内核里的其他常用

1.遍历链表。内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖

葫芦一样给串了起来。所以遍历双向链表能获得很多重要的内核数据。举个简单的例子,驱

动对象 DriverObject 就是使用双向链表给串起来的,遍历这个链表就可以枚举内核里所有的驱动。示例代码如下

//传入驱动自身的 DriverObject

VOID EnumDriver(PDRIVER_OBJECT pDriverObject)

{

PKLDR_DATA_TABLE_ENTRY entry = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

PKLDR_DATA_TABLE_ENTRY firstentry;

ULONG64 pDrvBase = 0;

KIRQL OldIrql;

firstentry = entry;

//当发现又找到自己时跳出循环,否则成了死循环。

while ((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)

{

DbgPrint("BASE=%p\tPATH=%wZ", entry->DllBase, entry->FullDllName);

entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;

}

}

2.等待。这个等于 RING3 的 Sleep 函数了。

#define DELAY_ONE_MICROSECOND (-10)

#define DELAY_ONE_MILLISECOND  (DELAY_ONE_MICROSECOND*1000)

VOID MySleep(LONG msec)

{

LARGE_INTEGER my_interval;

my_interval.QuadPart = DELAY_ONE_MILLISECOND;

my_interval.QuadPart *= msec;

KeDelayExecutionThread(KernelMode, 0, &my_interval);

}

3.同步。这个可以理解成是“条件等待”。常用的是 KeWaitForSingleObject、KeInitializeEvent、

KeSetEvent 这几个函数。为了方便讲解,这个的示例代码与“内核线程”放在一起。先把这

几个函数的原型贴出来。

NTSTATUS KeWaitForSingleObject

(

_In_ PVOID Object,

_In_ KWAIT_REASON WaitReason,

_In_ KPROCESSOR_MODE WaitMode,

_In_ BOOLEAN Alertable,

_In_opt_ PLARGE_INTEGER Timeout

);

VOID KeInitializeEvent

(

_Out_ PRKEVENT Event,

_In_ EVENT_TYPE Type,

_In_ BOOLEAN State

);

LONG KeSetEvent

(

_Inout_ PRKEVENT Event,

_In_ KPRIORITY Increment,

_In_ BOOLEAN Wait

);

4.获得系统版本号。内核编程难免使用硬编码,以及使用一些高版本系统才出现的函数。为

了使得驱动能在低版本的系统上正常运行,就需要根据不同系统做不同处理了。

VOID GetVersion()

{

ULONG NtBuildNumber;

RTL_OSVERSIONINFOW osi;

osi.dwOSVersionInfoSize = sizeof(RTL_OSVERSIONINFOW);

RtlFillMemory(&osi, sizeof(RTL_OSVERSIONINFOW), 0);

RtlGetVersion(&osi);

NtBuildNumber = osi.dwBuildNumber;

DbgPrint("NtBuildNumber: %ld\n", NtBuildNumber);

return NtBuildNumber;

}

5.获得系统时间。在内核里获得系统时间的是标准时间(GMT+0),转换成本地时间还需要进

行转换。此功能在发布测试版软件的时候特别有用,限制人们只能在指定时间之前使用。

VOID MyGetCurrentTime()

{

LARGE_INTEGER CurrentTime;

LARGE_INTEGER LocalTime;

TIME_FIELDS TimeFiled;

// 这里得到的其实是格林威治时间

KeQuerySystemTime(&CurrentTime);

// 转换成本地时间

ExSystemTimeToLocalTime(&CurrentTime, &LocalTime);

// 把时间转换为容易理解的形式

RtlTimeToTimeFields(&LocalTime, &TimeFiled);

DbgPrint("[TimeTest] NowTime : %4d-%2d-%2d %2d:%2d:%2d",

TimeFiled.Year, TimeFiled.Month, TimeFiled.Day,

TimeFiled.Hour, TimeFiled.Minute, TimeFiled.Second);

}

6.内核线程。内核线程就是名义上属于 SYSTEM 进程的线程。比如说你要做坏事,却让 SYSTEM

进程背黑锅,是一件很爽的事情。内核线程还有几个特点:1. PreviousMode 是 KernelMode,

可以直接调用 Nt 开头的内核函数(Nt 开头的内核函数会检查 PreviousMode,如果

PreviousMode 不是 KernelMode,就会拒绝服务。有些人喜欢直接修改 ETHREAD 里的这个值,

但我个人觉得这么改不妥当)。2.内核线程不会自己结束,必须调用 PsTerminateSystemThread

才能被动结束。以下是例子, 同时演示了 等待 、同步和内核线程的使用。

KEVENT kEvent; //事件

   //线程函数

VOID MyThreadFunc(IN PVOID context)

{

PUNICODE_STRING str = (PUNICODE_STRING)context;

DbgPrint("Kernel thread running: %wZ\n", str);

DbgPrint("Wait 3s!\n");

MySleep(3000);

DbgPrint("Kernel thread exit!\n");

KeSetEvent(&kEvent, 0, TRUE);

PsTerminateSystemThread(STATUS_SUCCESS);

}

//创建线程的函数

VOID CreateThreadTest()

{

HANDLE hThread;

UNICODE_STRING ustrTest = RTL_CONSTANT_STRING(L"This is a string for test!");

NTSTATUS status;

// 初始化事件

KeInitializeEvent(&kEvent, SynchronizationEvent, FALSE);

status = PsCreateSystemThread(&hThread, 0, NULL, NULL, NULL, MyThreadFunc,

(PVOID)&ustrTest);

if (!NT_SUCCESS(status))

