读取另一驱动

驱动通过"\\Driver\\XueTr"获取到了XueTr工具的驱动,并Hook了XueTr驱动的分发函数。

具体的驱动代码如下:

 //FilterDriver.c

 //2016.07.15

 #include "ntddk.h"

 NTKERNELAPI

 NTSTATUS

 ObReferenceObjectByName(

     IN PUNICODE_STRING ObjectName,

     IN ULONG Attributes,

     IN PACCESS_STATE PassedAccessState OPTIONAL,

     IN ACCESS_MASK DesiredAccess OPTIONAL,

     IN POBJECT_TYPE ObjectType,

     IN KPROCESSOR_MODE AccessMode,

     IN OUT PVOID ParseContext OPTIONAL,

     OUT PVOID *Object

     );

 extern POBJECT_TYPE *IoDriverObjectType; 

 //global

 PDRIVER_OBJECT g_FilterDriverObject;

 PDRIVER_DISPATCH gfn_OrigReadCompleteRoutine;

 //我们的驱动分发函数

 NTSTATUS FilterReadCompleteRoutine(

     __in struct _DEVICE_OBJECT *DeviceObject,

      __inout struct _IRP *Irp)

 {

     KdPrint(("IRP_MJ_DEVICE_CONTROL coming."));

     //处理完毕后,要调用原分发例程

     return gfn_OrigReadCompleteRoutine(DeviceObject, Irp);

 }

 //驱动卸载函数

 VOID UnFilterDriverRoutine(__in struct _DRIVER_OBJECT *DriverObject)

 {

     //此内存可读时,恢复

     if (MmIsAddressValid(gfn_OrigReadCompleteRoutine))

     {

         KdPrint(("UnFilterDriverRoutine Success."));

         //卸载时恢复原分发例程

         g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = gfn_OrigReadCompleteRoutine;

     }

 }

 //过滤函数

 NTSTATUS FilterDriverQuery()

 {

     NTSTATUS Status;

     UNICODE_STRING usObjectName;

     RtlInitUnicodeString (&usObjectName, L"\\Driver\\XueTr");

     //根据驱动名称获得驱动对象

     Status = ObReferenceObjectByName (

         &usObjectName,

         OBJ_CASE_INSENSITIVE,    //大小写不敏感

         NULL,

         ,    //访问权限,0是所有权限

         *IoDriverObjectType,

         KernelMode,    //处理器模式

         NULL,

         (PVOID*)&g_FilterDriverObject

         );

     if (!NT_SUCCESS(Status))

     {

         KdPrint(("Filter Failed!"));

         return Status;

     }

     KdPrint(("0x%X", g_FilterDriverObject));    //打印驱动对象地址

     //保存原分发例程,并修改为我们的函数

     gfn_OrigReadCompleteRoutine = g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL];

     g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = (PDRIVER_DISPATCH)FilterReadCompleteRoutine;

     ObDereferenceObject(g_FilterDriverObject);    //清除引用计数

     return STATUS_SUCCESS;

 }

 //驱动程序入口函数

 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)

 {

     pDriverObject->DriverUnload = UnFilterDriverRoutine;

     FilterDriverQuery ();

     return STATUS_SUCCESS;

 }

FilterDriver.c

其中,ObReferenceObjectByName函数能够根据驱动名获取到相应的驱动对象,函数原型如下:

 NTKERNELAPI

 NTSTATUS

 ObReferenceObjectByName(

     IN PUNICODE_STRING ObjectName,

     IN ULONG Attributes,

     IN PACCESS_STATE PassedAccessState OPTIONAL,

     IN ACCESS_MASK DesiredAccess OPTIONAL,

     IN POBJECT_TYPE ObjectType,

     IN KPROCESSOR_MODE AccessMode,

     IN OUT PVOID ParseContext OPTIONAL,

     OUT PVOID *Object

     );

由于ObReferenceObjectByName函数没有文档化,但是被导出了。所以我们需要在代码中对ObReferenceObjectByName函数进行声明。

另外调用ObReferenceObjectByName函数后,要调用ObDereferenceObject来清除对象的引用计数,否则会造成内存泄漏。

根据XueTr获取到XueTr的驱动对象地址是0x84F79858,大小是0x00068000

根据WinObj工具获得XueTr驱动的路径为"\\Driver\\XueTr"

