/***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.C

 *

 * Command:

 *    Source of IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 //#######################################################################################

 //# I N C L U D E S

 //#######################################################################################

 #ifndef CXX_ENUMIOTIMER_H

 #    include "EnumIoTimer.h"

 #endif

 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath)

 {

     DriverObject->DriverUnload = UnloadDriver;

     EnumIoTimer();

     return STATUS_SUCCESS;

 }

 BOOLEAN EnumIoTimer()

 {

     PLIST_ENTRY IoTimerQueueHead = ;

     PUCHAR IoInitializeTimer = ;

     KIRQL OldIrql;

     PUCHAR StartSearchAddress = NULL;

     PUCHAR EndSearchAddress = NULL;

     PUCHAR i = NULL;

     INT32 iOffset = ;

     UCHAR v1 = , v2 = , v3 = ;

     IoInitializeTimer = (PUCHAR)GetExportVariableAddressFormNtosExportTableByVariableName(L"IoInitializeTimer");

     if (IoInitializeTimer == NULL)

     {

         return FALSE;

     }

     StartSearchAddress = IoInitializeTimer;

     EndSearchAddress = StartSearchAddress + 0x500;

 #ifdef _WIN64

     for (i = StartSearchAddress;i<EndSearchAddress;i++)

     {

         if (MmIsAddressValid(i) && MmIsAddressValid(i + ) && MmIsAddressValid(i + ))

         {

             v1 = *i;

             v2 = *(i + );

             v3 = *(i + );

             if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d)

             {

                 memcpy(&iOffset, i + , );

                 IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + );

                 break;

             }

         }

     }

 #else

     for (i = StartSearchAddress; i < EndSearchAddress; i++)

     {

         v1 = *i;

         if (v1 == 0xb9)

         {

             IoTimerQueueHead = (PLIST_ENTRY)*(PULONG32)(i + );

             break;

         }

     }

 #endif

     if (IoTimerQueueHead == NULL)

     {

         return FALSE;

     }

     DbgPrint("获得了\r\n");

     OldIrql = KeRaiseIrqlToDpcLevel();

     if (IoTimerQueueHead && MmIsAddressValid((PVOID)IoTimerQueueHead))

     {

         PLIST_ENTRY NextEntry = IoTimerQueueHead->Flink;

         while (MmIsAddressValid(NextEntry) && NextEntry != (PLIST_ENTRY)IoTimerQueueHead)

         {

             PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList);

             if (Timer && MmIsAddressValid(Timer))

             {

                 DbgPrint("Timer 对象: %p\r\n", Timer);

             }

             NextEntry = NextEntry->Flink;

         }

     }

     KeLowerIrql(OldIrql);

     return TRUE;

 }

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject)

 {

     return;

 }

 PVOID

 GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName)

 {

     UNICODE_STRING uniVariableName;

     PVOID VariableAddress = NULL;

     if (wzVariableName && wcslen(wzVariableName) > )

     {

         RtlInitUnicodeString(&uniVariableName, wzVariableName);

         //从Ntos模块的导出表中获得一个导出变量的地址

         VariableAddress = MmGetSystemRoutineAddress(&uniVariableName);

     }

     return VariableAddress;

 }

代码

 /***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.H

 *

 * IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 #ifndef CXX_ENUMIOTIMER_H

 #define CXX_ENUMIOTIMER_H

 #include <ntifs.h>

 typedef struct _IO_TIMER_WIN7_X64

 {

     INT16        Type;

     INT16        TimerFlag;

     LONG32        Unknown;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 }IO_TIMER_WIN7_X64, *PIO_TIMER_WIN7_X64;

 typedef struct _IO_TIMER_WINXP_X86

 {

     INT16        Type;

     INT16        TimerFlag;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 } IO_TIMER_WINXP_X86, *PIO_TIMER_WINXP_X86;

 #ifdef _WIN64

 #define PIO_TIMER PIO_TIMER_WIN7_X64

 #define IO_TIMER  IO_TIMER_WIN7_X64

 #else

 #define PIO_TIMER PIO_TIMER_WINXP_X86

 #define IO_TIMER  IO_TIMER_WINXP_X86

 #endif

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject);

 BOOLEAN EnumIoTimer();

 PVOID GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName);

 #endif

代码

枚举IoTimer的更多相关文章

  1. 驱动开发:内核枚举IoTimer定时器

    今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...

