梦织未来Windows驱动编程 第05课 小结(读取另一驱动,遍历所有驱动)
读取另一驱动
驱动通过"\\Driver\\XueTr"获取到了XueTr工具的驱动,并Hook了XueTr驱动的分发函数。
具体的驱动代码如下:
//FilterDriver.c
//2016.07.15 #include "ntddk.h" NTKERNELAPI
NTSTATUS
ObReferenceObjectByName(
IN PUNICODE_STRING ObjectName,
IN ULONG Attributes,
IN PACCESS_STATE PassedAccessState OPTIONAL,
IN ACCESS_MASK DesiredAccess OPTIONAL,
IN POBJECT_TYPE ObjectType,
IN KPROCESSOR_MODE AccessMode,
IN OUT PVOID ParseContext OPTIONAL,
OUT PVOID *Object
); extern POBJECT_TYPE *IoDriverObjectType; //global
PDRIVER_OBJECT g_FilterDriverObject;
PDRIVER_DISPATCH gfn_OrigReadCompleteRoutine; //我们的驱动分发函数
NTSTATUS FilterReadCompleteRoutine(
__in struct _DEVICE_OBJECT *DeviceObject,
__inout struct _IRP *Irp)
{
KdPrint(("IRP_MJ_DEVICE_CONTROL coming.")); //处理完毕后,要调用原分发例程
return gfn_OrigReadCompleteRoutine(DeviceObject, Irp);
} //驱动卸载函数
VOID UnFilterDriverRoutine(__in struct _DRIVER_OBJECT *DriverObject)
{
//此内存可读时,恢复
if (MmIsAddressValid(gfn_OrigReadCompleteRoutine))
{
KdPrint(("UnFilterDriverRoutine Success.")); //卸载时恢复原分发例程
g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = gfn_OrigReadCompleteRoutine;
}
} //过滤函数
NTSTATUS FilterDriverQuery()
{
NTSTATUS Status;
UNICODE_STRING usObjectName; RtlInitUnicodeString (&usObjectName, L"\\Driver\\XueTr"); //根据驱动名称获得驱动对象
Status = ObReferenceObjectByName (
&usObjectName,
OBJ_CASE_INSENSITIVE, //大小写不敏感
NULL,
, //访问权限,0是所有权限
*IoDriverObjectType,
KernelMode, //处理器模式
NULL,
(PVOID*)&g_FilterDriverObject
);
if (!NT_SUCCESS(Status))
{
KdPrint(("Filter Failed!"));
return Status;
} KdPrint(("0x%X", g_FilterDriverObject)); //打印驱动对象地址 //保存原分发例程,并修改为我们的函数
gfn_OrigReadCompleteRoutine = g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL];
g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = (PDRIVER_DISPATCH)FilterReadCompleteRoutine; ObDereferenceObject(g_FilterDriverObject); //清除引用计数 return STATUS_SUCCESS;
} //驱动程序入口函数
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)
{
pDriverObject->DriverUnload = UnFilterDriverRoutine;
FilterDriverQuery (); return STATUS_SUCCESS;
}
FilterDriver.c
其中,ObReferenceObjectByName函数能够根据驱动名获取到相应的驱动对象,函数原型如下:
NTKERNELAPI
NTSTATUS
ObReferenceObjectByName(
IN PUNICODE_STRING ObjectName,
IN ULONG Attributes,
IN PACCESS_STATE PassedAccessState OPTIONAL,
IN ACCESS_MASK DesiredAccess OPTIONAL,
IN POBJECT_TYPE ObjectType,
IN KPROCESSOR_MODE AccessMode,
IN OUT PVOID ParseContext OPTIONAL,
OUT PVOID *Object
);
由于ObReferenceObjectByName函数没有文档化,但是被导出了。所以我们需要在代码中对ObReferenceObjectByName函数进行声明。
