UNC路径转本地路径

最新推荐文章于 2023-12-18 20:00:07 发布
最新推荐文章于 2023-12-18 20:00:07 发布
阅读量3.6k 收藏 3
点赞数
分类专栏: 驱动开发 windows 内核 注入 安全算法 文章标签: UNC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90577422
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

 

UNC应用(Universal Naming Convention)通用命名规则,比如网络访问文件UNC路径就是

\\servername\sharename\directory\filename比如就是\\\\192.168.0.1\\mydocs\\x.txt对应本地路径D:\\tete\\x.txt,这个就是在注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServe\Shares里有映射关系。mydocs映射着本地路径D:\\tete,通俗就是一个文件夹被共享。一般在安全软件下规则在本地路径,所以要把UNC路径转换成本地路径。

思路

在第三个和第四个"\"之间的就是share的valuekey名字,然后把期求出,然后遍历判断多字符串是否是path

开头,然后拼接起来,找到。那把注册表中的数据读入到一个buffer,解析这个buffer可以用一个指针指向buffer,可以用

for(p=multistrz;*p==L'\0';p=p+wcslen(p)+1)
 

下面是代码,自己给自己挖的坑一个是找子串时候MaximumLength没设置导致找不到path,其次是unicode_string拼接函数记错,还有就是代码unicodeString找子串和找字符位置参考了大佬们的代码


/*
\\servername\sharename\directory\filename比如就是
\\\\192.168.0.1\\mydocs\\x.txt->D:\\tete\\x.txt,这个就是在注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServe\Shares里有映射关系。mydocs映射着本地路径。一般在安全软件下规则在本地路径,所以要把UNC路径转换成本地路径。
---------------------
作者:kernweak
来源:CSDN
原文:https://blog.csdn.net/youyou519/article/details/90523662
版权声明:本文为博主原创文章,转载请附上博文链接!
*/

#include<ntddk.h>
#include<ntstrsafe.h>


#ifndef MAX_PATH
#define MAX_PATH 260
#endif // !MAX_PATH

#define REG_PATH L"\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Shares"
#define DEVICE_NAME L"\\device\\U2LDrv" 
#define LINK_NAME L"\\dosdevices\\U2LDrv"

//实现strchr

WCHAR*  RTLUnicodeStringChr(PUNICODE_STRING IN pStr, WCHAR chr)
{
	ULONG i = 0;
	ULONG size = pStr->Length>>1;
	for (i = 0; i < size ; i++) {
		if (pStr->Buffer[i] == chr) {
			return pStr->Buffer + i;
		}
		
	}
	return NULL;
}



//实现strstr

WCHAR*  RTLUnicodeStringStr(const PUNICODE_STRING IN pStr, const PUNICODE_STRING IN pSubStr)
{
	USHORT uLengthStep = 0;
	USHORT uStrlen = pStr->Length;
	USHORT uSubStrlen = pSubStr->Length;
	USHORT i = 0;
	UNICODE_STRING str1 = { 0 };
	str1.MaximumLength = uStrlen;
	UNICODE_STRING str2 = { 0 };
	str2.MaximumLength = uSubStrlen;
	str2.Buffer = pSubStr->Buffer;
	//str2.Length = pSubStr->Length;
	if (pStr == NULL || pSubStr == NULL|| uStrlen < uSubStrlen) {
		return NULL;
	}
	uLengthStep = ((uStrlen - uSubStrlen) >> 1 )+ 1;
	for (i = 0; i < uLengthStep; i++) {
		str1.Length = str1.MaximumLength = (USHORT)uSubStrlen;
		str2.Length = str2.MaximumLength = (USHORT)uSubStrlen;
		str1.Buffer = pStr->Buffer + i;
		str2.Buffer = pSubStr->Buffer;
		if (0 == RtlCompareUnicodeString(&str1, &str2, TRUE)) {
			return pStr->Buffer + i;
		}
	}
	return NULL;
	
}

UNICODE_STRING* getShareName(PUNICODE_STRING IN pStrUnc, PUNICODE_STRING OUT pStrShare) {
	WCHAR * pTmp = pStrUnc->Buffer;
	
	
	WCHAR *pSharStart = NULL;
	WCHAR *pSharEnd = NULL;
	ULONG uShareLen = 0;//share长度

