详解C语言内核字符串转换方法
在内核编程中字符串有两种格式ANSI_STRING
与UNICODE_STRING
,这两种格式是微软推出的安全版本的字符串结构体,也是微软推荐使用的格式,通常情况下ANSI_STRING
代表的类型是char *
也就是ANSI多字节模式的字符串,而UNICODE_STRING
则代表的是wchar*
也就是UNCODE类型的字符,如下文章将介绍这两种字符格式在内核中是如何转换的。
在内核开发模式下初始化字符串也需要调用专用的初始化函数,如下分别初始化ANSI和UNCODE字符串,我们来看看代码是如何实现的。
#include <ntifs.h> #include <ntstrsafe.h> VOID UnDriver(PDRIVER_OBJECT driver) { DbgPrint("驱动卸载成功 \n"); } NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) { // 定义内核字符串 ANSI_STRING ansi; UNICODE_STRING unicode; UNICODE_STRING str; // 定义普通字符串 char * char_string = "hello lyshark"; wchar_t *wchar_string = (WCHAR*)"hello lyshark"; // 初始化字符串的多种方式 RtlInitAnsiString(&ansi, char_string); RtlInitUnicodeString(&unicode, wchar_string); RtlUnicodeStringInit(&str, L"hello lyshark"); // 改变原始字符串(乱码位置,此处仅用于演示赋值方式) char_string[0] = (CHAR)"A"; // char类型每个占用1字节 char_string[1] = (CHAR)"B"; wchar_string[0] = (WCHAR)"A"; // wchar类型每个占用2字节 wchar_string[2] = (WCHAR)"B"; // 输出字符串 %Z DbgPrint("输出ANSI: %Z \n", &ansi); DbgPrint("输出WCHAR: %Z \n", &unicode); DbgPrint("输出字符串: %wZ \n", &str); DbgPrint("驱动加载成功 \n"); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; }
代码输出效果:
内核中还可实现字符串与整数之间的灵活转换,内核中提供了RtlUnicodeStringToInteger
这个函数来实现字符串转整数,与之对应的RtlIntegerToUnicodeString
则是将整数转为字符串这两个内核函数也是非常常用的。
#include <ntifs.h> #include <ntstrsafe.h> VOID UnDriver(PDRIVER_OBJECT driver) { DbgPrint("驱动卸载成功 \n"); } // Power: lyshark NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) { NTSTATUS flag; ULONG number; DbgPrint("hello lyshark \n"); UNICODE_STRING uncode_buffer_source = { 0 }; UNICODE_STRING uncode_buffer_target = { 0 }; // 字符串转为数字 // By:LyShark RtlInitUnicodeString(&uncode_buffer_source, L"100"); flag = RtlUnicodeStringToInteger(&uncode_buffer_source, 10, &number); if (NT_SUCCESS(flag)) { DbgPrint("字符串 -> 数字: %d \n", number); } // 数字转为字符串 uncode_buffer_target.Buffer = (PWSTR)ExAllocatePool(PagedPool, 1024); uncode_buffer_target.MaximumLength = 1024; flag = RtlIntegerToUnicodeString(number, 10, &uncode_buffer_target); if (NT_SUCCESS(flag)) { DbgPrint("数字 -> 字符串: %wZ \n", &uncode_buffer_target); } // 释放堆空间 RtlFreeUnicodeString(&uncode_buffer_target); DbgPrint("驱动加载成功 \n"); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; }
代码输出效果:
继续看另一种转换模式,将UNICODE_STRING
结构转换成ANSI_STRING
结构,代码中调用了RtlUnicodeStringToAnsiString
内核函数,该函数也是微软提供的。
#include <ntifs.h> #include <ntstrsafe.h> VOID UnDriver(PDRIVER_OBJECT driver) { DbgPrint("驱动卸载成功 \n"); } // Power: lyshark NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) { DbgPrint("hello lyshark \n"); UNICODE_STRING uncode_buffer_source = { 0 }; ANSI_STRING ansi_buffer_target = { 0 }; // 初始化 UNICODE 字符串 RtlInitUnicodeString(&uncode_buffer_source, L"hello lyshark"); // 转换函数 NTSTATUS flag = RtlUnicodeStringToAnsiString(&ansi_buffer_target, &uncode_buffer_source, TRUE); if (NT_SUCCESS(flag)) { DbgPrint("ANSI: %Z \n", &ansi_buffer_target); } // 销毁ANSI字符串 RtlFreeAnsiString(&ansi_buffer_target); DbgPrint("驱动加载成功 \n"); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; }
