在进行Windows的ring0层开发时,必不可免的要与 ring3 层进行交互。进行数据间的相互传输。可用的方法有DeviceIoCntrol,ReadFile。我平常都是用的DeviceIoControl在ring3 与 ring0 层进行的数据传输。今天就写写DeviceIoControl 和 ring0通过事件通知 ring3!

首先加载驱动之后,在ring3层调用CreateFile() 打开ring0层生成的LinkName,获得设备对象的句柄。然后调用DeviceIoControl(),由Io Mannger 构建IRP包下发

BOOL WINAPI DeviceIoControl(
__in HANDLE hDevice,      //设备对象的句柄
__in DWORD dwIoControlCode,    //IO控制码
__in_opt LPVOID lpInBuffer,     //由ring3下发到ring0的缓冲区
__in DWORD nInBufferSize,     //缓冲区大小
__out_opt LPVOID lpOutBuffer,   //由ring3下发ring0用来返回数据的缓冲区
__in DWORD nOutBufferSize,      //输出缓冲区大小
__out_opt LPDWORD lpBytesReturned,     //   传输的数据大小
__inout_opt LPOVERLAPPED lpOverlapped     //重叠结构,同步/异步
);

首先ring3与ring0的交互有三种方法,

METHOD_BUFFERED:缓冲区模式

SystemBuffer  : 由 系统在ring3 和 ring0之间进行数据的拷贝

          在ring0层,DriverObject->MajorFunction[IRP_MJ_DEVICEIOCONTROL] 中设置的例程中:

 PIO_STACK_LOCATION   IrpSp;

 IrpSp = IoGetCurrentIrpStackLocation(Irp);    //获得Irp堆栈

 InputBuffer = Irp->AssociatedIrp.SystemBuffer;   //InputBuffer , 由IoManager复制

 OutputBuffer = Irp->AssociatedIrp.SystemBuffer;  //由Iomanager 复制

 InputSize = IrpSp->Parameters.DeviceIoControl.InputBufferLength;

 OutputSize = IrpS->Parameters.DeviceIoControl.OutputBufferLength;

  在完成Io处理以后,对于Irp->IoStatus.Information = OutputSize;   //告知IoManager 要返回复制的内存大小

METHOD_IN_DIRECT与METHOD_OUT_DIRECT  直接内存模式

Dricet in/out   :用MDL锁定物理页,在ring3,ring0之间直接读写,一般使用METHOD_IN_DIRECT

与缓冲模式相同,用户提供的输入缓冲区的内容被复制到IRP中的pIrp->AssociatedIrp.SystemBuffer内存地址,复制的长度是DeviceIoControl指定的输入字节数。

直接内存模式中,操作系统会将DeviceIoControl指定的输出缓冲区的物理页锁定,然后在内核模式地址下重新映射一段地址。适合大量数据的交流,而且相对于METHOD_NEITHER更安全。

 #define CTL_CODE( DeviceType, Function, Method, Access ) (                 \

     ((DeviceType) << ) | ((Access) << ) | ((Function) << ) | (Method) )

 #define CTL_MDL \

     CTL_CODE(FILE_DEVICE_UNKNOWN,0x830,METHOD_IN_DIRECT,FILE_ANY_ACCESS)

在DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]的例程中获取InputBuffer和OutBuffer

 InputBuffer = Irp->AssociatedIrp.SystemBuffer;

 OutputBuffer = MmGetSystemAddressForMdlSafe(Irp->MdlAddress,NormalPagePriority);

 InputSize = pIrp->Parameters.DeviceIoControl.InputBufferLength;

 OutputSize = pIrp->Parameters.DeviceIoControl.OutputBufferLength;

 ulIoContorlCode = pIrp->Parameters.DeviceIoControl.IoControlCode;

完成处理之后

     Irp->IoStatus.Status = STATUS_SUCCESS;

     Irp->IoStatus.Information = OutputSize;

     IoCompleteRequest(Irp,IO_NO_INCREMENT);

               METHOD_NEITHER :Neither模式

UserBuffer    : 什么都不是的方法,lpInBuffer 由IoManager 进行拷贝传输,OutBuffer直接访问用户地址空间,较危险,线程切换可能会影响UserBuffer。例如,在我们的进程A中下发的Io控制码,OutBuffer的地址在进程A中比如是0x0018ff44,此时在ring0层中通过 OutBuffer = Irp->UserBuffer得到的地址也是0x0018ff44。而ring0层的地址空间是整个系统公有的。如果在ring0层访问OutBuffer时,此时恰好CPU的用户空间切换到进程B,而ring0依然去读写0x0018ff44的地址的时候,很有可能会崩溃。因为在此时的0x0018ff44是属于进程B的地址空间,而我们不知道这个地址空间是否映射了物理页,如果没有,则会崩溃。

#define CTL_CODE( DeviceType, Function, Method, Access ) (                 \

    ((DeviceType) << ) | ((Access) << ) | ((Function) << ) | (Method) )

#define CTL_MDL \

    CTL_CODE(FILE_DEVICE_UNKNOWN,0x830,METHOD_NEITHER,FILE_ANY_ACCESS)
 PIO_STACK_LOCATION  IrpSp;

 IrpSp = IoGetCurrentIrpStackLocation(Irp);

 pvInputBuffer = IrpSp->Parameters.DeviceIoControl.Type3InputBuffer;

 pvOutputBuffer = Irp->UserBuffer;    //UserBuffer

 ulOutputLen    = IrpSp->Parameters.DeviceIoControl.OutputBufferLength;

 ProbeForWrite(pvOutputBuffer,ulOutputLen,sizeof(CHAR));    //对用户地址空间进行读写操作,判断是否可写  ProbeForRead()  只能针对用户地址空间

 ulIoControlCode = IrpSp->Parameters.DeviceIoControl.IoControlCode;

上面写了DeviceIoControl()的几种模式,接下来总结下ring0通过事件通知ring3。比如说,ring0的一个监控程序,指定的事件发生时通知ring3的应用程序,这个时候就要用到事件通知了。利用命名事件来进行通知,而命名事件的创立也有两种途径,一种是在ring0创建事件,在ring3获得事件句柄,等待事件。另一种就是ring3创建事件,由ring0获得事件句柄。

先写第一种在ring0创建事件,由ring3等待。

命名事件的名字一定是在\\BaseNamedObjects\\的目录下,用 WinObj 在指定目录下就可以看到创建的命名事件

#define EVENT_NAME   L"\\BaseNamedObjects\\NotifyEvent"
 PKEVENT EventObject = NULL;

 HANDLE hEvent = NULL;

 UNICODE_STRING  uniEventName;

 RtlInitUnicodeString(&uniEventName,EVENT_NAME);

 EventObject = IoCreateNotificationEvent(&uniEventName,&hEvent);   //创建命名事件,初始态为Signaled State 
 KeClearEvent(EventObject);      //变成Unsignaled State
 

WDK 对于IoCreateNotificationEvent() 的说明

PKEVENT     //指向事件内核对象

  IoCreateNotificationEvent(

    IN PUNICODE_STRING  EventName,     //事件名称

    OUT PHANDLE  EventHandle      //事件句柄

    );

在ring3层调用OpenEvent() 函数对事件进行打开,MSDN对OpenEvent()说明如下

HANDLE WINAPI OpenEvent(

  __in  DWORD dwDesiredAccess,

  __in  BOOL bInheritHandle,

  __in  LPCTSTR lpName

);

自己把英文文档翻译一下:

dwDesiredAccess:说明访问方式,如果是对象的安全属性不允许的访问方式就会失败。

          DELETE (0x00010000L)       需要删除对象

          READ_CONTROL (0x00020000L)

          SYNCHRONIZE (0x00100000L)     同步访问事件对象,允许线程等待事件对象成为Signaled State

          WRITE_DAC (0x00040000L)

          WRITE_OWNER (0x00080000L)

lpName:命名事件的名称   这里就是"Global\\NotifyEvent"     命名事件属于整个系统

HEVENT hEvent = OpenEvent(SYNCHRONIZE,FALSE,L"Global\\NotifyEvent");

然后就可以在ring3的线程中进行等待

WaitForSingleObject(hEvent,INFINITE)==WAIT_OBJECT_0      //线程阻塞

在ring0 对事件进行触发

KeSetEvent(EventObject,,FALSE);   //使事件变成Signaled State ,ring3层的WaitForSingleObject()线程得到响应,继续执行
KeClearEvent(EventObject);       //将事件恢复Unsignaled State

在ring0的UnloadDriver()例程中对事件句柄进行关闭,引用计数减1

ZwClose(hEvent);

由ring0创建命名事件在ring3进行操作,对ring0资源的占用较大。一般选择在ring3创建事件对象,在ring0进行操作。

//MSDN 对于CreateEvent() 的说明
HANDLE WINAPI CreateEvent(

  __in_opt  LPSECURITY_ATTRIBUTES lpEventAttributes,

  __in      BOOL bManualReset,

  __in      BOOL bInitialState,

  __in_opt  LPCTSTR lpName

);
HANDLE hEvent = CreateEvent(NULL,FALSE,FALSE,NULL)   //创建匿名事件  自动重置

然后将事件句柄下发到ring0    //DeviceIoControl()

在ring0通过事件句柄获得事件对象     ObRefrenceObjectByHandle()

NTSTATUS

  ObReferenceObjectByHandle(

    IN HANDLE  Handle,

    IN ACCESS_MASK  DesiredAccess,

    IN POBJECT_TYPE  ObjectType  OPTIONAL,

    IN KPROCESSOR_MODE  AccessMode,

    OUT PVOID  *Object,

    OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL

    );
PKEVENT EventObject ;

NTSTATUS   Status = STATUS_SUCCESS;

//应用层创建的事件句柄得到事件对象,对事件对象用完之后记得解引用  ObDrefrenceObject(),便于系统对对象资源进行回收

Status =ObReferenceObjectByHandle(hEvent,

            SYNCHRONIZE,

            *ExEventObjectType,

            KernelMode,

            &EventObject,

            NULL);
//WDK  KeSetEvent 
LONG

  KeSetEvent(

    IN PRKEVENT  Event,

    IN KPRIORITY  Increment,

    IN BOOLEAN  Wait

    );

在ring0调用KeSetEvent() 使事件变成Signaled State ,ring3 等待事件响应的线程就会向下执行;

在ring0 调用KeWaitForSigleObject() 对事件对象进行等待

// WDK 
NTSTATUS

  KeWaitForSingleObject(

    IN PVOID  Object,

    IN KWAIT_REASON  WaitReason,

    IN KPROCESSOR_MODE  WaitMode,

    IN BOOLEAN  Alertable,

    IN PLARGE_INTEGER  Timeout OPTIONAL    //为NULL 相当于ring3 的 INFINITE   永久等待

    );
Status = KeWaitForSingleObject(EventObject,

                Executive, KernelMode, FALSE, NULL);

ring0 与 ring3 层之间的交互的更多相关文章

  1. Ring0层创建事件,Ring3层接收

    在学习驱动过程中,一个很重要的内容就是Ring3层与Ring0层的通信,方法有很多种,互斥体,信号量,文件等等,用的比较普遍的,还是事件.所以在学习的过程中,做了一个简单的Demo,主要是体会一下方法 ...

  2. ring0和ring3的区别

    现在探讨内核程序和应用程序之间的本质区别.除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别. Intel的x86处 ...

  3. Windows x86/ x64 Ring3层注入Dll总结

    欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言 提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线 ...

  4. 病毒木马查杀实战第020篇:Ring3层主动防御之基本原理

    前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或 ...

  5. python基础之类和对象、对象之间的交互、类名称空间与对象/实例名称空间

    一 面向对象初识 Python要么是面向过程要么是面向对象. 概念及优缺点: 面向过程的程序设计的核心是过程,过程即解决问题的步骤,面向过程的设计就好比精心设计好一条流水线,考虑周全什么时候处理什么东 ...

  6. python基础--面向对象基础(类与对象、对象之间的交互和组合、面向对象的命名空间、面向对象的三大特性等)

    python基础--面向对象 (1)面向过程VS面向对象 面向过程的程序设计的核心是过程(流水线式思维),过程即解决问题的步骤,面向过程的设计就好比精心设计好一条流水线,考虑周全什么时候处理什么东西. ...

  7. 我的Android第五章:通过Intent实现活动与活动之间的交互

    Intent在活动的操作 作用: Itent是Android程序中各个组件直接交换的一个重要方式可以指定当前组件要执行任务同时也可以给各个组件直接进行数据交互              同时Inten ...

  8. Fragments之间的交互(实现参数传递)

    Fragments之间的交互(实现参数传递) 日常开发中,通常Fragments之间可能需要交互,比如基于用户事件改变Fragment的内容.所有Fragment之间的交互需要通过他们关联的Activ ...

  9. AngularJs-指令和指令之间的交互(动感超人)

    前言: 上节我们学习到了指令和控制器之间的交互,通过给指令添加动作,调用了控制器中的方法.本节我们学习指令和指令之间是如何交互的,我们通过一个小游戏来和大家一起学习,听大漠老师说这是国外的人写的dem ...

随机推荐

  1. MVC模式中路由如何生成URL

    路由有必要的参数吗 在MVC设计模式中,一个比较重要的步骤是浏览器发送的请求如何生成相应的URL,交给服务器去实例化相应的控制器类然后调用相应的控制器类的对应方法,返回视图给用户.这个流程细说起来比较 ...

  2. easyui 布局自适应

    最近在把以前写的一个项目改成用easyui做前端.过程中遇到了不少问题.其中一个就是datagrid不能很好的布局.想了好多办法都有局限.最后想到会不会是布局(easyui-layout)的问题,经过 ...

  3. verilog实现的16位CPU单周期设计

    verilog实现的16位CPU单周期设计 这个工程完成了16位CPU的单周期设计,模块化设计,包含对于关键指令的仿真与设计,有包含必要的分析说明. 单周期CPU结构图 单周期CPU设计真值表与结构图 ...

  4. [2016-06-28]dhclient命令的进程没杀死,导致不断在向DHCP服务器获取IP

    # Date:2016-06-28 # 问题:主机的配置文件/etc/sysconfig/network-scripts/ifcfg-eth0 已经配置好了静态的IP. 但隔几分钟主机的IP就自己变化 ...

  5. Linux Shel高级技巧(目录)

    Linux Shell高级技巧(一) http://www.cnblogs.com/stephen-liu74/archive/2011/12/22/2271167.html一.将输入信息转换为大写字 ...

  6. c++事件内核对象(event)进程间激活(转)

    源出处:http://blog.csdn.net/richerg85/article/details/7538493 此文主要说明的是,c++中创建的一个事件内核对象可以在不同的程序(进程)间共用,也 ...

  7. 快速排序QuickSort

    前几天实现了直接插入排序.冒泡排序和直接选择排序这三个基础排序.今天看了一下冒泡排序的改进算法,快速排序.单独记录一下,后面还有归并和基数排序等 快速排序 1.选择一个支点默认为数组第一个元素及arr ...

  8. BICEP单元测试计划-四则运算-测试

    一.6个值得测试的具体部位,他们能够提高你的测试技巧 Right-结果是否正确? B-是否所有的边界条件都是正确的? I-能查一下反向关联吗? C-能用其他手段交叉检查一下结果吗? E-你是否可以强制 ...

  9. js如何获取select下拉框的value以及文本内容

    select下拉框在项目开发中是经常用到的,特别是在联级菜单方面的应用更为广泛.但是,对于一些初学者来说,如何获取下拉框子节点option的value值和文本内容,还是有一点难度的.其他的就不说了,现 ...

  10. 2015最新百度搜索引擎(seo优化)排名算法

    多少年来,对于弄清百度排名算法成为了一代又一代站长的最高目标.随着百度推出了搜索引擎网页质量**,直接揭开了神秘的百度排名算法,这是作为站长福音啊.现在小编就来为大家介绍一下. 首先想要得到直接需要的 ...