【Window内核】UNICODE_STRING常用操作记录

最新推荐文章于 2023-11-14 09:01:09 发布
最新推荐文章于 2023-11-14 09:01:09 发布
阅读量527 收藏
点赞数
分类专栏: C语言 Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42418668/article/details/114956429
版权 
#include <ntddk.h>
/*
*
typedef struct _UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;	//最多支持 32767字符
	PWSTR Buffer;			// 不是以零结尾
}UNICODE_STRING, *PUNICODE_STRING;
typedef struct _STRING {
	USHORT Length;
	USHORT MaximumLength;
	PCHAR Buffer;
}ANSI_STRING, *PANSI_STRING;
*/

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("Goodbye world!\n");
}

VOID TestStringOperate()
{
	UNICODE_STRING	uStr1 = { 0 };
	UNICODE_STRING	uStr2 = { 0 };
	UNICODE_STRING	uStr3 = { 0 };
	UNICODE_STRING	uStr4 = { 0 };

	ANSI_STRING aStr1 = { 0 };

	WCHAR	szHello[512] = L"Hello";
	WCHAR	szWorld[256] = L"World";
	WCHAR	szCopiedStr[1024] = L"";

	UNICODE_STRING		uHello = { 0 };
	UNICODE_STRING		uWorld = { 0 };
	UNICODE_STRING		uCopyiedStr = { 0 };

	RtlInitUnicodeString(&uStr1, L"hello");
	RtlInitUnicodeString(&uStr2, L"Goodbye");
	DbgPrint("%ws\n", L"hello world");
	DbgPrint("uStr1 = %wZ\n", &uStr1);
	DbgPrint("uStr2 = %wZ\n", &uStr2);

	RtlInitAnsiString(&aStr1, "Ansi to unicode");
	DbgPrint("aStr1 = %Z\n", &aStr1);

	//测试uStr3 申请内存才回调用 RtlCopyUnicodeString 成功
	//uStr3.Buffer = ExAllocatePoolWithTag(PagedPool, 10, 'TSET');
	//if (uStr3.Buffer == NULL)
	//{
	//	DbgPrint("uStr3.Buffer allocate failed\n");
	//}
	//else
	//{
	//	uStr3.Length = 10;
	//	uStr3.MaximumLength = 10;
	//	RtlCopyUnicodeString(&uStr3, &uStr1); //如果不申请空间直接Copy 就会失败 结果为null
	//	DbgPrint("uStr3=%wZ\n", &uStr3);
	//	ExFreePool(uStr3.Buffer);
	//}
	//RtlInitUnicodeString(&uStr2, L"HellO"); 更改uStr2 的值使的下面判断相等
	if (RtlCompareUnicodeString(&uStr1, &uStr2, FALSE) == 0) //TRUE 为不区分大小写
	{
		DbgPrint("%wZ == %wZ\n", &uStr1, &uStr2);
	}
	else
	{
		DbgPrint("%wZ != %wZ\n", &uStr1, &uStr2);
	}
	RtlAnsiStringToUnicodeString(&uStr3, &aStr1, TRUE);// TRUE表示自动申请内存
	DbgPrint("uStr3 = %wZ. uStr3.Length = %hu. uStr3.MaximumLength %hu", &uStr3,
		uStr3.Length,
		uStr3.MaximumLength);
	RtlFreeUnicodeString(&uStr3);// 因为使用了RtlAnsiStringToUnicodeString 所以必须使用次函数释放空间

	RtlInitUnicodeString(&uHello, szHello);
	uHello.MaximumLength = sizeof(szHello);

	DbgPrint("uHello=%wZ\n", &uHello);
	RtlInitUnicodeString(&uWorld, szWorld);

	DbgPrint("uWorld=%wZ\n", &uWorld);
	RtlInitUnicodeString(&uCopyiedStr, szCopiedStr);
	uCopyiedStr.MaximumLength = sizeof(szCopiedStr);
	DbgPrint("szCopiedStr.MaximumLength = %hu.", uCopyiedStr.MaximumLength); // 2048字节大小

	DbgPrint("uCopyiedStr=%wZ\n", &uCopyiedStr);

	//Unicode字符串的追加(UNICODE_STRING)操作
	RtlAppendUnicodeStringToString(&uHello, &uWorld);	//Unicode -> Unicode
	DbgPrint("uHello=%wZ\n", &uHello);

	//Unicode字符串的追加(WCHAR[])操作
	RtlAppendUnicodeToString(&uHello, szWorld); //WCHAR[] -> Unicode
	DbgPrint("uHello=%wZ\n", &uHello);

