中寫作為REG.EXE FLAGS開關和包括一將設定一登記處關鍵的virtualization-相關旗幟的技術.這桿打算包括另一方提出問題為一登記處關鍵的virtualization-相關旗幟.再次,我們正和一個在NTDLL.DLL--NtQueryKey中"無證明檔案的"功能打交道:
NTSTATUS NtQueryKey(
IN HANDLE KeyHandle,
IN KEY_INFORMATION_CLASS KeyInformationClass,
OUT PVOID KeyInformation,
IN ULONG Length
OUT PULONG ResultLength );
為一關鍵找回旗幟,有KeyInformationClass的呼叫NtQueryKey開始工作WDM.h告訴我們是KeyFlagsInformation的5.
typedef enum _KEY_INFORMATION_CLASS {
KeyBasicInformation,
KeyNodeInformation,
KeyFullInformation,
KeyNameInformation,
KeyCachedInformation,
KeyFlagsInformation,
KeyVirtualizationInformation,
MaxKeyInfoClass // MaxKeyInfoClass should always be the last enum
} KEY_INFORMATION_CLASS當NtQueryKey返回的時候,為長度param的價值和緩衝記憶體((KeyInformation)的最後4位元組REG.EXE供應12被修改.
在«/\/\Ø|ö±ò\/»®Â邊寫下2008年7月9日沒有意見a9.
閱讀更的多的有關Sysinternals論壇和登記處virtualization和reg.exe旗幟和NtQueryKey和REG_KEY_DONT_VIRTUALIZE和旗幟和遠景和otherSoftware和REG_KEY_DONT_SILENT_FAIL和規章和Virtualization的文章.
