实现正则匹配,匹配模式

最新推荐文章于 2022-12-28 15:54:01 发布
最新推荐文章于 2022-12-28 15:54:01 发布
阅读量783 收藏
点赞数
分类专栏: 驱动学习 算法 文章标签: 内核匹配 正则匹配 匹配模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51108857
版权

模式匹配问题

BOOLEAN IsPatternMatch(PUNICODE_STRING Expression, PUNICODE_STRING Name, BOOLEAN IgnoreCase)
{
	return FsRtlIsNameInExpression(
    		Expression,
    		Name,
    		IgnoreCase,//如果这里设置为TRUE,那么Expression必须是大写的
    		NULL
    		); 
}
//L"C:\\WINDOWS\\SYSTEM32\\*\\*.SYS"
//L"c:\\Windows\\system32\\122222\\2.sys"

#include <Ntifs.h>
#include <ntddk.h>
#include <windef.h>

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("Goodbye!\n");
}

BOOLEAN IsPatternMatch(PUNICODE_STRING Expression, PUNICODE_STRING Name, BOOLEAN IgnoreCase)
{
	return FsRtlIsNameInExpression(
    			Expression,
    			Name,
    			IgnoreCase,//如果这里设置为TRUE,那么Expression必须是大写的
    			NULL
    			); 

}

BOOL PatternMatch(WCHAR * pat, WCHAR * str)
{
   register WCHAR * s;
   register WCHAR * p;
   BOOL star = FALSE;

loopStart:
   for (s = str, p = pat; *s; ++s, ++p) {
      switch (*p) {
         case L'?':
            if (*s == L'.') goto starCheck;
            break;
         case L'*':
            star = TRUE;
            str = s, pat = p;
            if (!*++pat) return TRUE;
            goto loopStart;
         default:
            //if (Lower(*s) != Lower(*p))
               goto starCheck;
            break;
      } 
   } 
   if (*p == L'*') ++p;
   return (!*p);

starCheck:
   if (!star) return FALSE;
   str++;
   goto loopStart;
}

BOOL PatternNMatch(WCHAR * pat, WCHAR * str, DWORD count)
{
   register WCHAR * s;
   register WCHAR * p;
   BOOL star = FALSE;
   DWORD dwCount = count;

loopStart:
   for (s = str, p = pat; dwCount>0; --dwCount, ++s, ++p) {
      switch (*p) {
         case L'?':
            if (*s == L'.') goto starCheck;
            break;
         case L'*':
            star = TRUE;
            str = s, pat = p;
            if (!*++pat) return TRUE;
            goto loopStart;
         default:
            //if (Lower(*s) != Lower(*p))
               goto starCheck;
            break;
      } 
   } 
   if (*p == L'*') ++p;
   return (!*p);

starCheck:
   if (!star) return FALSE;
   str++;
   dwCount--;
   goto loopStart;
}


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{

	UNICODE_STRING uExpression = {0};
	UNICODE_STRING uName	   = {0};

	RtlInitUnicodeString(&uExpression, L"C:\\WINDOWS\\SYSTEM32\\*.SYS");
	RtlInitUnicodeString(&uName, L"c:\\Windows\\system32\\122222\\2.sys");

	if (IsPatternMatch(&uExpression, &uName, TRUE))
	{
		DbgPrint("Matched\n");
	}
	else
	{
		DbgPrint("Not Matched\n");
	}
	pDriverObject->DriverUnload = DriverUnload;
	
	return STATUS_SUCCESS;

