解读 RtlConvertNtFilePathToWin32FilePath

最新推荐文章于 2020-12-22 13:33:22 发布
最新推荐文章于 2020-12-22 13:33:22 发布
阅读量485 收藏
点赞数
分类专栏: WCP 操作系统相关 系统维护 文章标签: 字符串 WCP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hadstj/article/details/52887657
版权
系统维护 同时被 3 个专栏收录
248 篇文章 0 订阅
订阅专栏
操作系统相关
179 篇文章 0 订阅
订阅专栏
WCP
86 篇文章 0 订阅
订阅专栏

解读 RtlConvertNtFilePathToWin32FilePath

与解读 RtlConvertWin32FilePathToNtFilePath相反。

转换 NtFilePath到 Win32FilePath。

a1 是输入,
a2 是输出。
类型都是 LUNICODE_STRING。
UINT_PTR RtlConvertNtFilePathToWin32FilePath(
    LUNICODE_STRING *PathIn, 
    LUNICODE_STRING *PathOut);

还有点难呢?
得不到需要的结果。

还是对地址的概念不熟。


v4 = (int *)RtlInitLUnicodeStringFromNullTerminatedString(
    (_WORD *)0x7FFE0030, (int)&v17);
0x7FFE0030 中保存的是: c:\windows,类型 WCHAR。


//----- (101309F0) --------------------------------------------------------
int *__fastcall RtlConvertNtFilePathToWin32FilePath(int a1, _DWORD *a2)
{


  v14 = a1;
  v2 = 0;
  v13 = a2;
  v20 = (int *) 0xC00000E5;
  if ( a2 )
    *a2 = 0;

  v4 = (int *)RtlInitLUnicodeStringFromNullTerminatedString(
          (_WORD *)0x7FFE0030, (int)&v17);
  if ( (signed int)v4 >= 0 )
  {
    if ( *(_WORD *)&v19[2 * ((unsigned int)v17 >> 1) - 2] == 92 )
      v17 -= 2;

// 定义一组字符串 LUNICODE_STRING
    v30 = 16;
    v31 = 18;
    v32 = L"\\??\\UNC\\";

    v33 = 4;
    v34 = 6;
    v35 = L"\\\\";

    v36 = 24;
    v37 = 26;
    v38 = L"\\??\\HardDisk";

    v39 = 24;
    v40 = 26;
    v41 = L"\\\\?\\HardDisk";

    v42 = 20;
    v43 = 22;
    v44 = L"\\??\\Volume";

    v45 = 20;
    v46 = 22;
    v47 = L"\\\\?\\Volume";

    v48 = 8;
    v49 = 10;
    v50 = L"\\??\\";

    v51 = 0;
    v52 = 2;
    v53 = &dword_1000B0E8;

    v54 = 32;
    v55 = 34;
    v56 = L"\\DosDevices\\UNC\\";

    v57 = 4;
    v58 = 6;
    v59 = L"\\\\";

    v60 = 24;
    v61 = 26;
    v62 = L"\\DosDevices\\";

    v63 = 0;
    v64 = 2;
    v65 = &dword_1000B0E8;

    v66 = 22;
    v67 = 24;
    v68 = L"\\SystemRoot";

    v69 = v17;
    v70 = v18;
    v71 = (int)v19;

    v20 = &v30;
    v5 = &v30;
    v6 = 0;
    while ( 1 )
    {
      v15 = 0;
      v4 = (int *)RtlEqualLUnicodeStringPrefix(v14, v5,
              (int)RtlUpcaseUCSCharacter, &v15);
      if ( (signed int)v4 < 0 )
        break;
      if ( !v15 )
      {
        ++v6;
        v5 = v20 + 6;
        v20 += 6;
        if ( v6 < 7 )
          continue;
      }
      if ( v6 == 7 )
      {
// 出错了
        goto LABEL_17;
      }
      v8 = &v33 + 6 * v6;
      v9 = *(&v30 + 6 * v6);
      v10 = *(_DWORD *)(v14 + 4) - v9;
      v21 = *v8;
      ++v8;
      v18 = v10;
      v11 = (const char *)(*(_DWORD *)v14 - v9);
      v22 = *v8;
      v17 = v11;
      v12 = *(_DWORD *)(v14 + 8);
      v23 = v8[1];
      v19 = (const char *)(v9 + v12);
      v24 = v17;
      v25 = v18;
      v26 = v9 + v12;
      v27 = 2;
      v28 = 2;
      v29 = &dword_1000B0E8;
      v4 = (int *)RtlConcatenateLUnicodeStrings(1, 3u, &v21, (int)v13);
      if ( (signed int)v4 >= 0 )
      {
        if ( *v13 > 2u )
          *v13 -= 2;
        return 0;
      }
      return v4;
    }
  }
  return v4;
}

