1. 编译

Pspeek.cpp

#include <ntddk.h>

#define DANIEL_LIST_PROCESS 0x8001

PDRIVER_OBJECT daniel_DriverObject;

PDEVICE_OBJECT daniel_DeviceObject;

NTSTATUS daniel_DispatchCreate(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	PIO_STACK_LOCATION stackLocation;

	PIO_SECURITY_CONTEXT securityContext;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	securityContext = stackLocation->Parameters.Create.SecurityContext;

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek daniel_DispatchCreate\n");

	DbgPrint("###############\n");

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

NTSTATUS KphDispatchDeviceControl(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status;

	PIO_STACK_LOCATION stackLocation;

	PVOID originalInput;

	ULONG inputLength;

	ULONG ioControlCode;

	KPROCESSOR_MODE accessMode;

	UCHAR capturedInput[16 * sizeof(ULONG_PTR)];

	PVOID capturedInputPointer;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	originalInput = stackLocation->Parameters.DeviceIoControl.Type3InputBuffer;

	inputLength = stackLocation->Parameters.DeviceIoControl.InputBufferLength;

	ioControlCode = stackLocation->Parameters.DeviceIoControl.IoControlCode;

	accessMode = Irp->RequestorMode;

	// Probe and capture the input buffer.

	if (accessMode != KernelMode)

	{

		__try

		{

			ProbeForRead(originalInput, inputLength, sizeof(UCHAR));

			memcpy(capturedInput, originalInput, inputLength);

		}

		__except (EXCEPTION_EXECUTE_HANDLER)

		{

			status = GetExceptionCode();

			goto ControlEnd;

		}

	}

	else

	{

		memcpy(capturedInput, originalInput, inputLength);

	}

	capturedInputPointer = capturedInput; // avoid casting below

	switch (ioControlCode)

	{

	case DANIEL_LIST_PROCESS:

		{

			status = STATUS_SUCCESS;

		}

		break;

	default:

		status = STATUS_INVALID_DEVICE_REQUEST;

		break;

	}

ControlEnd:

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

VOID daniel_DriverUnload(

	__in PDRIVER_OBJECT DriverObject

	)

{

	PAGED_CODE();

	IoDeleteDevice(daniel_DeviceObject);

}

extern "C" NTSTATUS DriverEntry(

	__in PDRIVER_OBJECT DriverObject,

	__in PUNICODE_STRING RegistryPath)

{

	NTSTATUS status;

	UNICODE_STRING deviceName;

	PDEVICE_OBJECT deviceObject;

	PAGED_CODE();

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek DriverEntry\n");

	DbgPrint("Current Pid: %d\n", PsGetCurrentProcessId());

	DbgPrint("###############\n");

	daniel_DriverObject = DriverObject;

	// Create the device.

	RtlInitUnicodeString(&deviceName, L"\\Device\\DanielPsPeekDriver");

	status = IoCreateDevice(

		DriverObject,

		0,

		&deviceName,

		FILE_DEVICE_UNKNOWN,

		FILE_DEVICE_SECURE_OPEN,

		FALSE,

		&deviceObject

		);

	if (!NT_SUCCESS(status))

		return status;

	daniel_DeviceObject = deviceObject;

	// Set up I/O.

	DriverObject->MajorFunction[IRP_MJ_CREATE] = daniel_DispatchCreate;

	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KphDispatchDeviceControl;

	DriverObject->DriverUnload = daniel_DriverUnload;

	deviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	return status;

}

  

  

sources

TARGETNAME=Pspeek

TARGETPATH=obj

TARGETTYPE=DRIVER

SOURCES=Pspeek.cpp

  

mk.bat

set setenv_script=D:\WinDDK\7600.16385.1\bin\setenv.bat

set ddk_path=D:\WinDDK\7600.16385.1\

set config=chk

set platform=x86

set os=WXP

%setenv_script% %ddk_path% %config% %platform% %os% && H: && cd %cd% && build

  

2. 加载

ld.bat

sc stop Pspeek

sc delete Pspeek

copy /y "F:\pspeek.sys" "C:\WINDOWS\system32\pspeek.sys"

sc create Pspeek binPath= "C:\WINDOWS\system32\pspeek.sys" type= kernel start= auto error= ignore DisplayName= "Daniel Process Peek Driver"

sc start Pspeek

  

在Windows 7下,需要使用"管理员权限"才能执行上述脚本。

3. 枚举进程列表

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	DbgPrint("_EPROCESS: 0x%08x\n", eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	DbgPrint("Active Process List Node: [0x%08x, 0x%08x]\n", active_process_node.Blink, active_process_node.Flink);

	DbgPrint("VirtualSize: 0x%08x \n", *(ULONG*)((CHAR*)eprocess + 0xb0));

}

  

上面代码与WinDbg的验证一致,因此Windows下获取内核相关的数据与Linux并无太大差别。

void PProcess(char* eprocess)

{

	DbgPrint("%16s: 0x%08x\n", "_EPROCESS", eprocess);

	DbgPrint("%16s: %s\n", "ImageName", eprocess + 0x174);

	DbgPrint("\n");

}

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	_LIST_ENTRY* head = active_process_node.Flink;

	PProcess((char*)eprocess);

	for (_LIST_ENTRY* cur=head;

		cur->Flink != head;

		cur = cur->Flink)

	{

		PProcess((char*)cur - 0x88);

	}

}

  

  

Windows编写driver的更多相关文章

  1. 为不同版本的 Windows 编写驱动程序

    MSDN原文:https://msdn.microsoft.com/zh-cn/library/windows/hardware/ff554887(v=vs.85).aspx 创建驱动程序项目时,指定 ...