	//Unicode字符串的拷贝操作 UNICODE_STRING-> UNICODE_STRING
	RtlCopyUnicodeString(&uCopyiedStr, &uHello);
	DbgPrint("uCopyiedStr=%wZ\n", &uCopyiedStr);

	uStr4.Buffer = ExAllocatePoolWithTag(PagedPool, (wcslen(L"Nice to meet u") + 1) * sizeof(WCHAR), 'POCU');
	if (uStr4.Buffer == NULL)
	{
		return;
	}
	RtlZeroMemory(uStr4.Buffer, (wcslen(L"Nice to meet u") + 1) * sizeof(WCHAR));
	uStr4.Length = uStr4.MaximumLength = (wcslen(L"Nice to meet u") + 1) * sizeof(WCHAR);

	//不能调用RtlIniUnicodeString()来初始化 如果使用的话释放的时候会蓝屏

	RtlCopyMemory(uStr4.Buffer, L"Nice to meet u", (wcslen(L"Nice to meet u") + 1) * sizeof(WCHAR));
	DbgPrint("%wZ\n", &uStr4);

	ExFreePool(uStr4.Buffer);
}

VOID MyTest()
{
	UNICODE_STRING str = { 0 }; //Buffer 没有内存 必须正确初始化
	//初始化
	UNICODE_STRING ustrTest = { 0 }; //没有内存和数据
	WCHAR* szHello = L"Hello, world!";
	RtlInitUnicodeString(&ustrTest, szHello); // 直接把Buffer 指向HelloWorld的起始地址
	//DECLARE_CONST_UNICODE_STRING(ustrTest, L"Hello, world!"); 此条语句等同于上面三条
	DbgPrint("static string : %wZ", &ustrTest);

	//栈上初始化
	UNICODE_STRING ustrTestStack = { 0 };
	WCHAR szHelloStack[512] = L"hello,world!";
	ustrTestStack.Buffer = szHelloStack;
	ustrTestStack.Length = wcslen(L"hello,world!") * sizeof(WCHAR);
	ustrTestStack.MaximumLength = sizeof(szHelloStack);
	DbgPrint("stack string : %wZ end %hu %hu", &ustrTestStack, ustrTestStack.Length, ustrTestStack.MaximumLength);

	//堆上字符串
	UNICODE_STRING ustrTestHeap = { 0 };
	ustrTestHeap.Buffer = ExAllocatePoolWithTag(PagedPool, (wcslen(L"hello,world!") + 1) * sizeof(WCHAR), "POCU");
	if (ustrTestHeap.Buffer == NULL)
	{
		DbgPrint("ExAllocatePoolWithTag Error For ustrTestHeap");
		return STATUS_SUCCESS;
	}
	RtlZeroMemory(ustrTestHeap.Buffer, (wcslen(L"hello,world!") + 1) * sizeof(WCHAR));
	ustrTestHeap.Length = ustrTestHeap.MaximumLength = (wcslen(L"hello,world!") + 1) * sizeof(WCHAR);
	RtlCopyMemory(ustrTestHeap.Buffer, L"hello,world", ustrTest.Length);

	DbgPrint("heap string :%wZ", &ustrTestHeap);


	//清理堆上内存
	ExFreePool(ustrTestHeap.Buffer);
	ustrTestHeap.Buffer = NULL;
	ustrTestHeap.Length = ustrTestHeap.MaximumLength = 0;
}

NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT pDriverObject,
	IN PUNICODE_STRING pRegistryPath)
{
	pDriverObject->DriverUnload = DriverUnload;

	TestStringOperate();

