在上一篇文章《内核字符串转换方法》中简单介绍了内核是如何使用字符串以及字符串之间的转换方法,本章将继续探索字符串的拷贝与比较,与应用层不同内核字符串拷贝与比较也需要使用内核专用的API函数,字符串的拷贝往往伴随有内核内存分配,我们将首先简单介绍内核如何分配堆空间,然后再以此为契机简介字符串的拷贝与比较。

2.4.1 内核中的空间分配

首先内核中的堆栈分配可以使用ExAllocatePool()这个内核函数实现,此外还可以使用ExAllocatePoolWithTag()函数,两者的区别是,第一个函数可以直接分配内存,第二个函数在分配时需要指定一个标签,此外内核属性常用的有两种NonPagedPool用于分配非分页内存,而PagePool则用于分配分页内存,在开发中推荐使用非分页内存,因为分页内存数量有限。

内存分配使用ExAllocatePool函数,内存拷贝可使用RtlCopyMemory函数,需要注意该函数其实是对Memcpy函数的包装。

ExAllocatePool用于在内核空间分配内存。它的作用是向系统申请一块指定大小的内存,并返回这块内存的起始地址,供内核使用。需要注意的是,使用ExAllocatePool分配的内存是在内核空间中,因此不能被用户空间的代码直接访问。

RtlCopyMemory也是Windows内核开发中的一个函数,用于在内存中拷贝数据。它的作用是将指定长度的数据从源地址拷贝到目标地址,可以用于在内核空间中拷贝数据。需要注意的是,RtlCopyMemory实际上是对memcpy函数的封装,但是它提供了更加严格的参数检查和更好的错误处理机制,因此在内核开发中建议使用RtlCopyMemory而不是直接使用memcpy

在使用这两个函数时需要注意以下几点:

  • ExAllocatePool分配的内存必须在使用完后及时释放,否则会导致内存泄漏。可以使用ExFreePool函数来释放内存。
  • ExAllocatePool分配的内存是非连续的,因此不能使用指针算术运算来访问内存块中的某个元素。如果需要在内存块中访问某个元素,可以使用数组下标的方式来访问。
  • RtlCopyMemory函数需要确保源地址和目标地址所指向的内存块不会重叠,否则会导致数据的不确定性。可以使用RtlMoveMemory函数来处理源地址和目标地址重叠的情况。
#include <ntifs.h>

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint("驱动已卸载 \n");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    UNICODE_STRING uncode_buffer = { 0 };

    DbgPrint("hello lyshark \n");

    wchar_t * wchar_string = L"hello lyshark";

    // 设置最大长度

    uncode_buffer.MaximumLength = 1024;

    // 分配内存空间

    uncode_buffer.Buffer = (PWSTR)ExAllocatePool(PagedPool, 1024);

    // 设置字符长度 因为是宽字符,所以是字符长度的 2 倍

    uncode_buffer.Length = wcslen(wchar_string) * 2;

    // 保证缓冲区足够大,否则程序终止

    ASSERT(uncode_buffer.MaximumLength >= uncode_buffer.Length);

    // 将 wchar_string 中的字符串拷贝到 uncode_buffer.Buffer

    RtlCopyMemory(uncode_buffer.Buffer, wchar_string, uncode_buffer.Length);

    // 设置字符串长度 并输出

    uncode_buffer.Length = wcslen(wchar_string) * 2;

    DbgPrint("输出字符串: %wZ \n", uncode_buffer);

    // 释放堆空间

    ExFreePool(uncode_buffer.Buffer);

    uncode_buffer.Buffer = NULL;

    uncode_buffer.Length = uncode_buffer.MaximumLength = 0;

    DbgPrint("驱动已加载 \n");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

代码输出效果如下图所示:

实现空间分配,字符串结构UNICODE_STRING可以定义数组,空间的分配也可以循环进行,例如我们分配十个字符串结构,并输出结构内的参数。

#include <ntifs.h>

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint("驱动已卸载 \n");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    UNICODE_STRING uncode_buffer[10] = { 0 };

    wchar_t * wchar_string = L"hello lyshark";