另外调用ObReferenceObjectByName函数后,要调用ObDereferenceObject来清除对象的引用计数,否则会造成内存泄漏。
根据XueTr获取到XueTr的驱动对象地址是0x84F79858,大小是0x00068000
根据WinObj工具获得XueTr驱动的路径为"\\Driver\\XueTr"
用InstDrv安装并启动驱动FilterDriver.sys后,DbgView输出0x84F79858,此地址与上面用XueTr查看的地址相同。说明获取到的XueTr驱动对象的地址是正确的。
在WinDbg输入以下命令查看XueTr驱动的详细信息:
dt _DRIVER_OBJECT -b 84F79858
WinDbg输出如下:
lkd> dt_DRIVER_OBJECT -b 84F79858
nt!_DRIVER_OBJECT
+0x000 Type :
+0x002 Size :
+0x004 DeviceObject : 0x8617b100
+0x008 Flags : 0x12
+0x00c DriverStart : 0xed5ce000
+0x010 DriverSize : 0x68000
+0x014 DriverSection : 0x862e2220
+0x018 DriverExtension : 0x84f79900
+0x01c DriverName : _UNICODE_STRING "\Driver\XueTr"
+0x000 Length : 0x1a
+0x002 MaximumLength : 0x1a
+0x004 Buffer : 0xe1605358 "\Driver\XueTr"
+0x024 HardwareDatabase : 0x80691b90
+0x028 FastIoDispatch : (null)
+0x02c DriverInit : 0xed62b03e
+0x030 DriverStartIo : (null)
+0x034 DriverUnload : 0xed619668
+0x038 MajorFunction :
[] 0xed619792
[] 0x804fe101
[] 0xed619792
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0xf7c37000
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
[] 0x804fe101
上面代码中修改的分发函数是IRP_MJ_DEVICE_CONTROL,也就是14号分发例程(0至27)
XueTr驱动的14号分发函数地址为0xf7c37000
由XueTr知道我们的驱动FilterDriver.sys基地址为0xF7C36000,大小为0x00006000。
所以XueTr驱动的14号分发函数地址(0xf7c37000)在我们的驱动内(0xF7C36000~0xF7C36000+0x00006000)
然后当我们在XueTr工具内刷新时,DbgView内输出
IRP_MJ_DEVICE_CONTROL coming.
遍历所有驱动
遍历所有驱动需要用到一个结构_LDR_DATA_TABLE_ENTRY,具体的驱动代码如下:
//EnumDriver.c
//2016.07.17 #include <ntddk.h> typedef struct _LDR_DATA_TABLE_ENTRY{
LIST_ENTRY InLoadOrderLinks; //链表 保存了所有已经读取到内存中的驱动地址
LIST_ENTRY InMemoryOrderLinks; //链表 保存了已经安装,但没启动(没执行DriverEntry)的驱动地址
LIST_ENTRY InInitializationOrderLinks; //链表 保存了已经安装,同时也启动了(执行了DriverEntry)的驱动地址
PVOID DllBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
USHORT LoadCount;
USHORT TlsIndex;
LIST_ENTRY HashLinks;
PVOID SectionPointer;
ULONG CheckSum;
ULONG TimeDateStamp;
PVOID LoadedImports;
PVOID EntryPointActivationContext;
PVOID PatchInformation;
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY; VOID MyDriverUnload(PDRIVER_OBJECT pDriverObject)
{
//
KdPrint(("Unload EnumDriver.sys Success."));
} VOID EnumDriver(PDRIVER_OBJECT pDriverObject)
{
PLDR_DATA_TABLE_ENTRY pLdrDataTableEntry, pTempLdrDataTableEntry;
PLIST_ENTRY pList;
int i = ; pLdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
if (!MmIsAddressValid(pLdrDataTableEntry))
{
return;
} pList = &pLdrDataTableEntry->InLoadOrderLinks; while (pList != pLdrDataTableEntry->InLoadOrderLinks.Blink)
