驱动开发初探之UNICODE_STRING

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量2.2k 收藏
点赞数
文章标签: string 文档 list struct buffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgl07/article/details/7469660
版权

由于前一阵子有一个实验是关于驱动开发的,觉得很有意思就看了一下,但是这一看就看了两个星期,很多事情都耽误了,希望我写出的这些可以帮助大家少走弯路。

关于UNICODE_STRING是有很多RTL函数可以用的,然而在我做实验的过程中,由于不太熟悉,从刚开始全用RTL函数到后来尽可能不用,我对不告诉我它内部到底是怎么样的东西一般比较排斥。

下面言归正传,下面一段代码的作用是完整的从内存分配到初始化一个PUNICODE类型的pname,并在后来的代码段中将这个已经分配了内存的节点插入到我要用的队列中

WCHAR str1[] = L"notepad.exe";
node->pname=(PUNICODE_STRING)ExAllocatePoolWithTag(NonPagedPool, MAX_UNICODE_STRING_PNAME_LEN*sizeof(WCHAR),CF_MEM_TAG);
	node->pname->Length = 0;
	//一个指针4个字节两个USHORT4个字节,实际留给BUFFER的要少了8个字节
	node->pname->Buffer = (WCHAR*)((USHORT*)node->pname+ 2 + 2);
	node->pname->MaximumLength = MAX_UNICODE_STRING_PNAME_LEN*sizeof(WCHAR) - (2+2+4);
	
	memcpy(node->pname->Buffer ,str1,wcslen(str1)*sizeof(WCHAR));
	node->pname->Length=wcslen(str1)*sizeof(WCHAR);
有必要看看简化了的node结构原型,以便理解。其他的看文档都可以看懂并找到。 

typedef struct {
    LIST_ENTRY list_entry;
    PUNICODE_STRING pname;
} P_NODE,*PP_NODE;

这样就可以了。

以后当需要自己分配内存建立UNICODE_STRING的时候可以参考上面的方法,然而通常我们使用UNICODE_STRING的时候都是只要局部有效就可以了,这种方法网上有一个文档讲了使用RTL函数帮助初始化UNICODE_STRING的方法,我就不在这里写了。