  2. Pywinauto在Windows Twain Driver自动化测试中的应用研究

    摘  要: 以Python为基础,结合对Twain Driver测试工具的具体需求,将Pywinauto引入到Twain Driver的自动化测试中.介绍了Pywinauto的基本概念,通过测试用例说 ...

  3. Windows编写bat执行文件

    1:建立TXT文件 Rem nping用来测试IP地址的连通性 Rem nping --tcp -p 80 --flags rst --ttl 2 192.168.1.1 date 2:重命名为bat ...

  4. Windows编写的shell脚本,在linux上无法执行

    前两天由于要查一个数据库的binlog日志,经常用命令写比较麻烦,想着写一个简单的脚本,自动去刷一下数据库的binlog日志,就直接在windows上面写了,然后拷贝到linux中去运行,其实很简单的 ...

  5. 解决Ubuntu下的Eclipse打开Windows编写的java代码的中文乱码

    其实所有的中文乱码 问题都是编码不同所导致的.这里要想让eclipse能正常显示出汉字,就要修改它的字符编码 步骤如下: 1 ,点击菜单栏中的Window(窗口),选择Preferences(首选项) ...

  6. windows编写sh脚本在linux上不能执行

    报错:/bin/sh^M:bad interpreter: 编码没有被识别, vi *.sh Esc 输入 :set fileformat 查看文件格式(显示  fileformat=dos) Esc ...

  7. 解决windows 10由于签名原因无法安装ADB driver 的问题

    ADB Driver Installer (Automatically) In Windows 8 (8.1) or 10 64-bit you are unable to install unsig ...

  8. 深入解析Windows操作系统笔记——CH2系统结构

    2.系统结构 本章主要介绍系统的总体结构,关键部件之间的交互,以及运行在什么环境. 2.系统结构 2.1 需求和设计目标 2.2 操作系统模型 2.3 总体结构 2.3.1 可移植性 2.3.2 对称 ...

  9. Windows操作系统

    Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是Microsoft-DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家 ...

随机推荐

  1. Zepto v1.0-1源码注解

    /* Zepto v1.0-1-ga3cab6c - polyfill zepto detect event ajax form fx - zeptojs.com/license */ ;(funct ...

  2. python读取ini文件时,特殊字符的读取

    前言: 使用python在读取配置文件时,由于配置文件中存在特殊字符,读取时出现了以下错误: configparser.InterpolationSyntaxError: '%' must be fo ...

  3. 自己实现一个类似 jQuery 的函数库

    假如我们有一个需求,需要给元素添加样式类,使用原生的JS很容易搞定. 1 抽取函数 function addClass(node, className){ node.classList.add(cla ...

  4. linux误用rm删除文件后恢复

    linux 系统:ubuntu16.04 误把/usr/local local文件删除了,要疯 步骤: 1.对于文件系统为ext3文件系统 sudo apt-get install ext3grep ...

  5. PHP中redis加锁和解锁的简单实现

    背景说明 在程序开发过程中,通常会遇到需要独占式的访问一些资源的情形,比如商品秒杀时扣减库存.这时就需要对资源加锁.实现锁的方式有很多,比如数据库锁.文件锁等等.本文简单介绍PHP中使用redis来实 ...

  6. ERROR in Template execution failed: ReferenceError: htmlwebpackPlugin is not defined

    ejs文件配置如下: <!DOCTYPE html> <html lang="zh-CN"> <head> <title>webpa ...

  7. mpvue中的 钩子函数

    经过多次脱坑实验总结如下, 1,页面的A第一次加载会调用mounted钩子函数,onshow, 2,当从a->b,b再返回到a时,a不会触发mounted,而是触发onshow, 3,如果a中存 ...

  8. psfstriptable - 从控制台字体中移走嵌入的Uniocde字符表

    总览 psfstriptable 字体文件 [输出文件] 描述 psfstriptable 命令从 字体文件 或者标准输入(此时的 字体文件 是单个破折号(-))读取一个可能含有嵌入Unicode字体 ...

  9. 265-Keystone II JESD204B 66AK2L06 评估模块 (现行) XEVMK2LX

    Keystone II JESD204B 66AK2L06 评估模块 (现行) XEVMK2LX 一. 板卡概述The XEVMK 2LX is a full-featured evaluation ...

  10. rabbit 独占队列

    std::string queue_name = "hello"; AmqpClient::Channel::ptr_t channel = AmqpClient::Channel ...