在 Windows 7 对象管理器系统中,创建对象以服务于特定目的。
因此,例如设备是由 _device_object 结构
驱动程序使用 _driver_object 结构
但是,我试图确定哪个结构用于“Key”类型的对象,这些对象代表打开的注册表项。
我知道 _file_object 结构用于表示大多数事物,但据我所见,我认为它不用于表示 Key 对象。
如果有人有任何信息,我将不胜感激。
谢谢
---更新---
感谢 sergmat 的快速回答。看来我正在寻找的结构是_CM_KEY_BODY
lkd> dt nt!*cm*key*
ntkrnlmp!_CM_KEY_HASH_TABLE_ENTRY
ntkrnlmp!_CM_KEY_SECURITY_CACHE_ENTRY
ntkrnlmp!_CM_KEY_CONTROL_BLOCK
ntkrnlmp!_CM_KEY_HASH
ntkrnlmp!_CM_KEY_SECURITY_CACHE
ntkrnlmp!_CM_KEY_BODY
ntkrnlmp!_CM_KEY_NODE
ntkrnlmp!_CM_KEY_VALUE
ntkrnlmp!_CM_KEY_SECURITY
ntkrnlmp!_CM_KEY_INDEX
ntkrnlmp!_CM_KEY_REFERENCE