/***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.C

 *

 * Command:

 *    Source of IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 //#######################################################################################

 //# I N C L U D E S

 //#######################################################################################

 #ifndef CXX_ENUMIOTIMER_H

 #    include "EnumIoTimer.h"

 #endif

 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath)

 {

     DriverObject->DriverUnload = UnloadDriver;

     EnumIoTimer();

     return STATUS_SUCCESS;

 }

 BOOLEAN EnumIoTimer()

 {

     PLIST_ENTRY IoTimerQueueHead = ;

     PUCHAR IoInitializeTimer = ;

     KIRQL OldIrql;

     PUCHAR StartSearchAddress = NULL;

     PUCHAR EndSearchAddress = NULL;

     PUCHAR i = NULL;

     INT32 iOffset = ;

     UCHAR v1 = , v2 = , v3 = ;

     IoInitializeTimer = (PUCHAR)GetExportVariableAddressFormNtosExportTableByVariableName(L"IoInitializeTimer");

     if (IoInitializeTimer == NULL)

     {

         return FALSE;

     }

     StartSearchAddress = IoInitializeTimer;

     EndSearchAddress = StartSearchAddress + 0x500;

 #ifdef _WIN64

     for (i = StartSearchAddress;i<EndSearchAddress;i++)

     {

         if (MmIsAddressValid(i) && MmIsAddressValid(i + ) && MmIsAddressValid(i + ))

         {

             v1 = *i;

             v2 = *(i + );

             v3 = *(i + );

             if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d)

             {

                 memcpy(&iOffset, i + , );

                 IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + );

                 break;

             }

         }

     }

 #else

     for (i = StartSearchAddress; i < EndSearchAddress; i++)

     {

         v1 = *i;

         if (v1 == 0xb9)

         {

             IoTimerQueueHead = (PLIST_ENTRY)*(PULONG32)(i + );

             break;

         }

     }

 #endif

     if (IoTimerQueueHead == NULL)

     {

         return FALSE;

     }

     DbgPrint("获得了\r\n");

     OldIrql = KeRaiseIrqlToDpcLevel();

     if (IoTimerQueueHead && MmIsAddressValid((PVOID)IoTimerQueueHead))

     {

         PLIST_ENTRY NextEntry = IoTimerQueueHead->Flink;

         while (MmIsAddressValid(NextEntry) && NextEntry != (PLIST_ENTRY)IoTimerQueueHead)

         {

             PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList);

             if (Timer && MmIsAddressValid(Timer))

             {

                 DbgPrint("Timer 对象: %p\r\n", Timer);

             }

             NextEntry = NextEntry->Flink;

         }

     }

     KeLowerIrql(OldIrql);

     return TRUE;

 }

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject)

 {

     return;

 }

 PVOID

 GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName)

 {

     UNICODE_STRING uniVariableName;

     PVOID VariableAddress = NULL;

     if (wzVariableName && wcslen(wzVariableName) > )

     {

         RtlInitUnicodeString(&uniVariableName, wzVariableName);

         //从Ntos模块的导出表中获得一个导出变量的地址

         VariableAddress = MmGetSystemRoutineAddress(&uniVariableName);

     }

     return VariableAddress;

 }

代码

 /***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.H

 *

 * IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 #ifndef CXX_ENUMIOTIMER_H

 #define CXX_ENUMIOTIMER_H

 #include <ntifs.h>

 typedef struct _IO_TIMER_WIN7_X64

 {

     INT16        Type;

     INT16        TimerFlag;

     LONG32        Unknown;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 }IO_TIMER_WIN7_X64, *PIO_TIMER_WIN7_X64;

 typedef struct _IO_TIMER_WINXP_X86

 {

     INT16        Type;

     INT16        TimerFlag;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 } IO_TIMER_WINXP_X86, *PIO_TIMER_WINXP_X86;

 #ifdef _WIN64

 #define PIO_TIMER PIO_TIMER_WIN7_X64

 #define IO_TIMER  IO_TIMER_WIN7_X64

 #else

 #define PIO_TIMER PIO_TIMER_WINXP_X86

 #define IO_TIMER  IO_TIMER_WINXP_X86

 #endif

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject);

 BOOLEAN EnumIoTimer();

 PVOID GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName);

 #endif

代码

枚举IoTimer的更多相关文章

  1. 驱动开发:内核枚举IoTimer定时器

    今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...

