闲着无事3 RtlInitUnicodeString

最新推荐文章于 2023-04-09 23:33:38 发布
最新推荐文章于 2023-04-09 23:33:38 发布
阅读量1k 收藏
点赞数
文章标签: string struct buffer c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/svtanto/article/details/6242530
版权

kd> u RtlInitUnicodeString 8052cda8
VOID RtlInitUnicodeString(
    IN OUT PUNICODE_STRING  DestinationString,
    IN PCWSTR  SourceString
 );
typedef struct _UNICODE_STRING {
  USHORT  Length;
  USHORT  MaximumLength;
  PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;
nt!RtlInitUnicodeString:
; edi压栈
8052cd6c 57              push    edi
; edi=SourceString,注意这里,因为参数都是用指针传递的,这里是指向了参数指针的实际内容
8052cd6d 8b7c240c        mov     edi,dword ptr [esp+0Ch]
; edx=DestinationString,同上面的注意点,指向了参数指针的实际内容
8052cd71 8b542408        mov     edx,dword ptr [esp+8]
; edx指向的内存第一个字节设置为0
8052cd75 c70200000000    mov     dword ptr [edx],0
; edx+4个字节(就是UNICODE_STRING.Buffer成员)指向了edi
8052cd7b 897a04          mov     dword ptr [edx+4],edi
; edi本身没有变化,只影响了标志为ZF,其实就是判断edi是否是0
8052cd7e 0bff            or      edi,edi
; edi是0,跳到8052cda4继续处理,就是结束
8052cd80 7422            je      nt!RtlInitUnicodeString+0x38 (8052cda4)
; ecx设置了一个极大值0FFFFFFFFh,用作循环变量
8052cd82 83c9ff          or      ecx,0FFFFFFFFh
; eax=0
8052cd85 33c0            xor     eax,eax
; scas word 串扫描指令,用ax-di,其实就是判断什么时候di的内容是0,用结果设置ZF标志位,
; 不知道为什么,这里没有cld,设置方向标志位为0,每次循环edi+sizeof(word)
; 非0,那么继续,一直到找到di为0的那一位为止,这时候ecx和0FFFFFFFFh的差就是edi指向的
; 字符串的字长度
8052cd87 f266af          repne scas word ptr es:[edi]
; 取反的结果是把ecx中的几个F(not 1111 = 0000)位都去除,对剩下的再取反就是用F...去减,
; 得到字符串的长度
8052cd8a f7d1            not     ecx
; 因为ecx是字长度,为了得到字节长度,就乘以2,也就是左移1位
8052cd8c d1e1            shl     ecx,1
; 比较ecx(得到的字节长度)和某个固定值(0FFFEh=65534)
8052cd8e 81f9feff0000    cmp     ecx,0FFFEh
; 带符号比较,小于等于8052cd9b,跳到继续处理
8052cd94 7605            jbe     nt!RtlInitUnicodeString+0x2f (8052cd9b)
; 长度最多设置到65534,这2条指令就是判断长度是否小于65535
8052cd96 b9feff0000      mov     ecx,0FFFEh
; 因为最多是65534(2个字节可以表达),所以用了cx寄存器,edx+2是MaximumLength成员
8052cd9b 66894a02        mov     word ptr [edx+2],cx
; 减2后作为现在字符串的长度
8052cd9f 49              dec     ecx
8052cda0 49              dec     ecx
8052cda1 66890a          mov     word ptr [edx],cx
8052cda4 5f              pop     edi
8052cda5 c20800          ret     8

