Windows内核函数

字符串处理

在驱动中一般使用的是ANSI字符串和宽字节字符串,在驱动中我们仍然可以使用C中提供的字符串操作函数,但是在DDK中不提倡这样做,由于C函数容易导致缓冲区溢出漏洞,针对字符串的操作它提供了一组函数分别用来处理ANSI字符串和UNICODE字符串。
针对两种字符串,首先定义了它们的结构体

typedef struct _STRING {
  USHORT  Length;//字符串的长度
  USHORT  MaximumLength;//字符缓冲的长度
  PCHAR  Buffer;//字符缓冲的地址
} ANSI_STRING, *PANSI_STRING;

typedef struct _UNICODE_STRING {
  USHORT  Length;
  USHORT  MaximumLength;
  PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

对于这两个字符串的打印,可以使用%wZ打印UNICODE_STRING用%Z打印ANSI_STRING

字符串的初始化

VOID 
  RtlInitAnsiString(
    IN OUT PANSI_STRING  DestinationString,
    IN PCSZ  SourceString
    );

VOID 
  RtlInitUnicodeString(
    IN OUT PUNICODE_STRING  DestinationString,
    IN PCWSTR  SourceString
    );

这两个函数只是简单的将SourceString 的首地址赋值给Buffer成员,并初始化相关的长度,所以在使用时需要考虑缓冲的生命周期,权限,同时如果我们改变SourceString 里面存储的字符串,那么对应的UNICODE_STRING 或者ANSI_STRING中的值也会改变,比如下面的代码

RtlInitUnicodeString(&uTest, L"Hello World");
RtlCopyMemory(uTest.Buffer, L"Test");

由于Buffer指向的是不可修改的常量内存部分,所以后面试图修改它的时候会造成程序崩溃。

void InitString(&pUnicodeString)
{
    WCHAR szBuf[255] = L"Hello world";
    RtlInitUnicodeString(pUnicodeString, szBuffer);
} 

void test()
{
    UNICODE_STRING uTest;
    InitString(&uTest);
    //后面的操作
}

我们在另外一个函数中利用局部变量来初始化这个字符串的时候由于当函数调用完成,函数中局部变量被销毁,这个时候指向的那块内存可能已经被其他函数所占用,而我们后面通过操作UNICODE_STRING,又要操作这段内存,这个时候一定会出现问题,所以一般如果要在多个函数中使用这个UNICODE_STRING时一般申请一段堆内存,但是在使用完成后一定要记得自己回收这段内存,否则会造成内存泄露,对此DDK专门提供了一组函数来销毁字符串中的堆内存

VOID 
  RtlFreeAnsiString(
    IN PANSI_STRING  AnsiString
    );

VOID 
  RtlFreeUnicodeString(
    IN PUNICODE_STRING  UnicodeString
    );

字符串拷贝:

VOID 
  RtlCopyString(
    IN OUT PSTRING  DestinationString,
    IN PSTRING  SourceString  OPTIONAL
    );

VOID 
  RtlCopyUnicodeString(
    IN OUT PUNICODE_STRING  DestinationString,
    IN PUNICODE_STRING  SourceString
    );

字符串比较

LONG 
  RtlCompareString(
    IN PSTRING  String1,
    IN PSTRING  String2,
    BOOLEAN  CaseInSensitive//是否忽略大小写
    );

LONG 
  RtlCompareUnicodeString(
    IN PUNICODE_STRING  String1,
    IN PUNICODE_STRING  String2,
    IN BOOLEAN  CaseInSensitive
    );

字符串转化为大写

VOID 
  RtlUpperString(
    IN OUT PSTRING  DestinationString,
    IN PSTRING  SourceString
    );

NTSTATUS 
  RtlUpcaseUnicodeString(
    IN OUT PUNICODE_STRING  DestinationString,
    IN PCUNICODE_STRING  SourceString,
    IN BOOLEAN  AllocateDestinationString//是否要求该函数自行为输出参数分配内存
    );

