/***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.C

 *

 * Command:

 *    Source of IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 //#######################################################################################

 //# I N C L U D E S

 //#######################################################################################

 #ifndef CXX_ENUMIOTIMER_H

 #    include "EnumIoTimer.h"

 #endif

 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath)

 {

     DriverObject->DriverUnload = UnloadDriver;

     EnumIoTimer();

     return STATUS_SUCCESS;

 }

 BOOLEAN EnumIoTimer()

 {

     PLIST_ENTRY IoTimerQueueHead = ;

     PUCHAR IoInitializeTimer = ;

     KIRQL OldIrql;

     PUCHAR StartSearchAddress = NULL;

     PUCHAR EndSearchAddress = NULL;

     PUCHAR i = NULL;

     INT32 iOffset = ;

     UCHAR v1 = , v2 = , v3 = ;

     IoInitializeTimer = (PUCHAR)GetExportVariableAddressFormNtosExportTableByVariableName(L"IoInitializeTimer");

     if (IoInitializeTimer == NULL)

     {

         return FALSE;

     }

     StartSearchAddress = IoInitializeTimer;

     EndSearchAddress = StartSearchAddress + 0x500;

 #ifdef _WIN64

     for (i = StartSearchAddress;i<EndSearchAddress;i++)

     {

         if (MmIsAddressValid(i) && MmIsAddressValid(i + ) && MmIsAddressValid(i + ))

         {

             v1 = *i;

             v2 = *(i + );

             v3 = *(i + );

             if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d)

             {

                 memcpy(&iOffset, i + , );

                 IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + );

                 break;

             }

         }

     }

 #else

     for (i = StartSearchAddress; i < EndSearchAddress; i++)

     {

         v1 = *i;

         if (v1 == 0xb9)

         {

             IoTimerQueueHead = (PLIST_ENTRY)*(PULONG32)(i + );

             break;

         }

     }

 #endif

     if (IoTimerQueueHead == NULL)

     {

         return FALSE;

     }

     DbgPrint("获得了\r\n");

     OldIrql = KeRaiseIrqlToDpcLevel();

     if (IoTimerQueueHead && MmIsAddressValid((PVOID)IoTimerQueueHead))

     {

         PLIST_ENTRY NextEntry = IoTimerQueueHead->Flink;

         while (MmIsAddressValid(NextEntry) && NextEntry != (PLIST_ENTRY)IoTimerQueueHead)

         {

             PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList);

             if (Timer && MmIsAddressValid(Timer))

             {

                 DbgPrint("Timer 对象: %p\r\n", Timer);

             }

             NextEntry = NextEntry->Flink;

         }

     }

     KeLowerIrql(OldIrql);

     return TRUE;

 }

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject)

 {

     return;

 }

 PVOID

 GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName)

 {

     UNICODE_STRING uniVariableName;

     PVOID VariableAddress = NULL;

     if (wzVariableName && wcslen(wzVariableName) > )

     {

         RtlInitUnicodeString(&uniVariableName, wzVariableName);

         //从Ntos模块的导出表中获得一个导出变量的地址

         VariableAddress = MmGetSystemRoutineAddress(&uniVariableName);

     }

     return VariableAddress;

 }

代码

 /***************************************************************************************

 * AUTHOR : yifi

 * DATE   : 2015-11-5

 * MODULE : EnumIoTimer.H

 *

 * IOCTRL Sample Driver

 *

 * Description:

 *        Demonstrates communications between USER and KERNEL.

 *

 ****************************************************************************************

 * Copyright (C) 2010 yifi.

 ****************************************************************************************/

 #ifndef CXX_ENUMIOTIMER_H

 #define CXX_ENUMIOTIMER_H

 #include <ntifs.h>

 typedef struct _IO_TIMER_WIN7_X64

 {

     INT16        Type;

     INT16        TimerFlag;

     LONG32        Unknown;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 }IO_TIMER_WIN7_X64, *PIO_TIMER_WIN7_X64;

 typedef struct _IO_TIMER_WINXP_X86

 {

     INT16        Type;

     INT16        TimerFlag;

     LIST_ENTRY    TimerList;

     PVOID        TimerRoutine;

     PVOID        Context;

     PVOID        DeviceObject;

 } IO_TIMER_WINXP_X86, *PIO_TIMER_WINXP_X86;

 #ifdef _WIN64

 #define PIO_TIMER PIO_TIMER_WIN7_X64

 #define IO_TIMER  IO_TIMER_WIN7_X64

 #else

 #define PIO_TIMER PIO_TIMER_WINXP_X86

 #define IO_TIMER  IO_TIMER_WINXP_X86

 #endif

 VOID UnloadDriver(PDRIVER_OBJECT DriverObject);

 BOOLEAN EnumIoTimer();

 PVOID GetExportVariableAddressFormNtosExportTableByVariableName(WCHAR *wzVariableName);

 #endif

代码

枚举IoTimer的更多相关文章

  1. 驱动开发:内核枚举IoTimer定时器

    今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...