svtanto
关注
RtlInitUnicodeString函数汇编代码理解UnicodeString结构
chaos的专栏
08-04 1750
RtlInitUnicodeString 函数的原型是: VOID WINAPI RtlInitUnicodeString( _Inout_ PUNICODE_STRING DestinationString, _In_opt_ PCWSTR SourceString ); UnicodeString结构体: typedef struct _LSA_UNICO
RtlInitUnicodeString使用注意事项
zfs2008zfs的博客
04-11 1万+
1、释放问题 关于这个函数,wdk文档中有下面这段话 The Buffer member of DestinationString is initialized to point to SourceString. The length and maximum length for DestinationString are initialized to the length of Source
RtlInitUnicodeString
weixin_34151004的博客
02-26 457
代码1: WCHAR enumeratorName[64] = {0}; UNICODE_STRING unicodeEnumName; RtlInitUnicodeString(&unicodeEnumName, enumeratorName); unicodeEnumName是指向enumeratorName的内存指针 代码2: UNICODE_ST...
RtlInitUnicodeString注意事项
startexcel的专栏
12-17 7236
代码1: UNICODE_STRING US1; RtlInitUnicodeString(&US1,L"DDDD"); 会动态分配一块指向“DDDD”的内存指针,赋值给US1.Buffer; 代码2: wchar_t tmpstr[260]={0}; UNICODE_STRING US1; RtlInitUnicodeString(&US1,tmpstr); 这时US1.
RtlInitUnicodeString、IoCreateDevice、IoCreateSymbolicLink、IoDeleteDevice 四个 API 驱动函数的使用...
weixin_30763397的博客
11-19 479
要解释“驱动对象”,就得先从 DriverEntry() 说起: 做过C语言开发的都知道程序是从 main() 函数开始执行。在进行 Windows 驱动程序开发的时候没有 main() 函数作为函数入口,取而代之的是 DriverEntry(). DriverEntry() 的原型如下: extern "C" NTSTATUS DriverEntry...
rtlinitunicodestring
03-16
rtlinitunicodestring是Windows操作系统中的一个函数,用于将Unicode字符串初始化为一个空字符串。该函数的参数是一个指向Unicode字符串的指针,函数会将该指针所指向的Unicode字符串初始化为空字符串。
Windows驱动开发学习3
sunr.
09-04 240
驱动的 API 函数: 1. RtlInitUnicodeString 作用: 初始化设备名称指针。 VOID RtlInitUnicodeString ( IN OUT UNICODE_STRING DestinationString, IN PCWSTR SourceString ); 2. IoCreateDevice 作用: 此函数用...
6.ring0与ring3通信
Mikasys的博客
10-27 537
0x6 ring0与ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
RtlInitAnsiString RtlInitUnicodeString RtlAnsiStringToUnicodeString RtlFreeUnicodeString
收集学习过程中对自己有帮助的牛人文章
11-19 2119
RtlInitAnsiString函数初始化ANSI_STRING字符串。 RtlInitUnicodeString函数初始化UNICODE_STRING字符串。 RtlAnsiStringToUnicodeString函数把ANSI_STRING转化成UNICODE_STRINGRtlFreeUnicodeString函数释放给字符串动态分配的内存。 RtlInitAnsiStr
windows内核中的Unicode字符串的使用
最新发布
qq_40363731的博客
04-09 766
*
内核模块字符相关处理
lygl35的博客
01-18 488
一、初始化字符串 : RtlInitUnicodeString(&deviceanme, DEVICE_NAME) #define DEVICE_NAME L"\\Device\\MyfirstDevice" //定义一个驱动的名字 UNICODE_STRING deviceanme = { 0 };//初始一个存储设备名字的内存空间 RtlInitUnicodeString(&deviceanme, DEVICE_NAME);//初始化一个字符串 DbgPrint("--:%wZ
windows 驱动与内核调试 学习2
不会写代码的丝丽
10-29 946
我们知道我们驱动存在的意义往往是用于驱动硬件,而一个硬件读写大多数操作系统都是为文件io。既然是文件那么必然涉及到文件打开,读写等。我们看看在内核驱动该如何实现这些逻辑操作。当函数卸载的时候一定要记得删除驱动文件哦我们贴出完成相关代码我们利用工具将驱动文件进行加载然后我们在利用winobj查看我们注册驱动文件我们最后执行卸载操作。上面的注册驱动文件不能在ring3 进行文件读写,如果你期望ring3也可以驱动需要额外注册一个另一个映射名(符号链接 )相关代码如下同样我们加载驱动。
UNICODE_STRING详解及注意事项
DontBeProud
09-12 7190
UNICODE_STRING
Unicode_String Ansi_String 内核字符串操作
zhuhuibeishadiao
04-02 8070
typedef struct _UNICODE_STRING { USHORT Length;//字节数,不是字符数 一定要* sizeof(WCHAR) USHORT MaximumLength;//字节数,不是字符数 一定要* sizeof(WCHAR) PWSTR Buffer;//非零结尾,中间也可能含有零 } UNICODE_STRING, *PUNICODE_STRI
利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)
热门推荐
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
UNICODE_STRING 总结
weixin_30765505的博客
12-30 348
UNICODE_STRING: typedef struct _UNICODE_STRING { USHORT Length; //UNICODE占用的内存字节数,个数*2; USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING ,*PUNICODE_STRING; 参数定义:Length-----buffer的字节长度,不...
Win64 驱动内核编程-20.UnHook SSDT
天使也掉毛
03-23 1633
UNHOOK SSDT     要恢复 SSDT,首先要获得 SSDT 各个函数的原始地址,而 SSDT 各个函数的原始地址,自然是存储在内核文件里的。于是,有了以下思路: 1.获得内核里 KiServiceTable 的地址(变量名称:KiServiceTable) 2.获得内核文件在内核里的加载地址(变量名称:NtosBase) 3.获得内核文件在 PE32+结构体里的映像基址(变量名
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值