FsRtlIsNameInExpression使用示例

已于 2022-11-09 19:23:07 修改
阅读量1.2k 收藏
点赞数
分类专栏: windows内核API 文章标签: windows 驱动开发 字符串查找
于 2021-03-27 17:01:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/danxuezx/article/details/115267627
版权

FsRtlIsNameInExpression的功能介绍参考MSDN:

FsRtlIsNameInExpression function (ntifs.h) - Windows drivers | Microsoft Learn

一句话概括就是看一个unicode string是否满足指定的结构类型。

比如想写一个功能,看一个Unicode string子串是否是以 abcd1234开头的,那这个代码可以按照下面方式来写:

    UNICODE_STRING usPattern = {0};    //规则
    UNICODE_STRING usTheCheckedString; //这个就是需要检查是否满足一定规则的那个字串
    RtlInitUnicodeString(&usPattern, L"abcd1234*"); //注意:这里后面一定要有*这个通配符,否则会发现匹配不上
    if (FsRtlIsNameInExpression(&usPattern, &usTheCheckedString, FALSE, NULL)) //第三个参数给FALSE意思是在匹配时关注大小写,如果是TRUE,则需要把usPattern的值转换成大写。
    {
        //说明usTheCheckedString是以abcd1234开头的
    }
    else
    {
        //说明usTheCheckedString不是以abcd1234开头的
    }

上面这个示例的用法比较简单,就是检查一个字符串是不是以特定字串开头,注意pattern后面要添加*这个通配符,否则会发现是否返回FALSE。

danxuezx
关注
专栏目录
FsRtlIsNameInExpression不分大小写
死胖子的博客
03-24 1512
BOOLEAN FsRtlIsNameInExpression( _In_ PUNICODE_STRING Expression, _In_ PUNICODE_STRING Name, _In_ BOOLEAN IgnoreCase, _In_opt_ PWCH UpcaseTable ); Expression [i
FsRtlIsNameInExpression失败原因
死胖子的博客
03-04 1355
如果指定了第三个参数为TRUE,那么传入的第一个参数必须全部为大写。
FSRTL_COMMON_FCB_HEADER
sqqsongqiqi的专栏
01-20 1084
我们可以看到 AllocateSize是在硬盘上实际申请的大小, FileSize 是呈现给用户的文件大小,ValidDataLength是FileSize下实际有效的长度。 文件右击属性,会看见 大小 和 占用空间 。 大小对应的就是FileSize, 占用空间就是AllocateSize。
FsRtlCheckOplock简单描述
Tommy(凌飞)的专栏
12-02 1772
                                   FsRtlCheckOplock简单描述  原文:http://www.osronline.com/article.cfm?article=223   FsRtlCheckOplock这个历程目前(2003 IFS kit)还是没有文档化。因而,对于如何使用以及能做什么还不太清楚。本文将会试着去描述如何使用这个API。
FsRtlEnterFileSystem(KeEnterCriticalRegion)使用说明
农家小舍
04-14 2570
    在做文件系统过滤驱动时,会经常用到FsRtlEnterFileSystem函数   在什么地方调用?    每一个文件系统驱动例程在进行一个文件读写请求时,需要先调用FsRtlEnterFileSystem,同时在完成请求时,要立即调用FsRtlExitFileSystem。    而文件系统过滤驱动基本上不用调用FsRtlEnterFileSystem,只有在你调用ExAcq
基于Java的中医舌诊接口使用示例设计源码
05-31
中医舌诊接口使用示例项目源码,包含60个文件,全部采用Java语言编写,涉及多种文件类型如JPG图片、PNG图片、Git忽略文件、Markdown文档、XML配置文件等。该项目提供了中医舌诊接口的使用示例,旨在帮助开发者理解和...
Spring Cloud OpenFeign 使用示例
08-10
Spring Cloud OpenFeign 示例代码工程。该工程基于官方示例(https://github.com/spring-cloud-samples/feign-eureka),额外添加了注册中心模块feign-eureka-central(eureka is running on http://localhost:8761...
Reface.EventBus 使用简单示例源文档
08-19
Reface.EventBus 使用简单示例源文档 1、包含消息创建。 2、消息订阅。 3、消息发布等操作。
一个bazel使用示例
最新发布
09-02
12345678900
内核模式匹配,正则匹配笔记
kernweak的博客
05-30 378
做正则匹配的原因,做关键路径的监控 ,提高系统性能,一般吧正则数据放到dat里然后加密起来,然后客户端启动读出来,下发到驱动,保存到驱动链表里面 BOOLEAN IsPatternMatch(PUNICODE_STRING Expression, PUNICODE_STRING Name, BOOLEAN IgnoreCase)//Expression 正则式 Name路径 { r...
Windows驱动开发学习记录-内核模式下字符串后缀匹配
时空之中的灵魂
08-27 562
1、前提环境 最近系统学习驱动开发,抱着学以致用的态度,计划做一个基本的系统加载驱动过滤,其中遇到字符串匹配的问题,记录一下。 1.1、使用PsSetLoadImageNotifyRoutine创建回调 NTKERNELAPI NTSTATUS PsSetLoadImageNotifyRoutine( _In_ PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine ); ...
内核模块字符相关处理
lygl35的博客
01-18 491
一、初始化字符串 : RtlInitUnicodeString(&deviceanme, DEVICE_NAME) #define DEVICE_NAME L"\\Device\\MyfirstDevice" //定义一个驱动的名字 UNICODE_STRING deviceanme = { 0 };//初始一个存储设备名字的内存空间 RtlInitUnicodeString(&deviceanme, DEVICE_NAME);//初始化一个字符串 DbgPrint("--:%wZ
驱动开发心得经验和想法
lionzl的专栏
11-02 1525
这里记载一些心得经验和想法(没有实验). 这里大多是血的教训!请大家谨记. 1.ExAllocatePoolWithTag不但检查成功否和释放ExFreePoolWithTag,更重要的是要RtlZeroMemory,不然会有乱码等奇怪的现象.最好立马使用,最近使用. 不会C++,没有C++的思想。不过写下面的两个函数倒有进步的思想。 #define TAG 'tset' //驱动在内存
实现正则匹配,匹配模式
zhuhuibeishadiao
04-10 785
模式匹配问题 BOOLEAN IsPatternMatch(PUNICODE_STRING Expression, PUNICODE_STRING Name, BOOLEAN IgnoreCase) { return FsRtlIsNameInExpression( Expression, Name, IgnoreCase,//如果这里设置为TRUE,那么E
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
热门推荐
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
一个隐式转换引起的问题
死胖子的博客
03-24 801
LARGE_INTEGER SystemTime; LARGE_INTEGER LocalTime; TIME_FIELDS timeFiled; NTSTATUS Status = STATUS_UNSUCCESSFUL; ULONG Value = 0; size_t StrLens = 0; ULONG rand_seed = 0; LONGLONG days_plus =
驱动加载监控
kernweak的博客
05-31 1557
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

danxuezx

如果对你有用是我的快乐

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值