Windows内核中的字符串操作

最新推荐文章于 2024-05-17 20:35:01 发布
最新推荐文章于 2024-05-17 20:35:01 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: windows内核 文章标签: windows wpf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/find_the_ferry/article/details/121212191
版权

Windows内核中的字符串操作

概述

  在内核编程的过程中,有大量的代码涉及到对字符串的操作,比如需要暂存一部分的字符串、需要拷贝一个字符串到另一个字符串中,需要字符串追加,比较,判断是否含有子字符串等操作,在这些操作的过程中,需要时刻注意操作的字符串指针,避免溢出、为空等造成系统运行异常的错误。实际开发过程中微软提供了一套完整的字符串操作API,我们只需要借助这些API函数就可以满足大部分的字符串操作需求了。
  由于在实际编程的过程中主要使用的是宽字符串,所以本文主要介绍的API是操作宽字符集的,窄字符集也有对应的操作。

定义和初始化

头文件

#include <ntifs.h>
#include <windef.h>
#include <ntstrsafe.h>

格式化输出表

符号说明类型
%c, %lcANSI字符char
%C, %wc宽字符wchar_t
%d, %i十进制有符号整数int
%D十进制_int64_int64
%L十六进制的LARGE_INTEGERLARGE_INTEGER
%s, %lsNULL终止的ANSI字符串char*
%S, %wsNULL终止的宽字符串wchar_t*
%ZANSI_STRING字符串STRING*
%wZUNICODE_STRING字符串UNICODE_STRING*
%u十进制的ULONGULONG
%x小写字符十六进制的ULONGULONG
%X大写字符十六进制的ULONGULONG
%p指针Pointer 32/64位PVOID *

基本数据结构

typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
#ifdef MIDL_PASS
    [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer;
#else // MIDL_PASS
    _Field_size_bytes_part_opt_(MaximumLength, Length) PWCH   Buffer;
#endif // MIDL_PASS
} UNICODE_STRING;

unicode string 结构体包含了三个成员变量,
Length 表示字符串所用的字节长度(不包含结束符),表示的是实际使用的字节数
MaximumLength 表示buffer的长度,表示申请的存放字符串的空间的大小(包含结束符)
Buffer 指向分配的字符串的指针,如果用常量字符串来初始化的话,这个指针指向常量字符串所在的内存,是不能修改的

初始化一个unicode string变量

	UNICODE_STRING contemp = {0};
	RtlInitUnicodeString(&contemp, L"HELLO WORLD!");

以上使用了一个常量字符串初始化了一个Unicode string类型的变量contemp,注意这个时候contemp指向的内容是常量字符串“HELLO WORLD!”的地址,是不能修改的,如果强行修改会导致宕机,并有如下提示:
在这里插入图片描述

将ansi转化为unicode

	STRING strtemp = { 0 };
	UNICODE_STRING temp = { 0 }; // 默认定义的变量是没有分配字符串内存的,buffer指针为空
	RtlInitString(&strtemp, "strtemp hello world !");
	// 用ansi字符串初始化unicodestring 这里的TRUE表示对temp自动创建缓存,使用完成后需要释放一下temp
	RtlAnsiStringToUnicodeString(&temp, &strtemp, TRUE);

以上使用一个ansi的字符串结构变量,初始化一个unicode string的变量,初始化的过程也完成了buffer的内存申请,所以最终是需要释放的,由于是自己申请的内存,所以是可以对其内部数据进行修改的,下面的操作多基于temp

将字符串转化为大写

	RtlUpcaseUnicodeString(&temp, &temp, FALSE);  // 这里的temp是可以改变的
	DbgPrint("MYTEST: ----%wZ-----", &temp);

从一个字符串复制到另一个字符串中

	UNICODE_STRING copytest = { 0 };
	copytest.Buffer = ExAllocatePool(NonPagedPool, 0X100);
	copytest.MaximumLength = 0X100; // 不指定大小会导致下面的步骤无法填充内容
	