  2. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  3. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  4. Swift enum(枚举)使用范例

    //: Playground - noun: a place where people can play import UIKit var str = "Hello, playground& ...

  5. 编写高质量代码:改善Java程序的151个建议(第6章:枚举和注解___建议88~92)

    建议88:用枚举实现工厂方法模式更简洁 工厂方法模式(Factory Method Pattern)是" 创建对象的接口,让子类决定实例化哪一个类,并使一个类的实例化延迟到其它子类" ...

  6. Objective-C枚举的几种定义方式与使用

    假设我们需要表示网络连接状态,可以用下列枚举表示: enum CSConnectionState { CSConnectionStateDisconnected, CSConnectionStateC ...

  7. Help Hanzo (素数筛+区间枚举)

    Help Hanzo 题意:求a~b间素数个数(1 ≤ a ≤ b < 231, b - a ≤ 100000).     (全题在文末) 题解: a~b枚举必定TLE,普通打表MLE,真是头疼 ...

  8. 枚举:enum

    枚举 所谓枚举就是指定好取值范围,所有内容只能从指定范围取得. 例如,想定义一个color类,他只能有RED,GREEN,BLUE三种植. 使用简单类完成颜色固定取值问题. 1,就是说,一个类只能完成 ...

  9. .NET 基础一步步一幕幕[方法、结构、枚举]

    方法.结构.枚举 方法: 将一堆代码进行重用的一种机制. 语法: [访问修饰符] 返回类型 <方法名>(参数列表){ 方法主体: } 返回值类型:如果不需要写返回值,写void 方法名:P ...

随机推荐

  1. 缓存技术之——Yii2性能优化之:缓存依赖

    Yii中的缓存依赖,简单来说就是将缓存和另外一个东西绑定在一起,如果另外一个东西发生变化,那么缓存也将发生变化.有点儿类似于JS中的触发事件(但是也不那么像),缓存的变动是依赖的东西所导致的. 依赖可 ...

  2. 堆内存指针的管理类(禁,引数(指针copy),值copy,移)

    //copyp template<typename T> class pm_copyP{ public: pm_copyP(T* _p); pm_copyP(const pm_copyP& ...

  3. Java中正则Matcher类的matches()、lookAt()和find()的区别<转>

    在Matcher类中有matches.lookingAt和find都是匹配目标的方法,但容易混淆,整理它们的区别如下: matches:整个匹配,只有整个字符序列完全匹配成功,才返回True,否则返回 ...

  4. 【转】《深入理解计算机系统》C程序中常见的内存操作有关的典型编程错误

    原文地址:http://blog.csdn.net/slvher/article/details/9150597 对C/C++程序员来说,内存管理是个不小的挑战,绝对值得慎之又慎,否则让由上万行代码构 ...

  5. 09 redo and undo

    本章提要-----------------------------------------------redo, undo 定义redo, undo 如何工作如何访问 redo, undo提交和回滚- ...

  6. VisualSVN官网

    VisualSVN是一款图形化svn服务器. http://www.visualsvn.com/

  7. uva 11800 Determine the Shape

    vjudge上题目链接:Determine the Shape 第二道独自 A 出的计算几何水题,题意就是给你四个点,让你判断它是哪种四边形:正方形.矩形.菱形.平行四边形.梯形 or 普通四边形. ...

  8. jQuery中对属性的增删改查

    获取元素的属性 $('input').attr('type') .attr()  可以获取和设置自定义属性 .prop()  只能获取和设置固有属性 在设置属性值时 建议不要修改type属性,有的浏览 ...

  9. 各种U启网启什么的都是浮云

    对于支持BIOS的电脑,优盘启动,网络启动的各种方案感觉都是浮云,从硬盘启动PE进行维护才是最可靠的.不点在开发wee的过程中给了我们很多维护的灵感,不用费劲地折腾fbinst/U+/量产/PXE/I ...

  10. VB6 GDI+ 入门教程[8] Bitmap魔法(1):创建

    http://vistaswx.com/blog/article/category/tutorial/page/2 VB6 GDI+ 入门教程[8] Bitmap魔法(1):创建 2009 年 9 月 ...