读取注册表中的REG_QWORD和REG_BINARY二进制类型数据
- 发现的问题
- 注册表中的一些概念(统一认识)
- 读取代码(字节数据大于8的会显示f开头的前缀)
- 说明(备注)
- 改进代码
- 参考链接
发现的问题
首先我们要明确,REG_QWORD类型的数据,甚至某些REG_DWORD类型的数据,在win32程序中是读不出来的,例如下图中的1、CurrentMajorVersionNumber这类简单的REG_DWORD可以顺利在win32环境下读出来,而InstallDate的REG_DWORD却读不出来;
InstallTime这类REG_QWORD类型、REG_BINARY这类REG_BINARY类型的数据在win32环境下函数RegQueryInfoKey根本就不读取它(不理它、识别不了):
在x64环境下,函数RegQueryInfoKey能够识别判断出REG_QWORD和REG_BINARY这两种类型的数据。
注册表中的一些概念(统一认识)
注册表的结构是一个树状结构,一个键(key,或称“项”)就是一个节点,子键(subkey)就是这个节点的子节点,子健也是键。
键的一条属性被称为一个value(值项),value由名称、类型、数据类型和数据组成。
一个键可以有多个值,每个值的名称不同,如果值名称是空,则该值为该键的默认值。
这里所说的项就是键key,子项就是子键subkey,键的一条属性被称为一个value(值项),最底层的子键里面的项其实就是值项value,value由名称、类型、数据类型和数据组成,这里所说的值名对应的就是值项的名称,这里所说的值数据就是值项的数据)
读取代码(字节数据大于8的会显示f开头的前缀)
//m_list_key和m_list_value是两个CListCtrl控件变量,分别用来显示读取的注册表中的键和值项;m_strPath是CString类型的注册表键值路径。
//测试路径:SOFTWARE\Microsoft\Windows NT\CurrentVersion
//打开父键
//m_strPath其实就是编辑框里面的内容(例如SYSTEM或者SYSTEM\CurrentControlSet\Services)
if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,m_strPath,0,KEY_ALL_ACCESS,&hKey)==ERROR_SUCCESS)//打开
{
DWORD dwIndex=0,NameSize,NameCnt,NameMaxLen,Type;
DWORD KeySize,KeyCnt,KeyMaxLen,MaxDateLen,DataSize;
//这就是枚举了
//如果某一个键的值项value为空(例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT只有一条名称为默认、
//类型为REG_SZ、数据是数值未设置的值项)的话,NameCnt、NameMaxLen、MaxDateLen都为空,由于Windows NT下面只有一个
//键CurrentVersion,该键名称一共14个字符(不包括结尾的空字符),所以KeyMaxLen的值就是0xe
//当键为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的时候,NameCnt的为0x19,
if(RegQueryInfoKey(hKey,NULL,NULL,NULL,&KeyCnt,&KeyMaxLen,NULL,&NameCnt,&NameMaxLen,&MaxDateLen,NULL,NULL)==ERROR_SUCCESS)
{
KeySize=KeyMaxLen + 1;
char * tmp=new char[KeySize];
//枚举得到的每一个键
for(dwIndex=0;dwIndex<KeyCnt;dwIndex++) //枚举项
{
ZeroMemory(tmp,KeySize);
DWORD i=KeySize;
RegEnumKeyEx(hKey,dwIndex,tmp,&i,NULL,NULL,NULL,NULL);
m_list_key.InsertItem(0,tmp,0);
}
delete[] tmp;
tmp=new char [NameMaxLen+1];
char *tmpData=new char[MaxDateLen+1];
CString str;
//-----------这里开始枚举键值-------------------------------------
for(dwIndex=0;dwIndex<NameCnt;dwIndex++)
{
str.Empty();
ZeroMemory(tmp, NameMaxLen+1);
ZeroMemory(tmpData, MaxDateLen+1);
NameSize = NameMaxLen + 1; //注意,因为每执行一次RegEnumValue,NameSize和DataSize都会
DataSize = MaxDateLen + 1; //变成实际的缓冲区大小,所以这里每次循环都要重新赋值