 
分别调用:

int __stdcall RtlEqualLUnicodeStringPrefix(int a1, int *a2, int a3, _BYTE *a4)
{


  *a4 = 0;
  v4 = *a2;
  if ( (unsigned int)*a2 > *(_DWORD *)a1
    || (v6 = *a2,
        v7 = v4,
        v8 = *(_DWORD *)(a1 + 8),
        result = RtlEqualLUnicodeStrings((int)&v6, (int)a2, a3, a4),
        result >= 0) )
  {
    result = 0;
  }
  return result;
}



int __stdcall RtlEqualLUnicodeStrings(int a1, int a2, int a3, _BYTE *a4)
{
  size_t v4; // eax@1
  bool v5; // zf@4
  int result; // eax@6
  int v7; // [sp+8h] [bp-8h]@6

  *a4 = 0;
  v4 = *(_DWORD *)a1;
  if ( a3 )
  {
    if ( v4 != *(_DWORD *)a2 )
      return 0;
    v7 = 0;
    result = RtlCompareLUnicodeStrings(a1, a2, a3, (int)&v7);
    if ( result < 0 )
      return result;
    v5 = v7 == 0;
  }
  else
  {
    if ( v4 != *(_DWORD *)a2 )
      return 0;
    if ( !v4 )
    {
LABEL_9:
      *a4 = 1;
      return 0;
    }
    v5 = memcmp(*(const void **)(a1 + 8), *(const void **)(a2 + 8), *(_DWORD *)a1) == 0;
  }
  if ( v5 )
    goto LABEL_9;
  return 0;
}


int __stdcall RtlCompareLUnicodeStrings(int a1, int a2, int a3, int a4)
{
  return ((int (__thiscall *)(int, int, int (__fastcall *)(_DWORD, _DWORD), int, int))RtlCompareEncodedLBlobs)(
           a1,
           a2,
           RtlDecodeUtf16LE,
           a3,
           a4);
}


前面的比较正常了以后,就进行字符串的连接:

int __stdcall RtlConcatenateLUnicodeStrings(int a1, unsigned int a2, _DWORD *a3, int a4)
{