	ULONG i = 0;
	ULONG uSize = (pStrUnc->Length) >> 1;
	//先取SharedDocs观察得shareDocs开头是第三个'\\',结束是第四个‘\\’,所有涉及以下流程
	ULONG uTmp = 1;//取第三个'\\'标志位


	if (pTmp == NULL) {
		return NULL;
	}
	//取ShareDocs
	for (i = 0; i < uSize; i++)
	{
		if (pStrUnc->Buffer[i] == L'\\') {
			if (uTmp == 3)
			{
				pSharStart = pStrUnc->Buffer + i + 1;
			}
			else if (uTmp == 4) {
				pSharEnd = pStrUnc->Buffer + i - 1;
			}
			uTmp++;
		}
	}
	if (NULL == pSharStart || NULL == pSharEnd) {
		return NULL;
	}

	uShareLen = pSharEnd - pSharStart + 1;

	pStrShare->Buffer = pSharStart;
	pStrShare->Length = uShareLen * sizeof(WCHAR);
	return pStrShare;

}
//逻辑和取share略有差距,所以变量注释有些就没改
UNICODE_STRING* getFileName(PUNICODE_STRING IN pStrUnc, PUNICODE_STRING OUT pStrShare) {
	WCHAR * pTmp = pStrUnc->Buffer;


	WCHAR *pSharStart = NULL;
	WCHAR *pSharEnd = NULL;
	ULONG uShareLen = 0;//share长度

	ULONG i = 0;
	ULONG uSize = (pStrUnc->Length) >> 1;
	//先取SharedDocs观察得开始是第四个‘\\’,所有涉及以下流程
	ULONG uTmp = 1;//取第四个'\\'标志位


	if (pTmp == NULL) {
		return NULL;
	}
	//取ShareDocs
	for (i = 0; i < uSize; i++)
	{
		if (pStrUnc->Buffer[i] == L'\\') {
			if (uTmp == 4)
			{
				pSharStart = pStrUnc->Buffer + i ;

				break;
			}
			uTmp++;
		}
	}
	if (NULL == pSharStart) {
		return NULL;
	}

	uShareLen = pStrUnc->Length - (i)* sizeof(WCHAR);

	pStrShare->Buffer = pSharStart;
	pStrShare->Length = uShareLen;
	return pStrShare;

}


//\\servername\SharedDocs\xxxx -> C:\\Documents and Settings\\All Users\\Documents\\xxx
NTSTATUS UNC2Local(PUNICODE_STRING IN pStrUnc, PUNICODE_STRING OUT pStrLocal)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	//我的思路是先将L"Doc\\1.txt"的截取出Doc,然后去查注册表,找到Path,再把后面拼接起来
	UNICODE_STRING StrShare = { 0 };
	StrShare.MaximumLength = MAX_PATH;
	StrShare.Length = 0;
	UNICODE_STRING uStrReg = { 0 };
	ULONG ulResult = 0;//放长度
	PKEY_VALUE_PARTIAL_INFORMATION	pvpi = NULL;

	UNICODE_STRING StrFile = { 0 };
	StrFile.MaximumLength = MAX_PATH;
	StrFile.Length = 0;

	getShareName(pStrUnc, &StrShare);
	getFileName(pStrUnc, &StrFile);

	OBJECT_ATTRIBUTES objectAttr = { 0 };
	HANDLE hRegister = NULL;
	
	DbgPrint("ShareName is %wZ\n", &StrShare);
	DbgPrint("file is %wZ\n", &StrFile);
	//查询注册表shared信息
	RtlInitUnicodeString(&uStrReg, REG_PATH);
	InitializeObjectAttributes(&objectAttr,
		&uStrReg,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
		NULL,
		NULL);

	status = ZwOpenKey(&hRegister,
		KEY_ALL_ACCESS,
		&objectAttr);
	if (!NT_SUCCESS(status))

	{

		DbgPrint("[RegQueryValueKey]ZwOpenKey failed!\n");

		return status;