用InstDrv安装并启动驱动FilterDriver.sys后,DbgView输出0x84F79858,此地址与上面用XueTr查看的地址相同。说明获取到的XueTr驱动对象的地址是正确的。

在WinDbg输入以下命令查看XueTr驱动的详细信息:

dt _DRIVER_OBJECT -b 84F79858

WinDbg输出如下:

 lkd> dt_DRIVER_OBJECT -b 84F79858

 nt!_DRIVER_OBJECT

    +0x000 Type             :

    +0x002 Size             :

    +0x004 DeviceObject     : 0x8617b100

    +0x008 Flags            : 0x12

    +0x00c DriverStart      : 0xed5ce000

    +0x010 DriverSize       : 0x68000

    +0x014 DriverSection    : 0x862e2220

    +0x018 DriverExtension  : 0x84f79900

    +0x01c DriverName       : _UNICODE_STRING "\Driver\XueTr"

       +0x000 Length           : 0x1a

       +0x002 MaximumLength    : 0x1a

       +0x004 Buffer           : 0xe1605358  "\Driver\XueTr"

    +0x024 HardwareDatabase : 0x80691b90

    +0x028 FastIoDispatch   : (null)

    +0x02c DriverInit       : 0xed62b03e

    +0x030 DriverStartIo    : (null)

    +0x034 DriverUnload     : 0xed619668

    +0x038 MajorFunction    :

     [] 0xed619792

     [] 0x804fe101

     [] 0xed619792

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0xf7c37000

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

上面代码中修改的分发函数是IRP_MJ_DEVICE_CONTROL,也就是14号分发例程(0至27)

XueTr驱动的14号分发函数地址为0xf7c37000

由XueTr知道我们的驱动FilterDriver.sys基地址为0xF7C36000,大小为0x00006000。

所以XueTr驱动的14号分发函数地址(0xf7c37000)在我们的驱动内(0xF7C36000~0xF7C36000+0x00006000)

然后当我们在XueTr工具内刷新时,DbgView内输出

IRP_MJ_DEVICE_CONTROL coming.

遍历所有驱动

遍历所有驱动需要用到一个结构_LDR_DATA_TABLE_ENTRY,具体的驱动代码如下:

 //EnumDriver.c

 //2016.07.17

 #include <ntddk.h>

 typedef struct _LDR_DATA_TABLE_ENTRY{

     LIST_ENTRY InLoadOrderLinks;            //链表 保存了所有已经读取到内存中的驱动地址

     LIST_ENTRY InMemoryOrderLinks;            //链表 保存了已经安装,但没启动(没执行DriverEntry)的驱动地址

     LIST_ENTRY InInitializationOrderLinks;    //链表 保存了已经安装,同时也启动了(执行了DriverEntry)的驱动地址

     PVOID DllBase;

     PVOID EntryPoint;

     ULONG SizeOfImage;

     UNICODE_STRING FullDllName;

     UNICODE_STRING BaseDllName;

     ULONG Flags;

     USHORT LoadCount;

     USHORT TlsIndex;

     LIST_ENTRY HashLinks;

     PVOID SectionPointer;

     ULONG CheckSum;

     ULONG TimeDateStamp;

     PVOID LoadedImports;

     PVOID EntryPointActivationContext;

     PVOID PatchInformation;

 }LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

 VOID MyDriverUnload(PDRIVER_OBJECT pDriverObject)

 {

     //

     KdPrint(("Unload EnumDriver.sys Success."));

 }

 VOID EnumDriver(PDRIVER_OBJECT pDriverObject)

 {

     PLDR_DATA_TABLE_ENTRY pLdrDataTableEntry, pTempLdrDataTableEntry;

     PLIST_ENTRY pList;

     int i = ;

     pLdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

     if (!MmIsAddressValid(pLdrDataTableEntry))

     {

         return;

     }

     pList = &pLdrDataTableEntry->InLoadOrderLinks;

     while (pList != pLdrDataTableEntry->InLoadOrderLinks.Blink)

     {

         //ToDo

         pTempLdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pList;

         i++;

         if(MmIsAddressValid(pTempLdrDataTableEntry))