这两个函数在调用是目标字符串和源字符串可以是同一个字符串
字符串与整形数字之间的转化可以使用函数

NTSTATUS
  RtlUnicodeStringToInteger(
    IN PUNICODE_STRING  String,
    IN ULONG  Base  OPTIONAL,//需要的数的进制
    OUT PULONG  Value
    );

NTSTATUS 
  RtlIntegerToUnicodeString(
    IN ULONG  Value,
    IN ULONG  Base  OPTIONAL,
    IN OUT PUNICODE_STRING  String
    );

ANSI与UNICODE字符串的相互转化可以使用下面的函数

NTSTATUS 
  RtlUnicodeStringToAnsiString(
    IN OUT PANSI_STRING  DestinationString,
    IN PUNICODE_STRING  SourceString,
    IN BOOLEAN  AllocateDestinationString
    );

NTSTATUS 
  RtlAnsiStringToUnicodeString(
    IN OUT PUNICODE_STRING  DestinationString,
    IN PANSI_STRING  SourceString,
    IN BOOLEAN  AllocateDestinationString
    );

文件操作

创建或者打开一个文件

文件的创建和打开都是使用函数ZwCreateFile

NTSTATUS  
  ZwCreateFile(
    OUT PHANDLE  FileHandle,
    IN ACCESS_MASK  DesiredAccess,
    IN POBJECT_ATTRIBUTES  ObjectAttributes,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    IN PLARGE_INTEGER  AllocationSize  OPTIONAL,
    IN ULONG  FileAttributes,
    IN ULONG  ShareAccess,
    IN ULONG  CreateDisposition,
    IN ULONG  CreateOptions,
    IN PVOID  EaBuffer  OPTIONAL,
    IN ULONG  EaLength
    );
  1. FileHandle:这个函数通过这个参数返回文件句柄
  2. DesiredAccess:以何种权限打开或者创建这个文件,GENERIC_READ可读,GENERIC_WRITE可写,GENERIC_EXECUTE可执行,GENERIC_ALL所有权限
  3. ObjectAttributes:这是一个文件属性的结构体,里面包含有要打开的文件的名称
  4. IoStatusBlock:接受函数操作文件的结果状态
  5. AllocationSize:指定在创建爱女或者写文件时初始大小,如果给0,则文件大小会随着写入数据的增加而动态的增加
  6. FileAttributes:指定新创建文件的属性,一般给0或者FILE_ATTRIBUTE_NORMAL
  7. ShareAccess:文件的共享权限,其他线程或者进程通过这个句柄访问文件的权限,给0表示不允许其他进程通过这个句柄访问,FILE_SHARE_READ读, FILE_SHARE_WRITE写,FILE_SHARE_DELETE删除
  8. CreateDisposition:指定当文件存在或者不存在时这个函数的动作。它的取值可以有下面几个
取值 文件存在 文件不存在
FILE_SUPERSEDE 新建一个文件替代 新建文件
FILE_CREATE 返回一个错误 创建文件
FILE_OPEN 打开文件 返回一个错误
FILE_OPEN_IF 打开文件 创建文件
FILE_OVERWRITE 打开,并且将之前的内容覆盖 返回错误
FILE_OVERWRITE_IF 打开,并且将之前的内容覆盖 创建文件

9. CreateOptions打开或者创建文件时的附加操作,一般给FILE_SYNCHRONOUS_IO_NONALERT
10. EaBuffer指向扩展空间的指针
11. EaLength扩展空间的大小
这个函数与应用层的CreateFile不同的时,在指定打开或者创建文件名时是使用结构OBJECT_ATTRIBUTES来指定,针对这个结构,有一个函数能够初始化它

VOID 
  InitializeObjectAttributes(
    OUT POBJECT_ATTRIBUTES  InitializedAttributes,
    IN PUNICODE_STRING  ObjectName,//文件名
    IN ULONG  Attributes,
    IN HANDLE  RootDirectory,
    IN PSECURITY_DESCRIPTOR  SecurityDescriptor
    );