	}
	status = ZwQueryValueKey(hRegister,
		&StrShare,
		KeyValuePartialInformation,
		NULL,
		0,
		&ulResult);

	if (status != STATUS_BUFFER_OVERFLOW &&
		status != STATUS_BUFFER_TOO_SMALL)
	{
		ZwClose(hRegister);
		return status;
	}

	pvpi =
		(PKEY_VALUE_PARTIAL_INFORMATION)
		ExAllocatePoolWithTag(PagedPool, ulResult, 'SGER');
	if (pvpi == NULL)
	{
		return STATUS_INSUFFICIENT_RESOURCES;
	}

	status = ZwQueryValueKey(hRegister,
		&StrShare,
		KeyValuePartialInformation,
		pvpi,
		ulResult,
		&ulResult);
	if (!NT_SUCCESS(status))
	{
		ExFreePool(pvpi);
		ZwClose(hRegister);
		return status;
	}

	if (pvpi->Type != REG_MULTI_SZ) {
		if (pvpi)
		{
			ExFreePool(pvpi);
		}
		if (hRegister)
		{
			ZwClose(hRegister);
		}

		return status;
	}
	//然后解析path=
	UNICODE_STRING uszLoc = { 0 };
	uszLoc.Length = (USHORT)pvpi->DataLength;
	uszLoc.MaximumLength = (USHORT)pvpi->DataLength;
	uszLoc.Buffer = (WCHAR*)(pvpi->Data);
	DbgPrint("uszLoc is %wZ\n", &uszLoc);//中间变量,保存查处的
	UNICODE_STRING uszLoc2 = { 0 }; //中间变量
	WCHAR * pTmp = 0;
	RtlInitUnicodeString(&uszLoc2, L"Path=");
	pTmp=RTLUnicodeStringStr(&uszLoc, &uszLoc2);
	//DbgPrint("pTmp is %wZ\n", *pTmp);
	if (NULL == pTmp)
	{
		status = STATUS_UNSUCCESSFUL;
		if (pvpi)
		{
			ExFreePool(pvpi);
		}
		if (hRegister)
		{
			ZwClose(hRegister);
		}
	
		return status;
	}
	else {

		WCHAR* i = 0;
		RtlInitUnicodeString(&uszLoc2, pTmp + wcslen(L"Path="));
		
		RtlAppendUnicodeStringToString(pStrLocal,&uszLoc2);
		DbgPrint("pStrLocal is %wZ\n", *pStrLocal);

		RtlAppendUnicodeStringToString(pStrLocal, &StrFile);
		DbgPrint("pStrLocal is %wZ\n", *pStrLocal);
		status = STATUS_SUCCESS;
		if (pvpi)
		{
			ExFreePool(pvpi);
		}
		if (hRegister)
		{
			ZwClose(hRegister);
		}
	
	}
	
	
	return status;
	

}

NTSTATUS DispatchCommon(PDEVICE_OBJECT pObject, PIRP pIrp)
{
	UNREFERENCED_PARAMETER(pObject);

	pIrp->IoStatus.Status = STATUS_SUCCESS;
	pIrp->IoStatus.Information = 0;

	IoCompleteRequest(pIrp, IO_NO_INCREMENT);

	return STATUS_SUCCESS;
}

NTSTATUS DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	UNICODE_STRING uLinkName = { 0 };
	RtlInitUnicodeString(&uLinkName, LINK_NAME);
	IoDeleteSymbolicLink(&uLinkName);

	IoDeleteDevice(pDriverObject->DeviceObject);

	DbgPrint("Driver unloaded\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, UNICODE_STRING pReg)
{
	UNREFERENCED_PARAMETER(pReg);
	UNICODE_STRING uDeviceName = { 0 };
	UNICODE_STRING uLinkName = { 0 };
	PDEVICE_OBJECT pDeviceObject = NULL;
	ULONG i = 0;
	DbgPrint("Driver load begin\n");

	NTSTATUS status = STATUS_UNSUCCESSFUL;
	UNICODE_STRING strUnc = { 0 };
	UNICODE_STRING strLocal = { 0 };
	strLocal.MaximumLength = MAX_PATH;
	strLocal.Length = 0;
	strLocal.Buffer = ExAllocatePoolWithTag(PagedPool, MAX_PATH * sizeof(WCHAR), 'TSET');
	RtlZeroMemory(strLocal.Buffer, MAX_PATH * sizeof(WCHAR));
	RtlInitUnicodeString(&strUnc, L"\\\\127.0.0.1\\Doc\\1.txt");//这里写死,已经在该目录下分享了文件