         {

             if (MmIsAddressValid(&pTempLdrDataTableEntry->BaseDllName) && MmIsAddressValid(&pTempLdrDataTableEntry->BaseDllName))

                 KdPrint(("%d:%wZ\t%wZ", i, &pTempLdrDataTableEntry->BaseDllName, &pTempLdrDataTableEntry->FullDllName));

         }

         pList = pList->Flink;

     }

 }

 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)

 {

     pDriverObject->DriverUnload = MyDriverUnload;

     EnumDriver(pDriverObject);

     return STATUS_SUCCESS;

 }

EnumDriver.c

用Windbg在XP虚拟机下查看该结构

lkd> dt_LDR_DATA_TABLE_ENTRY

nt!_LDR_DATA_TABLE_ENTRY

   +0x000 InLoadOrderLinks : _LIST_ENTRY

   +0x008 InMemoryOrderLinks : _LIST_ENTRY

   +0x010 InInitializationOrderLinks : _LIST_ENTRY

   +0x018 DllBase          : Ptr32 Void

   +0x01c EntryPoint       : Ptr32 Void

   +0x020 SizeOfImage      : Uint4B

   +0x024 FullDllName      : _UNICODE_STRING

   +0x02c BaseDllName      : _UNICODE_STRING

   +0x034 Flags            : Uint4B

   +0x038 LoadCount        : Uint2B

   +0x03a TlsIndex         : Uint2B

   +0x03c HashLinks        : _LIST_ENTRY

   +0x03c SectionPointer   : Ptr32 Void

   +0x040 CheckSum         : Uint4B

   +0x044 TimeDateStamp    : Uint4B

   +0x044 LoadedImports    : Ptr32 Void

   +0x048 EntryPointActivationContext : Ptr32 Void

   +0x04c PatchInformation : Ptr32 Void

因为结构_LDR_DATA_TABLE_ENTRY是未导出的,所以要在代码开头定义一下:

 typedef struct _LDR_DATA_TABLE_ENTRY{

     LIST_ENTRY InLoadOrderLinks;              //链表 保存了所有已经读取到内存中的驱动地址

     LIST_ENTRY InMemoryOrderLinks;            //链表 保存了已经安装,但没启动(没执行DriverEntry)的驱动地址

     LIST_ENTRY InInitializationOrderLinks;    //链表 保存了已经安装,同时也启动了(执行了DriverEntry)的驱动地址

     PVOID DllBase;

     PVOID EntryPoint;

     ULONG SizeOfImage;

     UNICODE_STRING FullDllName;

     UNICODE_STRING BaseDllName;

     ULONG Flags;

     USHORT LoadCount;

     USHORT TlsIndex;

     LIST_ENTRY HashLinks;

     PVOID SectionPointer;

     ULONG CheckSum;

     ULONG TimeDateStamp;

     PVOID LoadedImports;

     PVOID EntryPointActivationContext;

     PVOID PatchInformation;

 }LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
InLoadOrderLinks是一个双向的循环链表,保存了所有驱动的地址。我们只要遍历它,就能够找到所有的驱动了。
FullDllName是驱动的完整路径(路径+名称),BaseDllName是驱动的名称(不包含路径)

驱动加载后的输出如下:

其中的第二个 2:(null)(null)是XueTr的驱动,应该是做了特殊处理

梦织未来Windows驱动编程 第05课 小结(读取另一驱动,遍历所有驱动)的更多相关文章

  1. 梦织未来Windows驱动编程 第03课 驱动的编程规范

    最近根据梦织未来论坛的驱动教程学习了一下Windows下的驱动编程,做个笔记备忘.这是第03课<驱动的编程规范>. 驱动部分包括基本的驱动卸载函数.驱动打开关闭读取写入操作最简单的分发例程 ...

  2. 梦织未来Windows驱动编程 第06课 驱动对磁盘文件的操作

    代码部分: 实现一个文件C:\\text.txt,并读取写入内容到文件,然后将文件设置为只读,并隐藏文件.代码如下: //MyCreateFile.c //2016.07.22 #include &l ...

  3. 梦织未来Windows驱动编程 第04课 驱动相关的数据结构

  4. Windows游戏编程之从零开始d

    Windows游戏编程之从零开始d I'm back~~恩,几个月不见,大家还好吗? 这段时间真的好多童鞋在博客里留言说或者发邮件说浅墨你回来继续更新博客吧. woxiangnifrr童鞋说每天都在来 ...