	RtlCopyUnicodeString(&copytest, &temp);
	DbgPrint("MYTEST: ----%wZ-----", &copytest);
	ExFreePool(copytest.Buffer);

或者

	PWCHAR copytest2 = ExAllocatePool(NonPagedPool, 0x100);
	RtlZeroMemory(copytest2, 0x100);
	RtlStringCbCopyW(copytest2, 0x100, L"mytest copystr2 hello world");
	DbgPrint("MYTEST: ----%ws-----", copytest2);
	ExFreePool(copytest2);

注意: 格式化字符串输出的区别

比较字符串的大小

	UNICODE_STRING comtemp1 = { 0 };
	UNICODE_STRING comtemp2 = { 0 };
	RtlInitUnicodeString(&comtemp1, L"hello world");
	RtlInitUnicodeString(&comtemp2, L"HEllo world");
	LONG ret = RtlCompareUnicodeString(&comtemp1, &comtemp2, FALSE); // 第三个参数表明是否忽略大小写差异,true 表明忽略大小写差异
	DbgPrint("MYTEST: ret = %d", ret);
	if (ret == 0)
	{
		DbgPrint("MYTEST: %wZ = %wZ", &comtemp1, &comtemp2);
	}
	else if (ret > 0)
	{
		DbgPrint("MYTEST: %wZ > %wZ", &comtemp1, &comtemp2);
	}
	else
	{
		DbgPrint("MYTEST: %wZ < %wZ", &comtemp1, &comtemp2);
	}

追加字符串

  1. 在unicode string类型基础上直接进行追加
    UNICODE_STRING appendtest = { 0 };
appendtest.Buffer = ExAllocatePool(NonPagedPool, 0X100);
RtlZeroMemory(appendtest.Buffer, 0x100);
RtlStringCbCopyW(appendtest.Buffer, 0x100, L"APPENDTEST---");
appendtest.MaximumLength = 0X100;
appendtest.Length = sizeof(L"APPENDTEST---")-sizeof(WCHAR);
DbgPrint("MYTEST: ----%wZ-----", &appendtest);
// 开始在appendtest后追加
UNICODE_STRING appendtest2 = { 0 };
RtlInitUnicodeString(&appendtest2, L"hello world");
RtlAppendUnicodeStringToString(&appendtest, &appendtest2);
DbgPrint("MYTEST: ----%wZ-----", &appendtest);
ExFreePool(appendtest.Buffer);
  2. 在wchar *基础上进行追加
    PWCHAR wcharappend = ExAllocatePool(NonPagedPool, 0X100);
RtlZeroMemory(wcharappend, 0x100);
RtlStringCbCopyW(wcharappend, 0x100, L"APPENDTEST2---");
DbgPrint("MYTEST: ----%ws-----", wcharappend);
RtlStringCbCatW(wcharappend, 0x100, L"hello world!");
DbgPrint("MYTEST: ----%ws-----", wcharappend);
ExFreePool(wcharappend);

判断是否含有子字符串

	UNICODE_STRING srcstr = { 0 };
	RtlInitUnicodeString(&srcstr, L"HELLO world ");
	UNICODE_STRING tarstr = { 0 };
	RtlInitUnicodeString(&tarstr, L"*WORLD*");// 注意1
	if (FsRtlIsNameInExpression(&tarstr, &srcstr, TRUE, NULL)) // 注意2
	{
		DbgPrint("MYTEST: %wZ has substr %wZ---", &srcstr, &tarstr);
	}

注意1: 需要查找的目标字符串,如果是断定位于开始或者结束的位置可以不需要前面或者后面的 * 号,比如只需要查找位于字符串开始位置的字符串的时候前面的 * 号就可以不要。
注意2: 这里在查找目标字符串的时候选定了不区分大小写,且最后一个参数设置为NULL,查看函数的定义可以知道:第四个参数用于不区分大小写匹配的大写字符表的可选指针。如果未提供此值,则使用默认的系统大写字符表进行匹配。所以当这个值设置为空的时候,目标字符串就需要自行转化为大写,系统会将源字符串进行大写转换进行查找。