  v4 = a3;
  v5 = 0;
  v21 = a3;
  i = (_DWORD *)0xC00000E5;
  v6 = 0;
  if ( !a4 )
  {
    v14 = Windows::ErrorHandling::Rtl::CBaseFrame<Windows::ErrorHandling::Rtl::CVoidRaiseFrame>::SetInvalidParameter_NullPointer(&i);
    v13 = (int)i;
LABEL_32:
    v26 = v14;
    v24 = "base\\lstring\\lunicode_string.cpp";
    v25 = "RtlConcatenateLUnicodeStrings";
    v27 = v15;
    Windows::ErrorHandling::Rtl::CBaseFrame<Windows::ErrorHandling::Rtl::CVoidRaiseFrame>::ReportErrorOrigination(&v24);
    return v13;
  }
  v7 = a1 & 1;
  *(_DWORD *)a4 = 0;
  if ( !(a1 & 1) )
  {
    *(_DWORD *)(a4 + 4) = 0;
    *(_DWORD *)(a4 + 8) = 0;
  }
  if ( a1 & 0xFFFFFFFE || (v8 = a2) != 0 && !a3 )
  {
LABEL_18:
    v26 = Windows::ErrorHandling::Rtl::CBaseFrame<Windows::ErrorHandling::Rtl::CVoidRaiseFrame>::SetInvalidParameter_NullPointer(&i);
    v24 = "base\\lstring\\lunicode_string.cpp";
    v25 = "RtlConcatenateLUnicodeStrings";
    v27 = (const char *)v12;
    Windows::ErrorHandling::Rtl::CBaseFrame<Windows::ErrorHandling::Rtl::CVoidRaiseFrame>::ReportErrorOrigination(&v24);
    return (int)i;
  }
  v23 = 0;
  if ( a2 )
  {
    v9 = (int)a3;
    v19 = a3;
    while ( (unsigned __int8)RtlIsLUnicodeStringValid(v9) )
    {
      v9 = (int)(v19 + 3);
      ++v23;
      v19 += 3;
      if ( v23 >= a2 )
      {
        v4 = a3;
        v6 = 0;
        v7 = a1 & 1;
        goto LABEL_12;
      }
    }
    goto LABEL_18;
  }
LABEL_12:
  v20 = 0;
  if ( a2 )
  {
    for ( i = v4; ; v4 = i )
    {
      v10 = *v4;
      v22 = v10;
      v11 = v6 + v10;
      if ( v11 < v6 || v11 < v22 )
        break;
      i += 3;
      v6 = v11;
      if ( ++v20 >= a2 )
        goto LABEL_20;
    }
    v13 = 0xC0000095;
    v14 = 644;
    v15 = "BUCL::Rtl::AddInPlaceWithOverflowCheck(&MaximumLength,Sources[i].Length)";
    i = (_DWORD *)0xC0000095;
    goto LABEL_32;
  }
LABEL_20:
  if ( !v7 )
  {
    v16 = RtlAllocateLUnicodeString(v6, a4);
    goto LABEL_23;
  }
  if ( v6 > *(_DWORD *)(a4 + 4) )
  {
    v16 = RtlReallocateLUnicodeString(0, v6, a4);
LABEL_23:
    v13 = v16;
    if ( v16 < 0 )
      return v13;
    v8 = a2;
  }
  if ( !v8 )
    return 0;
  v17 = (int)a3;
  while ( 1 )
  {
    v13 = RtlAppendLUnicodeStringToLUnicodeString(v17, a4);
    if ( v13 < 0 )
      break;
    ++v5;
    v17 = (int)(v21 + 3);
    v21 += 3;
    if ( v5 >= a2 )
      return 0;
  }
  return v13;
}
心想才事成
关注
专栏目录
Go语言学习之path/filepath包(the way to go)
一蓑烟雨任平生 也无风雨也无晴
07-04 1万+
生命不止,继续 go go go !!!文件以及文件夹的路径在编程中经常遇到,在C++工程中,我们往往自己写一个文件,里面塞满了关于路径的操作。golang很好,为我们提供了path/filepath包,方便极了。import “path/filepath” 作用: Package filepath implements utility routines for manipulating fil
Golang中path/filepath
skh2015java的博客
06-28 5459
path/filepath包下的相关函数 1. ToSlash函数 func ToSlash(path string) string 功能:将path中平台相关的路径分隔符转换成'/' 例如:windows当前路径: D:\gopro\src\study,转换之后D:/gopro/src/study 2. FromSlash函数 func FromSlash(path strin...
解读 RtlTrimNtPathSegment
心想事成
02-25 666
解读 RtlTrimNtPathSegment     返回字符串前后的 \ 数   typedefHRESULT(__fastcall *PRTL_TRIM_NTPATH_SEGMENT)(     PLUNICODE_STRING,     UINT_PTR *,     UINT_PTR *     ); staticPRTL_TRIM_NTPATH_SEGMENTR
c++ encode 函数_指针加密解密 函数RtlDecodePointer 与RtlEncodePointer
weixin_39927623的博客
12-22 928
我们知道在我们对溢出漏洞进行exp的时候,经常要利用全局性的指针,利用异常处理。那么XP的sp2对此作了处理。使得我们无法运用以前的技巧来完成我们的工作。例如,对全局性的指针都作了编码处理。那么具体来讲,本文主要谈到以下1、映射给PEB管理结构的起始地址做了随机处理。后面我们会看到这种随机是很弱的,但已经足够让exp无法完成或者说是稳定的工作。2、对TOP SEH的保护3、VEH链表指针_Rtlp...
字符函数和字符串函数详解
Josvin
12-05 1315
