RtlInitUnicodeString使用注意事项

最新推荐文章于 2023-04-09 23:33:38 发布
原创 最新推荐文章于 2023-04-09 23:33:38 发布 · 1.1w 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#RtlInitUnicodeString

本文探讨了RtlInitUnicodeString函数在使用过程中可能出现的问题,包括释放问题和初始化问题。当SourceString为NULL时,直接释放Buffer会导致蓝屏。另外,未正确设置MaximumLength可能导致后续操作失败。解决方案包括理解Buffer指向常量区的特性以及使用RtlInitEmptyUnicodeString进行安全初始化。

1、释放问题

关于这个函数,wdk文档中有下面这段话

The Buffer member of DestinationString is initialized to point to SourceString. The length and maximum length for DestinationString are initialized to the length of SourceString. If SourceString is NULL, the length is zero.

如果不注意,释放的时候可能会造成蓝屏。

例如:

UNICODE_STRING ustrName;

ustrName.Buffer=ExAllocatePool(PagedPool,128);

RtlInitUnicodeString(&ustrName,L"zhangsan");

这时候如果调用ExFreePool(ustrName.Buffer)就会触发蓝屏,因为ustrName.Buffer已经指向常量区


上面的初始化过程等同于下面的语句:

ustrName=RTL_CONSTANT_STRING(L"zhangsan");


在ntdef.h头文件中可以看到RTL_CONSTANT_STRING定义如下:

#define RTL_CONSTANT_STRING(s) \
{ \
    sizeof( s ) - sizeof( (s)[0] ), \
    sizeof( s ) / sizeof(_RTL_CONSTANT_STRING_type_check(s)), \
    _RTL_CONSTANT_STRING_remove_const_macro(s) \
}

2、初始化问题

WCHAR wcPath[MAX_PATH]={0};

UNICODE_STRING ustrName;

RtlInitUnicodeString(&ustrName,wcPath);

ustrName.MaximumLength=sizeof(WCHAR)*MAX_PATH;

如果没有加上最后一行,ustrName.MaximumLength=2

后面如果继续使用RtlCopyUnicodeString等函数很可能会失败,只能复制第一个字符。


上面这个初始化过程可以使用RtlInitEmptyUnicodeString 这个函数,

RtlInitEmptyUnicodeString(&ustrName, wcPath, sizeof(wcPath));

