内核模式下的字符串操作示例

最新推荐文章于 2024-05-17 20:49:45 发布
原创 最新推荐文章于 2024-05-17 20:49:45 发布 · 847 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#RtlUpperString使用例子 驱 #内核

本文介绍了一个Windows内核模式驱动程序示例,演示了如何在内核模式下进行字符串操作,包括ANSI_STRING和UNICODE_STRING的使用及相互转换。

头文件:

//////////////////////////////////////////////////////////////////////////
//文件:MyDriver.h
//作者:Hot_VC
//功能:内核模式下字符串操作 示例
//////////////////////////////////////////////////////////////////////////

#pragma once
#ifdef __cplusplus
extern "C"
{
#endif
#include <ntddk.h>
#include <windef.h>
#ifdef  __cplusplus
};
#endif

#define PAGEDCODE code_seg("PAGE")
#define LOCKEDCODE code_seg()
#define INITCODE code_seg("INIT")

#define PAGEDATA data_seg("PAGE")
#define LOCKEDDATA data_seg()
#define INITDATA data_seg("INIT")

#define arraysize(p) (sizeof(p)/sizeof((p)[0]))

#define BUFF_SIZE 1024
typedef struct _DEVICE_EXTENSION{
	PDEVICE_OBJECT pDevice;
	UNICODE_STRING ustrDeviceName;
	UNICODE_STRING ustrSymLinkName;
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;

NTSTATUS CreateDevice(IN PDRIVER_OBJECT pDriverObject );
VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject);
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
								 IN PIRP pIrp);

VOID CharTest();
VOID AnsiStringTest();
VOID UnicodeStringTest();

VOID StringToIntegerTest();

 


源文件:

//////////////////////////////////////////////////////////////////////////
//文件:MyDriver.cpp
//作者:Hot_VC
//功能:内核模式下字符串操作 示例
//////////////////////////////////////////////////////////////////////////
#include "MyDriver.h"

#pragma PAGEDCODE
extern "C" NTSTATUS DriverEntry(
								IN PDRIVER_OBJECT pDriverObject,
								IN PUNICODE_STRING pRegistryPath )
{
/*
#if DBG 
	__asm int 3
#endif*/
	NTSTATUS status;
	KdPrint(("EnterDriverEntry\n"));

	//CharTest();		//CHAR使用例子
	AnsiStringTest(); //ANSI_STRING 使用例子
	//UnicodeStringTest();
	
	//StringToIntegerTest();

	//注册其他驱动调用函数入口
	pDriverObject->DriverUnload = HelloDDKUnload;
	pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
	pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine;
	pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine;
	pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKDispatchRoutine;

	//创建设备驱动对象
	status = CreateDevice(pDriverObject);

	KdPrint(("DriverEntry end \n"));

	return status;
}

//初始化设备对象
NTSTATUS CreateDevice(IN PDRIVER_OBJECT pDriverObject )
{
	NTSTATUS status;
	PDEVICE_OBJECT pDevObj;
	PDEVICE_EXTENSION pDevExt;


	//创建设备名称
	UNICODE_STRING devName;
	RtlInitUnicodeString(&devName,L"\\Device\\MyDDKDevice");


	//创建设备
	status = IoCreateDevice(pDriverObject,
		sizeof(DEVICE_EXTENSION),
		&(UNICODE_STRING)devName,
		FILE_DEVICE_UNKNOWN,
		0, TRUE,
		&pDevObj);

	if(!NT_SUCCESS(status))
		return status;


	pDevObj->Flags |= DO_BUFFERED_IO;
	pDevExt = (PDEVICE_EXTENSION) pDevObj->DeviceExtension;
	pDevExt->pDevice = pDevObj;
	pDevExt->ustrDeviceName = devName;

	//创建符号链接
	UNICODE_STRING systemLinkName;
	RtlInitUnicodeString(&systemLinkName, L"\\??\\HelloDDK");
	pDevExt->ustrSymLinkName = systemLinkName;
	status = IoCreateSymbolicLink(&systemLinkName, &devName);

	if (NT_SUCCESS(status))
	{
		IoDeleteDevice(pDevObj);
		return status;
	}

	return STATUS_SUCCESS;
}

#pragma INITCODE
VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject )
{
	PDEVICE_OBJECT pNextObj;
	KdPrint(("Enter DriverUnload\n"));

	pNextObj = pDriverObject->DeviceObject;
	while (pNextObj != NULL)
	{
		PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)
			pNextObj->DeviceExtension;

