最近在阅读《寒江独钓_Windows内核安全编程》一书的过程中,发现修改类驱动分发函数这一技术点,书中只给出了具体思路和部分代码,没有完整的例子。

按照作者的思路和代码,将例子补充完整,发现将驱动安装在WIN7 32位环境下,键盘失效。

经调试发现,可能的原因是替换了\\Driver\\Kbdclass类驱动的所有分发函数导致,如果只替换分发IRP_MJ_READ的函数,不会有问题,以下为代码

 //替换分发函数  来实现过滤

 #include <wdm.h>

 #include <Ntddkbd.h>

 // Kbdclass驱动的名字

 #define KBD_DRIVER_NAME  L"\\Driver\\Kbdclass"

 //旧的函数地址

 PDRIVER_DISPATCH OldDispatchFun[IRP_MJ_MAXIMUM_FUNCTION+];

 extern POBJECT_TYPE *IoDriverObjectType;

 PDRIVER_DISPATCH OldDIspatchRead;

 // 这个函数是事实存在的,只是文档中没有公开。声明一下

 // 就可以直接使用了。

 NTSTATUS

 ObReferenceObjectByName(

                         PUNICODE_STRING ObjectName,

                         ULONG Attributes,

                         PACCESS_STATE AccessState,

                         ACCESS_MASK DesiredAccess,

                         POBJECT_TYPE ObjectType,

                         KPROCESSOR_MODE AccessMode,

                         PVOID ParseContext,

                         PVOID *Object

                         );

 //新的分发函数地址

 NTSTATUS c2pDispatchGeneral(

                                  IN PDEVICE_OBJECT DeviceObject,

                                  IN PIRP Irp

                                  )

 {

     PIO_STACK_LOCATION irpStack=IoGetCurrentIrpStackLocation(Irp);

     DbgPrint("irpStack->MinorFunction=%x\n",irpStack->MinorFunction);

     return OldDIspatchRead(DeviceObject,Irp);

     //return OldDispatchFun[irpStack->MinorFunction](DeviceObject,Irp);

 }

 #define  DELAY_ONE_MICROSECOND  (-10)

 #define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)

 #define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)

 //卸载时候   要替换回来

 VOID  c2pUnload(IN PDRIVER_OBJECT DriverObject)

 {

     NTSTATUS Status = STATUS_UNSUCCESSFUL;

     int nIndex = ;

     PDRIVER_OBJECT KeyBoardDriverObject = NULL;

     UNICODE_STRING KeyBoardName;

     LARGE_INTEGER Delay;

     RtlInitUnicodeString(&KeyBoardName, L"\\Driver\\Kbdclass");

     Status = ObReferenceObjectByName(&KeyBoardName, OBJ_CASE_INSENSITIVE, NULL, , *IoDriverObjectType,

         KernelMode, NULL, &KeyBoardDriverObject);

     if (!NT_SUCCESS(Status))

     {

         DbgPrint("UnloadDriver Get Keyboard Driver Object Error\n");

         return;

     }

     //交换原来的分发函数

     // for (nIndex; nIndex < IRP_MJ_MAXIMUM_FUNCTION; nIndex++)

     // {

         // InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[nIndex], OldDispatchFun[nIndex]);

     // }

     InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[IRP_MJ_READ], OldDIspatchRead);

     DbgPrint("Change MajorFunction Successful!\n");

     Delay = RtlConvertLongToLargeInteger(* DELAY_ONE_MILLISECOND);

     // 延时等待完成

     KeDelayExecutionThread(KernelMode, FALSE, &Delay);

     ObReferenceObject(KeyBoardDriverObject);

 }

 //驱动程序入口

 NTSTATUS DriverEntry(

                      IN PDRIVER_OBJECT DriverObject,

                      IN PUNICODE_STRING RegistryPath

                      )

 {

     ULONG i;

     NTSTATUS status; 

     UNICODE_STRING uniNtNameString;

     //返回kdbclass驱动对象

     PDRIVER_OBJECT KbdDriverObject = NULL; 

     KdPrint(("MyAttach\n")); 

     // 初始化一个字符串,就是Kdbclass驱动的名字。

     #if DBG

     _asm int ;

 #endif

     RtlInitUnicodeString(&uniNtNameString, KBD_DRIVER_NAME);

     // 请参照前面打开设备对象的例子。只是这里打开的是驱动对象。

     status = ObReferenceObjectByName (

         &uniNtNameString,

         OBJ_CASE_INSENSITIVE,

         NULL,

         ,

         *IoDriverObjectType,

         KernelMode,

         NULL,

         &KbdDriverObject

         );

     // 如果失败了就直接返回

     if(!NT_SUCCESS(status))

     {

         DbgPrint("MyAttach: Couldn't get the MyTest Device Object %x\n",status);

         return( status );

     }

     else

     {

         // 这个打开需要解应用。早点解除了免得之后忘记。

         //解释为  可能导致DriverObject引用计数加1

     }

     OldDIspatchRead=KbdDriverObject->MajorFunction[IRP_MJ_READ];

     InterlockedExchangePointer(&KbdDriverObject->MajorFunction[IRP_MJ_READ],c2pDispatchGeneral);

     ObDereferenceObject(KbdDriverObject);

     // 卸载函数。

     DriverObject->DriverUnload = c2pUnload; 

     return status;

 }

《寒江独钓_Windows内核安全编程》中修改类驱动分发函数的更多相关文章

  1. EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)

    在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB.把它们放到一起是因为这三个数据结构及其外延和w ...