代码输出效果:
如果将上述过程反过来,将ANSI_STRING
转换为UNICODE_STRING
结构,则需要调用RtlAnsiStringToUnicodeString
这个内核专用函数实现。
#include <ntifs.h> #include <ntstrsafe.h> VOID UnDriver(PDRIVER_OBJECT driver) { DbgPrint("驱动卸载成功 \n"); } // Power: lyshark NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) { DbgPrint("hello lyshark \n"); UNICODE_STRING uncode_buffer_source = { 0 }; ANSI_STRING ansi_buffer_target = { 0 }; // 初始化字符串 RtlInitString(&ansi_buffer_target, "hello lyshark"); // 转换函数 NTSTATUS flag = RtlAnsiStringToUnicodeString(&uncode_buffer_source, &ansi_buffer_target, TRUE); if (NT_SUCCESS(flag)) { DbgPrint("UNICODE: %wZ \n", &uncode_buffer_source); } // 销毁UNICODE字符串 RtlFreeUnicodeString(&uncode_buffer_source); DbgPrint("驱动加载成功 \n"); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; }
代码输出效果:
如上代码是内核通用结构体之间的转换类型,又是还需要将各类结构体转为普通的字符类型,例如下方的两个案例:
例如将UNICODE_STRING
转为 CHAR*
类型。
#define _CRT_SECURE_NO_WARNINGS #include <ntifs.h> #include <windef.h> #include <ntstrsafe.h> VOID UnDriver(PDRIVER_OBJECT driver) { DbgPrint("驱动卸载成功 \n"); } // powerBY: LyShark NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) { DbgPrint("hello lyshark \n"); UNICODE_STRING uncode_buffer_source = { 0 }; ANSI_STRING ansi_buffer_target = { 0 }; char szBuf[1024] = { 0 }; // 初始化 UNICODE 字符串 RtlInitUnicodeString(&uncode_buffer_source, L"hello lyshark"); // 转换函数 NTSTATUS flag = RtlUnicodeStringToAnsiString(&ansi_buffer_target, &uncode_buffer_source, TRUE); if (NT_SUCCESS(flag)) { strcpy(szBuf, ansi_buffer_target.Buffer); DbgPrint("输出char*字符串: %s \n", szBuf); } // 销毁ANSI字符串 RtlFreeAnsiString(&ansi_buffer_target); DbgPrint("驱动加载成功 \n"); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; }
代码输出效果:
如果反过来,将 CHAR*
类型转为UNICODE_STRING
结构呢,可以进行中转最终转为UNICODE_STRING
结构体。
#define _CRT_SECURE_NO_WARNINGS #include <ntifs.h> #include <windef.h> #include <ntstrsafe.h> VOID UnDriver(PDRIVER_OBJECT driver) { DbgPrint("驱动卸载成功 \n"); } // powerBY: LyShark NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) { DbgPrint("hello lyshark \n"); UNICODE_STRING uncode_buffer_source = { 0 }; ANSI_STRING ansi_buffer_target = { 0 }; // 设置CHAR* char szBuf[1024] = { 0 }; strcpy(szBuf, "hello lyshark"); // 初始化ANSI字符串 RtlInitString(&ansi_buffer_target, szBuf); // 转换函数 NTSTATUS flag = RtlAnsiStringToUnicodeString(&uncode_buffer_source, &ansi_buffer_target, TRUE); if (NT_SUCCESS(flag)) { DbgPrint("UNICODE: %wZ \n", &uncode_buffer_source); } // 销毁UNICODE字符串 RtlFreeUnicodeString(&uncode_buffer_source); DbgPrint("驱动加载成功 \n"); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; }
代码输出效果:
到此这篇关于详解C语言内核字符串转换方法的文章就介绍到这了,更多相关C语言内核字符串转换内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!