  5. (转)Windows驱动编程基础教程

    版权声明     本书是免费电子书. 作者保留一切权利.但在保证本书完整性(包括版权声明.前言.正文内容.后记.以及作者的信息),并不增删.改变其中任何文字内容的前提下,欢迎任何读者 以任何形式(包括 ...

  6. 《天书夜读:从汇编语言到windows内核编程》五 WDM驱动开发环境搭建

    (原书)所有内核空间共享,DriverEntery是内核程序入口,在内核程序被加载时,这个函数被调用,加载入的进程为system进程,xp下它的pid是4.内核程序的编写有一定的规则: 不能调用win ...

  7. 《天书夜读:从汇编语言到windows内核编程》六 驱动、设备、与请求

    1)跳入到基础篇的内核编程第7章,驱动入口函数DriverEnter的返回值决定驱动程序是否加载成功,当打算反汇编阅读驱动内核程序时,可寻找该位置. 2)DRIVER_OBJECT下的派遣函数(分发函 ...

  8. 《逐梦旅程 WINDOWS游戏编程之从零开始》笔记5——Direct3D中的顶点缓存和索引缓存

    第12章 Direct3D绘制基础 1. 顶点缓存 计算机所描绘的3D图形是通过多边形网格来构成的,网网格勾勒出轮廓,然后在网格轮廓的表面上贴上相应的图片,这样就构成了一个3D模型.三角形网格是构建物 ...

  9. storysnail的Windows串口编程笔记

    storysnail的Windows串口编程笔记 作者 He YiJun – storysnail<at>gmail.com 团队 ls 版权 转载请保留本声明! 本文档包含的原创代码根据 ...

随机推荐

  1. OC官方文档翻译-Values-and-Collections-值与集合类型

    查看全部文档翻译,请浏览https://github.com/L1l1thLY/Programming-with-Objective-C-in-Chinese,blog仅收录本人翻译的两章. 简述 O ...

  2. ProtoBuf练习(五)

    表类型 protobuf语言的maps字段类型相当于C++语言的std::map类型 工程目录结构 $ ls proto/ sample_maps.proto proto文件 $ cat proto/ ...

  3. 审美赛_(java)实现

    问题描述 <审美的历程>课上有n位学生,帅老师展示了m幅画,其中有些是梵高的作品,另外的都出自五岁小朋友之手.老师请同学们分辨哪些画的作者是梵高,但是老师自己并没有答案,因为这些画看上去都 ...

  4. Codeforces Round #523 (Div. 2)D(二分,多重集)

    #include<bits/stdc++.h>using namespace std;const long long N=1e5+5;const long long MOD=1e9+7;l ...

  5. The Knuth-Morris-Pratt Algorithm in my own words(转)

    origianl For the past few days, I’ve been reading various explanations of the Knuth-Morris-Pratt str ...

  6. BadBoy录制模式:Request 和 Navigation比较

    [前言] 今天来为大家介绍下BadBoy录制模式: Request 和 Navigation的比较! 如果您的电脑还未安装BadBoy这款工具的话,可以参考下BadBoy安装步骤和简单介绍:http: ...

  7. Maven整合Eclipse进行Java项目开发

    一.Maven的配置 ①要求当前系统环境下配置了JAVA_HOME 在CMD命令行中输入:echo %JAVA_HOME% 如果能出来JDK的安装目录,说明我们配置了JAVA环境 ②将Maven的ZI ...

  8. 厉害了,Dubbo 正式毕业!

    厉害了,2019/05/21 Apache软件基金会发表博文,宣布 Dubbo 在 2019/05/20 这天正式毕业,成为 Apache 的顶级项目. 参考:https://blogs.apache ...

  9. 关于text-overflow实现·多余字符省略·的正确打开方式

    1. 字符包裹元素要能控制宽度 2. 包裹元素中包含代码 .wrapper { ... text-overflow: ellipsis; overflow: hidden; white-space: ...

  10. vue——踩坑

    打包的时候,要记得改一下这个配置路径~ 教程:https://www.cnblogs.com/wanf/p/7871787.html