	RtlInitUnicodeString(&uDeviceName, DEVICE_NAME);
	RtlInitUnicodeString(&uLinkName, LINK_NAME);

	//设备对象和驱动对象的关系
	//二者互指
	status = IoCreateDevice(pDriverObject,
		0, &uDeviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, &pDeviceObject);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("IoCreateDevice failed:%x", status);
		return status;
	}
	pDeviceObject->Flags |= DO_BUFFERED_IO;

	//符号链接的作用
	status = IoCreateSymbolicLink(&uLinkName, &uDeviceName);
	if (!NT_SUCCESS(status))
	{
		IoDeleteDevice(pDeviceObject);
		DbgPrint("IoCreateSymbolicLink failed:%x\n", status);
		return status;
	}

	for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION + 1; i++)
	{
		pDriverObject->MajorFunction[i] = DispatchCommon;
	}
	pDriverObject->DriverUnload = DriverUnload;
	DbgPrint("Driver load ok!\n");
	status = UNC2Local(&strUnc, &strLocal);
	if (!NT_SUCCESS(status)) {
		DbgPrint("没找到\n");
	}
	else
	{
		DbgPrint("%wZ\n", &strLocal);
	}
	ExFreePool(strLocal.Buffer);
	
	return status;

}

git参考代码地址

https://github.com/yangruiqiyr/winTestDriver/tree/master/U2LDrv

 

 

