最近在阅读《寒江独钓_Windows内核安全编程》一书的过程中,发现修改类驱动分发函数这一技术点,书中只给出了具体思路和部分代码,没有完整的例子。

按照作者的思路和代码,将例子补充完整,发现将驱动安装在WIN7 32位环境下,键盘失效。

经调试发现,可能的原因是替换了\\Driver\\Kbdclass类驱动的所有分发函数导致,如果只替换分发IRP_MJ_READ的函数,不会有问题,以下为代码

 //替换分发函数  来实现过滤

 #include <wdm.h>

 #include <Ntddkbd.h>

 // Kbdclass驱动的名字

 #define KBD_DRIVER_NAME  L"\\Driver\\Kbdclass"

 //旧的函数地址

 PDRIVER_DISPATCH OldDispatchFun[IRP_MJ_MAXIMUM_FUNCTION+];

 extern POBJECT_TYPE *IoDriverObjectType;

 PDRIVER_DISPATCH OldDIspatchRead;

 // 这个函数是事实存在的,只是文档中没有公开。声明一下

 // 就可以直接使用了。

 NTSTATUS

 ObReferenceObjectByName(

                         PUNICODE_STRING ObjectName,

                         ULONG Attributes,

                         PACCESS_STATE AccessState,

                         ACCESS_MASK DesiredAccess,

                         POBJECT_TYPE ObjectType,

                         KPROCESSOR_MODE AccessMode,

                         PVOID ParseContext,

                         PVOID *Object

                         );

 //新的分发函数地址

 NTSTATUS c2pDispatchGeneral(

                                  IN PDEVICE_OBJECT DeviceObject,

                                  IN PIRP Irp

                                  )

 {

     PIO_STACK_LOCATION irpStack=IoGetCurrentIrpStackLocation(Irp);

     DbgPrint("irpStack->MinorFunction=%x\n",irpStack->MinorFunction);

     return OldDIspatchRead(DeviceObject,Irp);

     //return OldDispatchFun[irpStack->MinorFunction](DeviceObject,Irp);

 }

 #define  DELAY_ONE_MICROSECOND  (-10)

 #define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)

 #define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)

 //卸载时候   要替换回来

 VOID  c2pUnload(IN PDRIVER_OBJECT DriverObject)

 {

     NTSTATUS Status = STATUS_UNSUCCESSFUL;

     int nIndex = ;

     PDRIVER_OBJECT KeyBoardDriverObject = NULL;

     UNICODE_STRING KeyBoardName;

     LARGE_INTEGER Delay;

     RtlInitUnicodeString(&KeyBoardName, L"\\Driver\\Kbdclass");

     Status = ObReferenceObjectByName(&KeyBoardName, OBJ_CASE_INSENSITIVE, NULL, , *IoDriverObjectType,

         KernelMode, NULL, &KeyBoardDriverObject);

     if (!NT_SUCCESS(Status))

     {

         DbgPrint("UnloadDriver Get Keyboard Driver Object Error\n");

         return;

     }

     //交换原来的分发函数

     // for (nIndex; nIndex < IRP_MJ_MAXIMUM_FUNCTION; nIndex++)

     // {

         // InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[nIndex], OldDispatchFun[nIndex]);

     // }

     InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[IRP_MJ_READ], OldDIspatchRead);

     DbgPrint("Change MajorFunction Successful!\n");

     Delay = RtlConvertLongToLargeInteger(* DELAY_ONE_MILLISECOND);

     // 延时等待完成

     KeDelayExecutionThread(KernelMode, FALSE, &Delay);

     ObReferenceObject(KeyBoardDriverObject);

 }

 //驱动程序入口

 NTSTATUS DriverEntry(

                      IN PDRIVER_OBJECT DriverObject,

                      IN PUNICODE_STRING RegistryPath

                      )

 {

     ULONG i;

     NTSTATUS status; 

     UNICODE_STRING uniNtNameString;

     //返回kdbclass驱动对象

     PDRIVER_OBJECT KbdDriverObject = NULL; 

     KdPrint(("MyAttach\n")); 

     // 初始化一个字符串,就是Kdbclass驱动的名字。

     #if DBG

     _asm int ;

 #endif

     RtlInitUnicodeString(&uniNtNameString, KBD_DRIVER_NAME);

     // 请参照前面打开设备对象的例子。只是这里打开的是驱动对象。

     status = ObReferenceObjectByName (

         &uniNtNameString,

         OBJ_CASE_INSENSITIVE,

         NULL,

         ,

         *IoDriverObjectType,

         KernelMode,

         NULL,

         &KbdDriverObject

         );

     // 如果失败了就直接返回

     if(!NT_SUCCESS(status))

     {

         DbgPrint("MyAttach: Couldn't get the MyTest Device Object %x\n",status);

         return( status );

     }

     else

     {

         // 这个打开需要解应用。早点解除了免得之后忘记。

         //解释为  可能导致DriverObject引用计数加1

     }

     OldDIspatchRead=KbdDriverObject->MajorFunction[IRP_MJ_READ];

     InterlockedExchangePointer(&KbdDriverObject->MajorFunction[IRP_MJ_READ],c2pDispatchGeneral);

     ObDereferenceObject(KbdDriverObject);

     // 卸载函数。

     DriverObject->DriverUnload = c2pUnload; 

     return status;

 }

《寒江独钓_Windows内核安全编程》中修改类驱动分发函数的更多相关文章

  1. EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)

    在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB.把它们放到一起是因为这三个数据结构及其外延和w ...