文章目录前言函数介绍strlen介绍strlen实现strcpy介绍strcpy实现strcat介绍strcat实现strcmp介绍strcmp实现继续更新中。。。 前言 C语言中对字符和字符串的处理很是频繁,但是C语言本身是没有字符串类型的,字符串类型通常放在 – 常量字符串 – 中或者–字符数组–中。字符串常量适用于那些对它不做修改的字符串函数。 函数介绍 strlen介绍 size_t strlen ( const char * str ); 字符串已经’\0’ 作为结束标志,strlen函
ntdll函数逆向
qq_41490873的博客
06-16 1253
RtlEncodePointer :该函数的作用是把传进来的值和进程的指定信息进行异或 然后返回该值 .text:7C9333DF __stdcall RtlEncodePointer(x) .text:7C9333DF public _RtlEncodePointer@4 .text:7C9333DF _RtlEncodePointer@4 proc near ; CODE XREF: RtlDecodePointer(x)+6↓j .text:7C
path/filepath 基本使用
、Edgar的博客
09-03 1万+
标准库path/filepath中提供了对各个操作系统文件路径的操作函数,一般情况下不要使用path,因为package path 只兼容以/为路径分隔符的系统 方法使用 func IsAbs(path string) bool 该函数以路径为参数,如果该路径为绝对路径,那么返回true,如果不是返回false func Abs(path string) (string, error) // Abs returns an absolute representation of path. // If the
filepath-propertybrowser.zip
03-21
实现了property的filepath功能,原代码位于https://doc.qt.io/archives/qq/qq18-propertybrowser-code.zip,这里以qt6.2.2+msvc2019为环境稍稍修改,并配套qt6.2.2所附的propertybrowser源码
FilePath.java
09-27
使用java中的枚举类型制作字符串常量,使用指定的key获取指定的枚举值。
FilePath.jar
09-17
我写的这个FilePath.jar可以根据反射动态的获取当前工程下的路径(编译之后的路径),可以获取编译之后的工程路径,可以获取编译之后src目录下的文件的路径,可以获取编译之后同一个包下面的文件路径。
UnhandledExceptionFilter 未被调用分析一例
wwmfeng的专栏
05-16 3656
<br />有时候会遇到 crash 的时候没有生成 dump file. 因为 unhandledexceptionfilter 没有被调用. 而没有被调用的原因, 文档上说有时候的确不会调用. 比如在处理异常的时候再次发生异常.<br />最近发现在 space 打开的情况下, unhandledexceptionfilter 不被调用, 此时, 会出现系统默认的 crash 对话框. 这个对话框的出现意味着 kernel32!UnhandledExceptionFilter 被调用了, 虽然在 2
Widows Xp Sp2对于溢出保护
guagua
12-19 909
Widows Xp Sp2对于溢出保护funnywei & jerry我们知道在我们对溢出漏洞进行exp的时候,经常要利用全局性的指针,利用异常处理。那么XP的sp2对此作了处理。使得我们无法运用以前的技巧来完成我们的工作。例如,对全局性的指针都作了编码处理。那么具体来讲,本文主要谈到以下1、映射给PEB管理结构的起始地址做了随机处理。后面我们会看到这种随机是很弱的,但已经足够让exp无法完成或者
Windows XP中的新型向量化异常处理
06-11 8156
 到现在为止我已在Win32®平台上工作八年有余,在这期间里我积累了一些我所喜欢使用的Win32功能(从API层面上来说)。它们可以让我的编程生活更轻松,同时也让我更容易写出比较有用的工具。当我安装完Windows XPBeta(以前代号为“Whistler”)时,并没有指望能够看到许多新的API,结果却惊喜地发现我错了!在本月的专栏中,我就要讲述这些新增功能其中之一——向量化
分析两种Dump(崩溃日志)文件生成的方法及比较
热门推荐
方亮的专栏
04-08 2万+
本文分析和讲解了两种截取dump的方法。一种是使用SetUnhandledExceptionFilter方法设置回调。一种是通过Hook函数UnhandledExceptionFilter实现。后一种方法可以截获前一种方法无法截获的异常,比如R6025:纯虚函数调用(pure virtual function call)。
0x5f3759df的数学原理
ACdreamer
10-06 1万+
Quake-III Arena (雷神之锤3)是90年代的经典游戏之一。   该系列的游戏不但画面和内容不错,而且即使计算机配置低,也能极其流畅地运行。这要归功于它3D引擎的开发者约翰-卡马克 (John Carmack)。事实上早在90年代初DOS时代,只要能在PC上搞个小动画都能让人惊叹一番的时候,John Carmack就 推出了石破天惊的Castle Wolfstein, 然后再接
windows xp sp3 系统kernel32.dll所有导出的API函数列表大全(整理在此,方便查阅,学习)
关注互联网安全的小虾米一枚
03-13 1万+
kernel32.dll是Windows9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管 理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域, 使别的程序无法占用这个内存区域。 ordinal hint RVA name 1
《Tomcat内核设计剖析》作者博客
evilcry2012的专栏
11-28 1277
http://blog.csdn.net/wangyangzhizhou
filepath用法
最新发布
08-09
filepath是一个在编程中常用的术语,它表示文件在计算机中的路径。在计算机中,每个文件都有一个唯一的路径来指定其位置和访问方式。 filepath通常由文件夹和文件名组成,中间用斜杠或反斜杠分隔。例如,在Windows系统中,一个文件的filepath可能是"C:\Documents\file.txt",而在Linux系统中,一个文件的filepath可能是"/home/user/file.txt"。 通过filepath,我们可以访问和操作文件。在编程中,我们可以使用filepath来打开、读取、写入和删除文件。例如,我们可以使用filepath来打开一个文本文件,读取其中的内容,并进行进一步的处理和分析。我们也可以使用filepath来创建一个新的文件或文件夹,并将数据写入其中。 在处理filepath时,我们需要注意一些常见问题。首先,文件的路径是区分大小写的,因此在指定filepath时要注意大小写的准确性。其次,如果filepath中包含特殊字符或空格,我们需要使用转义字符或引号将其括起来,以确保路径的正确解析。 filepath也可以被用于定位不同文件之间的关系。可以使用filepath中的一些常见方法来获取文件所在文件夹的路径、文件名、文件扩展名等信息。这些方法可以方便地处理文件和文件夹的操作和管理。 总之,filepath是一个重要的概念,它在编程中被广泛应用于文件的操作和管理。通过filepath,我们可以准确定位和访问文件,进行各种文件操作,并处理文件的路径相关问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值