kernweak
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows和linux下的文件路径表示小结
lyc0424的博客
02-02 476
Windows路径是我们经常使用的东西,它看似简单,实际上隐含许多细节,这些都是在平常的使用过程中注意不到的。下面让我们来看看各种各样的Windows路径。 提起路径,我们都会想到“绝对路径”和“相对路径”,实际上绝对路径是一个广泛的概念,它表示的是可以唯一定位一个文件或文件夹路径,有多种形式的路径都属于绝对路径的范畴,例如: 完整路径(Full path) 我们平时所说的“绝对路径”通常就...
UNC path
weixin_33937913的博客
01-08 955
http://www.emailsignature.eu/phpBB2/how-to-get-a-unc-path-name-t341.html   In a network, the Universal Naming Convention (UNC) is a way to identify a shared file in a computer without having to spec...
UNC路径
fanghongxia2008的专栏
03-02 3314
UNC为网络(主要指局域网)上资源的完整 Windows 2000 名称。 1.什么是UNC路径? UNC路径就是类似\\softer这样的形式的网络路径UNC为网络(主要指局域网)上资源的完整 Windows 2000 名称。 格式: \\servername\sharename ,其中 servername 是服务器名,sharename 是共享资源的名称。 目录或文件的 UNC
什么是UNC路径
xinwj的专栏
03-25 2202
 UNC共享就是指网络硬盘的共享 !什么是UNC路径?现在很多地方都提到UNC路径,请问,什么是UNC路径?什么是UNC路径UNC路径就是类似//softer这样的形式的网络路径。它符合 //servername/sharename 格式,其中servername 是服务器名,sharename 是共享资源的名称。目录或文件的 UNC名称可以包括共享名称下的目录路径,格式为://se
ASP FSO显示特殊文件夹的实现代码(畸形目录名、UNC路径)
10-28
UNC路径是一种网络文件路径表示方式,格式为`\server\share`,可以用来访问网络上的共享资源,但在这里也可以用于访问本地的特殊文件夹。 以下是一段创建畸形目录的批处理代码(a.bat)示例: ```batch md aux\ md ...
FileTrail UNC Download-crx插件
04-03
语言:English允许用户使用UNC链接 filetrail web应用程序 - 本地/ UNC文件下载 在Chrome(文件://)中为“文件”URI方案添加支持,以从文件箱应用程序中打开存储在本地驱动器或网络上的文件。 默认情况下,Chrome可...
C# 文件读取和写入(UNC(网络共享)/本地文件/url文件)
08-15
多种文件读取路径: 网络共享(UNC),本地文件,http(web共享)
vagrant-smb-plugin:自动创建并连接到 UNC 共享的 Vagrant 插件
07-11
自动创建并连接到 UNC 共享的 Vagrant 插件。 当前,Windows 来宾上的 Vagrant 存在一个,导致功能无法正常工作。 此外,Virtualbox 共享文件夹不适合用作 IIS 源路径(请参阅 )。 这个插件将: 在当前工作目录...
cmd无法进入网络映射盘,提示UNC路径不受支持问题
最新发布
lisayh的博客
12-18 1685
cmd无法进入网络映射盘
【网络基础篇】26.如何通过UNC路径访问Windows共享资源
Filx_liuliu的博客
12-04 359
Win+R组合键 --> 运行 --> 输入共享资源地址“\\服务器地址\共享名\” ,即可访问相应资源。或者在资源管理器的地址栏内直接输入共享资源地址“\\服务器地址\共享名\”,确认后也可以访问。
显示unc路径服务器根目录,路径解释:绝对、相对、UNC 和 URL
weixin_42546508的博客
08-05 2118
您每天都通过路径浏览至数据和工具箱。本主题将详细讨论以下方面内容:路径、定义不同类型的路径以及 ArcGIS 对路径的管理方式。路径路径路径路径是由斜线分割的目录名的列表,后面连接目录名或文件名。目录与文件夹相同。E:\Data\MyStuff (path terminating in a directory name)E:\Data\MyStuff\roads.shp ...
解决VS运行共享目录下的项目UNC路径不受支持问题
lowB程序员
06-29 3161
UNC路径:格式类似于格式为:\servername\sharename\directory\filename的网路路径 VS运行该文件路径下出现以下问题: 解决方法: 在注册表中,添加一个值即可.路径如下: HKEY_CURRENT_USER\Software\Microsoft\Command Processor 添加值 DisableUNCCheck, 类型为 REG_DWORD ...
隐藏内核模块
weixin_33744854的博客
06-12 497
四、隐藏内核模块 对于内核模块,我原以为IS会通过获取内核变量PsLoadedModuleList,然后在通过这个来遍历所有的内核模块。假设此时获得结果1。通过调用函数NtQuerySystemInformation,参数SystemModuleInformation,假设此时获得结果2。再把结果1与结果2进行比较,这样就会发现被隐藏的模块。但事实证明我想的太复杂...
(原创)UNC路径的访问条件
04-01 3735
本人自己总结了一点UNC 路径访问的经验,分为域内和非域内两种情况。1、如果是域内的机器(包括相互有信任关系的两个域内的机器之间)都可以用UNC路径直接访问共享文件2、设有两台机器(A,B两机)都已经加入域(或分别属于连个相互信任的域中),如果A机用域用户帐户登录,B机处于本地登陆,那么从A机上可以UNC路径访问B机的共享文件夹,但是B机不能用unc路径访问A机的共享文件夹,这是因为,A机
windows共享文件服务器迁移(NTFS权限,共享权限,磁盘配额迁移)
edonzhon
01-17 4936
背景:公司共享文件夹存储出现问题,需要重新挂一个存储上去,又不能影响用户使用太久,该台服务器只做文件共享,所以我们定的方案是:新建一台服务器,然后将文件拷贝过去,权限拷贝过去 注意的点: ①NTFS权限 ②共享权限 ③服务器配额 这3个点是windows共享文件服务器最常见的 1.开始权限迁移,首先迁移NTFS权限 NTFS权限可以用robocopy命令,这样同时能复制文件和权限一起...
如何控制设备驱动程序的加载顺序
spl6891的专栏
07-05 1001
有两种方法可以用于控制设备驱动程序的加载顺序。这两种方法都利用了位于 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 的注册表项。第一种方法是修改 ServiceGroupOrder。第二种方法是根据 GroupOrderList 分配用于决定驱动程序加载顺序的 Tag 值。Tag 值、起始值、类型值和组名称都位于 HKLM\SYSTE
cmd 不支持将 unc 路径作为当前目录
08-08
例如,可以使用COPY命令复制UNC路径下的文件到本地目录,或使用DIR命令查看UNC路径下的文件列表等。 另一种方法是使用其他支持UNC路径的应用程序或脚本来执行相关操作。例如,可以使用PowerShell等脚本语言编写脚本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值