1. 编译

Pspeek.cpp

#include <ntddk.h>

#define DANIEL_LIST_PROCESS 0x8001

PDRIVER_OBJECT daniel_DriverObject;

PDEVICE_OBJECT daniel_DeviceObject;

NTSTATUS daniel_DispatchCreate(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	PIO_STACK_LOCATION stackLocation;

	PIO_SECURITY_CONTEXT securityContext;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	securityContext = stackLocation->Parameters.Create.SecurityContext;

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek daniel_DispatchCreate\n");

	DbgPrint("###############\n");

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

NTSTATUS KphDispatchDeviceControl(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status;

	PIO_STACK_LOCATION stackLocation;

	PVOID originalInput;

	ULONG inputLength;

	ULONG ioControlCode;

	KPROCESSOR_MODE accessMode;

	UCHAR capturedInput[16 * sizeof(ULONG_PTR)];

	PVOID capturedInputPointer;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	originalInput = stackLocation->Parameters.DeviceIoControl.Type3InputBuffer;

	inputLength = stackLocation->Parameters.DeviceIoControl.InputBufferLength;

	ioControlCode = stackLocation->Parameters.DeviceIoControl.IoControlCode;

	accessMode = Irp->RequestorMode;

	// Probe and capture the input buffer.

	if (accessMode != KernelMode)

	{

		__try

		{

			ProbeForRead(originalInput, inputLength, sizeof(UCHAR));

			memcpy(capturedInput, originalInput, inputLength);

		}

		__except (EXCEPTION_EXECUTE_HANDLER)

		{

			status = GetExceptionCode();

			goto ControlEnd;

		}

	}

	else

	{

		memcpy(capturedInput, originalInput, inputLength);

	}

	capturedInputPointer = capturedInput; // avoid casting below

	switch (ioControlCode)

	{

	case DANIEL_LIST_PROCESS:

		{

			status = STATUS_SUCCESS;

		}

		break;

	default:

		status = STATUS_INVALID_DEVICE_REQUEST;

		break;

	}

ControlEnd:

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

VOID daniel_DriverUnload(

	__in PDRIVER_OBJECT DriverObject

	)

{

	PAGED_CODE();

	IoDeleteDevice(daniel_DeviceObject);

}

extern "C" NTSTATUS DriverEntry(

	__in PDRIVER_OBJECT DriverObject,

	__in PUNICODE_STRING RegistryPath)

{

	NTSTATUS status;

	UNICODE_STRING deviceName;

	PDEVICE_OBJECT deviceObject;

	PAGED_CODE();

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek DriverEntry\n");

	DbgPrint("Current Pid: %d\n", PsGetCurrentProcessId());

	DbgPrint("###############\n");

	daniel_DriverObject = DriverObject;

	// Create the device.

	RtlInitUnicodeString(&deviceName, L"\\Device\\DanielPsPeekDriver");

	status = IoCreateDevice(

		DriverObject,

		0,

		&deviceName,

		FILE_DEVICE_UNKNOWN,

		FILE_DEVICE_SECURE_OPEN,

		FALSE,

		&deviceObject

		);

	if (!NT_SUCCESS(status))

		return status;

	daniel_DeviceObject = deviceObject;

	// Set up I/O.

	DriverObject->MajorFunction[IRP_MJ_CREATE] = daniel_DispatchCreate;

	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KphDispatchDeviceControl;

	DriverObject->DriverUnload = daniel_DriverUnload;

	deviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	return status;

}

  

  

sources

TARGETNAME=Pspeek

TARGETPATH=obj

TARGETTYPE=DRIVER

SOURCES=Pspeek.cpp

  

mk.bat

set setenv_script=D:\WinDDK\7600.16385.1\bin\setenv.bat

set ddk_path=D:\WinDDK\7600.16385.1\

set config=chk

set platform=x86

set os=WXP

%setenv_script% %ddk_path% %config% %platform% %os% && H: && cd %cd% && build

  

2. 加载

ld.bat

sc stop Pspeek

sc delete Pspeek

copy /y "F:\pspeek.sys" "C:\WINDOWS\system32\pspeek.sys"

sc create Pspeek binPath= "C:\WINDOWS\system32\pspeek.sys" type= kernel start= auto error= ignore DisplayName= "Daniel Process Peek Driver"

sc start Pspeek

  

在Windows 7下,需要使用"管理员权限"才能执行上述脚本。

3. 枚举进程列表

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	DbgPrint("_EPROCESS: 0x%08x\n", eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	DbgPrint("Active Process List Node: [0x%08x, 0x%08x]\n", active_process_node.Blink, active_process_node.Flink);

	DbgPrint("VirtualSize: 0x%08x \n", *(ULONG*)((CHAR*)eprocess + 0xb0));

}

  

上面代码与WinDbg的验证一致,因此Windows下获取内核相关的数据与Linux并无太大差别。

void PProcess(char* eprocess)

{

	DbgPrint("%16s: 0x%08x\n", "_EPROCESS", eprocess);

	DbgPrint("%16s: %s\n", "ImageName", eprocess + 0x174);

	DbgPrint("\n");

}

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	_LIST_ENTRY* head = active_process_node.Flink;

	PProcess((char*)eprocess);

	for (_LIST_ENTRY* cur=head;

		cur->Flink != head;

		cur = cur->Flink)

	{

		PProcess((char*)cur - 0x88);

	}

}

  

  

Windows编写driver的更多相关文章

  1. 为不同版本的 Windows 编写驱动程序

    MSDN原文:https://msdn.microsoft.com/zh-cn/library/windows/hardware/ff554887(v=vs.85).aspx 创建驱动程序项目时,指定 ...