}


zhuhuibeishadiao
关注
专栏目录
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
内核模式匹配正则匹配笔记
kernweak的博客
05-30 377
正则匹配的原因,做关键路径的监控 ,提高系统性能,一般吧正则数据放到dat里然后加密起来,然后客户端启动读出来,下发到驱动,保存到驱动链表里面 BOOLEAN IsPatternMatch(PUNICODE_STRING Expression, PUNICODE_STRING Name, BOOLEAN IgnoreCase)//Expression 正则式 Name路径 { r...
FsRtlIsNameInExpression使用示例
danxuezx的专栏
03-27 1235
FsRtlIsNameInExpression的功能介绍参考MSDN: https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntifs/nf-ntifs-_fsrtl_advanced_fcb_header-fsrtlisnameinexpression 一句话概括就是看一个unicode string是否满足指定的结构类型。 比如想写一个功能,看一个Unicode string子串是否是以 abcd1234开头的,那这个代码可以
FsRtlIsNameInExpression不分大小写
死胖子的博客
03-24 1512
BOOLEAN FsRtlIsNameInExpression( _In_ PUNICODE_STRING Expression, _In_ PUNICODE_STRING Name, _In_ BOOLEAN IgnoreCase, _In_opt_ PWCH UpcaseTable ); Expression [i
AntPathMatcher路径匹配器,Ant风格的URL
最新发布
a1k2l45k的博客
12-28 2979
AntPathMatcher路径匹配
PHP简单实现正则匹配省市区的方法
10-18
本篇文章将详细讲解如何使用PHP实现一个简单正则匹配省市区的方法,并探讨相关操作技巧。 首先,我们看给定的正则表达式: ```php preg_match('/(.*?(省|自治区|北京市|天津市))+(.*?(市|自治州|地区|区划|县))+...
PHP实现正则匹配所有括号的内容
10-18
本篇将详细讲解如何使用PHP实现正则匹配所有括号的内容,特别是文括号。 首先,我们要了解正则表达式的语法。在PHP,我们可以使用`preg_match_all`函数来执行全局正则匹配,它会返回所有匹配的结果,而不仅仅...
js正则匹配table tr
10-30
- **提取特定行**: 若要提取包含特定属性的`<tr>`标签,可以在正则表达式添加相应的属性匹配模式。例如,要匹配包含`class="highlight"`的`<tr>`标签,可以使用`/[^>]*class=["']highlight["'][^>]*>[\s\S]*?...
解决js正则匹配换行问题实现代码
10-27
在处理JavaScript的正则表达式时,正确匹配包含换行符的模式是一个常见需求,但也是一个挑战,因为JavaScript的正则表达式默认不跨越多行。当需要在HTML处理元素内容并考虑到元素的换行时,尤其是要移除那些因...
js正则匹配出所有图片及图片地址src的方法
10-24
正则表达式是文本处理的强大工具,在JavaScript通过正则表达式可以实现对字符串的模式匹配和替换等功能。本文介绍了如何使用JavaScript正则表达式匹配页面的所有图片标签及图片的src属性地址。 首先,要匹配...
PCHunter 1.331 专业版 32位 破解版
08-08
PC Hunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑的潜伏的病毒木马。 PC Hunter专业版是在PC Hunter免费版的基础上开发而来,其集成了免费版的所有功能,并集成了一些免费版本所没有的功能。因此它比免费版本更强大
Juniper虚拟化架构
10-10
Juniper虚拟化架构
Windows驱动开发学习记录-内核模式下字符串后缀匹配
时空之中的灵魂
08-27 557
1、前提环境 最近系统学习驱动开发,抱着学以致用的态度,计划做一个基本的系统加载驱动过滤,其遇到字符串匹配的问题,记录一下。 1.1、使用PsSetLoadImageNotifyRoutine创建回调 NTKERNELAPI NTSTATUS PsSetLoadImageNotifyRoutine( _In_ PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine ); ...
FsRtlIsNameInExpression失败原因
死胖子的博客
03-04 1354
如果指定了第三个参数为TRUE,那么传入的第一个参数必须全部为大写。
URL匹配之AntPathMatcher
JustryDeng
03-21 2881
URL匹配之AntPathMatcher URL匹配之AntPathMatcher 背景说明 Ant基础通配符简介 AntPathMatcher常用方法介绍及示例 常用的构造方法 extractUriTemplateVariables(String pattern, String path):根据pattern的规则,从path抽取对应的变量值 isPattern(String str):判断str是否可以作为一个pattern匹配器 match(String pattern, String pat
Spring路径匹配器AntPathMatcher
热门推荐
骑个小蜗牛的博客
11-13 1万+
PathMatcher接口 使用场景 接口方法 AntPathMatcher类 匹配规则 主要方法 1. isPattern 2. match 3. matchStart 4. extractPathWithinPattern 5. extractUriTemplateVariables 6. getPatternComparator 7. combine
内核模块字符相关处理
lygl35的博客
01-18 488
一、初始化字符串 : RtlInitUnicodeString(&deviceanme, DEVICE_NAME) #define DEVICE_NAME L"\\Device\\MyfirstDevice" //定义一个驱动的名字 UNICODE_STRING deviceanme = { 0 };//初始一个存储设备名字的内存空间 RtlInitUnicodeString(&deviceanme, DEVICE_NAME);//初始化一个字符串 DbgPrint("--:%wZ
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9235
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
[科普]SSDT/SSSDT那些事
zhuhuibeishadiao
05-09 3793
哇,看到很多人找SSDT/SSSDT名称很蛋疼,读ntdll啊什么的,最后index还很乱,github上也有相关的工具,关键字是syscall,也是用ntdll的方式.. 这里科普下吧 以win10为例 x86下 找到ssdt表很简单,ida打开找到后交叉下 会找到KiInitSystem INIT:00998E8E A3 48 93 64 00
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值