内核模块字符相关处理
lygl35的博客
01-18 596
一、初始化字符串 : RtlInitUnicodeString(&deviceanme, DEVICE_NAME) #define DEVICE_NAME L"\\Device\\MyfirstDevice" //定义一个驱动的名字 UNICODE_STRING deviceanme = { 0 };//初始一个存储设备名字的内存空间 RtlInitUnicodeString(&deviceanme, DEVICE_NAME);//初始化一个字符串 DbgPrint("--:%wZ
RtlInitUnicodeString
weixin_34151004的博客
02-26 512
代码1: WCHAR enumeratorName[64] = {0}; UNICODE_STRING unicodeEnumName; RtlInitUnicodeString(&unicodeEnumName, enumeratorName); unicodeEnumName是指向enumeratorName的内存指针 代码2: UNICODE_ST...
RtlInitUnicodeString函数汇编代码理解UnicodeString结构
chaos的专栏
08-04 1921
RtlInitUnicodeString 函数的原型是: VOID WINAPI RtlInitUnicodeString( _Inout_ PUNICODE_STRING DestinationString, _In_opt_ PCWSTR SourceString ); UnicodeString结构体: typedef struct _LSA_UNICO
RtlInitUnicodeString注意事项
startexcel的专栏
12-17 7309
代码1: UNICODE_STRING US1; RtlInitUnicodeString(&US1,L"DDDD"); 会动态分配一块指向“DDDD”的内存指针,赋值给US1.Buffer; 代码2: wchar_t tmpstr[260]={0}; UNICODE_STRING US1; RtlInitUnicodeString(&US1,tmpstr); 这时US1.
RtlInitUnicodeString、IoCreateDevice、IoCreateSymbolicLink、IoDeleteDevice 四个 API 驱动函数的使用...
weixin_30763397的博客
11-19 573
要解释“驱动对象”,就得先从 DriverEntry() 说起: 做过C语言开发的都知道程序是从 main() 函数开始执行。在进行 Windows 驱动程序开发的时候没有 main() 函数作为函数入口,取而代之的是 DriverEntry(). DriverEntry() 的原型如下: extern "C" NTSTATUS DriverEntry...
RtlInitUnicodeString 函数
最新发布
10-12
根据提供的引用,我们需要总结这个函数的作用、用法以及注意事项。 引用[1]: 函数原型:VOID RtlInitUnicodeString(IN OUT PUNICODE_STRING DestinationString, IN PCWSTR SourceString); 引用[2]: 提到这是初始化...
RtlInitUnicodeString( &DestinationString, L"\\Registry\\Machine\\System\\CurrentControlSet\\Services\\BrownProtector");
08-04
### 注意事项 - `RtlInitUnicodeString` 不会分配新内存,而是直接将 `SourceString` 的指针赋值给 `DestinationString.Buffer`。因此,如果 `SourceString` 是局部变量,则 `DestinationString` 在 `SourceString`...
内核注入dll 这么写路径对吗 UNICODE_STRING r0_dll_path{ 0 }; RtlInitUnicodeString(&r0_dll_path, L"\\??\\C:\\Dllx64.dll"); inst_callback_inject((HANDLE)0x1428, &r0_dll_path);
08-26
### 注意事项: - 在注入时,目标进程必须能够访问该路径(文件存在且权限允许)。 - 内核注入DLL本身是高风险操作,可能触发PatchGuard(特别是在x64系统上)。 ### 结论: 写法在特定情况下可能有效,但不是健壮...
内核注入dll UNICODE_STRING r0_dll_path{ 0 }; RtlInitUnicodeString(&r0_dll_path, L"\\??\\C:\\Users\\1\\Desktop\\Dll1.dll"); inst_callback_inject((HANDLE)0xE84, &r0_dll_path);这么写路径对吗
08-26
3. 除了文件路径转换,内核模式中还有哪些常见的与用户模式不同的字符串处理注意事项? 4. 如何在内核模式下安全地获取当前用户的桌面目录路径(如`C:\Users\<username>\Desktop`)? 5. 使用`...
RtlFindUnicodePrefix 怎么使用
07-26
### 注意事项 1. **初始化前缀表**:在调用 `RtlFindUnicodePrefix` 之前,必须先使用 `RtlInitializePrefixTable` 初始化前缀表。 2. **添加前缀项**:查找之前需要使用 `RtlInsertUnicodePrefix` 向前缀表中添加...
闲着无事3 RtlInitUnicodeString
svtanto的专栏
03-12 1133
反汇编RtlInitUnicodeString
RtlInitEmptyUnicodeString
点点滴滴的专栏
12-08 3647
RtlInitEmptyUnicodeString宏用来初始化一个空的counted Unicode字符串。要想初始化一个非空的counted Unicode字符串,则可以使用RtlInitUnicodeString。 VOID  RtlInitEmptyUnicodeString(    IN OUT PUNICODE_STRING  DestinationString,    IN P
RtlInitAnsiString RtlInitUnicodeString RtlAnsiStringToUnicodeString RtlFreeUnicodeString
收集学习过程中对自己有帮助的牛人文章
11-19 2243
RtlInitAnsiString函数初始化ANSI_STRING字符串。 RtlInitUnicodeString函数初始化UNICODE_STRING字符串。 RtlAnsiStringToUnicodeString函数把ANSI_STRING转化成UNICODE_STRING。 RtlFreeUnicodeString函数释放给字符串动态分配的内存。 RtlInitAnsiStr
unicode_stirng用法
weixin_45791960的博客
12-08 946
前记:最近驱动也差不多弄完了,在过一段时间差不多该上了,回头看看,这半年来也就折腾了这个象样点,自然也要留点啥的,供后面回忆回忆。 言归正传,首先看UNICODE_STRING的结构定义: typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING *PUNICODE_STRING; 包括三个域,其中: Length:表示Buffer的长度; MaximumLe
windows内核中的Unicode字符串的使用
qq_40363731的博客
04-09 1498
*
删除驱动符号链接出错-变量作用域和RtlInitUnicodeString的问题
weixin_30510153的博客
11-06 142
关键词: windows驱动开发 删除符号链接出错 变量作用域问题RtlInitUnicodeString 摘要:NT式驱动中,在DriverUnload()中尝试删除之前创建的符号链接失败,最后发现原因是变量作用域和RtlInitUnicodeString的问题 原始存在问题的简化代码如下: typedef struct _DEVICE_EXTENSION { UIN...
RtlUnicodeStringPrintf格式化UNICODE_STRING字符串在win7 64位出现蓝屏,在XP上正常的情况
qq_21453665的博客
05-02 1762
    以下是一段存在隐含错误的代码:         UNICODE_STRING devlinkname;                 //初始化链接名 RtlInitUnicodeString(&amp;devlinkname,L"\\DosDevices\\COM00"); //格式成新的符号链接名 status = RtlUnicodeStringPrintf(&amp;dev...
RtlInitEmptyUnicodeString macro
死胖子的博客
02-13 1428
RtlInitEmptyUnicodeString macro RtlInitEmptyUnicodeString 宏初始化一个空的计数Unicode字符串。 Syntax   VOID RtlInitEmptyUnicodeString( [out] PUNICODE_STRING DestinationString, [in] PWCHAR Buffer
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值