/***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.C

 *

 * Command:

 *    Source of IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 //#######################################################################################

 //# I N C L U D E S

 //#######################################################################################

 #ifndef CXX_ENUMIOTIMER_H

 #    include "EnumIoTimer.h"

 #endif

 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath)

 {

     DriverObject->DriverUnload = UnloadDriver;

     EnumIoTimer();

     return STATUS_SUCCESS;

 }

 BOOLEAN EnumIoTimer()

 {

     PLIST_ENTRY IoTimerQueueHead = ;

     PUCHAR IoInitializeTimer = ;

     KIRQL OldIrql;

     PUCHAR StartSearchAddress = NULL;

     PUCHAR EndSearchAddress = NULL;

     PUCHAR i = NULL;

     INT32 iOffset = ;

     UCHAR v1 = , v2 = , v3 = ;

     IoInitializeTimer = (PUCHAR)GetExportVariableAddressFormNtosExportTableByVariableName(L"IoInitializeTimer");

     if (IoInitializeTimer == NULL)

     {

         return FALSE;

     }

     StartSearchAddress = IoInitializeTimer;

     EndSearchAddress = StartSearchAddress + 0x500;

 #ifdef _WIN64

     for (i = StartSearchAddress;i<EndSearchAddress;i++)

     {

         if (MmIsAddressValid(i) && MmIsAddressValid(i + ) && MmIsAddressValid(i + ))

         {

             v1 = *i;

             v2 = *(i + );

             v3 = *(i + );

             if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d)

             {

                 memcpy(&iOffset, i + , );

                 IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + );

                 break;

             }

         }

     }

 #else

     for (i = StartSearchAddress; i < EndSearchAddress; i++)

     {

         v1 = *i;

         if (v1 == 0xb9)

         {

             IoTimerQueueHead = (PLIST_ENTRY)*(PULONG32)(i + );

             break;

         }

     }

 #endif

     if (IoTimerQueueHead == NULL)

     {

         return FALSE;

     }

     DbgPrint("获得了\r\n");

     OldIrql = KeRaiseIrqlToDpcLevel();

     if (IoTimerQueueHead && MmIsAddressValid((PVOID)IoTimerQueueHead))

     {

         PLIST_ENTRY NextEntry = IoTimerQueueHead->Flink;

         while (MmIsAddressValid(NextEntry) && NextEntry != (PLIST_ENTRY)IoTimerQueueHead)

         {

             PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList);

             if (Timer && MmIsAddressValid(Timer))

             {

                 DbgPrint("Timer 对象: %p\r\n", Timer);

             }

             NextEntry = NextEntry->Flink;

         }

     }

     KeLowerIrql(OldIrql);

     return TRUE;

 }

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject)

 {

     return;

 }

 PVOID

 GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName)

 {

     UNICODE_STRING uniVariableName;

     PVOID VariableAddress = NULL;

     if (wzVariableName && wcslen(wzVariableName) > )

     {

         RtlInitUnicodeString(&uniVariableName, wzVariableName);

         //从Ntos模块的导出表中获得一个导出变量的地址

         VariableAddress = MmGetSystemRoutineAddress(&uniVariableName);

     }

     return VariableAddress;

 }

代码

 /***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.H

 *

 * IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 #ifndef CXX_ENUMIOTIMER_H

 #define CXX_ENUMIOTIMER_H

 #include <ntifs.h>

 typedef struct _IO_TIMER_WIN7_X64

 {

     INT16        Type;

     INT16        TimerFlag;

     LONG32        Unknown;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 }IO_TIMER_WIN7_X64, *PIO_TIMER_WIN7_X64;

 typedef struct _IO_TIMER_WINXP_X86

 {

     INT16        Type;

     INT16        TimerFlag;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 } IO_TIMER_WINXP_X86, *PIO_TIMER_WINXP_X86;

 #ifdef _WIN64

 #define PIO_TIMER PIO_TIMER_WIN7_X64

 #define IO_TIMER  IO_TIMER_WIN7_X64

 #else

 #define PIO_TIMER PIO_TIMER_WINXP_X86

 #define IO_TIMER  IO_TIMER_WINXP_X86

 #endif

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject);

 BOOLEAN EnumIoTimer();

 PVOID GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName);

 #endif

代码

枚举IoTimer的更多相关文章

  1. 驱动开发:内核枚举IoTimer定时器

    今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...