		//删除符号链接
		UNICODE_STRING pLinkName = pDevExt->ustrSymLinkName;
		IoDeleteSymbolicLink(&pLinkName);
		pNextObj = pNextObj->NextDevice;
		IoDeleteDevice(pDevExt->pDevice);
	}
}

NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj, IN PIRP pIrp)
{
	KdPrint(("Enter HelloDDKDispatchRoutine\n"));

	NTSTATUS status = STATUS_SUCCESS;

	//完成IRP
	pIrp->IoStatus.Status = status;
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	KdPrint(("Leave HelloDDKDispatchRoutine\n"));
	return status;
}

VOID CharTest()
{
	KdPrint(("******************************************************\n"));
	KdPrint(("                      CHAR测试"));			
	//驱动中一般不直接使用CHAR WCHAR 容易造成缓冲区溢出
	CHAR *pszCharTest = "CHAR 测试";
	KdPrint(("%s\n", pszCharTest));			//注意小写s

	WCHAR *pwszWCharTest = L"WCHAR 测试";
	KdPrint(("%S\n", pwszWCharTest));		//注意大写S
	KdPrint(("******************************************************\n"));
}

VOID AnsiStringTest()
{
#if DBG
	__asm int 3
#endif
	KdPrint(("******************************************************\n"));
	KdPrint(("                    ANSI_STRING测试\n"));			
	//ANSI_STRING
	ANSI_STRING AnsiStringTest;
	RtlInitAnsiString(&AnsiStringTest, "ANSI_STRING测试");		
	KdPrint(("AnsiString初始化测试:%Z\n", &AnsiStringTest));

	//ANSI_STRING复制测试
	ANSI_STRING AnsiStringCopyTest;
	RtlInitAnsiString(&AnsiStringCopyTest, "ANSI_STRING复制测试");
	KdPrint(("AnsiString复制测试(复制前):%Z\n", &AnsiStringTest));
	RtlCopyString(&AnsiStringTest, &AnsiStringCopyTest);
	KdPrint(("AnsiString复制测试(复制后):%Z\n", &AnsiStringTest));


	//ANSI_STRING小写转大写测试
	RtlInitAnsiString(&AnsiStringTest, "abCdEFFGG!13");
	KdPrint(("小写转大写测试(未转换):%Z\n", &AnsiStringTest));

	ANSI_STRING AnsiStringUpperTest;
	AnsiStringUpperTest.MaximumLength = BUFF_SIZE;
	AnsiStringUpperTest.Buffer = (PSTR)ExAllocatePool(PagedPool,BUFF_SIZE);

	RtlUpperString(&AnsiStringUpperTest, &AnsiStringTest);
	KdPrint(("小写转大写测试(已转换):%Z\n", &AnsiStringUpperTest));
	RtlFreeAnsiString(&AnsiStringUpperTest);
	KdPrint(("******************************************************\n"));
}

VOID UnicodeStringTest()
{
	KdPrint(("******************************************************\n"));
	KdPrint(("                    UNICODE_STRING测试\n"));			
	//UNICODE_STRING
	UNICODE_STRING UnicodeStringTest;
	RtlInitUnicodeString(&UnicodeStringTest, L"UNICODE_STRING测试");
	KdPrint(("AnsiString初始化测试:%wZ\n", &UnicodeStringTest));

	//UNICODE_STRING复制测试
	UNICODE_STRING UnicodeStringCopyTest;
	RtlInitUnicodeString(&UnicodeStringCopyTest, L"UNICODE_STRING复制测试");
	KdPrint(("UnicodeString复制测试(复制前):%wZ\n\n", &UnicodeStringTest));
	RtlCopyUnicodeString(&UnicodeStringTest, &UnicodeStringCopyTest);
	KdPrint(("UnicodeString复制测试(复制后):%wZ\n\n", &UnicodeStringTest));