    DbgPrint("hello lyshark \n");

    int size = sizeof(uncode_buffer) / sizeof(uncode_buffer[0]);

    DbgPrint("数组长度: %d \n", size);

    for (int x = 0; x < size; x++)

    {

        // 分配空间

        uncode_buffer[x].Buffer = (PWSTR)ExAllocatePool(PagedPool, 1024);

        // 设置长度

        uncode_buffer[x].MaximumLength = 1024;

        uncode_buffer[x].Length = wcslen(wchar_string) * sizeof(WCHAR);

        ASSERT(uncode_buffer[x].MaximumLength >= uncode_buffer[x].Length);

        // 拷贝字符串并输出

        RtlCopyMemory(uncode_buffer[x].Buffer, wchar_string, uncode_buffer[x].Length);

        uncode_buffer[x].Length = wcslen(wchar_string) * sizeof(WCHAR);

        DbgPrint("循环: %d 输出字符串: %wZ \n", x, uncode_buffer[x]);

        // 释放内存

        ExFreePool(uncode_buffer[x].Buffer);

        uncode_buffer[x].Buffer = NULL;

        uncode_buffer[x].Length = uncode_buffer[x].MaximumLength = 0;

    }

    DbgPrint("驱动加载成功 \n");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

代码输出效果如下图所示:

2.4.2 内核中的字符串拷贝

实现字符串拷贝,此处可以直接使用RtlCopyMemory函数直接对内存操作,也可以调用内核提供的RtlCopyUnicodeString函数来实现,具体代码如下。

#include <ntifs.h>

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint("驱动已卸载 \n");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    UNICODE_STRING uncode_buffer_source = { 0 };

    UNICODE_STRING uncode_buffer_target = { 0 };

    // 该函数可用于初始化字符串

    RtlInitUnicodeString(&uncode_buffer_source, L"hello lyshark");

    // 初始化target字符串,分配空间

    uncode_buffer_target.Buffer = (PWSTR)ExAllocatePool(PagedPool, 1024);

    uncode_buffer_target.MaximumLength = 1024;

    // 将source中的内容拷贝到target中

    RtlCopyUnicodeString(&uncode_buffer_target, &uncode_buffer_source);

    // 输出结果

    DbgPrint("source = %wZ \n", &uncode_buffer_source);

    DbgPrint("target = %wZ \n", &uncode_buffer_target);

    // 释放空间 source 无需销毁

    // 如果强制释放掉source则会导致系统蓝屏,因为source是在栈上的

    RtlFreeUnicodeString(&uncode_buffer_target);

    DbgPrint("驱动加载成功 \n");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

代码输出效果如下图所示:

2.4.3 内核中的字符串比较

实现字符串比较,如果需要比较两个UNICODE_STRING字符串结构体是否相等,那么可以使用RtlEqualUnicodeString这个内核函数实现。

RtlEqualUnicodeString用于比较两个UNICODE_STRING字符串结构体是否相等。该函数的第一个参数是指向要比较的第一个字符串结构体的指针,第二个参数是指向要比较的第二个字符串结构体的指针,第三个参数是指定比较的方式,如果该参数为TRUE,则函数会在相等的情况下返回TRUE,否则会在不相等的情况下返回FALSE。

下面是一个使用RtlEqualUnicodeString函数比较两个字符串结构体是否相等的示例代码:

#include <ntifs.h>

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint("驱动已卸载 \n");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    UNICODE_STRING uncode_buffer_source = { 0 };

    UNICODE_STRING uncode_buffer_target = { 0 };

    // 该函数可用于初始化字符串

    RtlInitUnicodeString(&uncode_buffer_source, L"hello lyshark");

    RtlInitUnicodeString(&uncode_buffer_target, L"hello lyshark");

    // 比较字符串是否相等

    if (RtlEqualUnicodeString(&uncode_buffer_source, &uncode_buffer_target, TRUE))

    {

        DbgPrint("字符串相等 \n");

    }

    else

    {

        DbgPrint("字符串不相等 \n");

    }

    DbgPrint("驱动加载成功 \n");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

代码输出效果如下图所示:

有时在字符串比较时需要统一字符串格式,例如将所有字符全部转换为大写之后再做比较,此时可以使用RtlUpcaseUnicodeString函数将小写字符串为大写。

RtlUpcaseUnicodeString用于将UNICODE_STRING字符串结构体中的字符转换为大写字符。该函数的第一个参数是指向要转换的字符串结构体的指针,第二个参数是指向要存储结果的字符串结构体的指针,第三个参数指定转换的方式。

下面是一个使用RtlUpcaseUnicodeString函数大小写字符串转换的示例代码:

#include <ntifs.h>

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint("驱动已卸载 \n");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    UNICODE_STRING uncode_buffer_source = { 0 };

    UNICODE_STRING uncode_buffer_target = { 0 };

    // 该函数可用于初始化字符串

    RtlInitUnicodeString(&uncode_buffer_source, L"hello lyshark");

    RtlInitUnicodeString(&uncode_buffer_target, L"HELLO LYSHARK");

    // 字符串小写变大写

    RtlUpcaseUnicodeString(&uncode_buffer_target, &uncode_buffer_source, TRUE);

    DbgPrint("小写输出: %wZ \n", &uncode_buffer_source);

    DbgPrint("变大写输出: %wZ \n", &uncode_buffer_target);

    // 销毁字符串

    RtlFreeUnicodeString(&uncode_buffer_target);

    DbgPrint("驱动加载成功 \n");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

代码输出效果如下图所示:

2.4 Windows驱动开发:内核字符串拷贝与比较的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  5. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. Spring EL 表达式

    本篇讲述了Spring Expression Language -- 即Spring3中功能丰富强大的表达式语言,简称SpEL. SpEL是类似于OGNL和JSF EL的表达式语言,能够在运行时构建复 ...

  2. java两个list取交集

    直接上代码 List<Integer> list1 = new ArrayList<>(); list1.add(1); list1.add(2); list1.add(3); ...

  3. 高级数据结构---B树和B+树及mysql索引分析

    mysql索引数据结构:https://www.cnblogs.com/nijunyang/p/11406688.html 几种树结构的对比: 二叉查找树:二叉搜索树,二叉排序树,优点查找快,但是在某 ...

  4. secure boot (二)基本概念和框架

    什么是secure boot secure boot是指确保在一个平台上运行的程序的完整性的过程或机制.secure boot会在固件和应用程序之间建立一种信任关系.在启用secure boot功能后 ...

  5. 什么是全同态加密(FHE)中的自举(Bootstrapping)?

    PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全.密码学.联邦学习.同态加密等隐私计算领域的技术和内容. 全同态加密(Fully Homomorphic Encrypti ...

  6. Qt大型工程开发技术选型PartFinal:CLR调用COM组件

    Qt大型工程开发技术选型PartFinal:CLR调用COM组件 这里其实没什么内容了,直接上代码吧,如下文所示: #pragma once #using <mscorlib.dll> u ...

  7. GO 指针数据类型的使用

    转载请注明出处: 在Go语言中,指针类型允许直接访问和修改某个变量的内存地址.通过使用指针,我们可以在函数之间共享数据或者在函数内部修改外部变量的值. 以下是关于Go语言指针类型的一些重要语法和示例: ...

  8. 【Freertos】任务切换分析

    任务切换实现 xPortPendSVHandler: mrs r0, psp // 获取进入异常时的进程栈 isb ldr r3, =pxCurrentTCB // 加载线程控制块地址到r3 ldr ...

  9. Kafka 社区KIP-382中文译文(MirrorMaker2/集群复制/高可用/灾难恢复)

    译者:对于Kafka高可用的课题,我想每个公司都有自己的方案及思考,这是一个仁者见仁智者见智的命题,而社区给出了一个较大的特性,即MirrorMaker 2.0,不论是准备做高可用还是单纯的数据备份, ...

  10. 幻兽帕鲁 Palworld 私有服务器一键部署教程

    <幻兽帕鲁>(日语:パルワールド,英语:Palworld) 是由日本开发商 Pocket Pair 推出的一款动作冒险生存游戏.游戏设定在一个由类似动物的生物 "帕鲁" ...