  2. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  3. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  4. Swift enum(枚举)使用范例

    //: Playground - noun: a place where people can play import UIKit var str = "Hello, playground& ...

  5. 编写高质量代码:改善Java程序的151个建议(第6章:枚举和注解___建议88~92)

    建议88:用枚举实现工厂方法模式更简洁 工厂方法模式(Factory Method Pattern)是" 创建对象的接口,让子类决定实例化哪一个类,并使一个类的实例化延迟到其它子类" ...

  6. Objective-C枚举的几种定义方式与使用

    假设我们需要表示网络连接状态,可以用下列枚举表示: enum CSConnectionState { CSConnectionStateDisconnected, CSConnectionStateC ...

  7. Help Hanzo (素数筛+区间枚举)

    Help Hanzo 题意:求a~b间素数个数(1 ≤ a ≤ b < 231, b - a ≤ 100000).     (全题在文末) 题解: a~b枚举必定TLE,普通打表MLE,真是头疼 ...

  8. 枚举:enum

    枚举 所谓枚举就是指定好取值范围,所有内容只能从指定范围取得. 例如,想定义一个color类,他只能有RED,GREEN,BLUE三种植. 使用简单类完成颜色固定取值问题. 1,就是说,一个类只能完成 ...

  9. .NET 基础一步步一幕幕[方法、结构、枚举]

    方法.结构.枚举 方法: 将一堆代码进行重用的一种机制. 语法: [访问修饰符] 返回类型 <方法名>(参数列表){ 方法主体: } 返回值类型:如果不需要写返回值,写void 方法名:P ...

随机推荐

  1. Oracle中dual表的用途介绍

    导读]dual是一个虚拟表,用来构成select的语法规则,oracle保证dual里面永远只有一条记录.我们可以用它来做很多事情.     dual是一个虚拟表,用来构成select的语法规则,or ...

  2. linux中脚本的一些小知识的积累

    对于变量的问题: 对变量赋值,a="hello world",现在打印变量a的内容:echo $a. 对于${}的使用:如$aall,我们想要$a,这是,就可以${a}all了. ...

  3. Tomcat:IOException while loading persisted sessions: java.io.EOFException解决手记

    原文:http://blog.csdn.net/lifuxiangcaohui/article/details/37659905 一直用tomcat一段时间都正常无事,最近一次启动tomcat就发生以 ...

  4. Eclipse 设置文件的默认打开方式

    web开发中,我们在编辑JSP/xml的时候,会碰到一个非常郁闷的事,直接双击打开的JSP页面,当我们在编辑的时候会到处跳,这个我是深有体会,所以我们就用右击 open with,但是久而久之我们会感 ...

  5. D3.js 理解 Update、Enter、Exit

    Update.Enter.Exit 是 D3 中三个非常重要的概念,它处理的是当选择集和数据的数量关系不确定的情况. 一.什么是 Update.Enter.Exit svg.selectAll(&qu ...

  6. easyui 删除数据表格

    1 最直接的方法: 返回的数据格式               Object rows:Array[3] 0:Object 1:Object 2:Object length:3 __proto__:A ...

  7. CentOS Linux iptables 防火墙

    快速安装,配置,启动,检查 - 关闭 5002 - 5011 端口开放所有其它 yum install iptables iptables -F iptables -X iptables -Z ipt ...

  8. LTIB常用命令2

    LTIB 编译配置选项 根据说明文档,ltib 可以通过以下的命令配置: * <verbatim># ./ltib</verbatim>          安装后第一次运行,采 ...

  9. TCP 连接建立和断开,以及状态转换

    1. TCP报文结构 TCP是一种可靠.面向连接.全双工的传输层协议,其报文格式如下所示:      源端口.目的端口:16位长.标识出远端和本地的端口号.     顺序号:32位长.表明了发送的数据 ...

  10. idea14教程

    破解:http://blog.csdn.net/guofeng526/article/details/47043457 使用教程: http://www.phperz.com/article/15/0 ...