内核里的其他常用

1.遍历链表。内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖

葫芦一样给串了起来。所以遍历双向链表能获得很多重要的内核数据。举个简单的例子,驱

动对象 DriverObject 就是使用双向链表给串起来的,遍历这个链表就可以枚举内核里所有的驱动。示例代码如下

//传入驱动自身的 DriverObject

VOID EnumDriver(PDRIVER_OBJECT pDriverObject)

{

PKLDR_DATA_TABLE_ENTRY entry = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

PKLDR_DATA_TABLE_ENTRY firstentry;

ULONG64 pDrvBase = 0;

KIRQL OldIrql;

firstentry = entry;

//当发现又找到自己时跳出循环,否则成了死循环。

while ((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)

{

DbgPrint("BASE=%p\tPATH=%wZ", entry->DllBase, entry->FullDllName);

entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;

}

}

2.等待。这个等于 RING3 的 Sleep 函数了。

#define DELAY_ONE_MICROSECOND (-10)

#define DELAY_ONE_MILLISECOND  (DELAY_ONE_MICROSECOND*1000)

VOID MySleep(LONG msec)

{

LARGE_INTEGER my_interval;

my_interval.QuadPart = DELAY_ONE_MILLISECOND;

my_interval.QuadPart *= msec;

KeDelayExecutionThread(KernelMode, 0, &my_interval);

}

3.同步。这个可以理解成是“条件等待”。常用的是 KeWaitForSingleObject、KeInitializeEvent、

KeSetEvent 这几个函数。为了方便讲解,这个的示例代码与“内核线程”放在一起。先把这

几个函数的原型贴出来。

NTSTATUS KeWaitForSingleObject

(

_In_ PVOID Object,

_In_ KWAIT_REASON WaitReason,

_In_ KPROCESSOR_MODE WaitMode,

_In_ BOOLEAN Alertable,

_In_opt_ PLARGE_INTEGER Timeout

);

VOID KeInitializeEvent

(

_Out_ PRKEVENT Event,

_In_ EVENT_TYPE Type,

_In_ BOOLEAN State

);

LONG KeSetEvent

(

_Inout_ PRKEVENT Event,

_In_ KPRIORITY Increment,

_In_ BOOLEAN Wait

);

4.获得系统版本号。内核编程难免使用硬编码,以及使用一些高版本系统才出现的函数。为

了使得驱动能在低版本的系统上正常运行,就需要根据不同系统做不同处理了。

VOID GetVersion()

{

ULONG NtBuildNumber;

RTL_OSVERSIONINFOW osi;

osi.dwOSVersionInfoSize = sizeof(RTL_OSVERSIONINFOW);

RtlFillMemory(&osi, sizeof(RTL_OSVERSIONINFOW), 0);

RtlGetVersion(&osi);

NtBuildNumber = osi.dwBuildNumber;

DbgPrint("NtBuildNumber: %ld\n", NtBuildNumber);

return NtBuildNumber;

}

5.获得系统时间。在内核里获得系统时间的是标准时间(GMT+0),转换成本地时间还需要进

行转换。此功能在发布测试版软件的时候特别有用,限制人们只能在指定时间之前使用。

VOID MyGetCurrentTime()

{

LARGE_INTEGER CurrentTime;

LARGE_INTEGER LocalTime;

TIME_FIELDS TimeFiled;

// 这里得到的其实是格林威治时间

KeQuerySystemTime(&CurrentTime);

// 转换成本地时间

ExSystemTimeToLocalTime(&CurrentTime, &LocalTime);

// 把时间转换为容易理解的形式

RtlTimeToTimeFields(&LocalTime, &TimeFiled);

DbgPrint("[TimeTest] NowTime : %4d-%2d-%2d %2d:%2d:%2d",

TimeFiled.Year, TimeFiled.Month, TimeFiled.Day,

TimeFiled.Hour, TimeFiled.Minute, TimeFiled.Second);

}

6.内核线程。内核线程就是名义上属于 SYSTEM 进程的线程。比如说你要做坏事,却让 SYSTEM

进程背黑锅,是一件很爽的事情。内核线程还有几个特点:1. PreviousMode 是 KernelMode,

可以直接调用 Nt 开头的内核函数(Nt 开头的内核函数会检查 PreviousMode,如果

PreviousMode 不是 KernelMode,就会拒绝服务。有些人喜欢直接修改 ETHREAD 里的这个值,

但我个人觉得这么改不妥当)。2.内核线程不会自己结束,必须调用 PsTerminateSystemThread

才能被动结束。以下是例子, 同时演示了 等待 、同步和内核线程的使用。

KEVENT kEvent; //事件

   //线程函数

VOID MyThreadFunc(IN PVOID context)

{

PUNICODE_STRING str = (PUNICODE_STRING)context;

DbgPrint("Kernel thread running: %wZ\n", str);

DbgPrint("Wait 3s!\n");

MySleep(3000);

DbgPrint("Kernel thread exit!\n");

KeSetEvent(&kEvent, 0, TRUE);

PsTerminateSystemThread(STATUS_SUCCESS);

}

//创建线程的函数

VOID CreateThreadTest()

{

HANDLE hThread;

UNICODE_STRING ustrTest = RTL_CONSTANT_STRING(L"This is a string for test!");

NTSTATUS status;

// 初始化事件

KeInitializeEvent(&kEvent, SynchronizationEvent, FALSE);

status = PsCreateSystemThread(&hThread, 0, NULL, NULL, NULL, MyThreadFunc,

(PVOID)&ustrTest);

if (!NT_SUCCESS(status))

{

DbgPrint("PsCreateSystemThread failed!");

return;