  2. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  3. ETHREAD APC 《寒江独钓》内核学习笔记(4)

    继续学习windows 中和线程有关系的数据结构: ETHREAD.KTHREAD.TEB 1. 相关阅读材料 <windows 内核原理与实现> --- 潘爱民 2. 数据结构分析 我们 ...

  4. IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)

    在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记. 1. 相关阅读资料 <深入解析 windows 操作系统(第4版,中 ...

  5. KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)

    继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构. 1. 相关阅读材料 <深入理解计算机系统(原书第2版)> 二. KPROCESS KPROCESS,也叫内核进 ...

  6. ERROR: Symbol file could not be found 寒江孤钓<<windows 内核安全编程>> 学习笔记

    手动下载了Symbols,设置好了Symbols File Path,串口连接上了以后,出现ERROR: Symbol file could not be found, 并且会一直不停的出现windb ...

  7. Debuggee not connected 寒江孤钓<<windows 内核安全编程>> 学习笔记

    双机联调出现的问题 真机系统win7 虚拟机系统xp 安装书中的配置一步一步走,发现最后启动系统后,windbg一直显示 Opened \\.\pipe\com_1Waiting to reconne ...

  8. 删除自定义服务 寒江孤钓<<windows 内核安全编程>> 学习笔记

    书中第一章 成功启动first服务之后, 发现书中并没有介绍删除服务的方式, SRVINSTW工具中的移除服务功能,也无法找到我们要删除的服务, 于是,搜素了下,发现解决方法如下: 在cmd中输入 & ...

  9. 发生系统错误 1275.此驱动程序被阻止加载 寒江孤钓<<windows 内核安全编程>> 学习笔记

    安装书中第一章成功安装first服务之后,在cmd窗口使用命令行 "net start first" 时, 出现 "发生系统错误 1275.此驱动程序被阻止加载" ...

随机推荐

  1. 搭建java环境(Eclipse为例)

    工作快一年了,回过来看基础java,颇有感触. 1.JDK下载(Oracle官网下载) 2.JDK安装(切记安装路径) 3.win7中环境变量设置 (1)在环境变量中,新建"系统变量&quo ...

  2. Delphi控件之---通过编码学习TStringGrid(也会涉及到Panel控件,还有对Object Inspector的控件Events的介绍

    我是参考了万一的博客里面的关于TStringGrid学习的教程,但是我也结合自己的实际操作和理解,加入了一些个人的补充,至少对我有用! 学用TStringGrid之——ColCount.RowCoun ...

  3. jsf初学selectOneMenu 绑定与取值

    jsf 的selectOneMenu 最后生成的<select>标签.这里涉及到一个binding 起初一直不知道是干嘛的,后来参考了其他文章.就相当于在asp.net 中如:<as ...

  4. laravel5笔记

    数据库表创建E:\PHP\learnlaravel5>php artisan migrate 创建modelE:\PHP\learnlaravel5>php artisan make:mo ...

  5. mysql忘记root密码怎么办?

    有时候忘记mysql的root密码了,怎么办? 这个时候,我们可以修改my.cnf,添加以不检查权限的方式启动,再修改root,最后重启mysql数据库. (1)service mysql stop ...

  6. UWP学习记录6-设计和UI之控件和模式3

    UWP学习记录6-设计和UI之控件和模式3 1.按钮 按钮,响应用户输入和引发 Click 事件的控件. 使用<Button>就能创建一个按钮控件了.按钮是 ContentControl, ...

  7. MR操作

    MR操作————Map.Partitioner.Shuffle.Combiners.Reduce 1.Map步骤 1.1 读取输入文件,解析成k-v对,其中每个k-v对调用一次map函数 1.2 写自 ...

  8. Redis——学习之路一(初识redis)

    在接下来的一段时间里面我要将自己学习的redis整理一遍,下面是我整理的一些资料: Redis是一款依据BSD开源协议发行的高性能Key-Value存储系统(cache and store),所以re ...

  9. Python学习日志(三)

    运算补充(因为之前看书看过的我又忘了...) python3 里 / 直接是浮点除.python2的 / 是直接整除,取整数部分,小数不要了,python3也可以这样整除,用//实现. **是乘方!! ...

  10. eval解析JSON中的注意点

       在JS中将JSON的字符串解析成JSON数据格式,一般有两种方式: 1.一种为使用eval()函数. 2. 使用Function对象来进行返回解析. 使用eval函数来解析,并且使用jquery ...