零度x's blog » 驱动

驱动学习笔记–irp

零度x — Fri, 26 Jun 2009 17:41:21 +0000

irp是Windows内核中的一种非常重要的数据结构。上层应用程序与底层驱动程序通信时，应用程序会发出I/O请求，操作系统将相应的I/O请求转换成相应的IRP，不同的IRP会根据类型被分派到不同的派遣例程中进行处理。

irp相当于ring3下的消息，应用程序对驱动程序进行操作的时候会发出相应的消息，驱动程序根据这些消息做出相应的操作。这些操作通过我们自己编写的派遣函数来决定执行什么样的操作。

看下面流程：

1.为不同的irp类型设置派遣函数

2.编写派遣函数来处理收到不懂类型的irp的不同操作

3.创建设备与符号链接

4.在卸载历程中删除设备与符号链接

流程很简单，但是处理起来就不那么简单了。

代码如下：

#include “ntddk.h”
VOID Unload(IN PDRIVER_OBJECT DriverObject)//卸载时删除符号链接
{
UNICODE_STRING symLinkName;
RtlInitUnicodeString(&symLinkName,L”\\??\\mysymboliclink”);
IoDeleteSymbolicLink(&symLinkName);
IoDeleteDevice(DriverObject->DeviceObject);
KdPrint((“Device Delete Success\n”));
}
NTSTATUS MyMajor(IN PDEVICE_OBJECT Device,IN PIRP irp)
{
PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(irp);//动态获取irp的IO堆栈
irp->IoStatus.Status = STATUS_SUCCESS;//填充返回的状态值
irp->IoStatus.Information = 0;
//判断是否为打开驱动的irp，如果是则输出“IRP_MJ_CREATE”
if (stack->MajorFunction==IRP_MJ_CREATE)
{
KdPrint((“IRP_MJ_CREATE\n”));
}
//判断是否为关闭驱动的irp，如果是则输出“IRP_MJ_CLOS”
if (stack->MajorFunction==IRP_MJ_CLOSE)
{
KdPrint((“IRP_MJ_CLOSE\n”));
}
IoCompleteRequest( irp, IO_NO_INCREMENT );//结束掉irp
return irp->IoStatus.Status;//返回
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
PDEVICE_OBJECT mydevice;//定义设备对象
UNICODE_STRING devicename;//定义设备名称
UNICODE_STRING symboliclinkname;//定义符号连接名称
//为不同的irp类型设置派遣函数
DriverObject->MajorFunction[IRP_MJ_CREATE]=MyMajor;//打开
DriverObject->MajorFunction[IRP_MJ_CLOSE]=MyMajor;//关闭
DriverObject->DriverUnload=Unload;

RtlInitUnicodeString(&devicename,L”\\Device\\mydevice”);//初始化设备名称
RtlInitUnicodeString(&symboliclinkname,L”\\??\\mysymboliclink”);//初始化符号连接名称
//创建设备
IoCreateDevice(
  DriverObject,//驱动对象
  0,
  &devicename,//设备名称
  FILE_DEVICE_UNKNOWN,//类型
  0,
  FALSE,
  &mydevice//设备对象
  );
//创建符号链接
IoCreateSymbolicLink(
  &symboliclinkname,//符号链接名称
  &devicename//设备名称
  );

return STATUS_SUCCESS;
}

下面写一个简单的vc程序打开然后关闭驱动，打开的时候会发送给两个消息转换成irp就是IRP_MJ_CREATE和IRP_MJ_CLOSE,然后截获到输出“IRP_MJ_CREATE和IRP_MJ_CLOSE”。

驱动学习笔记–创建线程

零度x — Sun, 21 Jun 2009 05:03:24 +0000

在内核模式下创建线程和用户模式下创建线程有所不同，在用户模式下创建线程线程函数执行完自动返回，在内核模式下需要调用API来结束一个线程。

下面编写一个新建一个线程来输出”welcome to www.lingdux.com”

首先确认流程如下:

1.定义线程函数MyThread()用来实现输出”welcome to www.lingdux.com\n”。

2.线程函数中使用PsTerminateSystemThread()函数来终止线程。

3.使用PsCreateSystemThread()函数来创建线程并运行线程函数。

实现代码如下：

#include “ntddk.h”

VOID Unload(IN PDRIVER_OBJECT DriverObject)
{
}
VOID MyThread(IN PVOID pContext)//线程函数
{
DbgPrint(“Welcome to www.lingdux.com\n”);
PsTerminateSystemThread(0);//终止线程
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
HANDLE myhandle;//定义句柄
PsCreateSystemThread(&myhandle,//得到句柄
  0,
  NULL,
  NULL,
  NULL,
  MyThread,//线程函数
  NULL);//不传递参数，为空
DriverObject->DriverUnload=Unload;
return STATUS_SUCCESS;
}

加载驱动DbgView成功截获到Welcome to www.lingdux.com

驱动学习笔记–设备与符号连接

零度x — Wed, 10 Jun 2009 10:46:44 +0000

创建设备与符号连接是为了驱动程序和应用程序的交互。

流程很简单：

1.用IoCreateDevice()函数创建设备对性。

2.用IoCreateSymbolicLink()函数来绑定设备和符号链接。

3.卸载时用IoDeleteSymbolicLink删除符号连接。

4.然后用IoDeleteDevice来删除设备。

完整代码如下：

#include “ntddk.h”

void Unload(IN PDRIVER_OBJECT DriverObject)
{
//定义两个临时设备对象用于删除设备对象
PDEVICE_OBJECT temp1;
PDEVICE_OBJECT temp2;
UNICODE_STRING symboliclinkname;//定义符号连接名称
RtlInitUnicodeString(&symboliclinkname,L”\\??\\mysymboliclink”);//初始化符号连接名称
IoDeleteSymbolicLink(&symboliclinkname);//删除符号连接
if(DriverObject)
{
  temp1=DriverObject->DeviceObject;
  while(temp1)
  {
   temp2=temp1;
   temp1=temp1->NextDevice;
   IoDeleteDevice(temp2);//删除设备
  }
}
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
PDEVICE_OBJECT mydevice;//定义设备对象
UNICODE_STRING devicename;//定义设备名称
UNICODE_STRING symboliclinkname;//定义符号连接名称
RtlInitUnicodeString(&devicename,L”\\Device\\mydevice”);//初始化设备名称
RtlInitUnicodeString(&symboliclinkname,L”\\??\\mysymboliclink”);//初始化符号连接名称
IoCreateDevice(
  DriverObject,//驱动对象
  0,
  &devicename,//设备名称
  FILE_DEVICE_UNKNOWN,//类型
  0,
  FALSE,
  &mydevice//设备对象
  );
IoCreateSymbolicLink(
  &symboliclinkname,//符号链接名称
  &devicename//设备名称
  );
DriverObject->DriverUnload=Unload;
return STATUS_SUCCESS;
}

使用winobj成功看到名称为mysymboliclink的符号连接，和mydevice绑定，如图所示：

驱动学习笔记–注册表+关掉360木马防火墙

零度x — Wed, 03 Jun 2009 10:06:09 +0000

对注册表的操作的和对文件的操作差不多，但是还是有些区别，下面就写一个对注册表操作的例子，这个是修改360安全卫士的注册表选项，使其木马防火墙失效。(在ring3下是不行的，驱动才行得通，即使360开自我保护也无所谓)

首先明确一下流程：

1.定义一个操作对象OBJECT_ATTRIBUTES

2.用InitializeObjectAttributes()函数初始化这个对象

3.用ZwOpenKey()函数来打开注册表打开360的选项

4.用ZwSetValueKey()函数来把360木马防火墙的的键值设置成空

5用ZwClose()函数来关闭打开的注册表

代码如下：

#include
VOID Unload(IN PDRIVER_OBJECT DriverObject)
{}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING UnicodeString)
{
UNICODE_STRING path;//定义注册表路径字符串
UNICODE_STRING name;//定义名称字符串
UNICODE_STRING data;//定义数据字符串
OBJECT_ATTRIBUTES oa;//定义操作对象
HANDLE myhandle=NULL;//定义返回句柄

RtlInitUnicodeString(&path,L”\\Registry\\Machine\\SOFTWARE\\360Safe\\safemon”);//初始化注册表路径字符串
RtlInitUnicodeString(&name,L”ExecAccess”);//初始化名称字符串
RtlInitUnicodeString(&data,0);//初始化数据字符串
InitializeObjectAttributes(&oa,&path,OBJ_CASE_INSENSITIVE,NULL,NULL);//初始化操作对象
ZwOpenKey(//打开注册表
  &myhandle,//返回句柄
  KEY_WRITE,//权限
  &oa//操作对象
  );
ZwSetValueKey(//设置注册表键值
  myhandle,//当前句柄
  &name,//键名
  0,
  REG_SZ,//方式
  data.Buffer,//字符串缓冲
  data.Length//字符串长度
  );
ZwClose(myhandle);//关闭注册表
DriverObject->DriverUnload=Unload;
return STATUS_SUCCESS;
}

编译后加载驱动就可以关闭360的木马防火墙了～！

驱动学习笔记–文件操作

零度x — Mon, 01 Jun 2009 19:06:17 +0000

驱动中文件的操作和在ring3下对文件的操作有所不同，ring3下直接输文件路径就可以对文件操作了，在驱动中应该先为文件初始化一个对象，然后对这个对象操作，下面来编写一个驱动实现创建一个文件并写入字符串“www.lingdux.com”。

首先确定一下流程：

1.定义一个操作对象OBJECT_ATTRIBUTES

2.用InitializeObjectAttributes()函数初始化这个对象

3.用ZwCreateFile()函数来创建一个文件

4.用ZwWriteFile()函数写入字符串

5. 关闭打开的文件ZwClose();

实现代码如下：

#include
void UnLoad(IN PDRIVER_OBJECT DriverObject)
{}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
UNICODE_STRING mystr;//定义字符串结构用来存放字符串
UNICODE_STRING mypath;//定义字符串结构来存放路径
OBJECT_ATTRIBUTES myoa;//定义一个操作对象
HANDLE hfile=NULL;//定义一个句柄用于接收返回的文件句柄
IO_STATUS_BLOCK iostatus;//定义结构用来接收打开文件的返回值

RtlInitUnicodeString(&mystr,L”www.lingdux.com“);//初始化字符串
RtlInitUnicodeString(&mypath,L”\\??\\E:\\lingdux.txt”);//初始化路径字符串
InitializeObjectAttributes(//初始化操作对象
  &myoa,//操作对象
  &mypath,//路径
  OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE,//属性
  NULL,
  NULL
  );
ZwCreateFile(//创建文件
  &hfile,//返回的句柄
  GENERIC_ALL,//打开文件时候的权限
  &myoa,//文件对象
  &iostatus,//返回值
  NULL,
  FILE_ATTRIBUTE_NORMAL,
  FILE_SHARE_READ,//共享权限
  FILE_OPEN_IF,//打开文件的方式
  FILE_NON_DIRECTORY_FILE|FILE_RANDOM_ACCESS|FILE_SYNCHRONOUS_IO_NONALERT,
  NULL,
  0);
ZwWriteFile(
  hfile,//文件句柄
  NULL,
  NULL,
  NULL,
  &iostatus,//返回值
  mystr.Buffer,//字符串缓冲区
  mystr.Length,//字符串长度
  NULL,
  NULL
  );
ZwClose(hfile);
DriverObject->DriverUnload=UnLoad;
return STATUS_SUCCESS;
}

编译后用驱动加载工具加载，成功在E盘根目录想建立文件lingdux.txt，内容为“www.lingdux.com”

驱动学习笔记–字符串

零度x — Tue, 26 May 2009 20:08:47 +0000

在驱动编程中，处理字符串最好用UNICODE_STRING，UNICODE_STRING是一个结构，查看MSDN如下：

typedef struct _UNICODE_STRING{

USHORT length;\\字符串的长度

USHORT MaxnumLength;\\整个缓冲区的最大长度

PWSTR Buffer;\\缓冲

}UNICODE_STRING *PUNICODE_STRING;

字符串不是以00结尾，而是用一个结构来指定字符串的长度。

DDK提供了一个函数用于初始化字符串

VOID RtlInitUnicodeString(

IN OUT PUNICODE_STRING DestiantionString,//定义的字符串结构指针

IN PCWSTR SourceString//字符串

);

创建好一个工程框架，在框架中加入下面代码：

UNICODE_STRING mystr;//定义字符串

RtlInitUnicodeString(&mystr,L”www.lingdux.com“);//字符串初始化

DbgPrint(“%wZ”,&mystr);//打印字符串

加载驱动，用DEBUG View 成功看到结果www.lingdux.com

接下来在定义一个字符串结构,把字符串copy到新的结构

要为新的字符串初始化，并且分配空间

ddk提供了一个函数来分配空间

PVOID ExAllocatePool(
    IN POOL_TYPE PoolType,//分页方式
    IN SIZE_T NumberOfBytes//大小
    );

用下面的函数copy字符串

VOID RtlInitUnicodeString(

IN OUT PUNICODE_STRING destinationString,//目标字符串指针

IN PUNICODE_STRING SourceString//源字符串指针

);

UNICODE_STRING mynewstr;//定义字符串

mynewstr.Buffer=(PWSTR)ExAllocatePool(PagedPool,256);//分配内存空间

RtlInitUnicodeString(&mynewstr,&mystr);//copy字符串

DbgPrint(“%wZ”,&mynewstr);//打印字符串

载入驱动后用Debug Viwe成功截获到两个www.lingdux.com

最终代码如下

#include
VOID Unload(IN PDRIVER_OBJECT DriverObject)
{
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
UNICODE_STRING mystr;
UNICODE_STRING mynewstr;
RtlInitUnicodeString(&mystr,L”www.lingdux.com“);
DbgPrint(“%wZ”,&mystr);
mynewstr.Buffer=(PWSTR)ExAllocatePool(PagedPool,256);
RtlCopyUnicodeString(&mynewstr,&mystr);
DbgPrint(“%wZ”,&mynewstr);
DriverObject->DriverUnload=Unload;
return STATUS_SUCCESS;
}

驱动学习笔记–”hello world”

零度x — Mon, 25 May 2009 19:56:59 +0000

编译环境用xp下VC6+DDK

新建一个文件夹当作工程目录，路径是E:\lingdux\

从别的工程copy过来两个文件，

一个是makefile，它用来指定文件之间的依赖关系，确定项目中哪些文件时需要重新编译的，那些事已经编译过的。里面的内容不用改，直接默认就OK

另一个是source，它用来保存一些配置信息，内容如下：

TARGETNAME=lingdux 这句用来指定目标程序存放的路径

TARGETTYPE=DRIVER 这句是指定目标类型，DRIVER为驱动程序

TARGETPATH=Driver 这句指定编译时的中间文件存放的路径

SOURCES=lingdux.c 这句指定了源文件

在工程目录想创建一个空文件命名lingdux.c，双击用VC6打开，开始写代码～！

遵循C语言，只有一个入口函数DriverEntry，有两个参数

NTSTATUS Driver Entry(IN PDRIVER_OBJECT DriverObject, 第一个是PDRIVER_OBJECT类型系统进程调用的驱动对象
IN OUNICODE_STRING RegistryPath) 第二个是IN OUNICODE_STRING类型字符串类型，注册路径

返回值类型为NTSTATUS，系统状态。

输出函数为DbgPrint()，包含的头文件是ntddk.h

编写完成后，发现这个驱动程序没有退出功能,系统加载后不能停止，重新启动后才能再次加载，不利于调试，下面就添加一个退出功能。

DriverObject->DriverUnload=Unload 为驱动对象注册一个卸载例程指定一个空函数

在驱动停止的时候被调用，用于删除一些设备对象，符号链接，释放驱动加载的资源。

VOID Unload(IN PDRIVER_OBJECT DriverObject)

{

}

完整代码如下：

#include
VOID Unload(IN PDRIVER_OBJECT DriverObject)
{
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
DriverObject->DriverUnload=Unload;
DbgPrint(“Hello World!”);
return STATUS_SUCCESS;
}

保存以上代码，然后打开DDK，路径选择工程目录，运行build命令，

编译出来的驱动文件为E:\lingdux\driver\i386\lingdux.sys

用coderui的驱动加载工具加载

用debug viwe成功截获到输出