Attributes:该对象的描述信息,一般给OBJ_CASE_INSENSITIVE 表示对大小写敏感
RootDirectory :该文件的根目录,一般给NULL
SecurityDescriptor :安全描述符,一般也是给NULL
另外这里的名称必须使用符号链接名或者设备名,而不是我们熟悉的“C:\”这种形式对于C盘可以使用名称“\??\C”或者“\Device\HarddiskVolum1”这种形式
当程序结束时需要调用ZwClose来清理文件句柄这个函数的参数比较简单,只是简单的传入文件句柄即可

获取和设置文件的相关信息

可以下面两个函数分别获取和设置文件的相关信息

NTSTATUS 
  ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );

NTSTATUS 
  ZwSetInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    IN PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );

其中FileInformationClass是一个枚举值,根据这个值得不同FileInformation可以被解析成不同的内容。
1. 当这个参数为FileStandardInformation时,使用结构体FILE_STANDARD_INFORMATION

typedef struct FILE_STANDARD_INFORMATION {
  LARGE_INTEGER  AllocationSize; //为文件分配簇所占空间的大小
  LARGE_INTEGER  EndOfFile;//距离文件结尾还有多少字节,当文件指针位于文件头时,这个值就是文件本身大小
  ULONG  NumberOfLinks;//有多少个链接文件
  BOOLEAN  DeletePending;//是否准备删除
  BOOLEAN  Directory;//是否为目录
} FILE_STANDARD_INFORMATION, *PFILE_STANDARD_INFORMATION;
  1. 当这个参数为FileBasicInformation使用结构体FILE_BASIC_INFORMATION
typedef struct FILE_BASIC_INFORMATION {
  LARGE_INTEGER  CreationTime; //创建时间
  LARGE_INTEGER  LastAccessTime;//上次访问时间
  LARGE_INTEGER  LastWriteTime;//上次写文件时间
  LARGE_INTEGER  ChangeTime;//上次修改时间
  ULONG  FileAttributes;//文件属性
} FILE_BASIC_INFORMATION, *PFILE_BASIC_INFORMATION;

其中时间参数是一个LARGE_INTEGER类型的整数,代表从1601年到现在经过多少个100ns。文件属性参数如果为FILE_ATTRIBUTE_DIRECTORY表示这是一个目录文件,FILE_ATTRIBUTE_NORMAL表示是一个普通文件,FILE_ATTRIBUTE_HIDDEN表示这是一个隐藏文件,FILE_ATTRIBUTE_SYSTEM表示这是一个系统文件,FILE_ATTRIBUTE_READONLY表示这是一个只读文件
3. 当这个参数为FileNameInformation时,使用结构体FILE_NAME_INFORMATION

typedef struct _FILE_NAME_INFORMATION {
  ULONG  FileNameLength;//文件名长度
  WCHAR  FileName[1];//文件名
} FILE_NAME_INFORMATION, *PFILE_NAME_INFORMATION;
  1. 当这个参数是FilePositionInformation时,使用结构体FILE_POSITION_INFORMATION
typedef struct FILE_POSITION_INFORMATION {
  LARGE_INTEGER  CurrentByteOffset;//当前文件指针的位置
} FILE_POSITION_INFORMATION, *PFILE_POSITION_INFORMATION;

读写文件

写文件调用函数ZwCreateFile

NTSTATUS 
  ZwWriteFile(
    IN HANDLE  FileHandle,//文件句柄
    IN HANDLE  Event  OPTIONAL,//时间对象一般给NULL
    IN PIO_APC_ROUTINE  ApcRoutine  OPTIONAL,//一般给NULL
    IN PVOID  ApcContext  OPTIONAL,//一般给NULL
    OUT PIO_STATUS_BLOCK  IoStatusBlock,//记录写操作的状态用里面的Information成员记录实际写了多少字节
    IN PVOID  Buffer,//写入文件中缓冲区的指针
    IN ULONG  Length,//缓冲区中数据的长度
    IN PLARGE_INTEGER  ByteOffset  OPTIONAL,//从文件的多少地址开始写
    IN PULONG  Key  OPTIONAL//一般给NULL
    );

