SERVICE_BOOT_START 驱动程序逆向

最新推荐文章于 2020-11-06 15:59:11 发布
VIP文章 最新推荐文章于 2020-11-06 15:59:11 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: 汇编代码--逆向工程 文章标签: service timer object string 汇编 system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Dream_/article/details/1793944
版权

21:33 2007-9-20

今天发现了 syser debugger  的 SDbgMsg.sys。 这个驱动程序就是SERVICE_BOOT_START  类型的驱动程序, 在windows 启动后最新给出提示信息 "Press "ESC" to Cancel Load Syser Boot  Module ",我想看看到底是怎样编程实现的:


打开 IDA 载入 SDbgMsg.sys 程序, 反汇编代码如下:


; int __stdcall start(PDEVICE_OBJECT DeviceObject)
public start
start           proc near

SymbolicLinkName    = UNICODE_STRING ptr -18h
DeviceName              = UNICODE_STRING ptr -10h
SystemRoutineName = UNICODE_STRING ptr -8
DeviceObject             = dword ptr  8       

.text:00010850 push    ebp             
.text:00010851 mov     ebp, esp                  ; 打开栈帧

.text:00010853 sub       esp, 18h
.text:00010856 push     ebx
.text:00010857 push     esi
.text:00010858 mov      esi, [ebp+DeviceObject]
.text:0001085B push    edi
.text:0001085C push    1Bh
.text:0001085E lea       edx, [esi+38h]
.text:00010861 pop      ecx                         ; 给ecx赋值 1Bh
.text:00010862 mov     eax, offset loc_10428
.text:00010867 mov     edi, edx
.text:00010869 rep stosd

上面的反汇编代码可能有问题, DeviceObject 应该是 DirverObject。如果是 DeviceObject ,那偏移 38H 位置是
DeviceObject->Queue.Blink 或者是 DeviceObject->Queue.Wcb.WaitQueueEntry.Blink 。我想不出 DeviceObject 的这些成员怎么使用。一般情况下程序开始时就是设置 Dispatch 例程, 而 DriverObject 的 Dispatch 例程就是在 38H 偏移位置, 所以我可以认为这里的 DeviceObject 就是 DriverObject。
可见 loc_10428 例程就是通用的派遣例程.

下面是DeviceObject 的偏移为38H 位置的结构图
       下面是 DriverObject 偏移为 38H 位置的结构图


.text:0001086B mov     edi, ds:RtlInitUnicodeString
.text:00010871 push    offset aDeviceSyserdbg ;          "//Device//SyserDbgMsg"
.text:00010876 lea       eax, [ebp+DeviceName]
.text:00010879 push    eax             ; DestinationString

; 设置 DirverObject->DriverUnload = sub_10702
.text:0001087A mov     dword ptr [esi+34h], offset sub_10702