  2. Pywinauto在Windows Twain Driver自动化测试中的应用研究

    摘  要: 以Python为基础,结合对Twain Driver测试工具的具体需求,将Pywinauto引入到Twain Driver的自动化测试中.介绍了Pywinauto的基本概念,通过测试用例说 ...

  3. Windows编写bat执行文件

    1:建立TXT文件 Rem nping用来测试IP地址的连通性 Rem nping --tcp -p 80 --flags rst --ttl 2 192.168.1.1 date 2:重命名为bat ...

  4. Windows编写的shell脚本,在linux上无法执行

    前两天由于要查一个数据库的binlog日志,经常用命令写比较麻烦,想着写一个简单的脚本,自动去刷一下数据库的binlog日志,就直接在windows上面写了,然后拷贝到linux中去运行,其实很简单的 ...

  5. 解决Ubuntu下的Eclipse打开Windows编写的java代码的中文乱码

    其实所有的中文乱码 问题都是编码不同所导致的.这里要想让eclipse能正常显示出汉字,就要修改它的字符编码 步骤如下: 1 ,点击菜单栏中的Window(窗口),选择Preferences(首选项) ...

  6. windows编写sh脚本在linux上不能执行

    报错:/bin/sh^M:bad interpreter: 编码没有被识别, vi *.sh Esc 输入 :set fileformat 查看文件格式(显示  fileformat=dos) Esc ...

  7. 解决windows 10由于签名原因无法安装ADB driver 的问题

    ADB Driver Installer (Automatically) In Windows 8 (8.1) or 10 64-bit you are unable to install unsig ...

  8. 深入解析Windows操作系统笔记——CH2系统结构

    2.系统结构 本章主要介绍系统的总体结构,关键部件之间的交互,以及运行在什么环境. 2.系统结构 2.1 需求和设计目标 2.2 操作系统模型 2.3 总体结构 2.3.1 可移植性 2.3.2 对称 ...

  9. Windows操作系统

    Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是Microsoft-DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家 ...

随机推荐

  1. 59-python基础-python3-集合-集合常用方法-判断一个集合是否是另一个集合的子集-issubset()-issuperset()

    判断一个集合是否是另一个集合的子集-issubset()-issuperset() 1-issubset() s1.issubset(s) 判断s1是否是s的子集 2-issuperset() 与is ...

  2. [Interview] Bubble sort using singly-linked list

    Question : Bubble sort using singly-linked list 群暉面試題 Idea :  在linked list 交換node與node時, 我們會想用換*next ...

  3. hdu1394 Minimum Inversion Number (线段树求逆序数&&思维)

    题目传送门 Minimum Inversion Number Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K ...

  4. MapReduce数据格式化------<一>

    引言: 我们知道:在MapReduce程序的Map阶段,需要有数据输入,而由于数据往往大小不规则,所以在数据输入Mapper之前,需要根据数据的特点和业务逻辑对数据进行格式化.这一步的格式化被称为:I ...

  5. C#设计模式:装饰者模式(Decorator Pattern)

    一,装饰者模式(Decorator Pattern):装饰模式指的是在不必改变原类文件和使用继承的情况下,动态地扩展一个对象的功能. 二,在以上代码中我们是中国人是根本行为,我们给中国人装饰我会说英语 ...

  6. Quartz实现数据库动态配置定时任务

    项目实战 或许实现的方式跟之前的代码有点不一样的 1.定时任务的配置信息 @Configuration public class ScheduleConfigration { @Autowired p ...

  7. JSON:结构化数据格式

    JSON是javascript的子类,也是作为更好的互联网传输结构化数据格式逐渐取代XML,因此要理解JSON,重要的是理解它是一种数据格式,不是一种编程语言. 语法 //javascript var ...

  8. vue 页面切换从右侧切入效果

    1.将切换的页面用transition包裹 <div class="index-content"> <transition> <router-view ...

  9. 20180329-layoutSubviews的调用机制

    如果你想强制更新布局,不要直接调用此方法,你可以调用setNeedsLayout方法,如果你想立即显示你的views,你需要调用layoutIfNeed方法 layoutSubviews作用: lay ...

  10. 关于springmvc 整合jackson报错问题

    spring mvc 在整合jackson中报错如下 Context initialization failed org.springframework.beans.factory.BeanCreat ...