	return STATUS_SUCCESS;
}
GoingJack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
window浏览记录_操作记录查看器
10-12
查看window系统的浏览记录,操作记录, 别人是否访问你电脑一目了然.
Unicode转换,_T()与L到底怎么用,有什么区别
weixin_34218579的博客
10-21 266
_T会根据你工程的设置自动转换UNICODE和非UNICODE.     加L就是转为UNICODE Top 2楼  dumack   (天天天兰)  回复于 2001-12-18 11:25:07  得分 0 _T是将字符串转换为TCHAR,TCHAR是一个宏定义,当定义了UNICODE时TCHAR等同于WCHAR,否则等同于CHAR。为了和以后的平台兼容,建议使用TCHAR,而...
提取unicode
MarkHome
05-06 517
/** *取出unicode表示串 */ public static String getUnicodeString(char c){ char [] arr = {'0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'}; int i = (int)c; StringBuilder builde...
Unicode_String Ansi_String 内核字符串操作
zhuhuibeishadiao
04-02 8010
typedef struct _UNICODE_STRING { USHORT Length;//字节数,不是字符数 一定要* sizeof(WCHAR) USHORT MaximumLength;//字节数,不是字符数 一定要* sizeof(WCHAR) PWSTR Buffer;//非零结尾,间也可能含有零 } UNICODE_STRING, *PUNICODE_STRI
2.3 Windows驱动开发:内核字符串转换方法
最新发布
CSDN
11-14 5296
内核编程字符串有两种格式与,这两种格式是微软推出的安全版本的字符串结构体,也是微软推荐使用的格式,通常情况下代表的类型是char *也就是ANSI多字节模式的字符串,而则代表的是wchar*也就是UNCODE类型的字符,如下文章将介绍这两种字符格式在内核是如何转换的。在Windows内核,字符串的处理十分重要。不同于用户态程序,内核的字符串必须遵循严格的安全规则,以确保不会引发各种安全漏洞。和是微软在内核推出的两种安全版本的字符串结构体,代表的是ANSI多字节模式的字符串,而则代表的是。
UNICODE_STRING详解及注意事项
DontBeProud
09-12 6443
UNICODE_STRING
python豆瓣window.__DATA__算法解密
05-10
豆瓣web端搜索接口数据进行加密,数据存放在源码的window.__DATA__,此数据经过base64编码后又进行了两次加密(其包括rc4加密),此资源是对豆瓣的window.__DATA__数据进行解密,包括对rc4的解密,并且使用的是...
CloseWindow 1.00_C#窗口操作_
10-03
获取桌面指定窗口,打开窗口,关闭窗口,并对窗口进行操作
Test_simple_Window.rar_Test window
09-24
Test window c++ in mfc and C++
JAVA_SplashWindow.rar_java SplashWindow
09-21
启动显示进度条程序,简单易学,JAVA编写
UNICODE_STRING
Misaka10046的博客
04-08 1485
UNICODE_STRING 是在内核描述字符串的结构体,和应用层的Char不一样,Unicode_String 每个字占两个字节,计算length是 *sizeof(WCHAR) 定义为 UNICODE_STRING Str = {0} 结构为 typedef struct _UNICODE_STRING{ USHORT Length;//字节数 USHORT MaximumLength;//字节数,告诉系统函数多少内存可用 PWSTR Buffer;//指向字符串的指针 }UNICODE_STRING
驱动开发注意事项
qq_41490873的博客
06-03 216
1: strstr或者wcsstr函数 参数为UNICODE_STRING时,应该把UNICODE_STRING的字符串自己拷贝一份,因为UNICODE_STRING不是必须以0结尾的,这里就有可能导致蓝屏。 2:DbgPrint输出UNICODE_STRING时,或者swprintf_s格式化UNICODE_STRING时,用"%wZ",而不要用"%S"去格式化UNICODE_STRING的buffer.理由和上面一样。 ...
python学习之路——第五讲数据类型
xyq_1234的博客
01-16 95
整型int 整数 浮点型float 小数 a = 1.5e10 print(a) 输出结果:15000000000.0 字符串string 在字符串类型里,包括文本的引号不仅能使用单引号(’),还能使用双引号("),两者效果没有区别,但一定要前后保持统一。 布尔型bool 只有True和False type() 查看变量的数据类型,type() 函数返回的内容是 <class ‘xxx’> 这样的格式,分别对应着不同的格式。str 表示字符串类型,int 表示整数类型,float 表示浮点数类
KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING
Tinna_zhang的专栏
12-07 3275
KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING  KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING Just to remember: NT likes string of the follow
windows内核Unicode字符串的使用
qq_40363731的博客
04-09 558
*
UNICODE_STRING的技术总结
苏权的专栏
04-19 5182
UNICODE_STRING一般是用在windows的内核驱动编程,由于内核对安全的问题放在软件开发的首位,哪怕连一个字符串的使用都不能掉以轻心。 先看UNICODE_STRING的结构定义 typedef struct  _UNICODE_STRING {     USHORT Length;     USHORT MaximumLength;     PWCH   Buffer;
驱动开发之 UNICODE_STRING 总结
Lydia的博客
05-23 3448
UNICODE_STRING: typedef struct _UNICODE_STRING {   USHORT  Length;     //UNICODE占用的内存字节数,个数*2;   USHORT  MaximumLength;   PWSTR  Buffer; } UNICODE_STRING ,*PUNICODE_STRING; 参数定义: Length
从RtlInitUnicodeString函数汇编代码理解UnicodeString结构
chaos的专栏
08-04 1686
RtlInitUnicodeString 函数的原型是: VOID WINAPI RtlInitUnicodeString( _Inout_ PUNICODE_STRING DestinationString, _In_opt_ PCWSTR SourceString ); UnicodeString结构体: typedef struct _LSA_UNICO
qnx 根据IDstring 获取screen_window_t
06-02
对于QNX操作系统,您可以使用函数`screen_window_find_by_id`来根据ID字符串获取`screen_window_t`。该函数的原型如下: ``` screen_window_t screen_window_find_by_id(const char *idstring); ``` 其,`id...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值