ZwRegistry创建规则 (wdm)

ZwRegistryCreate 规则指定在调用 ZwCreateKey 后，驱动程序只能在持有注册表项的打开句柄时调用以下注册表函数， (即，在调用 ZwClose 或 ZwDeleteKey 之前关闭或删除注册表项的句柄) ：

• ZwClose

• ZwDeleteKey

• ZwEnumerateKey

• ZwEnumerateValueKey

• ZwFlushKey

• ZwQueryKey

• ZwQueryValueKey

• ZwSetValueKey

此规则还指定驱动程序不得调用 ZwCreateKey 或 ZwOpenKey （如果驱动程序已持有该注册表项的打开句柄）。

最后，此规则指定驱动程序在持有注册表项的打开句柄时，不得从调度例程返回或取消例程。

此规则不会验证驱动程序是否已调用 ZwCreateKey 或 ZwOpenKey 来获取注册表项的句柄，然后再关闭或删除注册表项。

驱动程序模型：WDM

如何测试

编译时
运行 静态驱动程序验证程序 并指定 ZwRegistryCreate 规则。 使用以下步骤运行代码分析： 准备代码 (使用角色类型声明) 。 运行静态驱动程序验证程序。 查看和分析结果。 有关详细信息，请参阅 使用静态驱动程序验证程序查找驱动程序中的缺陷。

适用于

ZwCloseZwCreateKeyZwDeleteKeyZwEnumerateKeyZwEnumerateValueKeyZwFlushKeyZwQueryKeyZwQueryValueKeyZwSetValueKey