如有错误,还请指正,谢谢

风里雨里守护着你
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows字符串格式化的方法总结
I feel lost
04-14 1650
日常开发,经常需要用到字符串格式化,将某个数字放进字符串里面。最开始C语言时应该都使用过prinft: std::string strName = "aLi"; int nAge = 23; printf("My name is %s. My age is %d", strName, nAge); 但是printf是直接输出到控制台的,有时候我们需要在某些地方使用到,就需要用到字符串来存储这个...
内核模式下的字符串操作
weixin_30483495的博客
08-31 50
代码: KdPrint(("ANSI:\n")); CHAR *string = "Hello"; KdPrint(("%s\n",string)); WCHAR *string2 = L"Hello2"; KdPrint(("%S\n",string2)); ANSI_STRING ansistring ; CHAR *charstring = "hello"; ...
Windows内核函数 - 字符串比较
最新发布
wendyWJGU的博客
05-17 181
Windows内核函数 - 字符串比较
Windows内核操作字符串!
07-16 93
* Windows内核操作字符串! */ #include <ntddk.h> #include <ntstrsafe.h> #define BUFFER_SIZE 1024 VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject) { KdPrint(("DriverUnload ...
Windows内核编程》---内核模式下字符串的基本操作
09-15 1036
驱动程序字符串操作涉及到ASCII字符串、宽字符串,还有DDK定义的ANSI_STRING数据结构和UNICODE_STRING数据结构。   1)ASCII字符串和宽字符串 在应用程序使用两种字符:一是char字符串,负责记录ANSI字符集,它是指向一个char数组
Windows驱动编程视频教程-内核模式下的字符串操作
08-19
学会使用WinDbg等工具进行内核模式调试,能有效地定位和解决字符串操作的问题。 8. **系统调用**:内核模式下的字符串操作可能会涉及系统调用,如`RtlCopyString`、`RtlCompareString`等,了解这些内核API的用法...
字符串一般换Tools.rar
09-26
在IT行业字符串处理是一项常见的任务,无论是数据解析、日志分析还是文件操作,都离不开对字符串的操纵。"字符串一般换Tools.rar"是一个专门针对字符串处理的工具集,包含了多种实用功能,如将逗号分隔的字符...
精选_Ring0内核层下字符串基础操作之Ansi与Unicode字符串类型互_源码打包
03-10
总之,理解和掌握Ansi与Unicode字符串在Ring0层的换是Windows内核编程必不可少的知识点。这不仅可以提升程序的兼容性,还能有效避免因字符编码问题导致的错误。通过深入研究和实践,开发者能够更好地驾驭操作...
Windows内核函数的命名解析
10-12
- Rtl:Runtime Library,运行时库,提供基本的运行时支持,包括字符串处理、内存管理等。 这些前缀不仅仅是装饰,它们为程序员提供了一种直观的方式来识别函数的功能和层级。例如,看到一个以`Ke`开头的函数,我们...
Windows内核编程之:字符串操作
weixin_33836874的博客
04-15 137
内核模式下的字符串操作1、ASCII字符串和宽字符串在驱动程序开发,DDK将char和wchar_t类别,替换成CHAR和WCHAR类别驱动程序用KdPrint打印ASCII字符串和宽字符串:打印ASCII字符串 CHAR *string = "Hello"; KdPrint("%s\n", string); 打印宽字符串 WCHAR *string = L"Hello";...
内核开发】字符串的处理
、moddemod
01-30 337
写在前面的话 就不多废话了,有需要的直接copy过去就可以用… 学习! // 该函数在debug以及release都有用 DbgPrint("hello, world!\n"); DbgPrint("调制解调人人生!\n"); // 这个函数在release下没有作用 KdPrint(("nihao\n")); // 注意这个要使用双括号 KdPrint(("调制解调人生kdPrint...\n")); STRING str = { 0 }; RtlInitString(&str, "nihao