  2. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  3. ETHREAD APC 《寒江独钓》内核学习笔记(4)

    继续学习windows 中和线程有关系的数据结构: ETHREAD.KTHREAD.TEB 1. 相关阅读材料 <windows 内核原理与实现> --- 潘爱民 2. 数据结构分析 我们 ...

  4. IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)

    在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记. 1. 相关阅读资料 <深入解析 windows 操作系统(第4版,中 ...

  5. KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)

    继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构. 1. 相关阅读材料 <深入理解计算机系统(原书第2版)> 二. KPROCESS KPROCESS,也叫内核进 ...

  6. ERROR: Symbol file could not be found 寒江孤钓<<windows 内核安全编程>> 学习笔记

    手动下载了Symbols,设置好了Symbols File Path,串口连接上了以后,出现ERROR: Symbol file could not be found, 并且会一直不停的出现windb ...

  7. Debuggee not connected 寒江孤钓<<windows 内核安全编程>> 学习笔记

    双机联调出现的问题 真机系统win7 虚拟机系统xp 安装书中的配置一步一步走,发现最后启动系统后,windbg一直显示 Opened \\.\pipe\com_1Waiting to reconne ...

  8. 删除自定义服务 寒江孤钓<<windows 内核安全编程>> 学习笔记

    书中第一章 成功启动first服务之后, 发现书中并没有介绍删除服务的方式, SRVINSTW工具中的移除服务功能,也无法找到我们要删除的服务, 于是,搜素了下,发现解决方法如下: 在cmd中输入 & ...

  9. 发生系统错误 1275.此驱动程序被阻止加载 寒江孤钓<<windows 内核安全编程>> 学习笔记

    安装书中第一章成功安装first服务之后,在cmd窗口使用命令行 "net start first" 时, 出现 "发生系统错误 1275.此驱动程序被阻止加载" ...

随机推荐

  1. SQL Server数据阻塞原因

    阻塞形成原因 是由于SQL Server是高并发的,同一时间会有很多用户访问,为了保证数据一致性和数据安全,引入了锁的机制.同一时间只有拿到钥匙的用户能够访问,而其他用户需要等待. 死锁形成四大必要条 ...

  2. Datazen图表创建和发布

    Datazen是被微软收购的移动端全平台的数据展现解决方案.此篇主要介绍如何创建和发布图表. 如前面介绍,Datazen图表的创建和发布是通过Publisher的应用,它是Windows 8应用商店下 ...

  3. [Git] 还原Git上commit,但是没有push代码

    直接在Idea上操作2步解决: 1. 找到: 2. 在To Commit里面填写:HEAD^,表示将commit的信息还原为上一次的,需要多次直接reset多次即可: 使用命令行:原理一样 以下内容转 ...

  4. 更换项目jdk版本

    现在开发用的都是1.7版本,但是以前老的服务器上可能是1.6jdk,这时候就需要我们将项目重新用1.6编译; 修改三个文件(三个地方)即可; 第一步,右键单击项目,选择properties,修改1:J ...

  5. 进击的Python【第三章】:Python基础(三)

    Python基础(三) 本章内容 集合的概念与操作 文件的操作 函数的特点与用法 参数与局部变量 return返回值的概念 递归的基本含义 函数式编程介绍 高阶函数的概念 一.集合的概念与操作 集合( ...

  6. NPM 使用淘宝镜像

    --registry https://registry.npm.taobao.org

  7. Arduino下LCD1602综合探究(下)——如何减少1602的连线,LiquidCrystal库,LiquidCrystal库中bug的解决方法

    一.前言: 上文中,笔者系统的阐述了1602的两种驱动方式,并简单的提到了Arduino的LiquidCrystal库.本文紧接上文,对以下两个问题进行更加深入的探讨:如何能够使1602对Arduin ...

  8. [JSOI2008]完美的对称 题解

    题目大意: 首先我们给定一点A以及对称中心S,点A'是点A以S为对称中心形成的像点,即点S是线段AA'的对称中心. 点阵组(X)以S为中心的像点是由每个点的像点组成的点阵组.X是用来产生对称中心S的, ...

  9. android 腾讯x5内核 浏览器

    1.浏览器内核: 主流浏览器内核介绍(前端开发值得了解的浏览器内核历史) 浏览器内核历史介绍: 在android 4.4之前,浏览器用的还是webkit 在android 4.4之后,google就抛 ...

  10. 【生活没有希望】hdu1166敌兵布阵 线段树

    线段树水题刷刷,生活没有希望 最近看到代码跟树状数组差不多短的非递归线段树,常数也很小——zkw线段树 于是拿道水题练练手 短到让人身无可恋 ;pos;pos/=) a[pos]+=x;} ,ans= ...