ZwRegistryCreate 規則 (wdm)

ZwRegistryCreate 規則會指定在呼叫 ZwCreateKey 之後，驅動程式只能呼叫下列登錄函式，同時保留開啟的登錄機碼 (，也就是在對 ZwClose 或 ZwDeleteKey 的任何呼叫之前，關閉或刪除登錄機碼的句柄) ：

• ZwClose

• ZwDeleteKey

• ZwEnumerateKey

• ZwEnumerateValueKey

• ZwFlushKey

• ZwQueryKey

• ZwQueryValueKey

• ZwSetValueKey

如果驅動程式已經持有該登錄機碼的開啟句柄，此規則也會指定驅動程式不得呼叫 ZwCreateKey 或 ZwOpenKey 。

最後，此規則會指定驅動程式不得從分派例程或取消例程傳回，同時保存登錄機碼的開啟句柄。

此規則不會驗證驅動程式已呼叫 ZwCreateKey 或 ZwOpenKey ，以在關閉或刪除登錄機碼之前取得登錄機碼的句柄。

驅動程式模型：WDM

測試方法

在編譯時期
執行 靜態驅動程式驗證器 並指定 ZwRegistryCreate 規則。 使用下列步驟來執行程式碼的分析： 準備程式代碼 (使用角色類型宣告) 。 執行靜態驅動程式驗證程式。 檢視和分析結果。 如需詳細資訊，請參閱 使用靜態驅動程式驗證器尋找驅動程式中的瑕疵。

適用於

ZwCloseZwCreateKeyZwDeleteKeyZwEnumerateKeyZwEnumerateValueKeyZwFlushKeyZwQueryKey ZwQueryKeyZwSetValueKey