读文件使用函数ZwReadFile

NTSTATUS 
  ZwReadFile(
    IN HANDLE  FileHandle,//文件句柄
    IN HANDLE  Event  OPTIONAL,//一般给NULL
    IN PIO_APC_ROUTINE  ApcRoutine  OPTIONAL,//一般给NULL
    IN PVOID  ApcContext  OPTIONAL,//一般给NULL
    OUT PIO_STATUS_BLOCK  IoStatusBlock, //读取的字节数保存在结构的成员Information中
    OUT PVOID  Buffer,//缓冲区的指针
    IN ULONG  Length,//缓冲区的长度
    IN PLARGE_INTEGER  ByteOffset  OPTIONAL,//从文件的多少位置开始读
    IN PULONG  Key  OPTIONAL//一般给NULL
    );

注册表操作

注册表中有下面几个概念:
1. 注册表项:注册表项类似于目录的概念,下面可以有子项或者注册表的键-值对
2. 注册表子项:类似于子目录的概念
3. 键名:通过键名可以寻找到相应的键值
4. 键值类别:每个键值在存储的时候有不同的类型,相当于变量的类型,主要有字符串和整型
5. 键值:键名下对应存储的数据
这里写图片描述

创建和关闭注册表

创建注册表使用函数ZwCreateKey

NTSTATUS 
  ZwCreateKey(
    OUT PHANDLE  KeyHandle,
    IN ACCESS_MASK  DesiredAccess,
    IN POBJECT_ATTRIBUTES  ObjectAttributes,
    IN ULONG  TitleIndex,
    IN PUNICODE_STRING  Class  OPTIONAL,
    IN ULONG  CreateOptions,
    OUT PULONG  Disposition  OPTIONAL
    );
  1. KeyHandle:输出一个注册表对应项的句柄,以后针对这个项操作都是以这个句柄作为标示
  2. DesiredAccess:访问权限,一般都设置为KEY_ALL_ACCESS
  3. ObjectAttributes:用法与文件操作中的用法相同
    其中应用层中注册表项与内核中注册表项的对应关系如下:
应用层中的子健 内核中的路径
HKEY_CLASSES_ROOT 没有对应的路径
HKEY_CURRENT_USER 没有简单的对应路径,但是可以求得
HKEY_USERS \Registry\User
HKEY_LOCAL_MACHINE \Registry\Machine

4. TitleIndex:一般设置为0
5. Class 一般给NULL
6. CreateOptions:创建选项,一般给REG_OPTION_NON_VOLATILE
7. Disposition:返回创建的状态,如果是REG_CREATED_NEW_KEY表示创建了一个新的注册表项如果是REG_OPENED_EXISTING_KEY表示打开一个已有的注册表项
8. ### 添加、修改注册表键
注册表中的键是类似与字典中的键值对,通过键名找到对应的值,键值的类型大致可以分为下面几种

分类 描述
REG_BINARY 键值采用二进制存储
REG_SZ 键值用宽字符串,以\0结尾
REG_EXPAND_SZ 与上面的REG_SZ相同,它是上面那个字符串的扩展字符
REG_MULTI_SZ 能够存储多个字符串,每个都以\0隔开
REG_DWORD 键值用4字节整型存储(这个类型的数据在驱动中使用ULONG来替代)
REG_QWORD 键值用8字节存储(这个用LONGLONG)