Windows驱动开发 - 内核模式下的字符串操作
bcbobo21cn的专栏
06-05 550
1 ASCII字符串和宽字符串   char型,记录ansi字符集。每个字符一个字节。以0标志结束。在KdPrint用%s输出。   宽字符型,wchar_t,描述unicode字符集的字符串,每个字符两个字节,以0标志结束。通过L来体现。在KdPrint用%S输出。 CHAR *string = "Hello"; WCHAR *string2 = L"hello"; KdPrint("%s\n", string); KdPrint("%S\n", string2); 2 ANSI_...
[内核驱动] 字符串操作
weixin_33785108的博客
03-09 215
 载:https://www.cnblogs.com/forlina/archive/2011/08/11/2134610.html  载:https://www.cnblogs.com/qintangtao/archive/2013/04/15/3023092.html  载:http://blog.csdn.net/liyun123gx/article/details/3667123...
字符串操作--windows内核安全与驱动开发
l19901218的博客
04-17 109
.这个是内核字符串结构体,本质就是对这个结构体操作。 1.字符串初始化。 UNICODE_STRING str = { 0 };//这样就将整个结构体输出化位0了, WCHAR unicode_string_buffer[256] = { 0 };//自定义一个buffer空间作为缓冲区,这个重要 str.Buffer = unicode_string_buffer;//将buff地址赋值给st...
驱动开发(5)内核字符串
zuishikonghuan的博客
11-08 2367
在驱动开发内核函数使用的字符串不再是应用程序使用的Win32子系统API和Native APIchar*和wchar_t*,而是内核Unicode字符串UNICODE_STRING内核字符串有两种,ANSI字符串是ANSI_STRINGUnicode字符串UNICODE_STRING,他们的结构是这样定义的:
windows内核开发笔记三:字符串
jyl_sh的专栏
04-27 1094
windows内核开发笔记三:字符串 ANSI编码 ANSI是一种字符代码,为使计算机支持更多语 言,通常使用0x80~0xFF 范围的2 个字节来表示1 个字符。不同的国家和地区制定了不同的标准,由此产生了GB2312、GBK、GB18030、Big5、Shift_JIS 等各自的编码标准。 这些使用多个字节来代表一个字符的各种汉字延伸编码方式,称为ANSI 编码。 关于MBCS字...
内核编程的字符串操作
06-09 866
1) ASCII字符串与宽字符串 a) Char:负责ANSI字符集 b) wchar_t负责UNICODE字符集 例如:wchar_t *str2=L”ASCE” c) 打印:wchar*string=L”asce”; kdPrint((“%s/n”,string)); 2) ASCI_STRING字符串UNICODE_STRING字符串 typedef struct _UNICODE_STR
内核编程笔记(一、内核字符串处理)
ceabie的专栏
09-10 1107
<br />原文:http://hi.baidu.com/hack_oldwolf/blog/item/03c2dba88fad05bcca130c47.html<br /> <br />1、使用字符串结构<br /><br />=================================================================<br /> UNICODE_STRING<br /> UNICODE_STRING结构体是用来定义UNICODE字符串的。<br /><br />
User-Agent’: ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36
06-10
这是一个浏览器的 User-Agent 字符串,它描述了该浏览器的一些基本信息,比如操作系统、浏览器内核、版本号等等。该字符串的信息可以被服务器用来识别客户端使用的浏览器及其版本,从而提供相应的网页内容或功能。在这个例子,该 User-Agent 字符串基于 Windows 10 操作系统,使用 Chrome 64.0.3282.119 浏览器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风里雨里守护着你

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值