驱动都存在

\\Driver 或者 \\FileSystem 目录对象里 我们只需要遍历这两个目录就可以遍历windows所有驱动

知识点

\\Driver  \\FileSystem (dt _OBJECT_DIRECOTRY)都属于 ObpDirectoryObjectType(window内核全局变量) 对象

其他对象全局变量 可以参考 作者:潘爱民 书名:windows内核原理与实现 的 2.4图

一个目录对象 含有37个DirectoryEnTry 对象(dt _OBJECT_DIRECTORY_ENTRY)

_OBJECT_DIRECTORY_ENTRY 里的Object 指向的就是 驱动的 DriverObject( dt _DRIVER_OBJECT)

具体内容看代码

VOID init()

{

UNICODE_STRING vDriverName = { 0 };

RtlInitUnicodeString(&vDriverName, L"\\Driver");

POBJECT_DIRECTORY vPObjectDirectory;

NTSTATUS vStatus;

vStatus = ObReferenceObjectByName(

&vDriverName,

OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,

NULL,

0,

(POBJECT_TYPE)0x869d0040,

KernelMode,

NULL,

(PVOID *)&vPObjectDirectory

);

if (NT_SUCCESS(vStatus))

{

KdPrint(("成功"));

for (ULONG vI = 0; vI < NUMBER_HASH_BUCKETS; vI++)

{

PDRIVER_OBJECT vDriverObject = NULL;

POBJECT_DIRECTORY_ENTRY vObjectDirectoryEntry = NULL;

vObjectDirectoryEntry = vPObjectDirectory->HashBuckets[vI];

while (vObjectDirectoryEntry && MmIsAddressValid((PVOID)vObjectDirectoryEntry))

{

vDriverObject = (PDRIVER_OBJECT)vObjectDirectoryEntry->Object;

if (MmIsAddressValid((PVOID)vDriverObject))

{

if (MmIsAddressValid(&vDriverObject->DriverName))

{

if (wcsstr(vDriverObject->DriverName.Buffer, L"PCHunter32") != NULL)

{

KdPrint(("\r\n\r\n找到了\r\n\r\n"));

RtlInitUnicodeString(&vDriverObject->DriverName, L"\Driver\text32");

}

KdPrint(("名:%wZ\r\n", &vDriverObject->DriverName));

}

}

vObjectDirectoryEntry = vObjectDirectoryEntry->ChainLink;

}

}

ObDereferenceObject(vPObjectDirectory);

}

else

KdPrint(("vStatus = 0x%08X\r\n", vStatus));

RtlInitUnicodeString(&vDriverName, L"\\FileSystem");

vStatus = ObReferenceObjectByName(

&vDriverName,

OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,

NULL,

0,

(POBJECT_TYPE)0x869d0040,

KernelMode,

NULL,

(PVOID *)&vPObjectDirectory

);

if (NT_SUCCESS(vStatus))

{

KdPrint(("成功"));

for (ULONG vI = 0; vI < NUMBER_HASH_BUCKETS; vI++)

{

PDRIVER_OBJECT vDriverObject = NULL;

POBJECT_DIRECTORY_ENTRY vObjectDirectoryEntry = NULL;

vObjectDirectoryEntry = vPObjectDirectory->HashBuckets[vI];

while (vObjectDirectoryEntry && MmIsAddressValid((PVOID)vObjectDirectoryEntry))

{

vDriverObject = (PDRIVER_OBJECT)vObjectDirectoryEntry->Object;

if (MmIsAddressValid((PVOID)vDriverObject))

{

if (MmIsAddressValid(&vDriverObject->DriverName))

{

KdPrint(("名:%wZ\r\n", &vDriverObject->DriverName));

}

}

vObjectDirectoryEntry = vObjectDirectoryEntry->ChainLink;

}

}

ObDereferenceObject(vPObjectDirectory);

}

else

KdPrint(("vStatus = 0x%08X\r\n", vStatus));

}

jpg 改 rar

遍历windows驱动的更多相关文章

  1. 梦织未来Windows驱动编程 第05课 小结(读取另一驱动,遍历所有驱动)

    读取另一驱动 驱动通过"\\Driver\\XueTr"获取到了XueTr工具的驱动,并Hook了XueTr驱动的分发函数. 具体的驱动代码如下: //FilterDriver.c ...