用函数ZwSetValueKey可以添加和修改注册表的一项内容

 NTSTATUS 
  ZwSetValueKey(
    IN HANDLE  KeyHandle, //注册表句柄
    IN PUNICODE_STRING  ValueName,//要修改或者新建的键名
    IN ULONG  TitleIndex  OPTIONAL,//一般设置为0
    IN ULONG  Type,//在上面的表中选择一个
    IN PVOID  Data,//键值
    IN ULONG  DataSize//键值数据的大小
    );

当传入的键值不存在则创建一个新键值,否则就修改原来的键值

查询注册表

查询注册表使用函数ZwQueryValueKey

NTSTATUS 
  ZwQueryValueKey(
    IN HANDLE  KeyHandle, //注册表句柄
    IN PUNICODE_STRING  ValueName,//注册表键名
    IN KEY_VALUE_INFORMATION_CLASS  KeyValueInformationClass,
    OUT PVOID  KeyValueInformation,//接收返回信息的缓冲区
    IN ULONG  Length,//缓冲区的大小
    OUT PULONG  ResultLength//真实缓冲区的大小
    );

使用这个函数时利用参数KeyValueInformationClass来指定接收数据的类型,根据这个值的不同,函数会返回不同的结构体放到一个缓冲区中。一般这个值可取:KeyValueBasicInformation 返回注册表项的基础信息
KeyValueFullInformation 返回注册表的全部信息
KeyValuePartialInformation 返回注册表的部分信息
一般情况下使用KeyValuePartialInformation查询键值数据
利用这个函数来查询时一般也是采用两次调用的方式,第一次返回数据所需缓冲,然后分配缓冲并进行第二次调用

枚举子项

DDK提供了两个函数用于这个功能

NTSTATUS 
  ZwQueryKey(
    IN HANDLE  KeyHandle,//注册表句柄
    IN KEY_INFORMATION_CLASS  KeyInformationClass,//保存注册表信息的结构体的类型
    OUT PVOID  KeyInformation,//返回查询到信息的缓冲
    IN ULONG  Length,//缓冲的大小
    OUT PULONG  ResultLength//真正信息的大小
    );

NTSTATUS 
  ZwEnumerateKey(
    IN HANDLE  KeyHandle,//句柄
    IN ULONG  Index,//这个值是表示第几个子项
    IN KEY_INFORMATION_CLASS  KeyInformationClass,//查询到的信息的结构体
    OUT PVOID  KeyInformation,//返回信息的缓冲
    IN ULONG  Length,//缓冲长度
    OUT PULONG  ResultLength//返回信息的长度
    );

其中ZwQueryKey函数用于查询某个注册表项中有多少个子项,在调用这个函数时传入的KeyInformationClass的值一般给KeyFullInformation,在这个结构体中的SubKeys表示有多少个子项,而ZwEnumerateKey则是用于查询各个子项中的具体内容,通过指定Index表示我们要查询该项中的第几个子项,将KeyInformationClass填入KeyBasicInformation,这样在结构体的Name里面可以得到具体的注册表子项的名称

枚举子健

枚举子键的方法于上面的大致相同,首先利用ZwQueryKey查询注册表,然后取结构体KeyFullInformation的成员Values,根据这个值在循环中依次调用函数ZwEnumerateValueKey,结构体类填入 KeyValueBasicInformation查询基本信息即可

删除子项

删除子项使用的内核函数是ZwDeleteKey

NTSTATUS 
  ZwDeleteKey(
    IN HANDLE  KeyHandle
    );

这个函数只能删除没有子项的项目,如果有子项,则需要先删除所有子项。

其他注册表函数

为了简化注册表操作,DDK提供了另外一组以Rtl开头的函数,把之前的Zw函数进行了封装,下面是这些函数与它们功能的对应关系

函数名 描述
RtlCreateRegistryKey 创建注册表项
RtlCheckRegistryKey 查看注册表中的某项是否存在
RtlWriteRegistryValue 写注册表
RtlDeleteRegistryValue 删除注册表的子键
posted @ 2017-10-24 20:55  masimaro  阅读(1736)  评论(0编辑  收藏  举报