LSTATUS status = ::RegEnumValue(hKey,dwIndex,tmp,&NameSize,NULL,&Type,(BYTE*)tmpData,&DataSize);//读取键值
if(status != ERROR_SUCCESS)
{
break;
}
m_list_value.InsertItem(0,tmp,0); //写入名称(即值名称)
//键值的类型不同我们应该处理一下,显示不同类型的字符
if(Type==REG_SZ)
{
m_list_value.SetItemText(0,1,"REG_SZ");
//插入数值
str=tmpData;
}
if(Type==REG_EXPAND_SZ)
{
m_list_value.SetItemText(0,1,"REG_EXPAND_SZ");
//插入数值
str=tmpData;
}
if(Type==REG_DWORD)
{
m_list_value.SetItemText(0,1,"REG_DWORD");
str.Format("0x%08x",*(PDWORD)tmpData);
}
if(Type==REG_QWORD)
{
m_list_value.SetItemText(0,1,"REG_QWORD");
str.Format("0x%llx",*(PQWORD)(tmpData));
}
if(Type==REG_BINARY)
{
m_list_value.SetItemText(0,1,"REG_BINARY");
CString cstr;
size_t i = 0;
for(i = 0; i < DataSize; i++)
{
cstr.Empty();
cstr.Format(_T("%hx"), tmpData[i]);
//插入数值
str += cstr + " ";
}
}
m_list_value.SetItemText(0,2,str);
}
RegCloseKey(hKey);
return ;
}
}
说明(备注)
if(Type==REG_QWORD)
{
m_list_value.SetItemText(0,1,"REG_QWORD");
str.Format("0x%llx",*(PQWORD)(tmpData));
}
因为REG_QWORD占64位,所以字符串格式化符选用0x%llx
即可打印完整。
if(Type==REG_BINARY)
{
m_list_value.SetItemText(0,1,"REG_BINARY");
CString cstr;
size_t i = 0;
for(i = 0; i < DataSize; i++)
{
cstr.Empty();
cstr.Format(_T("%hx"), tmpData[i]);
//插入数值
str += cstr + " ";
}
}
而DigitalProductId这类二进制数据的长度也是在函数RegQueryInfoKey中获取的(切记获取的这个长度不包括结尾的空字符0,所以我们为了读取该数据分配的空间大小,要在这个长度上加1);
通过函数RegEnumValue获取的二进制数据在内存中的为:
我们看到这些内存中的十六进制数据,通过一个for循环一个一个用cstr.Format(_T("%02x"), tmpData[i]);
输出的话:
CString cstr;
size_t i = 0;
for(i = 0; i < DataSize; i++)
{
cstr.Empty();
cstr.Format(_T("%02x"), tmpData[i]);
//插入数值
str += cstr + " ";
}
效果如下:
我们看到输出中a4变成了ffffffa4,这是由于a4、d2这类十六进制数据的二进制位是以1开头导致的;
所以我们可以强制只输出2个十六进制字符,即只输出1个字节:
cstr.Format(_T("%hx"), tmpData[i]);
通过输出我们发现ffffffa4
变为了ffa4
,仍然达不到我们的目标。
改进代码
//测试路径:SOFTWARE\Microsoft\Windows NT\CurrentVersion
if(Type==REG_BINARY)
{
m_list_value.SetItemText(0,1,"REG_BINARY");
CString cstr;
DWORD dwData = 0;
size_t i = 0;
for(i = 0; i < DataSize; i++)
{
cstr.Empty();
//cstr.Format(_T("%02hx"), tmpData[i]);
dwData = tmpData[i];
UINT temp = 0;
while(dwData > 0)
{
temp = dwData % 16;
if(temp < 10)
cstr.AppendChar(temp + '0');
else
cstr.AppendChar('a' + temp - 10);
dwData = dwData >> 4;
}
cstr.AppendChar('0');
cstr.AppendChar('0');
cstr.MakeReverse();
//插入数值
str += cstr.Right(2) + " ";
}
}
参考链接
int转string时候保留前导位0
读取注册表REG_BINARY(二进制)类型的数据