1. 编译

Pspeek.cpp

#include <ntddk.h>

#define DANIEL_LIST_PROCESS 0x8001

PDRIVER_OBJECT daniel_DriverObject;

PDEVICE_OBJECT daniel_DeviceObject;

NTSTATUS daniel_DispatchCreate(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	PIO_STACK_LOCATION stackLocation;

	PIO_SECURITY_CONTEXT securityContext;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	securityContext = stackLocation->Parameters.Create.SecurityContext;

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek daniel_DispatchCreate\n");

	DbgPrint("###############\n");

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

NTSTATUS KphDispatchDeviceControl(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status;

	PIO_STACK_LOCATION stackLocation;

	PVOID originalInput;

	ULONG inputLength;

	ULONG ioControlCode;

	KPROCESSOR_MODE accessMode;

	UCHAR capturedInput[16 * sizeof(ULONG_PTR)];

	PVOID capturedInputPointer;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	originalInput = stackLocation->Parameters.DeviceIoControl.Type3InputBuffer;

	inputLength = stackLocation->Parameters.DeviceIoControl.InputBufferLength;

	ioControlCode = stackLocation->Parameters.DeviceIoControl.IoControlCode;

	accessMode = Irp->RequestorMode;

	// Probe and capture the input buffer.

	if (accessMode != KernelMode)

	{

		__try

		{

			ProbeForRead(originalInput, inputLength, sizeof(UCHAR));

			memcpy(capturedInput, originalInput, inputLength);

		}

		__except (EXCEPTION_EXECUTE_HANDLER)

		{

			status = GetExceptionCode();

			goto ControlEnd;

		}

	}

	else

	{

		memcpy(capturedInput, originalInput, inputLength);

	}

	capturedInputPointer = capturedInput; // avoid casting below

	switch (ioControlCode)

	{

	case DANIEL_LIST_PROCESS:

		{

			status = STATUS_SUCCESS;

		}

		break;

	default:

		status = STATUS_INVALID_DEVICE_REQUEST;

		break;

	}

ControlEnd:

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

VOID daniel_DriverUnload(

	__in PDRIVER_OBJECT DriverObject

	)

{

	PAGED_CODE();

	IoDeleteDevice(daniel_DeviceObject);

}

extern "C" NTSTATUS DriverEntry(

	__in PDRIVER_OBJECT DriverObject,

	__in PUNICODE_STRING RegistryPath)

{

	NTSTATUS status;

	UNICODE_STRING deviceName;

	PDEVICE_OBJECT deviceObject;

	PAGED_CODE();

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek DriverEntry\n");

	DbgPrint("Current Pid: %d\n", PsGetCurrentProcessId());

	DbgPrint("###############\n");

	daniel_DriverObject = DriverObject;

	// Create the device.

	RtlInitUnicodeString(&deviceName, L"\\Device\\DanielPsPeekDriver");

	status = IoCreateDevice(

		DriverObject,

		0,

		&deviceName,

		FILE_DEVICE_UNKNOWN,

		FILE_DEVICE_SECURE_OPEN,

		FALSE,

		&deviceObject

		);

	if (!NT_SUCCESS(status))

		return status;

	daniel_DeviceObject = deviceObject;

	// Set up I/O.

	DriverObject->MajorFunction[IRP_MJ_CREATE] = daniel_DispatchCreate;

	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KphDispatchDeviceControl;

	DriverObject->DriverUnload = daniel_DriverUnload;

	deviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	return status;

}

  

  

sources

TARGETNAME=Pspeek

TARGETPATH=obj

TARGETTYPE=DRIVER

SOURCES=Pspeek.cpp

  

mk.bat

set setenv_script=D:\WinDDK\7600.16385.1\bin\setenv.bat

set ddk_path=D:\WinDDK\7600.16385.1\

set config=chk

set platform=x86

set os=WXP

%setenv_script% %ddk_path% %config% %platform% %os% && H: && cd %cd% && build

  

2. 加载

ld.bat

sc stop Pspeek

sc delete Pspeek

copy /y "F:\pspeek.sys" "C:\WINDOWS\system32\pspeek.sys"

sc create Pspeek binPath= "C:\WINDOWS\system32\pspeek.sys" type= kernel start= auto error= ignore DisplayName= "Daniel Process Peek Driver"

sc start Pspeek

  

在Windows 7下,需要使用"管理员权限"才能执行上述脚本。

3. 枚举进程列表

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	DbgPrint("_EPROCESS: 0x%08x\n", eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	DbgPrint("Active Process List Node: [0x%08x, 0x%08x]\n", active_process_node.Blink, active_process_node.Flink);

	DbgPrint("VirtualSize: 0x%08x \n", *(ULONG*)((CHAR*)eprocess + 0xb0));

}

  

上面代码与WinDbg的验证一致,因此Windows下获取内核相关的数据与Linux并无太大差别。

void PProcess(char* eprocess)

{

	DbgPrint("%16s: 0x%08x\n", "_EPROCESS", eprocess);

	DbgPrint("%16s: %s\n", "ImageName", eprocess + 0x174);

	DbgPrint("\n");

}

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	_LIST_ENTRY* head = active_process_node.Flink;

	PProcess((char*)eprocess);

	for (_LIST_ENTRY* cur=head;

		cur->Flink != head;

		cur = cur->Flink)

	{

		PProcess((char*)cur - 0x88);

	}

}

  

  

Windows编写driver的更多相关文章

  1. 为不同版本的 Windows 编写驱动程序

    MSDN原文:https://msdn.microsoft.com/zh-cn/library/windows/hardware/ff554887(v=vs.85).aspx 创建驱动程序项目时,指定 ...

