在Windows 7對象管理器系統中,創建對象以實現特定目的。Windows 7對象管理器 - 對象類型結構
因此,例如設備都是由_device_object結構
的驅動程序使用_driver_object結構
不過,我想,以確定哪些結構用於類型「關鍵」的對象,這是對象代表已打開的註冊表項。
我知道_file_object結構用於表示大多數事情,但從我所看到的我不認爲它用於表示Key對象。
如果有人有任何信息,我將不勝感激。
感謝
--- UPDATE ---
感謝sergmat他快速的解答。似乎我一直在尋找的結構是_CM_KEY_BODY
lkd> dt nt!*cm*key*
ntkrnlmp!_CM_KEY_HASH_TABLE_ENTRY
ntkrnlmp!_CM_KEY_SECURITY_CACHE_ENTRY
ntkrnlmp!_CM_KEY_CONTROL_BLOCK
ntkrnlmp!_CM_KEY_HASH
ntkrnlmp!_CM_KEY_SECURITY_CACHE
ntkrnlmp!_CM_KEY_BODY
ntkrnlmp!_CM_KEY_NODE
ntkrnlmp!_CM_KEY_VALUE
ntkrnlmp!_CM_KEY_SECURITY
ntkrnlmp!_CM_KEY_INDEX
ntkrnlmp!_CM_KEY_REFERENCE
感謝您的信息sergmat。所以我希望其中的一個壞男孩會在我目前正在看的「關鍵」對象之內? – Tony
它是'_CM_KEY_BODY' – sergmat