最近在阅读《寒江独钓_Windows内核安全编程》一书的过程中,发现修改类驱动分发函数这一技术点,书中只给出了具体思路和部分代码,没有完整的例子。

按照作者的思路和代码,将例子补充完整,发现将驱动安装在WIN7 32位环境下,键盘失效。

经调试发现,可能的原因是替换了\\Driver\\Kbdclass类驱动的所有分发函数导致,如果只替换分发IRP_MJ_READ的函数,不会有问题,以下为代码

 //替换分发函数  来实现过滤

 #include <wdm.h>

 #include <Ntddkbd.h>

 // Kbdclass驱动的名字

 #define KBD_DRIVER_NAME  L"\\Driver\\Kbdclass"

 //旧的函数地址

 PDRIVER_DISPATCH OldDispatchFun[IRP_MJ_MAXIMUM_FUNCTION+];

 extern POBJECT_TYPE *IoDriverObjectType;

 PDRIVER_DISPATCH OldDIspatchRead;

 // 这个函数是事实存在的,只是文档中没有公开。声明一下

 // 就可以直接使用了。

 NTSTATUS

 ObReferenceObjectByName(

                         PUNICODE_STRING ObjectName,

                         ULONG Attributes,

                         PACCESS_STATE AccessState,

                         ACCESS_MASK DesiredAccess,

                         POBJECT_TYPE ObjectType,

                         KPROCESSOR_MODE AccessMode,

                         PVOID ParseContext,

                         PVOID *Object

                         );

 //新的分发函数地址

 NTSTATUS c2pDispatchGeneral(

                                  IN PDEVICE_OBJECT DeviceObject,

                                  IN PIRP Irp

                                  )

 {

     PIO_STACK_LOCATION irpStack=IoGetCurrentIrpStackLocation(Irp);

     DbgPrint("irpStack->MinorFunction=%x\n",irpStack->MinorFunction);

     return OldDIspatchRead(DeviceObject,Irp);

     //return OldDispatchFun[irpStack->MinorFunction](DeviceObject,Irp);

 }

 #define  DELAY_ONE_MICROSECOND  (-10)

 #define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)

 #define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)

 //卸载时候   要替换回来

 VOID  c2pUnload(IN PDRIVER_OBJECT DriverObject)

 {

     NTSTATUS Status = STATUS_UNSUCCESSFUL;

     int nIndex = ;

     PDRIVER_OBJECT KeyBoardDriverObject = NULL;

     UNICODE_STRING KeyBoardName;

     LARGE_INTEGER Delay;

     RtlInitUnicodeString(&KeyBoardName, L"\\Driver\\Kbdclass");

     Status = ObReferenceObjectByName(&KeyBoardName, OBJ_CASE_INSENSITIVE, NULL, , *IoDriverObjectType,

         KernelMode, NULL, &KeyBoardDriverObject);

     if (!NT_SUCCESS(Status))

     {

         DbgPrint("UnloadDriver Get Keyboard Driver Object Error\n");

         return;

     }

     //交换原来的分发函数

     // for (nIndex; nIndex < IRP_MJ_MAXIMUM_FUNCTION; nIndex++)

     // {

         // InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[nIndex], OldDispatchFun[nIndex]);

     // }

     InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[IRP_MJ_READ], OldDIspatchRead);

     DbgPrint("Change MajorFunction Successful!\n");

     Delay = RtlConvertLongToLargeInteger(* DELAY_ONE_MILLISECOND);

     // 延时等待完成

     KeDelayExecutionThread(KernelMode, FALSE, &Delay);

     ObReferenceObject(KeyBoardDriverObject);

 }

 //驱动程序入口

 NTSTATUS DriverEntry(

                      IN PDRIVER_OBJECT DriverObject,

                      IN PUNICODE_STRING RegistryPath

                      )

 {

     ULONG i;

     NTSTATUS status; 

     UNICODE_STRING uniNtNameString;

     //返回kdbclass驱动对象

     PDRIVER_OBJECT KbdDriverObject = NULL; 

     KdPrint(("MyAttach\n")); 

     // 初始化一个字符串,就是Kdbclass驱动的名字。

     #if DBG

     _asm int ;

 #endif

     RtlInitUnicodeString(&uniNtNameString, KBD_DRIVER_NAME);

     // 请参照前面打开设备对象的例子。只是这里打开的是驱动对象。

     status = ObReferenceObjectByName (

         &uniNtNameString,

         OBJ_CASE_INSENSITIVE,

         NULL,

         ,

         *IoDriverObjectType,

         KernelMode,

         NULL,

         &KbdDriverObject

         );

     // 如果失败了就直接返回

     if(!NT_SUCCESS(status))

     {

         DbgPrint("MyAttach: Couldn't get the MyTest Device Object %x\n",status);

         return( status );

     }

     else

     {

         // 这个打开需要解应用。早点解除了免得之后忘记。

         //解释为  可能导致DriverObject引用计数加1

     }

     OldDIspatchRead=KbdDriverObject->MajorFunction[IRP_MJ_READ];

     InterlockedExchangePointer(&KbdDriverObject->MajorFunction[IRP_MJ_READ],c2pDispatchGeneral);

     ObDereferenceObject(KbdDriverObject);

     // 卸载函数。

     DriverObject->DriverUnload = c2pUnload; 

     return status;

 }

《寒江独钓_Windows内核安全编程》中修改类驱动分发函数的更多相关文章

  1. EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)

    在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB.把它们放到一起是因为这三个数据结构及其外延和w ...