	//ANSI_STRING小写转大写测试
	RtlInitUnicodeString(&UnicodeStringTest, L"abCdEFFGG!");
	KdPrint(("小写转大写测试(未转换):%wZ\n", &UnicodeStringTest));
	UNICODE_STRING UnicodeStringUpperTest;
	//第三个参数表示是否为目的字符串分配内存
	//如果目的字符串与源字符串为同一个字符串则填否
	RtlUpcaseUnicodeString(&UnicodeStringUpperTest, &UnicodeStringTest, TRUE);	
	//销毁字符串
	//UnicodeStringUpperTest不是用RtlInitUnicodeString初始化过的需要销毁
	//UnicodeStringTest用RtlInitUnicodeString初始化过的不需要销毁
	RtlFreeUnicodeString(&UnicodeStringUpperTest);
	KdPrint(("小写转大写测试(已转换):%wZ\n", &UnicodeStringUpperTest));
	KdPrint(("******************************************************\n"));
}

VOID StringToIntegerTest()
{
	//字符串转换成数字
	UNICODE_STRING unisUnicodeString;
	RtlInitUnicodeString(&unisUnicodeString, L"-100");

	ULONG ulNumber;
	NTSTATUS staus = RtlUnicodeStringToInteger(&unisUnicodeString, 10, &ulNumber);

	if (NT_SUCCESS(staus))
	{
		KdPrint(("转换成功!!\n"));
		KdPrint(("结果是:%d\n", ulNumber));
	}else
	{
		KdPrint(("转换失败!!"));
	}



	//数字转换成字符串
	UNICODE_STRING unisUnicodeString2 = {0};	
	unisUnicodeString2.Buffer = (PWSTR)ExAllocatePool(PagedPool, BUFF_SIZE);
	unisUnicodeString2.MaximumLength = BUFF_SIZE;
	staus = RtlIntegerToUnicodeString(300, 10, &unisUnicodeString2);

	if (NT_SUCCESS(staus))
	{
		KdPrint(("转换成功!!\n"));
		KdPrint(("结果是:%wZ\n", &unisUnicodeString2));
	}else
	{
		KdPrint(("转换失败!!"));
	}

	//销毁unisUnicodeString2
	RtlFreeUnicodeString(&unisUnicodeString2);
}


 

 

 

 

