6
驱动开发:内核字符串转换方法 - lyshark
source link: https://www.cnblogs.com/LyShark/p/16739228.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
驱动开发:内核字符串转换方法
在内核编程中字符串有两种格式ANSI_STRING与UNICODE_STRING,这两种格式是微软推出的安全版本的字符串结构体,也是微软推荐使用的格式,通常情况下ANSI_STRING代表的类型是char *也就是ANSI多字节模式的字符串,而UNICODE_STRING则代表的是wchar*也就是UNCODE类型的字符,如下文章将介绍这两种字符格式在内核中是如何转换的。
在内核开发模式下初始化字符串也需要调用专用的初始化函数,如下分别初始化ANSI和UNCODE字符串,我们来看看代码是如何实现的。
#include <ntifs.h>
#include <ntstrsafe.h>
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint("驱动卸载成功 \n");
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
// 定义内核字符串
ANSI_STRING ansi;
UNICODE_STRING unicode;
UNICODE_STRING str;
// 定义普通字符串
char * char_string = "hello lyshark";
wchar_t *wchar_string = (WCHAR*)"hello lyshark";
// 初始化字符串的多种方式
RtlInitAnsiString(&ansi, char_string);
RtlInitUnicodeString(&unicode, wchar_string);
RtlUnicodeStringInit(&str, L"hello lyshark");
// 改变原始字符串
char_string[0] = (CHAR)"A"; // char类型每个占用1字节
char_string[1] = (CHAR)"B";
wchar_string[0] = (WCHAR)"A"; // wchar类型每个占用2字节
wchar_string[2] = (WCHAR)"B";
// 输出字符串 %Z
DbgPrint("输出ANSI: %Z \n", &ansi);
DbgPrint("输出WCHAR: %Z \n", &unicode);
DbgPrint("输出字符串: %wZ \n", &str);
DbgPrint("驱动加载成功 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
代码输出效果:
内核中还可实现字符串与整数之间的灵活转换,内核中提供了RtlUnicodeStringToInteger这个函数来实现字符串转整数,与之对应的RtlIntegerToUnicodeString则是将整数转为字符串这两个内核函数也是非常常用的。
#include <ntifs.h>
#include <ntstrsafe.h>
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint("驱动卸载成功 \n");
}
// Power: lyshark
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
NTSTATUS flag;
ULONG number;
DbgPrint("hello lyshark \n");
UNICODE_STRING uncode_buffer_source = { 0 };
UNICODE_STRING uncode_buffer_target = { 0 };
// 字符串转为数字
// By:LyShark
RtlInitUnicodeString(&uncode_buffer_source, L"100");
flag = RtlUnicodeStringToInteger(&uncode_buffer_source, 10, &number);
if (NT_SUCCESS(flag))
{
DbgPrint("字符串 -> 数字: %d \n", number);
}
// 数字转为字符串
uncode_buffer_target.Buffer = (PWSTR)ExAllocatePool(PagedPool, 1024);
uncode_buffer_target.MaximumLength = 1024;
flag = RtlIntegerToUnicodeString(number, 10, &uncode_buffer_target);
if (NT_SUCCESS(flag))
{
DbgPrint("数字 -> 字符串: %wZ \n", &uncode_buffer_target);
}
// 释放堆空间
RtlFreeUnicodeString(&uncode_buffer_target);
DbgPrint("驱动加载成功 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
代码输出效果:
继续看另一种转换模式,将UNICODE_STRING结构转换成ANSI_STRING结构,代码中调用了RtlUnicodeStringToAnsiString内核函数,该函数也是微软提供的。
#include <ntifs.h>
#include <ntstrsafe.h>
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint("驱动卸载成功 \n");
}
// Power: lyshark
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
DbgPrint("hello lyshark \n");
UNICODE_STRING uncode_buffer_source = { 0 };
ANSI_STRING ansi_buffer_target = { 0 };
// 初始化 UNICODE 字符串
RtlInitUnicodeString(&uncode_buffer_source, L"hello lyshark");
// 转换函数
