ZwRegistryCreate rule (wdm)

Правило ZwRegistryCreate указывает, что после вызова ZwCreateKey драйвер может вызывать следующие функции реестра, только удерживая открытый дескриптор раздела реестра (то есть перед вызовом ZwClose или ZwDeleteKey для закрытия или удаления дескриптора раздела реестра):

Это правило также указывает, что драйвер не должен вызывать ZwCreateKey или ZwOpenKey , если он уже содержит открытый дескриптор для этого раздела реестра.

Наконец, это правило указывает, что драйвер не должен возвращаться из подпрограммы диспетчеризации или отмены подпрограммы, удерживая открытый дескриптор в разделе реестра.

Это правило не проверяет, вызвал ли драйвер ZwCreateKey или ZwOpenKey , чтобы получить дескриптор раздела реестра перед закрытием или удалением.

Модель драйвера: WDM

Как тестировать

Во время компиляции

Запустите средство проверки статических драйверов и укажите правило ZwRegistryCreate .

Чтобы выполнить анализ кода, выполните следующие действия.
  1. Подготовьте код (используйте объявления типов ролей).
  2. Запустите средство проверки статических драйверов.
  3. Просмотр и анализ результатов.

Дополнительные сведения см. в статье Использование средства проверки статических драйверов для поиска дефектов в драйверах.

Применяется к

ZwCloseZwCreateKeyZwDeleteKeyZwEnumerateKeyZwEnumerateValueKeyZwFlushKeyZwQueryKeyZwQueryValueKey ZwQueryValueKeyZwSetValueKey