标 题: 【原创】使用ZwMapViewOfSection创建内存映射文件总结
作 者: 小覃
时 间: 2012-06-15,02:28:36
链 接: http://bbs.pediy.com/showthread.php?t=152144

在写驱动搜索内核模块内存时,你是不是也经常会遇到BSOD?
原因是内核模块INIT节调用完成后就取消了映射。
    解决这个问题鄙人的方法是,
自己来映射该内核模块文件内存进行内存操作。
我们使用ZwQuerySystemInformation遍历枚举模块,
得到模块名后使用ZwMapViewOfSection映射内存。

代码:
#define SEC_IMAGE 0x01000000

void* MapFileBaseAddress = NULL;

HANDLE  hFile = NULL;

HANDLE  hSection = NULL; 

/** 内存映射文件,返回基址:

*/

void* CreateMapFileAndGetBaseAddr(

  PUNICODE_STRING pDriverName

  )

{

  //HANDLE  hFile;

  //HANDLE  hSection; 

  NTSTATUS status;

  SIZE_T size = 0;

  IO_STATUS_BLOCK io_status = {0};

  OBJECT_ATTRIBUTES oa = {0};

  InitializeObjectAttributes(

    &oa,

  pDriverName,

    OBJ_CASE_INSENSITIVE,

    0,

    0

    );

status = ZwOpenFile(&hFile, 

       FILE_EXECUTE | SYNCHRONIZE, 

       &oa,

       &io_status, 

       FILE_SHARE_READ, 

       FILE_SYNCHRONOUS_IO_NONALERT);

if(!NT_SUCCESS(status))

        {

                DbgPrint("ZwOpenFile failed\n");

                return NULL;

        }

 oa.ObjectName = 0;

status = ZwCreateSection(&hSection,

        SECTION_ALL_ACCESS,

        &oa,

        0,

        PAGE_EXECUTE, 

        SEC_IMAGE, 

        hFile);

if(!NT_SUCCESS(status))

        {

                DbgPrint("ZwCreateSection failed\n");

        hFile = NULL;

        ZwClose(hFile);

                return NULL;

        }

status = ZwMapViewOfSection(hSection,

           PsGetCurrentProcessId(),

           &MapFileBaseAddress, 

           0, 

           1024,

           0, 

           &size,

           ViewShare,

           MEM_TOP_DOWN, 

           PAGE_READWRITE); 

if(!NT_SUCCESS(status))

        {

                DbgPrint("ZwMapViewOfSection failed\n");

        hSection = NULL;

        ZwClose(hSection);

        hFile = NULL;

        ZwClose(hFile);

                return NULL;

        }

    

return MapFileBaseAddress;

}

调用方法映射文件返回映射后基址,

代码:

PVOID BaseAddress = NULL;

UNICODE_STRING driverName;

......

RtlInitUnicodeString( &driverName, L"\\??\\C:\\Documents and Settings\\Administrator\\桌面\\111.sys" );

BaseAddress = CreateMapFileAndGetBaseAddr(&driverName);

DbgPrint( "MapFile Return Address:%X\r\n", BaseAddress );

释放清理:

if( NULL != hFile )

  ZwClose(hFile);

if( NULL != hSection )

  ZwClose(hSection);

代码仅供参考!
PsGetCurrentProcessId()
也可以用NtCurrentProcess()代替。

以上代码在XPSP3 DDK下测试通过!*转载请注明来自看雪论坛@PEdiy.com

jpg 改 rar

使用ZwMapViewOfSection创建内存映射文件总结的更多相关文章

  1. 第17章 内存映射文件(3)_稀疏文件(Sparse File)

    17.8 稀疏调拨的内存映射文件 17.8.1 稀疏文件简介 (1)稀疏文件(Sparse File):指的是文件中出现大量的0数据,这些数据对我们用处不大,但是却一样的占用空间.NTFS文件系统对此 ...

  2. MemoryMappedFile 内存映射文件 msdn

    http://msdn.microsoft.com/zh-cn/library/dd997372%28v=vs.110%29.aspx 内存映射文件 .NET Framework 4.5 其他版本 1 ...

  3. 【WIN32进阶之路】:内存映射文件

    第一章:源起  遇到一个问题,如果一个客户数据文件有2g大,客户要通过界面查询文件中的数据并用列表控件显示数据,要怎么处理这个文件才能让应用程序不会长时间无响应,客户感觉不到程序的卡顿? 第二章:解决 ...

  4. C# .Net 多进程同步 通信 共享内存 内存映射文件 Memory Mapped 转

    原文:C# .Net 多进程同步 通信 共享内存 内存映射文件 Memory Mapped 转 节点通信存在两种模型:共享内存(Shared memory)和消息传递(Messages passing ...

  5. NET 4 中 内存映射文件

    原文链接 : http://blogs.msdn.com/salvapatuel/archive/2009/06/08/working-with-memory-mapped-files-in-net- ...

  6. C# .Net 多进程同步 通信 共享内存 内存映射文件 Memory Mapped

    节点通信存在两种模型:共享内存(Shared memory)和消息传递(Messages passing). 内存映射文件对于托管世界的开发人员来说似乎很陌生,但它确实已经是很远古的技术了,而且在操作 ...

  7. .NET 4.0中使用内存映射文件实现进程通讯

    操作系统很早就开始使用内存映射文件(Memory Mapped File)来作为进程间的共享存储区,这是一种非常高效的进程通讯手段.Win32 API中也包含有创建内存映射文件的函数,然而,这些函数都 ...

  8. 【JavaNIO的深入研究4】内存映射文件I/O,大文件读写操作,Java nio之MappedByteBuffer,高效文件/内存映射

    内存映射文件能让你创建和修改那些因为太大而无法放入内存的文件.有了内存映射文件,你就可以认为文件已经全部读进了内存,然后把它当成一个非常大的数组来访问.这种解决办法能大大简化修改文件的代码.fileC ...

  9. C++中使用内存映射文件处理大文件

    引言 文件操作是应用程序最为基本的功能之一,Win32 API和MFC均提供有支持文件处理的函数和类,常用的有Win32 API的CreateFile().WriteFile().ReadFile() ...

随机推荐

  1. 2016百度之星 初赛2B ACEF

    做了1001 1003 1005 1006 看题:http://bestcoder.hdu.edu.cn/contests/contest_show.php?cid=702 交题:http://acm ...

  2. 阿里提前批校招内推offer经历

    经过一个半月的阿里内推面试,今天终于收到了阿里的offer邮件 .阿里的内推面试一共有四轮,本人是7月19号投的内推邮件,8月28号收到了offer的邮件.首先本人谈谈内推的看法.内推是公司招聘人才的 ...

  3. 关于Window Server2008 服务器上无法播放音频文件的解决方案

    在偌大的百度当中查找我所需要的资源信息,但网络上所描述的都不能解决,发生此类问题的人很多,但是都没有得到准确的解决方法!经个人各方面的尝试,其实非常简单的解决了无法播放音频文件的问题,如果各位今后也遇 ...

  4. IOS原生地图与高德地图

    原生地图 1.什么是LBS LBS: 基于位置的服务   Location Based Service 实际应用:大众点评,陌陌,微信,美团等需要用到地图或定位的App 2.定位方式 1.GPS定位  ...

  5. Linux查找命令

    最近,我在学习Linux,下面是一些笔记. 使用电脑的时候,经常需要查找文件. 在Linux中,有很多方法可以做到这一点.国外网站LinuxHaxor总结了五条命令,你可以看看自己知道几条.大多数程序 ...

  6. bind绑定参数

    const curry = (fn) => (...args)=>fn.bind(null,...args); const split = curry((splitOn, str) =&g ...

  7. python调用其他程序或脚本方法(转)

    python运行(调用)其他程序或脚本 在Python中可以方便地使用os模块运行其他的脚本或者程序,这样就可以在脚本中直接使用其他脚本,或者程序提供的功能,而不必再次编写实现该功能的代码.为了更好地 ...

  8. phpcms调取数据库的两种机制

    在phpcms中,模板调取后台的数据有两种机制: 1.在控制器中定义数据,在模板中直接调用. 2.标签机制.即在模块的classes/tag.class中定义标签类,然后在模板中用标签调用 两种调用机 ...

  9. 疯狂了!当游戏爱上MongoDB会怎么样???

    导读 前端时间魔兽这个电影我相信大家都看过了哈,作为一个码农,有时候我也会去思考魔兽世界这个游戏背后他的一些设计和实现,比如他用什么数据库.当然真正用什么数据库这个我是不确定的,我们今天的主题是当游戏 ...

  10. (转)C#图解—PictureBox.SizeMode 属性

    PictureBoxSizeMode.Normal: 默认情况下,在 Normal 模式中,Image 置于 PictureBox 的左上角,凡是因过大而不适合 PictureBox 的任何图像部分都 ...