  2. (转)Windows驱动编程基础教程

    版权声明     本书是免费电子书. 作者保留一切权利.但在保证本书完整性(包括版权声明.前言.正文内容.后记.以及作者的信息),并不增删.改变其中任何文字内容的前提下,欢迎任何读者 以任何形式(包括 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [windows驱动]内核态驱动架构

    1.windows驱动简介: 1.1 windows组件简介: 1.2 windows驱动类型: windows驱动分为两种基本类型: 用户态驱动在用户态下执行.它们一般提供一套win32应用程序和内 ...

  5. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  6. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  7. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

  8. Windows 驱动发展基金会(九)内核函数

    Windows 驱动发展基金会系列,转载请注明出处:http://blog.csdn.net/ikerpeng/article/details/38849861 这里主要介绍3类Windows的内核函 ...

  9. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

随机推荐

  1. 彻底卸载MySql

    刚装了下MySql,装的过程中由于修改了服务名,导致最后配置假死,不得已,重装. 但是重装时总是失败,于是google了一下,找到彻底卸载mysql的方法: 最近安装本地测试用 MySQL 服务器时总 ...

  2. percona-toolkit 之 【pt-summary】、【pt-mysql-summary】、【pt-config-diff】、【pt-variable-advisor】说明

    摘要: 通过下面的这些命令在接触到新的数据库服务器的时候能更好更快的了解服务器和数据库的状况. 1:pt-summary:查看系统摘要报告 执行: pt-summary 打印出来的信息包括:CPU.内 ...

  3. C++ STL 的实现:

    C++ STL 的实现: 1.vector  底层数据结构为数组 ,支持快速随机访问 2.list    底层数据结构为双向链表,支持快速增删 3.deque   底层数据结构为一个中央控制器和多个缓 ...

  4. Divide and conquer:4 Values whose Sum is 0(POJ 2785)

    找四个数的和为0 题目大意:给定四个集合,要你每个集合选4个数字,组成和为0 这题是3977的简单版,只要和是0就可以了 #include <iostream> #include < ...

  5. HDU 5898 odd-even number (数位DP) -2016 ICPC沈阳赛区网络赛

    题目链接 题意:一个数字,它每个数位上的奇数都形成偶数长度的段,偶数位都形成奇数长度的段他就是好的.问[L , R]的好数个数. 题解:裸的数位dp, 从高到低考虑每个数位, 状态里存下到当前位为止的 ...

  6. IOS - 响应者链条

    简单来说就是:一级一级的找到响应的视图,如果没有就传给UIWindow实例和UIApplication实例,要是他们也处理不了,就丢弃这次事件... 对于IOS设备用户来说,他们操作设备的方式主要有三 ...

  7. mysql探究之null与not null

    相信很多用了mysql很久的人,对这两个字段属性的概念还不是很清楚,一般会有以下疑问: 1.我字段类型是not null,为什么我可以插入空值 2.为毛not null的效率比null高 3.判断字段 ...

  8. iOS-Runtime-Headers

    iOS8.4 及之前的头文件 私有及共有API https://github.com/nst/iOS-Runtime-Headers  

  9. Android xml text 预览属性

    只在 AS 中生效 xmlns:tools="http://schemas.android.com/tools" tools:text="I am a title&quo ...

  10. NYOJ题目10505C?5S?

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAAscAAAJ/CAIAAAAbDelhAAAgAElEQVR4nO3dPXLbOhfG8XcT7r0Q11