1. 编译

Pspeek.cpp

#include <ntddk.h>

#define DANIEL_LIST_PROCESS 0x8001

PDRIVER_OBJECT daniel_DriverObject;

PDEVICE_OBJECT daniel_DeviceObject;

NTSTATUS daniel_DispatchCreate(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	PIO_STACK_LOCATION stackLocation;

	PIO_SECURITY_CONTEXT securityContext;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	securityContext = stackLocation->Parameters.Create.SecurityContext;

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek daniel_DispatchCreate\n");

	DbgPrint("###############\n");

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

NTSTATUS KphDispatchDeviceControl(

	__in PDEVICE_OBJECT DeviceObject,

	__in PIRP Irp

	)

{

	NTSTATUS status;

	PIO_STACK_LOCATION stackLocation;

	PVOID originalInput;

	ULONG inputLength;

	ULONG ioControlCode;

	KPROCESSOR_MODE accessMode;

	UCHAR capturedInput[16 * sizeof(ULONG_PTR)];

	PVOID capturedInputPointer;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);

	originalInput = stackLocation->Parameters.DeviceIoControl.Type3InputBuffer;

	inputLength = stackLocation->Parameters.DeviceIoControl.InputBufferLength;

	ioControlCode = stackLocation->Parameters.DeviceIoControl.IoControlCode;

	accessMode = Irp->RequestorMode;

	// Probe and capture the input buffer.

	if (accessMode != KernelMode)

	{

		__try

		{

			ProbeForRead(originalInput, inputLength, sizeof(UCHAR));

			memcpy(capturedInput, originalInput, inputLength);

		}

		__except (EXCEPTION_EXECUTE_HANDLER)

		{

			status = GetExceptionCode();

			goto ControlEnd;

		}

	}

	else

	{

		memcpy(capturedInput, originalInput, inputLength);

	}

	capturedInputPointer = capturedInput; // avoid casting below

	switch (ioControlCode)

	{

	case DANIEL_LIST_PROCESS:

		{

			status = STATUS_SUCCESS;

		}

		break;

	default:

		status = STATUS_INVALID_DEVICE_REQUEST;

		break;

	}

ControlEnd:

	Irp->IoStatus.Status = status;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;

}

VOID daniel_DriverUnload(

	__in PDRIVER_OBJECT DriverObject

	)

{

	PAGED_CODE();

	IoDeleteDevice(daniel_DeviceObject);

}

extern "C" NTSTATUS DriverEntry(

	__in PDRIVER_OBJECT DriverObject,

	__in PUNICODE_STRING RegistryPath)

{

	NTSTATUS status;

	UNICODE_STRING deviceName;

	PDEVICE_OBJECT deviceObject;

	PAGED_CODE();

	DbgPrint("###############\n");

	DbgPrint("Daniel PsPeek DriverEntry\n");

	DbgPrint("Current Pid: %d\n", PsGetCurrentProcessId());

	DbgPrint("###############\n");

	daniel_DriverObject = DriverObject;

	// Create the device.

	RtlInitUnicodeString(&deviceName, L"\\Device\\DanielPsPeekDriver");

	status = IoCreateDevice(

		DriverObject,

		0,

		&deviceName,

		FILE_DEVICE_UNKNOWN,

		FILE_DEVICE_SECURE_OPEN,

		FALSE,

		&deviceObject

		);

	if (!NT_SUCCESS(status))

		return status;

	daniel_DeviceObject = deviceObject;

	// Set up I/O.

	DriverObject->MajorFunction[IRP_MJ_CREATE] = daniel_DispatchCreate;

	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KphDispatchDeviceControl;

	DriverObject->DriverUnload = daniel_DriverUnload;

	deviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	return status;

}

  

  

sources

TARGETNAME=Pspeek

TARGETPATH=obj

TARGETTYPE=DRIVER

SOURCES=Pspeek.cpp

  

mk.bat

set setenv_script=D:\WinDDK\7600.16385.1\bin\setenv.bat

set ddk_path=D:\WinDDK\7600.16385.1\

set config=chk

set platform=x86

set os=WXP

%setenv_script% %ddk_path% %config% %platform% %os% && H: && cd %cd% && build

  

2. 加载

ld.bat

sc stop Pspeek

sc delete Pspeek

copy /y "F:\pspeek.sys" "C:\WINDOWS\system32\pspeek.sys"

sc create Pspeek binPath= "C:\WINDOWS\system32\pspeek.sys" type= kernel start= auto error= ignore DisplayName= "Daniel Process Peek Driver"

sc start Pspeek

  

在Windows 7下,需要使用"管理员权限"才能执行上述脚本。

3. 枚举进程列表

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	DbgPrint("_EPROCESS: 0x%08x\n", eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	DbgPrint("Active Process List Node: [0x%08x, 0x%08x]\n", active_process_node.Blink, active_process_node.Flink);

	DbgPrint("VirtualSize: 0x%08x \n", *(ULONG*)((CHAR*)eprocess + 0xb0));

}

  

上面代码与WinDbg的验证一致,因此Windows下获取内核相关的数据与Linux并无太大差别。

void PProcess(char* eprocess)

{

	DbgPrint("%16s: 0x%08x\n", "_EPROCESS", eprocess);

	DbgPrint("%16s: %s\n", "ImageName", eprocess + 0x174);

	DbgPrint("\n");

}

void GatherProcessListByEPROCESS()

{

	HANDLE pid = PsGetCurrentProcessId();

	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;

	PsLookupProcessByProcessId(pid, &eprocess);

	_LIST_ENTRY active_process_node = {0,0};

	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	_LIST_ENTRY* head = active_process_node.Flink;

	PProcess((char*)eprocess);

	for (_LIST_ENTRY* cur=head;

		cur->Flink != head;

		cur = cur->Flink)

	{

		PProcess((char*)cur - 0x88);

	}

}

  

  

Windows编写driver的更多相关文章

  1. 为不同版本的 Windows 编写驱动程序

    MSDN原文:https://msdn.microsoft.com/zh-cn/library/windows/hardware/ff554887(v=vs.85).aspx 创建驱动程序项目时,指定 ...