{
//ToDo
pTempLdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pList;
i++; if(MmIsAddressValid(pTempLdrDataTableEntry))
{
if (MmIsAddressValid(&pTempLdrDataTableEntry->BaseDllName) && MmIsAddressValid(&pTempLdrDataTableEntry->BaseDllName))
KdPrint(("%d:%wZ\t%wZ", i, &pTempLdrDataTableEntry->BaseDllName, &pTempLdrDataTableEntry->FullDllName));
} pList = pList->Flink;
}
} NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)
{
pDriverObject->DriverUnload = MyDriverUnload;
EnumDriver(pDriverObject); return STATUS_SUCCESS;
}
EnumDriver.c
用Windbg在XP虚拟机下查看该结构
lkd> dt_LDR_DATA_TABLE_ENTRY
nt!_LDR_DATA_TABLE_ENTRY
+0x000 InLoadOrderLinks : _LIST_ENTRY
+0x008 InMemoryOrderLinks : _LIST_ENTRY
+0x010 InInitializationOrderLinks : _LIST_ENTRY
+0x018 DllBase : Ptr32 Void
+0x01c EntryPoint : Ptr32 Void
+0x020 SizeOfImage : Uint4B
+0x024 FullDllName : _UNICODE_STRING
+0x02c BaseDllName : _UNICODE_STRING
+0x034 Flags : Uint4B
+0x038 LoadCount : Uint2B
+0x03a TlsIndex : Uint2B
+0x03c HashLinks : _LIST_ENTRY
+0x03c SectionPointer : Ptr32 Void
+0x040 CheckSum : Uint4B
+0x044 TimeDateStamp : Uint4B
+0x044 LoadedImports : Ptr32 Void
+0x048 EntryPointActivationContext : Ptr32 Void
+0x04c PatchInformation : Ptr32 Void
因为结构_LDR_DATA_TABLE_ENTRY是未导出的,所以要在代码开头定义一下:
typedef struct _LDR_DATA_TABLE_ENTRY{
LIST_ENTRY InLoadOrderLinks; //链表 保存了所有已经读取到内存中的驱动地址
LIST_ENTRY InMemoryOrderLinks; //链表 保存了已经安装,但没启动(没执行DriverEntry)的驱动地址
LIST_ENTRY InInitializationOrderLinks; //链表 保存了已经安装,同时也启动了(执行了DriverEntry)的驱动地址
PVOID DllBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
USHORT LoadCount;
USHORT TlsIndex;
LIST_ENTRY HashLinks;
PVOID SectionPointer;
ULONG CheckSum;
ULONG TimeDateStamp;
PVOID LoadedImports;
PVOID EntryPointActivationContext;
PVOID PatchInformation;
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
InLoadOrderLinks是一个双向的循环链表,保存了所有驱动的地址。我们只要遍历它,就能够找到所有的驱动了。
FullDllName是驱动的完整路径(路径+名称),BaseDllName是驱动的名称(不包含路径) 驱动加载后的输出如下:
其中的第二个 2:(null)(null)是XueTr的驱动,应该是做了特殊处理
梦织未来Windows驱动编程 第05课 小结(读取另一驱动,遍历所有驱动)的更多相关文章
- 梦织未来Windows驱动编程 第03课 驱动的编程规范
最近根据梦织未来论坛的驱动教程学习了一下Windows下的驱动编程,做个笔记备忘.这是第03课<驱动的编程规范>. 驱动部分包括基本的驱动卸载函数.驱动打开关闭读取写入操作最简单的分发例程 ...
- 梦织未来Windows驱动编程 第06课 驱动对磁盘文件的操作
代码部分: 实现一个文件C:\\text.txt,并读取写入内容到文件,然后将文件设置为只读,并隐藏文件.代码如下: //MyCreateFile.c //2016.07.22 #include &l ...
- 梦织未来Windows驱动编程 第04课 驱动相关的数据结构
- Windows游戏编程之从零开始d
Windows游戏编程之从零开始d I'm back~~恩,几个月不见,大家还好吗? 这段时间真的好多童鞋在博客里留言说或者发邮件说浅墨你回来继续更新博客吧. woxiangnifrr童鞋说每天都在来 ...
