最近在阅读《寒江独钓_Windows内核安全编程》一书的过程中,发现修改类驱动分发函数这一技术点,书中只给出了具体思路和部分代码,没有完整的例子。

按照作者的思路和代码,将例子补充完整,发现将驱动安装在WIN7 32位环境下,键盘失效。

经调试发现,可能的原因是替换了\\Driver\\Kbdclass类驱动的所有分发函数导致,如果只替换分发IRP_MJ_READ的函数,不会有问题,以下为代码

 //替换分发函数  来实现过滤

 #include <wdm.h>

 #include <Ntddkbd.h>

 // Kbdclass驱动的名字

 #define KBD_DRIVER_NAME  L"\\Driver\\Kbdclass"

 //旧的函数地址

 PDRIVER_DISPATCH OldDispatchFun[IRP_MJ_MAXIMUM_FUNCTION+];

 extern POBJECT_TYPE *IoDriverObjectType;

 PDRIVER_DISPATCH OldDIspatchRead;

 // 这个函数是事实存在的,只是文档中没有公开。声明一下

 // 就可以直接使用了。

 NTSTATUS

 ObReferenceObjectByName(

                         PUNICODE_STRING ObjectName,

                         ULONG Attributes,

                         PACCESS_STATE AccessState,

                         ACCESS_MASK DesiredAccess,

                         POBJECT_TYPE ObjectType,

                         KPROCESSOR_MODE AccessMode,

                         PVOID ParseContext,

                         PVOID *Object

                         );

 //新的分发函数地址

 NTSTATUS c2pDispatchGeneral(

                                  IN PDEVICE_OBJECT DeviceObject,

                                  IN PIRP Irp

                                  )

 {

     PIO_STACK_LOCATION irpStack=IoGetCurrentIrpStackLocation(Irp);

     DbgPrint("irpStack->MinorFunction=%x\n",irpStack->MinorFunction);

     return OldDIspatchRead(DeviceObject,Irp);

     //return OldDispatchFun[irpStack->MinorFunction](DeviceObject,Irp);

 }

 #define  DELAY_ONE_MICROSECOND  (-10)

 #define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)

 #define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)

 //卸载时候   要替换回来

 VOID  c2pUnload(IN PDRIVER_OBJECT DriverObject)

 {

     NTSTATUS Status = STATUS_UNSUCCESSFUL;

     int nIndex = ;

     PDRIVER_OBJECT KeyBoardDriverObject = NULL;

     UNICODE_STRING KeyBoardName;

     LARGE_INTEGER Delay;

     RtlInitUnicodeString(&KeyBoardName, L"\\Driver\\Kbdclass");

     Status = ObReferenceObjectByName(&KeyBoardName, OBJ_CASE_INSENSITIVE, NULL, , *IoDriverObjectType,

         KernelMode, NULL, &KeyBoardDriverObject);

     if (!NT_SUCCESS(Status))

     {

         DbgPrint("UnloadDriver Get Keyboard Driver Object Error\n");

         return;

     }

     //交换原来的分发函数

     // for (nIndex; nIndex < IRP_MJ_MAXIMUM_FUNCTION; nIndex++)

     // {

         // InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[nIndex], OldDispatchFun[nIndex]);

     // }

     InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[IRP_MJ_READ], OldDIspatchRead);

     DbgPrint("Change MajorFunction Successful!\n");

     Delay = RtlConvertLongToLargeInteger(* DELAY_ONE_MILLISECOND);

     // 延时等待完成

     KeDelayExecutionThread(KernelMode, FALSE, &Delay);

     ObReferenceObject(KeyBoardDriverObject);

 }

 //驱动程序入口

 NTSTATUS DriverEntry(

                      IN PDRIVER_OBJECT DriverObject,

                      IN PUNICODE_STRING RegistryPath

                      )

 {

     ULONG i;

     NTSTATUS status; 

     UNICODE_STRING uniNtNameString;

     //返回kdbclass驱动对象

     PDRIVER_OBJECT KbdDriverObject = NULL; 

     KdPrint(("MyAttach\n")); 

     // 初始化一个字符串,就是Kdbclass驱动的名字。

     #if DBG

     _asm int ;

 #endif

     RtlInitUnicodeString(&uniNtNameString, KBD_DRIVER_NAME);

     // 请参照前面打开设备对象的例子。只是这里打开的是驱动对象。

     status = ObReferenceObjectByName (

         &uniNtNameString,

         OBJ_CASE_INSENSITIVE,

         NULL,

         ,

         *IoDriverObjectType,

         KernelMode,

         NULL,

         &KbdDriverObject

         );

     // 如果失败了就直接返回

     if(!NT_SUCCESS(status))

     {

         DbgPrint("MyAttach: Couldn't get the MyTest Device Object %x\n",status);

         return( status );

     }

     else

     {

         // 这个打开需要解应用。早点解除了免得之后忘记。

         //解释为  可能导致DriverObject引用计数加1

     }

     OldDIspatchRead=KbdDriverObject->MajorFunction[IRP_MJ_READ];

     InterlockedExchangePointer(&KbdDriverObject->MajorFunction[IRP_MJ_READ],c2pDispatchGeneral);

     ObDereferenceObject(KbdDriverObject);

     // 卸载函数。

     DriverObject->DriverUnload = c2pUnload; 

     return status;

 }

《寒江独钓_Windows内核安全编程》中修改类驱动分发函数的更多相关文章

  1. EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)

    在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB.把它们放到一起是因为这三个数据结构及其外延和w ...