  2. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  3. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  4. Swift enum(枚举)使用范例

    //: Playground - noun: a place where people can play import UIKit var str = "Hello, playground& ...

  5. 编写高质量代码:改善Java程序的151个建议(第6章:枚举和注解___建议88~92)

    建议88:用枚举实现工厂方法模式更简洁 工厂方法模式(Factory Method Pattern)是" 创建对象的接口,让子类决定实例化哪一个类,并使一个类的实例化延迟到其它子类" ...

  6. Objective-C枚举的几种定义方式与使用

    假设我们需要表示网络连接状态,可以用下列枚举表示: enum CSConnectionState { CSConnectionStateDisconnected, CSConnectionStateC ...

  7. Help Hanzo (素数筛+区间枚举)

    Help Hanzo 题意:求a~b间素数个数(1 ≤ a ≤ b < 231, b - a ≤ 100000).     (全题在文末) 题解: a~b枚举必定TLE,普通打表MLE,真是头疼 ...

  8. 枚举:enum

    枚举 所谓枚举就是指定好取值范围,所有内容只能从指定范围取得. 例如,想定义一个color类,他只能有RED,GREEN,BLUE三种植. 使用简单类完成颜色固定取值问题. 1,就是说,一个类只能完成 ...

  9. .NET 基础一步步一幕幕[方法、结构、枚举]

    方法.结构.枚举 方法: 将一堆代码进行重用的一种机制. 语法: [访问修饰符] 返回类型 <方法名>(参数列表){ 方法主体: } 返回值类型:如果不需要写返回值,写void 方法名:P ...

随机推荐

  1. iOS - OC NSRange 范围

    前言 结构体,这个结构体用来表示事物的一个范围,通常是字符串里的字符范围或者集合里的元素范围. typedef struct _NSRange { NSUInteger location; // 表示 ...

  2. Redis核心知识之—— 时延问题分析及应对、性能问题和解决方法【★★★★★】

    参考网址: Redis时延问题分析及应对:http://www.cnblogs.com/me115/p/5032177.html Redis常见的性能问题和解决方法:http://www.search ...

  3. spring对事物的支持

    <!-- 事务管理器 对mybatis操作数据库事务控制,spring使用jdbc的事务控制类 --> <bean id="transactionManager" ...

  4. [转载] 理解 rto

    原文: http://mp.weixin.qq.com/s?__biz=MzAxNjM3MDkyOQ==&mid=204656491&idx=1&sn=5046aa16eee0 ...

  5. TCP/IP,Http,Socket,XMPP的区别

    大学学习网络基础的时候老师讲过,网络由下往上分为物理层.数据链路层.网络层.传输层.会话层.表示层和应用层.通过初步的了解,我知道IP协议对应于网络层,TCP协议对应于传输层,而HTTP协议对应于应用 ...

  6. ios7适配一些问题以及64位32位

    ios7适配一些问题(http://www.cocoachina.com/ios/20130703/6526.html) 1.iOS应用如何实现64位的支持 http://www.codeceo.co ...

  7. 简析 addToBackStack使用和Fragment执行流程

    在使用Fragment的时候我们一般会这样写: FragmentTransaction transaction = getSupportFragmentManager().beginTransacti ...

  8. MyBatis——实现关联表查询

    原文:http://www.cnblogs.com/xdp-gacl/p/4264440.html 一.一对一关联 1.1.提出需求 根据班级id查询班级信息(带老师的信息) 1.2.创建表和数据 创 ...

  9. Image Cropper+java实现截图工具

    首先,请移步http://jquery-plugins.net/image-cropper-jquery-image-cropping-plugin下载iamge cropper的有关js文件及css ...

  10. php学习记录 易混淆

    1.echo和print的区别 PHP中echo和print的功能基本相同(输出),但是两者之间还是有细微差别的.echo输出后没有返回值,但print有返回值,当其执行失败时返回flase.因此可以 ...