  2. Pywinauto在Windows Twain Driver自动化测试中的应用研究

    摘  要: 以Python为基础,结合对Twain Driver测试工具的具体需求,将Pywinauto引入到Twain Driver的自动化测试中.介绍了Pywinauto的基本概念,通过测试用例说 ...

  3. Windows编写bat执行文件

    1:建立TXT文件 Rem nping用来测试IP地址的连通性 Rem nping --tcp -p 80 --flags rst --ttl 2 192.168.1.1 date 2:重命名为bat ...

  4. Windows编写的shell脚本,在linux上无法执行

    前两天由于要查一个数据库的binlog日志,经常用命令写比较麻烦,想着写一个简单的脚本,自动去刷一下数据库的binlog日志,就直接在windows上面写了,然后拷贝到linux中去运行,其实很简单的 ...

  5. 解决Ubuntu下的Eclipse打开Windows编写的java代码的中文乱码

    其实所有的中文乱码 问题都是编码不同所导致的.这里要想让eclipse能正常显示出汉字,就要修改它的字符编码 步骤如下: 1 ,点击菜单栏中的Window(窗口),选择Preferences(首选项) ...

  6. windows编写sh脚本在linux上不能执行

    报错:/bin/sh^M:bad interpreter: 编码没有被识别, vi *.sh Esc 输入 :set fileformat 查看文件格式(显示  fileformat=dos) Esc ...

  7. 解决windows 10由于签名原因无法安装ADB driver 的问题

    ADB Driver Installer (Automatically) In Windows 8 (8.1) or 10 64-bit you are unable to install unsig ...

  8. 深入解析Windows操作系统笔记——CH2系统结构

    2.系统结构 本章主要介绍系统的总体结构,关键部件之间的交互,以及运行在什么环境. 2.系统结构 2.1 需求和设计目标 2.2 操作系统模型 2.3 总体结构 2.3.1 可移植性 2.3.2 对称 ...

  9. Windows操作系统

    Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是Microsoft-DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家 ...

随机推荐

  1. [BZOJ 2653] middle(可持久化线段树+二分答案)

    [BZOJ 2653] middle(可持久化线段树+二分答案) 题面 一个长度为n的序列a,设其排过序之后为b,其中位数定义为b[n/2],其中a,b从0开始标号,除法取下整. 给你一个长度为n的序 ...

  2. python的小介绍

    Python简介 龟叔 优美.清晰.简单 主要应用领域: 云计算 WEB开发 科学技术.人工智能 系统运维 爬虫 金融量化分析 图形GUI 游戏 Python发展史 1989年,Guido开始写Pyt ...

  3. go web编程——自定义路由设计

    本文主要讲解go语言web编程中自定义路由器的设计.在此之前需要先了解一下go语言web编程中路由与http服务的基本原理,可以参考笔者另一篇博文:go web编程——路由与http服务 . 我们已经 ...

  4. 【JAVA】 02-Java对象细节

    链接: 笔记目录:毕向东Java基础视频教程-笔记 GitHub库:JavaBXD33 目录: <> <> 内容待整理: 面向过程: 代表语言-c:即通过函数体现,并不断调用函 ...

  5. 洛谷4206/NOI2005T4 聪聪和可可 期望DP+记忆化搜索

    题意:给出n个点m条边的无向图,两个主角聪聪和可可开始分别在S点和T点.聪聪想吃掉可可,每次由匆匆先行动后来可可行动.聪聪的行动是选他到可可的最短路上的点走最多两步(如果最短路有几条就选编号最小的走) ...

  6. 【抓包工具之Fiddler】中session的请求/响应类型与图标对照表

  7. maven clean后 编译报错

    <plugins> <plugin> <artifactId>maven-compiler-plugin</artifactId> <config ...

  8. 算法 识别有效ip地址和掩码并做统计

    题目描述 请解析IP地址和对应的掩码,进行分类识别.要求按照A/B/C/D/E类地址归类,不合法的地址和掩码单独归类. 所有的IP地址划分为 A,B,C,D,E五类 A类地址1.0.0.0~126.2 ...

  9. Prometheus指标采集常用配置

    一.node-exporter配置textfile收集器 textfile收集器作用: 运行暴露自定义指标.例如,需要在某个被监控节点上添加一个地理位置的指标. node-exporter会自动启动t ...

  10. Centos6安装zabbix-agent

    一.安装yum源 rpm -ivh https://repo.zabbix.com/zabbix/3.4/rhel/6/x86_64/zabbix-release-3.4-1.el6.noarch.r ...