Win64 内核编程-4.内核操作字符串
天使也掉毛
03-04 1677
内核操作字符串 字符串本质上就是一段内存,之所以和内存使用分开讲,是因为内核里的字符串太有花 样了,细数下来竟然有 4 种字符串!这四种字符串,分别是:CHAR*、WCHAR*、ANSI_STRING、UNICODE_STRING。当然,内核使用频率最多的是 UNICODE_STRING,其次是 WCHAR*,再次是 CHAR*,而 ANSI_STRING,则几乎没见过有什么内核函数使用
动开发(5)内核中的字符串
zuishikonghuan的博客
11-08 2494
动开发中,内核函数使用字符串不再是应用程序使用的Win32子系统API和Native API中的char*和wchar_t*,而是内核Unicode字符串UNICODE_STRING。 内核字符串有两种,ANSI字符串是ANSI_STRING,Unicode字符串是UNICODE_STRING,他们的结构是这样定义的:
动基础----内核字符串常用函数和常用的内核内存函数
weixin_41725706的博客
11-13 822
动编程内核字符串函数等
Windows动开发技术详解第六章(Windows内核函数)
冰糖葫芦的夏天的博客
02-28 516
字符串操作 DDK中CHAR对应char,WCHAR对应wchar_t DDK中也是用strcpy,sprintf,strcat等操作字符串,但并不推荐使用 这些字符串操作函数被ntoskrsl.exe导出 DDK推荐使用功能相同的宏 DDK不鼓励使用C语言的字符串,建议使用ANSI_STRING和UNICODE_STRING typedef struct _STRING { USHORT Length; //字符串的长度 USHORT MaximumLength; //字符串缓冲区的最大长度 P
Windows内核函数 - 字符串转化成大写
wendyWJGU的博客
05-17 401
Windows内核函数 - 字符串转化成大写
Windows动开发 - 内核模式下的字符串操作
bcbobo21cn的专栏
06-05 674
1 ASCII字符串和宽字符串   char型,记录ansi字符集。每个字符一个字节。以0标志结束。在KdPrint中用%s输出。   宽字符型,wchar_t,描述unicode字符集的字符串,每个字符两个字节,以0标志结束。通过L来体现。在KdPrint中用%S输出。 CHAR *string = "Hello"; WCHAR *string2 = L"hello"; KdPrint("%s\n", string); KdPrint("%S\n", string2); 2 ANSI_...
ANSI 和 Unicode 字符串函数补充
ClassFree(自由魔方)的Blog
05-12 1225
操作 ANSI串函数 Unicode串函数 Length strlen wcslen Concatena
Windows动开发(3) - 内核模式下的字符串操作
Vinx Blog
04-11 3618
Windows动开发(3) - 内核模式下的字符串操作1、ASCII字符串和宽字符串  char型,记录ansi字符集。每个字符一个字节。以0标志结束。在KdPrint中用%s输出。   宽字符型,wchar_t,描述unicode字符集的字符串,每个字符两个字节,以0标志结束。通过L来体现。在KdPrint中用%S输出。CHAR *string = "Hello"; WCHAR *string
Windows动编程视频教程-内核模式下的字符串操作
08-19
"Windows动编程视频教程-内核模式下的字符串操作"是一个深入探讨如何在内核模式下处理字符串的教程。这个教程可能包含了以下关键知识点: 1. **内核模式**:内核模式操作系统中的最高权限级别,它允许执行对...
精选_Ring0内核层下字符串基础操作之Ansi与Unicode字符串类型互转_源码打包
03-10
3. **RtlMultiByteToUnicodeN**: 这是内核模式下的函数,用于将Ansi字符串转换为Unicode字符串。它不依赖于系统代码页,而是使用固定的字符集。 4. **RtlUnicodeToMultiByteN**: 内核模式下,将Unicode字符串转换为...
精选_Ring0内核层下字符串基础操作之任意进制的整型数据和字符串互转_源码打包
03-10
总的来说,"Ring0内核层下字符串基础操作之任意进制的整型数据和字符串互转"涉及了计算机科学中基本的类型转换和数据表示,是操作系统编程和低级开发的基础。通过对压缩包内的源码学习,开发者可以深化对这一领域的...
Android判断字符串中是否含字母、中文或数字
08-29
文章结尾提到了Java代码示例,提供了一种判断字符串中是否必须包含数字、字母和中文字符的方法,并且也提供了另一种通过正则表达式在Android `EditText`中判断输入字符串的方法。最后,文章鼓励读者参考这些方法,并...
动开发之 创建线程函数PsCreateSystemThread
Lydia的博客
06-13 8051
函数原型: NTSTATUS PsCreateSystemThread(   _Out_      PHANDLE ThreadHandle,   _In_       ULONG DesiredAccess,   _In_opt_   POBJECT_ATTRIBUTES ObjectAttributes,   _In_opt_   HANDLE ProcessHandle,  
动开发之字符串操作
Lydia的博客
07-03 4343
WDM动程序可以使用下面4种格式的字符串: Unicode串,由UNICODE_STRING结构描述,包含16位字符。Unicode有足够的代码空间编码地球上所有语言的字型。参见http://www.indigo.ie/egt/standards/csur/klingon.html。 ANSI串,由ANSI_STRING结构描述,包含8位字符。另一种OEM_STRING串与其相似,也是
内核函数们(1):
王大帅的编程博客
10-09 869
 字符串RtlUpperString    ansicRtlUpcaseUnicodeString    unicodeRtlInitUnicodeString UnicodeRtlUnicodeStringToIntegerRtlIntegerToUnicodeStringRtlFreeUnicodeStringRtlUnicodeStringToAnsiStringRtlAnsiSt
VeighNa框架的PostgreSQL数据库接口项目_基于peewee开发的PostgreSQL数据库接口_为VeighNa量化交易框架提供稳定高效的PostgreSQL数据库连.zip
01-02
VeighNa框架的PostgreSQL数据库接口项目_基于peewee开发的PostgreSQL数据库接口_为VeighNa量化交易框架提供稳定高效的PostgreSQL数据库连.zip
基于思科网络技术学院官方模拟器的综合性网络协议与设备仿真实验平台_集成路由器交换机防火墙无线控制器及物联网传感器模块的虚拟网络环境构建与故障排除训练系统_适用于计算机网络原理教学网.zip
01-02
基于思科网络技术学院官方模拟器的综合性网络协议与设备仿真实验平台_集成路由器交换机防火墙无线控制器及物联网传感器模块的虚拟网络环境构建与故障排除训练系统_适用于计算机网络原理教学网.zip
LangChain 中的 SQLDatabase 工具连接到 MySQL 数据库
最新发布
01-02
LangChain 中的 SQLDatabase 工具连接到 MySQL 数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值