}

ZwClose(hThread);

// 等待事件

KeWaitForSingleObject(&kEvent, Executive, KernelMode, FALSE, NULL);

DbgPrint("CreateThreadTest OVER!\n");

}

7.强制重启计算机。在内核里直接使用 OUT 指令就能强制重启计算机而不可能被任何钩子

拦截。此代码可以用在反调试里。

VOID ForceReboot()

{

typedef void(__fastcall *FCRB)(void);

/*

mov al, 0FEh

out 64h, al

ret

*/

FCRB fcrb = NULL;

UCHAR shellcode[6] = "\xB0\xFE\xE6\x64\xC3";

fcrb = ExAllocatePool(NonPagedPool, 5);

memcpy(fcrb, shellcode, 5);

fcrb();

}

8.强制关闭计算机。在内核里直接使用 OUT 指令就能强制关闭计算机而不可能被任何钩子

拦截。此代码可以用在反调试里。

VOID ForceShutdown()

{

typedef void(__fastcall *FCRB)(void);

/*

mov ax,2001h

mov dx,1004h

out dx,ax

ret

*/

FCRB fcrb = NULL;

UCHAR shellcode[12] = "\x66\xB8\x01\x20\x66\xBA\x04\x10\x66\xEF\xC3";

fcrb = ExAllocatePool(NonPagedPool, 11);

memcpy(fcrb, shellcode, 11);

fcrb();

}

Win64 驱动内核编程-8.内核里的其他常用的更多相关文章

  1. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  2. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  3. Win64 驱动内核编程-5.内核里操作文件

    内核里操作文件 RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是"获得文件句柄->读/写/删/改->关闭文件句柄"的模式.当然了,只能用内核 A ...

  4. Win64 驱动内核编程-6.内核里操作注册表

    内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大,同样是"获得句柄->执行操作->关闭句柄"的模式,同样也只能使用内核 API 不能使用 WIN32 ...

  5. Win64 驱动内核编程-4.内核里操作字符串

    内核里操作字符串 字符串本质上就是一段内存,之所以和内存使用分开讲,是因为内核里的字符串太有花 样了,细数下来竟然有 4 种字符串!这四种字符串,分别是:CHAR*.WCHAR*.ANSI_STRIN ...

  6. WIN64内核编程-的基础知识

    WIN64内核编程基础班(作者:胡文亮)   https://www.dbgpro.com/x64driver 我们先从一份"简历"说起: 姓名:X86或80x86 性别:? 出生 ...

  7. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  8. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  9. Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)

    SHADOW SSDT HOOK HOOK 和 UNHOOK SHADOW SSDT 跟之前的 HOOK/UNHOOK SSDT 类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还 ...

随机推荐

  1. ajax传数组后台GO语言接收

    js代码如下: function PostHandle(url,data,callback) { $.ajax({ type: "Post", url:url, data:data ...

  2. Hznu_0j 1557

    题目链接:http://acm.hznu.edu.cn/OJ/problem.php?id=1557 题解:将两个数组分别升序和降序排序后,累加差的绝对值. Ac代码: #include<std ...

  3. PTA 单链表分段逆转

    6-9 单链表分段逆转 (25 分)   给定一个带头结点的单链表和一个整数K,要求你将链表中的每K个结点做一次逆转.例如给定单链表 1→2→3→4→5→6 和 K=3,你需要将链表改造成 3→2→1 ...

  4. 【新阁教育】台达DVP-ES3 ModbusTCP通信案例

    本文主要针对台达DVP-ES3系列PLC,实现上位机与PLC之间的ModbusTCP通信. 一.硬件说明 DVP-ES3 系列为高阶应用可编程控制器, CPU 内置4 组高速计数器输入.4组轴输出(脉 ...

  5. (四)SpringBoot启动过程的分析-预处理ApplicationContext

    -- 以下内容均基于2.1.8.RELEASE版本 紧接着上一篇(三)SpringBoot启动过程的分析-创建应用程序上下文,本文将分析上下文创建完毕之后的下一步操作:预处理上下文容器. 预处理上下文 ...

  6. 网络对抗技术Exp2-后门原理与实践

    后门概念 后门就是不经过正常认证流程而访问系统的通道. 哪里有后门呢? 编译器留后门 操作系统留后门 最常见的当然还是应用程序中留后门 还有就是潜伏于操作系统中或伪装为特定应用的专用后门程序. 下面是 ...

  7. 【LiteOS】LiteOS消息队列

    目录 前言 链接 参考 笔录草稿 基本概念 队列运作机制 队列运作原理 消息队列传输方式 消息队列的阻塞机制 出队阻塞 入队阻塞 任务相关函数 任务开发流程 注意事项 * 实战 前言 链接 LiteO ...

  8. C语言之文件操作

    C语言之文件操作 在本节我们将会讲解有关文件的读写操作: 纲要: 一些需要掌握的知识点 文件名 文件类型 数据流 文件缓冲区 文件指针 与文件操作相关的一些函数 文件的打开及关闭 文件的顺序读写 文件 ...

  9. OO 第二单元

    前言 ​ 第二单元 OO 作业的主题是多线程,课程组通过了电梯调度这个经典问题考察了多线程的调度. ​ 从第五次作业到第七次作业的迭代为,单部多线程可捎带电梯,多部多线程可捎带调度电梯(电梯属性相同) ...

  10. 痞子衡嵌入式:在i.MXRT启动头FDCB里调整Flash工作频率也需同步设Dummy Cycle

    大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家介绍的是Flash工作频率与Dummy Cycle的联系. 上一篇文章 <从头开始认识i.MXRT启动头FDCB里的lookupTable ...