{

DbgPrint("PsCreateSystemThread failed!");

return;

}

ZwClose(hThread);

// 等待事件

KeWaitForSingleObject(&kEvent, Executive, KernelMode, FALSE, NULL);

DbgPrint("CreateThreadTest OVER!\n");

}

7.强制重启计算机。在内核里直接使用 OUT 指令就能强制重启计算机而不可能被任何钩子

拦截。此代码可以用在反调试里。

VOID ForceReboot()

{

typedef void(__fastcall *FCRB)(void);

/*

mov al, 0FEh

out 64h, al

ret

*/

FCRB fcrb = NULL;

UCHAR shellcode[6] = "\xB0\xFE\xE6\x64\xC3";

fcrb = ExAllocatePool(NonPagedPool, 5);

memcpy(fcrb, shellcode, 5);

fcrb();

}

8.强制关闭计算机。在内核里直接使用 OUT 指令就能强制关闭计算机而不可能被任何钩子

拦截。此代码可以用在反调试里。

VOID ForceShutdown()

{

typedef void(__fastcall *FCRB)(void);

/*

mov ax,2001h

mov dx,1004h

out dx,ax

ret

*/

FCRB fcrb = NULL;

UCHAR shellcode[12] = "\x66\xB8\x01\x20\x66\xBA\x04\x10\x66\xEF\xC3";

fcrb = ExAllocatePool(NonPagedPool, 11);

memcpy(fcrb, shellcode, 11);

fcrb();

}

Win64 驱动内核编程-8.内核里的其他常用的更多相关文章

  1. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  2. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  3. Win64 驱动内核编程-5.内核里操作文件

    内核里操作文件 RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是"获得文件句柄->读/写/删/改->关闭文件句柄"的模式.当然了,只能用内核 A ...

  4. Win64 驱动内核编程-6.内核里操作注册表

    内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大,同样是"获得句柄->执行操作->关闭句柄"的模式,同样也只能使用内核 API 不能使用 WIN32 ...

  5. Win64 驱动内核编程-4.内核里操作字符串

    内核里操作字符串 字符串本质上就是一段内存,之所以和内存使用分开讲,是因为内核里的字符串太有花 样了,细数下来竟然有 4 种字符串!这四种字符串,分别是:CHAR*.WCHAR*.ANSI_STRIN ...

  6. WIN64内核编程-的基础知识

    WIN64内核编程基础班(作者:胡文亮)   https://www.dbgpro.com/x64driver 我们先从一份"简历"说起: 姓名:X86或80x86 性别:? 出生 ...

  7. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  8. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  9. Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)

    SHADOW SSDT HOOK HOOK 和 UNHOOK SHADOW SSDT 跟之前的 HOOK/UNHOOK SSDT 类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还 ...

随机推荐

  1. 如何在 C# 中使用 const,readonly,static

    平时在开发时经常会用到 const,readonly,static 关键字,可以肯定这些关键词是完全不同的概念,但有时候他们在用法上很相似以至于在场景中不知道选择哪一个,这篇文章我们就来讨论 C# 中 ...

  2. 基于CefSharp开发浏览器(九)浏览器历史记录弹窗面板

    一.前言 前两篇文章写的是关于浏览器收藏夹的内容,因为收藏夹的内容不会太多,故采用json格式的文本文件作为收藏夹的存储方式. 关于浏览器历史记录,我个人每天大概会打开百来次网页甚至更多,时间越长历史 ...

  3. java异常的 理解

    1.体系结构 java.lang.Object |----java.lang.Throwable |-------java.lang.Error:错误,java程序对此无能为力,不显式的处理 |--- ...

  4. CRC校验原理和verilog实现方法(一)

    1.CRC简介 CRC全称循环冗余校验(Cyclic Redundancy Check, CRC),是通信领域数据传输技术中常用的检错方法,用于保证数据传输的可靠性.网上有关这方面的博客和资料很多,本 ...

  5. 导出目录的JS代码,与目录的三级标题测试

    二级标题 三级标题 三级标题 三级标题 三级标题 三级标题 二级标题 三级标题 三级标题 三级标题 三级标题 三级标题 这里是现在页尾目录功能的代码源码: <!-- 目录索引列表生成 --> ...

  6. javascript 取自己

    var own=docment.currentScript;

  7. Netflix业务运维分析和总结

    目录 Netflix工作环境的分析和思考 为什么Netflix会做得如此极致? 海量业务规模下的技术架构和挑战 更加合理的组织架构和先进的工具体系及理念 自由与责任并存的企业文化 当前问题: 精选提问 ...

  8. [Fundamental of Power Electronics]-PART II-9. 控制器设计-9.5 控制器的设计

    9.5 控制器设计 现在让我们来考虑如何设计控制器系统,来满足有关抑制扰动,瞬态响应以及稳定性的规范或者说设计目标.典型的直流控制器设计可以用以下规范定义: 1.负载电流变化对输出电压调节的影响.当负 ...

  9. SpringCloudAlibaba—微服务概念及SpringCloudAlibaba介绍

    目录 1.1 系统架构演变 1.1.1 单体应用架构 1.1.2垂直应用架构 1.1.3 分布式架构 1.1.4 SOA架构 1.1.5 微服务架构 1.2 微服务架构介绍 1.2.1 微服务架构的常 ...

  10. centos 7升级gcc到10.2.0

    安装gcc 由于 Linux 操作系统的自由.开源,在其基础上衍生出了很多不同的 Linux 操作系统,如 CentOS.Ubuntu.Debian 等.这些 Linux 发行版中,大多数都默认装有 ...