  2. Pywinauto在Windows Twain Driver自动化测试中的应用研究

    摘  要: 以Python为基础,结合对Twain Driver测试工具的具体需求,将Pywinauto引入到Twain Driver的自动化测试中.介绍了Pywinauto的基本概念,通过测试用例说 ...

  3. Windows编写bat执行文件

    1:建立TXT文件 Rem nping用来测试IP地址的连通性 Rem nping --tcp -p 80 --flags rst --ttl 2 192.168.1.1 date 2:重命名为bat ...

  4. Windows编写的shell脚本,在linux上无法执行

    前两天由于要查一个数据库的binlog日志,经常用命令写比较麻烦,想着写一个简单的脚本,自动去刷一下数据库的binlog日志,就直接在windows上面写了,然后拷贝到linux中去运行,其实很简单的 ...

  5. 解决Ubuntu下的Eclipse打开Windows编写的java代码的中文乱码

    其实所有的中文乱码 问题都是编码不同所导致的.这里要想让eclipse能正常显示出汉字,就要修改它的字符编码 步骤如下: 1 ,点击菜单栏中的Window(窗口),选择Preferences(首选项) ...

  6. windows编写sh脚本在linux上不能执行

    报错:/bin/sh^M:bad interpreter: 编码没有被识别, vi *.sh Esc 输入 :set fileformat 查看文件格式(显示  fileformat=dos) Esc ...

  7. 解决windows 10由于签名原因无法安装ADB driver 的问题

    ADB Driver Installer (Automatically) In Windows 8 (8.1) or 10 64-bit you are unable to install unsig ...

  8. 深入解析Windows操作系统笔记——CH2系统结构

    2.系统结构 本章主要介绍系统的总体结构,关键部件之间的交互,以及运行在什么环境. 2.系统结构 2.1 需求和设计目标 2.2 操作系统模型 2.3 总体结构 2.3.1 可移植性 2.3.2 对称 ...

  9. Windows操作系统

    Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是Microsoft-DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家 ...

随机推荐

  1. Java-多线程第一篇多线程相关认识(1)

    1.单线程进程 如果程序执行某行代码时遇到了阻塞,则程序将会停滞在该处. 2.进程代表着一个程序,程序是静态的,进程是动态的程序. 进程是系统进行资源分配和调度的一个独立单位.关于进程有如下3个特征: ...

  2. luogu P3657 (NOIP2017) 跳房子(二分+DP+单调队列)

    题面 传送门 分析 显然答案有单调性,可以二分答案,设当前二分值为g,根据题意我们可以求出跳跃长度的范围[l,r] 考虑DP 子状态: dp[i]表示跳到第i个点时的最大和 状态转移方程 \(dp[i ...

  3. 4、、多变量线性回归(Linear Regression with Multiple Variables)

    4.1 多维特征 目前为止,我们探讨了单变量/特征的回归模型,现在我们对房价模型增加更多的特征,例如房间数楼层等,构成一个含有多个变量的模型,模型中的特征为(x1,x2,...xn) 增添更多特征后, ...

  4. [fw]linux 下如何查看和踢除正在登陆的其它用户

    linux 下如何查看和踢除正在登陆的其它用户 Posted on 2011/09/01   如何在linux下查看当前登录的用户,并且踢掉你认为应该踢掉的用户?请使用who这个命令来查看当前正在登录 ...

  5. P3515 [POI2011]Lightning Conductor(决策单调性分治)

    P3515 [POI2011]Lightning Conductor 式子可转化为:$p>=a_j-a_i+sqrt(i-j) (j<i)$ $j>i$的情况,把上式翻转即可得到 下 ...

  6. DMA的认识

    DMA的简单了解与认识 DMA就是为了减轻CPU的负担来设置的存储方式.当从外设取到的数据就不需要经过内核操作,而是通过DMA直接把外设的数据放到内存SRAM中,这样就会减少CPU的负担,让CPU在此 ...

  7. upx压缩notepad.exe(运行时压缩)

    PEView:https://www.lanzous.com/i5k9vbg UPX:https://www.lanzous.com/i5k9vch notepad.exe:https://www.l ...

  8. vue-loader was used without the corresponding plugin. Make sure to include VueLoaderPlugin

    场景: . webpack2.4.*集成vue-loader@15.7.2报错 原因: 参考官方文档 https://vue-loader.vuejs.org/migrating.html#a-plu ...

  9. elasticsearch 基础 —— _mget取回多个文档及_bulk批量操作

    取回多个文档 Elasticsearch 的速度已经很快了,但甚至能更快. 将多个请求合并成一个,避免单独处理每个请求花费的网络延时和开销. 如果你需要从 Elasticsearch 检索很多文档,那 ...

  10. 【记录】ajax 设置请求header的Content-Type 为 application/json;charset=utf8

    具体案例如下 $.ajax({ url: context.state.IpccSendIm, method: 'POST', data: JSON.stringify(val), headers:{' ...