  2. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  3. ETHREAD APC 《寒江独钓》内核学习笔记(4)

    继续学习windows 中和线程有关系的数据结构: ETHREAD.KTHREAD.TEB 1. 相关阅读材料 <windows 内核原理与实现> --- 潘爱民 2. 数据结构分析 我们 ...

  4. IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)

    在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记. 1. 相关阅读资料 <深入解析 windows 操作系统(第4版,中 ...

  5. KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)

    继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构. 1. 相关阅读材料 <深入理解计算机系统(原书第2版)> 二. KPROCESS KPROCESS,也叫内核进 ...

  6. ERROR: Symbol file could not be found 寒江孤钓<<windows 内核安全编程>> 学习笔记

    手动下载了Symbols,设置好了Symbols File Path,串口连接上了以后,出现ERROR: Symbol file could not be found, 并且会一直不停的出现windb ...

  7. Debuggee not connected 寒江孤钓<<windows 内核安全编程>> 学习笔记

    双机联调出现的问题 真机系统win7 虚拟机系统xp 安装书中的配置一步一步走,发现最后启动系统后,windbg一直显示 Opened \\.\pipe\com_1Waiting to reconne ...

  8. 删除自定义服务 寒江孤钓<<windows 内核安全编程>> 学习笔记

    书中第一章 成功启动first服务之后, 发现书中并没有介绍删除服务的方式, SRVINSTW工具中的移除服务功能,也无法找到我们要删除的服务, 于是,搜素了下,发现解决方法如下: 在cmd中输入 & ...

  9. 发生系统错误 1275.此驱动程序被阻止加载 寒江孤钓<<windows 内核安全编程>> 学习笔记

    安装书中第一章成功安装first服务之后,在cmd窗口使用命令行 "net start first" 时, 出现 "发生系统错误 1275.此驱动程序被阻止加载" ...

随机推荐

  1. Java 中使用javah编译头文件出现找不到类的情况

    在工程的bin目录下,输入命令: javah -classpath . -jni 类路径.JNI类

  2. Newtonsoft.Json 版本冲突解决

    在做asp.net MVC 开发时,因为引用的dll 中使用了更高版本的 Newtonsoft.Json ,导致运行时发生错误, 查资料说是因为webApi使用了Newtonsoft.Json 导致了 ...

  3. Guava学习笔记(一)概览

    Guava是谷歌开源的一套Java开发类库,以简洁的编程风格著称,提供了很多实用的工具类, 在之前的工作中应用过Collections API和Guava提供的Cache,不过对Guava没有一个系统 ...

  4. 【Java EE 学习 83 上】【SpringMVC】【基本使用方法】

    一.SpringMVC框架概述 什么是SpringMVC?SpringMVC是一个和Struts2差不多的东西,他们的作用和性质几乎是相同的,甚至开发效率上也差不多,但是在运行效率上SpringMVC ...

  5. 如何把Qlik Sense嵌入到Web应用中

    (此文章同时发表在本人微信公众号"dotNET开发经验谈",欢迎右边二维码来关注.) 题记:这是一个给初学者(尤其对VS不熟悉的BI工程师)的入门操作向导. Qlik Sense是 ...

  6. string,stringbuilder,stringbuffer用法

    总结:1.如果要操作少量的数据用 = String   ==================================>字符串常量2.单线程操作字符串缓冲区 下操作大量数据 = Strin ...

  7. Java 之 常用类(一)

    1.字符串: a.分类:String.StringBuffer.StringBuilder b.特殊:①String是唯一一个可以直接用常量赋值的引用数据类型 ②String的常量也是一个对象 (即 ...

  8. WebGL与three.js

    前面学习了一些webgl的基础知识,现在就用一下three.js写一个小例子,记录一下学习的过程. 效果图: 1.去github下载three.js,然后将它加载到网页中 <script src ...

  9. C# 单例模式

    饿汉, 懒汉模式就不说了,下面是IODH模式 static void Main(string[] args) { Singleton s1, s2; s1 = Singleton.getInstanc ...

  10. 寒冬之下,浩瀚智能开单收银打印扫描POS为何能在批发零售门店商场 车销行业 风靡!:进销存+打印扫描POS机

    是一款适用于商超.餐饮.服装鞋帽.家电专营等等具有零售行业特点的企业,供企业管理人员用于管理.监控本品牌的市场占有率.门店覆盖区域.网点分布合理性等经济地理信息的工具平台. 1,功能一:业务抄单文章来 ...