ZwRegistry 创建规则 (storport)
此规则验证使用 ZwCreateKey 创建的注册表项的句柄随后是否被其他 ZwXxx 例程正确使用。 不得在已打开的句柄上调用 ZwOpenKey 例程。 不能在未打开的句柄上调用 ZwEnumerateKey、ZwEnumerateValueKey、ZwFlushKey、ZwQueryKey、ZwQueryValueKey、ZwSetValueKey、ZwClose 和 ZwDeleteKey 例程。 在返回之前,还必须关闭句柄。
驱动程序模型:Storport
如何测试
| 编译时 |
|---|
运行 静态驱动程序验证程序 并指定 ZwRegistryCreate 规则。 使用以下步骤运行代码分析:有关详细信息,请参阅 使用静态驱动程序验证程序查找驱动程序中的缺陷。 |
适用于
ZwCloseZwCreateKeyZwDeleteKeyZwEnumerateKeyZwEnumerateValueKeyZwFlushKeyZwOpenKeyZwQueryKeyZwQueryValueKeyZwSetValueKey