  2. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  3. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  4. Swift enum(枚举)使用范例

    //: Playground - noun: a place where people can play import UIKit var str = "Hello, playground& ...

  5. 编写高质量代码:改善Java程序的151个建议(第6章:枚举和注解___建议88~92)

    建议88:用枚举实现工厂方法模式更简洁 工厂方法模式(Factory Method Pattern)是" 创建对象的接口,让子类决定实例化哪一个类,并使一个类的实例化延迟到其它子类" ...

  6. Objective-C枚举的几种定义方式与使用

    假设我们需要表示网络连接状态,可以用下列枚举表示: enum CSConnectionState { CSConnectionStateDisconnected, CSConnectionStateC ...

  7. Help Hanzo (素数筛+区间枚举)

    Help Hanzo 题意:求a~b间素数个数(1 ≤ a ≤ b < 231, b - a ≤ 100000).     (全题在文末) 题解: a~b枚举必定TLE,普通打表MLE,真是头疼 ...

  8. 枚举:enum

    枚举 所谓枚举就是指定好取值范围,所有内容只能从指定范围取得. 例如,想定义一个color类,他只能有RED,GREEN,BLUE三种植. 使用简单类完成颜色固定取值问题. 1,就是说,一个类只能完成 ...

  9. .NET 基础一步步一幕幕[方法、结构、枚举]

    方法.结构.枚举 方法: 将一堆代码进行重用的一种机制. 语法: [访问修饰符] 返回类型 <方法名>(参数列表){ 方法主体: } 返回值类型:如果不需要写返回值,写void 方法名:P ...

随机推荐

  1. Web浏览器的缓存机制

    Web缓存的工作原理 所有的缓存都是基于一套规则来帮助他们决定什么时候使用缓存中的副本提供服务(假设有副本可用的情况下,未被销毁回收或者未被删除修改).这些规则有的在协议中有定义(如HTTP协议1.0 ...

  2. HDU5886 Tower Defence 【两遍树形dp】【最长链预处理】

    题意:N个点的一棵带权树.切掉某条边的价值为切后两树直径中的最大值.求各个边切掉后的价值和(共N-1项). 解法一: 强行两遍dp,思路繁琐,维护东西较多: dis表示以i为根的子树的直径,dis2表 ...

  3. linux下的挂载点和分区是什么关系

    Linux 使用字母和数字的组合来指代磁盘分区.这可能有些使人迷惑不解,特别是如果你以前使用“C 驱动器”这种方法来指代硬盘及它们的分区.在 DOS/Windows 的世界里,分区是用下列方法命名的: ...

  4. UIButton的状态

    normal(普通状态) 默认情况(Default) 对应的枚举常量:UIControlStateNormal highlighted(高亮状态)按钮被按下去的时候(手指还未松开)对应的枚举常量:UI ...

  5. 使用SurfaceView

    一.新建一个工程“LearnSurfaceView” 二.新建一个类“MySurfaceView” public class MySurfaceView extends SurfaceView imp ...

  6. Android控件之RadioGroup与RadioButton(单选控件)

    一.RadioGroup与RadioButton 1.什么是RadioGroup: RadioButton的一个集合,提供多选机制 2.什么是RadioButton: RadioButton包裹在Ra ...

  7. 《云中歌》孟石头泡妞大法独家放送,单身汪get起来!!

    谁说古代文人雅士只会诗词歌赋.琴棋书画?作为“玉中之王”的公子哥——孟石头泡妞可是个中高手,总结起来都能出一本“泡妞宝典”了,单身的乃们还不赶紧学起来! 第一步:假装自来熟相识,马上开启约会模式 看到 ...

  8. worker中加载本地文件报错的解决方案

    如果在一个swf的主线程中加载文件时,报安全沙箱的错误, 网上有诸多的解决方案.但是如果在一个worker中加载本地文件报类似如下的错误: *** 安全沙箱冲突 *** SecurityError: ...

  9. jmeter笔记5

    性能测试是任何分布式或Web应用程序测试计划的重要组成部分.在计划和开发周期中进行性能评价,可以保证交付给客户的应用程序满足客户对于高负载.可用性和可伸缩性的要求.提前确定软件的负载限制可以为适当地进 ...

  10. 丢失Ref Edit Control的解决方法

    2010版本excel编制的带有控件的VBA,换在别的电脑使用有可能会出现“找不到工程或库”的错误,在VBE编辑器,打开工具——引用,可以看到“丢失 Ref Edit Control”解决方法是,先把 ...