朱乐乐在路上
关注
驱动学习笔记(二)打印字符串
驱动开发
06-22 3298
打印字符串:工具:debugview.exeWDM驱动程序可以使用4种格式的字符串: 1.                  空结尾的字符串,你可以用普通得C语法表示字符串常量1) DbgPrint(“Hello World!”); //直接打印字符串。2) char variable_string[] = “Hello World”;   DbgPrint(“%s”,variab
[转]文件过滤系统驱动开发Filemon学习笔记与filemon.exe
baby_bobo的专栏
11-24 1845
<br />WINDOWS文件过滤体系驱动研发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握焦点层的理论及实践,对成为一名优秀的研发人员不可或缺。<br />WINDOWS文件过滤体系驱动研发的两个经典例子,Filemon与SFilter,初学者在经过一定的理论积累后,对此两个例子代码的研究阐发,会是步入驱动研发殿堂的重要一步,相信一定的理论积累和贯串剖析理解此两个例程后,就有能力开始进行文件过滤体系驱动研发的实职了。对SFilter例子的讲解,楚狂人的教程已比力风行,而Filemon例
一个驱动开发UNICODE_STRING的封装类CUString
04-27
封装了内核驱动开发中常用的UNICODE_STRING字符串方面的操作,更能就像mfc中的CString
[Windows驱动开发] 驱动中的字符串操作
LYSM
04-07 695
初始化 UNICODE_STRING u_src; RtlInitUnicodeString(&src,"hello");
RtlPrefixUnicodeString routine
死胖子的博客
04-06 1597
RtlPrefixUnicodeString routine RtlPrefixUnicodeString 比较两个Unicode strings,检查是否一个字符串是另一个字符串的前缀(startswith)。 Syntax C++ BOOLEAN RtlPrefixUnicodeString( _In_ PCUNICODE
驱动开发UNICODE_STRING 总结
Lydia的博客
05-23 3493
UNICODE_STRING: typedef struct _UNICODE_STRING {   USHORT  Length;     //UNICODE占用的内存字节数,个数*2;   USHORT  MaximumLength;   PWSTR  Buffer; } UNICODE_STRING ,*PUNICODE_STRING; 参数定义: Length
Flutter:从入门到实践
GitChat
07-02 2814
搜索引擎初探
勿忘初衷
08-30 1050
本文简单总结一下最近对搜索引擎的学习研究。综合了stanford cs276http://web.stanford.edu/class/cs276/和一些query理解http://queryunderstanding.com的内容。 什么是搜索引擎? 用户带着目的(user intents),在搜索引擎输入一段文本(语音或文字)(query),搜索引擎返回相关的网页、文档等资源(sear...
一份内核重载代码的学习笔记
0xDQ的博客
04-21 1202
0x00 前言 参考文章:https://blog.csdn.net/whatday/article/details/14160875 https://blog.csdn.net/pjz969/article/details/8615085 首先重载内核不是什么新技术,对于绕过HOOK是一种一刀切的做法,不过对于我这样初探内核的小白还是很有总结意义的。 本篇涉及的知识点:0环和3环通信...
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1255
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
[转]Windows驱动编程基础教程,UNICODE_STRING部分解释很详细
madjoe的专栏
03-13 1142
Windows驱动编程基础教程(1.1-1.3) 1.1 使用字符串结构 常常使用传统C语言的程序员比较喜欢用如下的方法定义和使用字符串: char *str = { “my first string” }; // ansi字符串 wchar_t *wstr = { L”my first string” }; // unicode字符串 size_t len = strlen
win10驱动开发12——字符串
qq_41610493的博客
12-08 271
描述 ANSI_STRING UNICODE_STRING 初始化 RtlInitAnsiString() RtlInitEmptyAnsiString() RTL_CONSTANT_STRING RtlInitUnicodeString() RtlInitEmptyUnicodeString()RTL_CONSTANT_STRING 复制 RtlCopyString() RtlCopyUnicodeString() 比较 RtlCompareString() RtlComp...
RtlPrefixUnicodeString 判断一个字符串是否以某字符串开头
死胖子的博客
08-24 1551
RtlPrefixUnicodeString 判断一个字符串是否以某字符串开头。 原型 BOOLEAN NTAPI RtlPrefixUnicodeString( __in PCUNICODE_STRING String1, __in PCUNICODE_STRING String2, __in BOOLEAN CaseInSensitive );
_UNICODE_STRING
weixin_30764771的博客
08-23 135
#pragma once #include <ntifs.h> #define MAX_PATH 260 #define BUFFER_SIZE 0x400 /********************************************/ /* 初始化 */ /**********...
RtlUpcaseUnicodeString routine
死胖子的博客
02-04 1168
RtlUpcaseUnicodeString routine RtlUpcaseUnicodeString 转换一个源字符串到大写格式,并把转换后的字符串写入到目标缓冲区中。 Syntax   NTSTATUS RtlUpcaseUnicodeString( _Inout_ PUNICODE_STRING DestinationString, _In_ PCUNICOD
unicode_stirng用法
weixin_45791960的博客
12-08 758
前记:最近驱动也差不多弄完了,在过一段时间差不多该上了,回头看看,这半年来也就折腾了这个象样点,自然也要留点啥的,供后面回忆回忆。 言归正传,首先看UNICODE_STRING的结构定义: typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING *PUNICODE_STRING; 包括三个域,其中: Length:表示Buffer的长度; MaximumLe
UNICODE_STRING详解及注意事项
DontBeProud
09-12 7190
UNICODE_STRING
RtlUnicodeStringPrintf格式化UNICODE_STRING字符串在win7 64位出现蓝屏,在XP上正常的情况
qq_21453665的博客
05-02 1629
    以下是一段存在隐含错误的代码:         UNICODE_STRING devlinkname;                 //初始化链接名 RtlInitUnicodeString(&amp;devlinkname,L"\\DosDevices\\COM00"); //格式成新的符号链接名 status = RtlUnicodeStringPrintf(&amp;dev...
RtlFreeUnicodeString
xuemao1230的专栏
02-27 783
RtlFreeUnicodeString函数是用来释放由RtlAnsiStringToUnicodeString和RtlUpcaseUnicodeString申请的内存空间的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值