- (转)Windows驱动编程基础教程
版权声明 本书是免费电子书. 作者保留一切权利.但在保证本书完整性(包括版权声明.前言.正文内容.后记.以及作者的信息),并不增删.改变其中任何文字内容的前提下,欢迎任何读者 以任何形式(包括 ...
- 《天书夜读:从汇编语言到windows内核编程》五 WDM驱动开发环境搭建
(原书)所有内核空间共享,DriverEntery是内核程序入口,在内核程序被加载时,这个函数被调用,加载入的进程为system进程,xp下它的pid是4.内核程序的编写有一定的规则: 不能调用win ...
- 《天书夜读:从汇编语言到windows内核编程》六 驱动、设备、与请求
1)跳入到基础篇的内核编程第7章,驱动入口函数DriverEnter的返回值决定驱动程序是否加载成功,当打算反汇编阅读驱动内核程序时,可寻找该位置. 2)DRIVER_OBJECT下的派遣函数(分发函 ...
- 《逐梦旅程 WINDOWS游戏编程之从零开始》笔记5——Direct3D中的顶点缓存和索引缓存
第12章 Direct3D绘制基础 1. 顶点缓存 计算机所描绘的3D图形是通过多边形网格来构成的,网网格勾勒出轮廓,然后在网格轮廓的表面上贴上相应的图片,这样就构成了一个3D模型.三角形网格是构建物 ...
- storysnail的Windows串口编程笔记
storysnail的Windows串口编程笔记 作者 He YiJun – storysnail<at>gmail.com 团队 ls 版权 转载请保留本声明! 本文档包含的原创代码根据 ...
随机推荐
- “MVC+Nhibernate+Jquery-EasyUI” 信息发布系统 第五篇(用户管理之“用户权限分配”)
一.在做权限分配之前,首先先了解“ZTree”这个插件,我的这个系统没有用Jquery-EasyUI的Tree.用的是”ZTree“朋友们可以试试,也很强大.点击下载ZTree插件. 1. ...
- C#----接口与多继承
using System; using System.Collections.Generic; using System.Linq; using System.Text; namespace 接口 { ...
- 详解Java中的Object.getClass()方法
详解Object.getClass()方法,这个方法的返回值是Class类型,Class c = obj.getClass(); 通过对象c,我们可以获取该对象的所有成员方法,每个成员方法都是一个Me ...
- PAT1060【大模拟啊】
怎么麻烦怎么来了??? 提供几个案例: 5 0.00001 0.00001 0 0.0 0.0222 1 0.001 0.2000 2 005.06 0.230 1 00.020 0 贴份代码跑.. ...
- 搭建一个简单的FTP服务器
本文介绍通过win7自带的IIS来搭建一个只能实现基本功能的FTP服务器,第一次装好WIN7后我愣是没整出来,后来查了一下网上资料经过试验后搭建成功,其实原理和步骤与windows前期的版本差不多,主 ...
- IdentityServer4 学习笔记[1]-客户端授权
前言 本文内容来自IdentityServer4官网,官网有详细的介绍,并且有源码Demo 官网源码例子传送门 建立授权服务端 我们暂时不配置Https,选择空模板建立项目,项目建立后, 为了查看de ...
- nexus私服的搭建和使用
- 原生Ajax实现
发现一件可怕的事情,前端学不完了,春招要开始了.唉,人生苦短.
- ssl加密
握手前使用非对称加密, 握手后使用对称加密 前期握手就是用来协商对称加密算法的
- Java中只有按值传递,没有按引用传递!(两种参数情况下都是值传递)
今天,我在一本面试书上看到了关于java的一个参数传递的问题: 写道 java中对象作为参数传递给一个方法,到底是值传递,还是引用传递? 我毫无疑问的回答:“引用传递!”,并且还觉得自己对java的这 ...