NTSTATUS flag = RtlUnicodeStringToAnsiString(&ansi_buffer_target, &uncode_buffer_source, TRUE);
if (NT_SUCCESS(flag))
{
DbgPrint("ANSI: %Z \n", &ansi_buffer_target);
}
// 销毁ANSI字符串
RtlFreeAnsiString(&ansi_buffer_target);
DbgPrint("驱动加载成功 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
代码输出效果:
如果将上述过程反过来,将ANSI_STRING转换为UNICODE_STRING结构,则需要调用RtlAnsiStringToUnicodeString这个内核专用函数实现。
#include <ntifs.h>
#include <ntstrsafe.h>
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint("驱动卸载成功 \n");
}
// Power: lyshark
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
DbgPrint("hello lyshark \n");
UNICODE_STRING uncode_buffer_source = { 0 };
ANSI_STRING ansi_buffer_target = { 0 };
// 初始化字符串
RtlInitString(&ansi_buffer_target, "hello lyshark");
// 转换函数
NTSTATUS flag = RtlAnsiStringToUnicodeString(&uncode_buffer_source, &ansi_buffer_target, TRUE);
if (NT_SUCCESS(flag))
{
DbgPrint("UNICODE: %wZ \n", &uncode_buffer_source);
}
// 销毁UNICODE字符串
RtlFreeUnicodeString(&uncode_buffer_source);
DbgPrint("驱动加载成功 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
代码输出效果:
如上代码是内核通用结构体之间的转换类型,又是还需要将各类结构体转为普通的字符类型,例如下方的两个案例:
例如将UNICODE_STRING 转为 CHAR*类型。
#define _CRT_SECURE_NO_WARNINGS
#include <ntifs.h>
#include <windef.h>
#include <ntstrsafe.h>
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint("驱动卸载成功 \n");
}
// powerBY: LyShark
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
DbgPrint("hello lyshark \n");
UNICODE_STRING uncode_buffer_source = { 0 };
ANSI_STRING ansi_buffer_target = { 0 };
char szBuf[1024] = { 0 };
// 初始化 UNICODE 字符串
RtlInitUnicodeString(&uncode_buffer_source, L"hello lyshark");
// 转换函数
NTSTATUS flag = RtlUnicodeStringToAnsiString(&ansi_buffer_target, &uncode_buffer_source, TRUE);
if (NT_SUCCESS(flag))
{
strcpy(szBuf, ansi_buffer_target.Buffer);
DbgPrint("输出char*字符串: %s \n", szBuf);
}
// 销毁ANSI字符串
RtlFreeAnsiString(&ansi_buffer_target);
DbgPrint("驱动加载成功 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
代码输出效果:
如果反过来,将 CHAR*类型转为UNICODE_STRING结构呢,可以进行中转最终转为UNICODE_STRING结构体。
#define _CRT_SECURE_NO_WARNINGS
#include <ntifs.h>
#include <windef.h>
#include <ntstrsafe.h>
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint("驱动卸载成功 \n");
}
// powerBY: LyShark
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
DbgPrint("hello lyshark \n");
UNICODE_STRING uncode_buffer_source = { 0 };
ANSI_STRING ansi_buffer_target = { 0 };
// 设置CHAR*
char szBuf[1024] = { 0 };
strcpy(szBuf, "hello lyshark");
// 初始化ANSI字符串
RtlInitString(&ansi_buffer_target, szBuf);
// 转换函数
NTSTATUS flag = RtlAnsiStringToUnicodeString(&uncode_buffer_source, &ansi_buffer_target, TRUE);
if (NT_SUCCESS(flag))
{
DbgPrint("UNICODE: %wZ \n", &uncode_buffer_source);
}
// 销毁UNICODE字符串
RtlFreeUnicodeString(&uncode_buffer_source);
DbgPrint("驱动加载成功 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
代码输出效果:
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK