读取另一驱动

驱动通过"\\Driver\\XueTr"获取到了XueTr工具的驱动,并Hook了XueTr驱动的分发函数。

具体的驱动代码如下:

 //FilterDriver.c

 //2016.07.15

 #include "ntddk.h"

 NTKERNELAPI

 NTSTATUS

 ObReferenceObjectByName(

     IN PUNICODE_STRING ObjectName,

     IN ULONG Attributes,

     IN PACCESS_STATE PassedAccessState OPTIONAL,

     IN ACCESS_MASK DesiredAccess OPTIONAL,

     IN POBJECT_TYPE ObjectType,

     IN KPROCESSOR_MODE AccessMode,

     IN OUT PVOID ParseContext OPTIONAL,

     OUT PVOID *Object

     );

 extern POBJECT_TYPE *IoDriverObjectType; 

 //global

 PDRIVER_OBJECT g_FilterDriverObject;

 PDRIVER_DISPATCH gfn_OrigReadCompleteRoutine;

 //我们的驱动分发函数

 NTSTATUS FilterReadCompleteRoutine(

     __in struct _DEVICE_OBJECT *DeviceObject,

      __inout struct _IRP *Irp)

 {

     KdPrint(("IRP_MJ_DEVICE_CONTROL coming."));

     //处理完毕后,要调用原分发例程

     return gfn_OrigReadCompleteRoutine(DeviceObject, Irp);

 }

 //驱动卸载函数

 VOID UnFilterDriverRoutine(__in struct _DRIVER_OBJECT *DriverObject)

 {

     //此内存可读时,恢复

     if (MmIsAddressValid(gfn_OrigReadCompleteRoutine))

     {

         KdPrint(("UnFilterDriverRoutine Success."));

         //卸载时恢复原分发例程

         g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = gfn_OrigReadCompleteRoutine;

     }

 }

 //过滤函数

 NTSTATUS FilterDriverQuery()

 {

     NTSTATUS Status;

     UNICODE_STRING usObjectName;

     RtlInitUnicodeString (&usObjectName, L"\\Driver\\XueTr");

     //根据驱动名称获得驱动对象

     Status = ObReferenceObjectByName (

         &usObjectName,

         OBJ_CASE_INSENSITIVE,    //大小写不敏感

         NULL,

         ,    //访问权限,0是所有权限

         *IoDriverObjectType,

         KernelMode,    //处理器模式

         NULL,

         (PVOID*)&g_FilterDriverObject

         );

     if (!NT_SUCCESS(Status))

     {

         KdPrint(("Filter Failed!"));

         return Status;

     }

     KdPrint(("0x%X", g_FilterDriverObject));    //打印驱动对象地址

     //保存原分发例程,并修改为我们的函数

     gfn_OrigReadCompleteRoutine = g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL];

     g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = (PDRIVER_DISPATCH)FilterReadCompleteRoutine;

     ObDereferenceObject(g_FilterDriverObject);    //清除引用计数

     return STATUS_SUCCESS;

 }

 //驱动程序入口函数

 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)

 {

     pDriverObject->DriverUnload = UnFilterDriverRoutine;

     FilterDriverQuery ();

     return STATUS_SUCCESS;

 }

FilterDriver.c

其中,ObReferenceObjectByName函数能够根据驱动名获取到相应的驱动对象,函数原型如下:

 NTKERNELAPI

 NTSTATUS

 ObReferenceObjectByName(

     IN PUNICODE_STRING ObjectName,

     IN ULONG Attributes,

     IN PACCESS_STATE PassedAccessState OPTIONAL,

     IN ACCESS_MASK DesiredAccess OPTIONAL,

     IN POBJECT_TYPE ObjectType,

     IN KPROCESSOR_MODE AccessMode,

     IN OUT PVOID ParseContext OPTIONAL,

     OUT PVOID *Object

     );

由于ObReferenceObjectByName函数没有文档化,但是被导出了。所以我们需要在代码中对ObReferenceObjectByName函数进行声明。

另外调用ObReferenceObjectByName函数后,要调用ObDereferenceObject来清除对象的引用计数,否则会造成内存泄漏。

根据XueTr获取到XueTr的驱动对象地址是0x84F79858,大小是0x00068000

根据WinObj工具获得XueTr驱动的路径为"\\Driver\\XueTr"

用InstDrv安装并启动驱动FilterDriver.sys后,DbgView输出0x84F79858,此地址与上面用XueTr查看的地址相同。说明获取到的XueTr驱动对象的地址是正确的。

在WinDbg输入以下命令查看XueTr驱动的详细信息:

dt _DRIVER_OBJECT -b 84F79858

WinDbg输出如下:

 lkd> dt_DRIVER_OBJECT -b 84F79858

 nt!_DRIVER_OBJECT

    +0x000 Type             :

    +0x002 Size             :

    +0x004 DeviceObject     : 0x8617b100

    +0x008 Flags            : 0x12

    +0x00c DriverStart      : 0xed5ce000

    +0x010 DriverSize       : 0x68000

    +0x014 DriverSection    : 0x862e2220

    +0x018 DriverExtension  : 0x84f79900

    +0x01c DriverName       : _UNICODE_STRING "\Driver\XueTr"

       +0x000 Length           : 0x1a

       +0x002 MaximumLength    : 0x1a

       +0x004 Buffer           : 0xe1605358  "\Driver\XueTr"

    +0x024 HardwareDatabase : 0x80691b90

    +0x028 FastIoDispatch   : (null)

    +0x02c DriverInit       : 0xed62b03e

    +0x030 DriverStartIo    : (null)

    +0x034 DriverUnload     : 0xed619668

    +0x038 MajorFunction    :

     [] 0xed619792

     [] 0x804fe101

     [] 0xed619792

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0xf7c37000

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

     [] 0x804fe101

上面代码中修改的分发函数是IRP_MJ_DEVICE_CONTROL,也就是14号分发例程(0至27)

XueTr驱动的14号分发函数地址为0xf7c37000

由XueTr知道我们的驱动FilterDriver.sys基地址为0xF7C36000,大小为0x00006000。

所以XueTr驱动的14号分发函数地址(0xf7c37000)在我们的驱动内(0xF7C36000~0xF7C36000+0x00006000)

然后当我们在XueTr工具内刷新时,DbgView内输出

IRP_MJ_DEVICE_CONTROL coming.

遍历所有驱动

遍历所有驱动需要用到一个结构_LDR_DATA_TABLE_ENTRY,具体的驱动代码如下:

 //EnumDriver.c

 //2016.07.17

 #include <ntddk.h>

 typedef struct _LDR_DATA_TABLE_ENTRY{

     LIST_ENTRY InLoadOrderLinks;            //链表 保存了所有已经读取到内存中的驱动地址

     LIST_ENTRY InMemoryOrderLinks;            //链表 保存了已经安装,但没启动(没执行DriverEntry)的驱动地址

     LIST_ENTRY InInitializationOrderLinks;    //链表 保存了已经安装,同时也启动了(执行了DriverEntry)的驱动地址

     PVOID DllBase;

     PVOID EntryPoint;

     ULONG SizeOfImage;

     UNICODE_STRING FullDllName;

     UNICODE_STRING BaseDllName;

     ULONG Flags;

     USHORT LoadCount;

     USHORT TlsIndex;

     LIST_ENTRY HashLinks;

     PVOID SectionPointer;

     ULONG CheckSum;

     ULONG TimeDateStamp;

     PVOID LoadedImports;

     PVOID EntryPointActivationContext;

     PVOID PatchInformation;

 }LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

 VOID MyDriverUnload(PDRIVER_OBJECT pDriverObject)

 {

     //

     KdPrint(("Unload EnumDriver.sys Success."));

 }

 VOID EnumDriver(PDRIVER_OBJECT pDriverObject)

 {

     PLDR_DATA_TABLE_ENTRY pLdrDataTableEntry, pTempLdrDataTableEntry;

     PLIST_ENTRY pList;

     int i = ;

     pLdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

     if (!MmIsAddressValid(pLdrDataTableEntry))

     {

         return;

     }

     pList = &pLdrDataTableEntry->InLoadOrderLinks;

     while (pList != pLdrDataTableEntry->InLoadOrderLinks.Blink)

     {

         //ToDo

         pTempLdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pList;

         i++;

         if(MmIsAddressValid(pTempLdrDataTableEntry))

         {

             if (MmIsAddressValid(&pTempLdrDataTableEntry->BaseDllName) && MmIsAddressValid(&pTempLdrDataTableEntry->BaseDllName))

                 KdPrint(("%d:%wZ\t%wZ", i, &pTempLdrDataTableEntry->BaseDllName, &pTempLdrDataTableEntry->FullDllName));

         }

         pList = pList->Flink;

     }

 }

 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)

 {

     pDriverObject->DriverUnload = MyDriverUnload;

     EnumDriver(pDriverObject);

     return STATUS_SUCCESS;

 }

EnumDriver.c

用Windbg在XP虚拟机下查看该结构

lkd> dt_LDR_DATA_TABLE_ENTRY

nt!_LDR_DATA_TABLE_ENTRY

   +0x000 InLoadOrderLinks : _LIST_ENTRY

   +0x008 InMemoryOrderLinks : _LIST_ENTRY

   +0x010 InInitializationOrderLinks : _LIST_ENTRY

   +0x018 DllBase          : Ptr32 Void

   +0x01c EntryPoint       : Ptr32 Void

   +0x020 SizeOfImage      : Uint4B

   +0x024 FullDllName      : _UNICODE_STRING

   +0x02c BaseDllName      : _UNICODE_STRING

   +0x034 Flags            : Uint4B

   +0x038 LoadCount        : Uint2B

   +0x03a TlsIndex         : Uint2B

   +0x03c HashLinks        : _LIST_ENTRY

   +0x03c SectionPointer   : Ptr32 Void

   +0x040 CheckSum         : Uint4B

   +0x044 TimeDateStamp    : Uint4B

   +0x044 LoadedImports    : Ptr32 Void

   +0x048 EntryPointActivationContext : Ptr32 Void

   +0x04c PatchInformation : Ptr32 Void

因为结构_LDR_DATA_TABLE_ENTRY是未导出的,所以要在代码开头定义一下:

 typedef struct _LDR_DATA_TABLE_ENTRY{

     LIST_ENTRY InLoadOrderLinks;              //链表 保存了所有已经读取到内存中的驱动地址

     LIST_ENTRY InMemoryOrderLinks;            //链表 保存了已经安装,但没启动(没执行DriverEntry)的驱动地址

     LIST_ENTRY InInitializationOrderLinks;    //链表 保存了已经安装,同时也启动了(执行了DriverEntry)的驱动地址

     PVOID DllBase;

     PVOID EntryPoint;

     ULONG SizeOfImage;

     UNICODE_STRING FullDllName;

     UNICODE_STRING BaseDllName;

     ULONG Flags;

     USHORT LoadCount;

     USHORT TlsIndex;

     LIST_ENTRY HashLinks;

     PVOID SectionPointer;

     ULONG CheckSum;

     ULONG TimeDateStamp;

     PVOID LoadedImports;

     PVOID EntryPointActivationContext;

     PVOID PatchInformation;

 }LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
InLoadOrderLinks是一个双向的循环链表,保存了所有驱动的地址。我们只要遍历它,就能够找到所有的驱动了。
FullDllName是驱动的完整路径(路径+名称),BaseDllName是驱动的名称(不包含路径)

驱动加载后的输出如下:

其中的第二个 2:(null)(null)是XueTr的驱动,应该是做了特殊处理

梦织未来Windows驱动编程 第05课 小结(读取另一驱动,遍历所有驱动)的更多相关文章

  1. 梦织未来Windows驱动编程 第03课 驱动的编程规范

    最近根据梦织未来论坛的驱动教程学习了一下Windows下的驱动编程,做个笔记备忘.这是第03课<驱动的编程规范>. 驱动部分包括基本的驱动卸载函数.驱动打开关闭读取写入操作最简单的分发例程 ...

  2. 梦织未来Windows驱动编程 第06课 驱动对磁盘文件的操作

    代码部分: 实现一个文件C:\\text.txt,并读取写入内容到文件,然后将文件设置为只读,并隐藏文件.代码如下: //MyCreateFile.c //2016.07.22 #include &l ...

  3. 梦织未来Windows驱动编程 第04课 驱动相关的数据结构

  4. Windows游戏编程之从零开始d

    Windows游戏编程之从零开始d I'm back~~恩,几个月不见,大家还好吗? 这段时间真的好多童鞋在博客里留言说或者发邮件说浅墨你回来继续更新博客吧. woxiangnifrr童鞋说每天都在来 ...

  5. (转)Windows驱动编程基础教程

    版权声明     本书是免费电子书. 作者保留一切权利.但在保证本书完整性(包括版权声明.前言.正文内容.后记.以及作者的信息),并不增删.改变其中任何文字内容的前提下,欢迎任何读者 以任何形式(包括 ...

  6. 《天书夜读:从汇编语言到windows内核编程》五 WDM驱动开发环境搭建

    (原书)所有内核空间共享,DriverEntery是内核程序入口,在内核程序被加载时,这个函数被调用,加载入的进程为system进程,xp下它的pid是4.内核程序的编写有一定的规则: 不能调用win ...

  7. 《天书夜读:从汇编语言到windows内核编程》六 驱动、设备、与请求

    1)跳入到基础篇的内核编程第7章,驱动入口函数DriverEnter的返回值决定驱动程序是否加载成功,当打算反汇编阅读驱动内核程序时,可寻找该位置. 2)DRIVER_OBJECT下的派遣函数(分发函 ...

  8. 《逐梦旅程 WINDOWS游戏编程之从零开始》笔记5——Direct3D中的顶点缓存和索引缓存

    第12章 Direct3D绘制基础 1. 顶点缓存 计算机所描绘的3D图形是通过多边形网格来构成的,网网格勾勒出轮廓,然后在网格轮廓的表面上贴上相应的图片,这样就构成了一个3D模型.三角形网格是构建物 ...

  9. storysnail的Windows串口编程笔记

    storysnail的Windows串口编程笔记 作者 He YiJun – storysnail<at>gmail.com 团队 ls 版权 转载请保留本声明! 本文档包含的原创代码根据 ...

随机推荐

  1. 39、生鲜电商平台-redis缓存在商品中的设计与架构

    说明:Java开源生鲜电商平台-redis缓存在商品中的设计与架构. 1. 各种计数,商品维度计数和用户维度计数 说起电商,肯定离不开商品,而附带商品有各种计数(喜欢数,评论数,鉴定数,浏览数,etc ...

  2. 从 .NET Framework到 .NET Core

    参考资料: https://docs.microsoft.com/zh-cn/dotnet/core/porting/ https://docs.microsoft.com/zh-cn/aspnet/ ...

  3. C#中的自动属性、隐式类型var、对象初始化器与集合初始化器、扩展方法

    1.自动属性(Auto-Implemented Properties) //以前的写法 .net2.0 private string _userName; public string UserName ...

  4. 洛谷P2915 [USACO08NOV]奶牛混合起来Mixed Up Cows

    P2915 [USACO08NOV]奶牛混合起来Mixed Up Cows 题目描述 Each of Farmer John's N (4 <= N <= 16) cows has a u ...

  5. Spring AOP 自定义注解实现统一日志管理

    一.AOP的基本概念: AOP,面向切面编程,常用于日志,事务,权限等业务处理.AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容(Spring核心之一),是函数式编程 ...

  6. html标签的补充—— b,strong标签

    b,strong标签 表意: 强调文本中的比较重要的词语 b标签,仅仅只是规定文本加粗 strong标签,不仅规定文本加粗,而且还能够表示强调 如果仅仅是为了视觉效果,使用样式(CSS)调整Web提倡 ...

  7. Gdiplus的使用 gdi+

    使用步骤: 1.包括相应的头文件及引入相应的lib 1 #include <GdiPlus.h> 2 #pragma comment(lib, "gdiplus.lib" ...

  8. Jmeter report优化

    优化大致过程 生成并的报告模板: <?xml version="1.0" encoding="UTF-8"?> <xsl:stylesheet ...

  9. JS对DOM节点操作整理

    获取节点: //按照ID获取 document.getElementById('element'); //按照节点名称获取,返回类数组对象 document.getElementsByTagName( ...

  10. sublime text的一些插件

    http://naotu.baidu.com/file/57a3154312a7c7a444353202a4e06cd2 Package Control 作为安装 Sublime Text 插件的必备 ...