  2. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  3. ETHREAD APC 《寒江独钓》内核学习笔记(4)

    继续学习windows 中和线程有关系的数据结构: ETHREAD.KTHREAD.TEB 1. 相关阅读材料 <windows 内核原理与实现> --- 潘爱民 2. 数据结构分析 我们 ...

  4. IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)

    在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记. 1. 相关阅读资料 <深入解析 windows 操作系统(第4版,中 ...

  5. KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)

    继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构. 1. 相关阅读材料 <深入理解计算机系统(原书第2版)> 二. KPROCESS KPROCESS,也叫内核进 ...

  6. ERROR: Symbol file could not be found 寒江孤钓<<windows 内核安全编程>> 学习笔记

    手动下载了Symbols,设置好了Symbols File Path,串口连接上了以后,出现ERROR: Symbol file could not be found, 并且会一直不停的出现windb ...

  7. Debuggee not connected 寒江孤钓<<windows 内核安全编程>> 学习笔记

    双机联调出现的问题 真机系统win7 虚拟机系统xp 安装书中的配置一步一步走,发现最后启动系统后,windbg一直显示 Opened \\.\pipe\com_1Waiting to reconne ...

  8. 删除自定义服务 寒江孤钓<<windows 内核安全编程>> 学习笔记

    书中第一章 成功启动first服务之后, 发现书中并没有介绍删除服务的方式, SRVINSTW工具中的移除服务功能,也无法找到我们要删除的服务, 于是,搜素了下,发现解决方法如下: 在cmd中输入 & ...

  9. 发生系统错误 1275.此驱动程序被阻止加载 寒江孤钓<<windows 内核安全编程>> 学习笔记

    安装书中第一章成功安装first服务之后,在cmd窗口使用命令行 "net start first" 时, 出现 "发生系统错误 1275.此驱动程序被阻止加载" ...

随机推荐

  1. MongoDB安装并随windows开机自启

    MongoDB的官方下载站是http://www.mongodb.org/downloads,可以去上面下载最新的程序下来.在下载页面可以看到,对操作系统支持很全面,OS X.Linux.Window ...

  2. Fedora 安装gcc gcc-c++

    Fedora本身没有自带gcc 和 g++编译器,所以需要我们自己去安装,步骤如下: 1.切换到root用户(或者跳过这个步骤,直接在下面命令前面加上 sudo) su root 2.安装gcc yu ...

  3. iOS 企业证书的使用文档

    IN-HOUSE应用程序分发 下面介绍下使用网络方式进行部署的方式,用户直接在iPhone/iPad的Safari浏览器里面输入URL地址即可安装, 注意:目前对于这种企业级开发的应用程序最好的分发方 ...

  4. (3)WebApi客户端调用

    1.创建一个应用台控制程序,可以把Model的引用,用下面的方法拖拽上来(解决方案里没有这个文件,只是这个文件的引用)  2.Program.cs using System; using System ...

  5. js中== 和===中的区别

    <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <m ...

  6. 3.4.4 数据预留和对齐(skb_reserve, skb_push, skb_put, skb_pull)

    转自:http://book.51cto.com/art/201206/345043.htm <Linux内核源码剖析:TCP/IP实现>本书详细论述了Linux内核2.6.20版本中TC ...

  7. Fiddler问题 - creation of the root certificate was not successful

    打开cmd执行命令. d: cd D:\soft\Fiddler2 makecert.exe -r -ss my -n "CN=DO_NOT_TRUST_FiddlerRoot, O=DO_ ...

  8. C语言中使用系统自带的快排函数

    题目 . 德才论 () 宋代史学家司马光在<资治通鉴>中有一段著名的"德才论":"是故才德全尽谓之圣人,才德兼亡谓之愚人,德胜才谓之君子,才胜德谓之小人.凡取 ...

  9. nodejs之主机不能访问到虚拟机的web服务器

    问题:在主机使用VMware搭建虚拟机,并运行node.但是主机浏览器不能访问 环境:虚拟机使用centos7,网络模式为桥接.主机IP 192.168.1.48  虚拟机IP 192.168.1.5 ...

  10. Linux内核笔记——内存管理之块内存分配

    内核版本:linux-2.6.11 伙伴系统 伙伴系统是linux用于满足对不同大小块物理内存分配和释放请求的解决方案. 内存管理区 linux将物理内存分成三个内存管理区,分别为ZONE_DMA Z ...