; 设置 DirverObject->MajorFunction

最低0.47元/天 解锁文章
Blue_Dream_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Boot-Loader.rar_boot loader
07-14
嵌入式系统 Boot Loader 技术内幕。详细地介绍了基于嵌入式系统中的 OS 启动加载程序―― Boot Loader 的概念、软件设计的主要任务以及结构框架等内容。既有C程序实例也有文字讲解比较详细
N750_boot.rar_ N750_boot_boot ROM_n750_boot
09-19
gps Navon N750 rom ok
F28335_BOOT引导程序
10-16
1.完整的F28335引导程序(boot)CAN通信解决方案。 2.使用CAN通信配合另外的EEPROM升级程序,完全自定义协议。 3.程序功能包括 擦除内部FLASH,读写FLASH。 4.工程使用CCS5.5。 5.http://blog.sina.com.cn/s/blog_762cf5f80101ad7i.html这个是相关资料给大家 参考这个人对F28335研究的比较其博客内容相关比较多,可供大家学习。
DSP_boot.rar_dsp boot
09-19
这个是DM642的boot启动源代码,来自于合众达的开发板
SERVICE_BOOT_START 驱动程序逆向 2
FISH 的专栏
09-22 1654
.text:000104D2 ; void __stdcall DeferredRoutine(struct _KDPC *,PVOID,PVOID,PVOID).text:000104D2 DeferredRoutine proc near               ; DATA XREF: start+15Co.text:000104D2                 xor     e
开启服务并设置服务启动方式
大头的博客
04-12 1852
/*******************************************************************************函数名:OpenServerWithStartTypeByName函数功能:以请求的方式打开服务函数参数: strServerName: 服务名称 nStartType: 启动方式函数返回值: TRUE : 设置成功 FAL...
nt驱动CreateService创建SERVICE_BOOT_START级别服务报错87
youyudexiaowangzi的专栏
03-05 1359
在网上看了一个关于nt驱动安装卸载的例子,于是自己写了需要SERVICE_BOOT_START级别启动的驱动,但是安装的时候报错了,错误码是87。但是我只是改了一个级别而已,没道理会出错的。然后我只是简单的把驱动文件复制到C:\Windows\System32\Drivers目录。再执行一遍,居然成功了。不改级别的时候,测试过,路径不需要指定。可能因为这个级别的特殊性吧。...
windows 内核原理与实现读书笔记之驱动程序初始化
maomao171314的专栏
11-06 849
I/O系统的初始化是在内核的阶段1初始化过程中完成的。主要函数是Phase1InitializationDiscard,它调用IoInitSystem 来初始化I/O系统。 IoInitSystem 初始化工作: 调用IopCreateObjectTypes ,创建7种类型对象:Adapter、DeviceHandler、Controller、Device、Driver、IoCompletion、File,并存放在相应的全局变量中。 WRK中的全局类型对象变量,如下表: CmpKeyObjec
《Windows内核原理与实现笔记》(三)Windows引导过程
kernweak的博客
12-26 800
内核加载 在Intel x86系统上,Windows操作系统获得控制首先从硬盘的主引导记录(MBR,MasterBoot Record)开始,Windows Setup程序在安装Windows时填充MBR(其他的磁盘管理程序也可能填充MBR)。MBR包含代码和数据,其代码称为引导代码,在系统引导时首先获得控制;MBR中的数据是一张分区表,指定了每个分区在磁盘上的位置和大小,以及分区的类型。当...
windows驱动加载顺序
┌LiHoo┐
07-08 2996
CreateService的dwStartType 形参 有几个选项值 SERVICE_BOOT_START SERVICE_AUTO_START SERVICE_SYSTEM_START   我们一般都只用SERVICE_DEMAND_START 那么其他几个值的含义呢? 参考MSDN windows驱动加载顺序: 1. 判断StartType,依次按SERVICE_BOOT_ST
ARM Boot 程序源码.rar_Bootloader_arm boot_arm bootloader_boot
09-19
ARM处理器BOOTLOADER程序的设计,比较详细的讲了如何实现程序的加载
加密与解密工具大礼包 2010年新品
cpongo5
03-10 302
经常逆向工程发现 应该搞个加密与解密的工具包,用起来也方便些。找了一下 果然有一个。如果不想下载 可以直接这里购买http://item.taobao.com/auction/item_detail-0db1-9b8c87022ec55fb3a0c6c8041695a730.htm里面包含如下软件:├─PE 工具│├─PE资源││├─资源编辑│││├─eXeScope│││├─reshac...
PC病毒分析师所需技能和面试题
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-05 3077
标 题: 【原创】PC病毒分析师所需技能和面试题 作 者: FIGHTING安 时 间: 2015-03-26,12:47:33 链 接: http://bbs.pediy.com/showthread.php?t=199036 今天整理硬盘突然看到几年前做PC病毒分析师时整理的自己一些面试题和一些网上收集的面试题,还有一些可能有用的东西。放上来希望能给对病毒分析感兴趣和或者希望从事这
Syser Debugger 1.4 by SyserDebug
Linhanshi Blog
05-20 1308
Procedure Features: 1. Supports color disassembly. 2. Source code debugging supports syntax coloring. 3. Source code debugging supports collapsing mapping between source code and assembly instruction
我的成长
《程序员》官方BLOG
03-23 687
文 / 岩峰 求学之路 1976年,我出生在一个大家庭,爷爷奶奶与父母一起生活。姐姐大我两岁,父亲是一个工程师,母亲是个普通工人。与同龄孩子不同,我在上小学前并没上过幼儿园和学前班,而是在父母的辅导下完成了学前教育。小学四年级时被选中参加一个华罗庚数学班,在一次数学竞赛中获得长春市第四名的成绩。由于成绩突出,我被保送到市里一所重点中学学习。 重点中学在教育设施和师资力量上都有很大优势,在学...
岩峰,杯酒快意,志在高峰
CSDN
05-10 6278
<br /><br />1976年8月31日,岩峰出生于北国长春,在家中四个孩子中排行老二,上面有个姐姐,下面还有1个弟弟和1个妹妹。童年生活简单快乐,和罗大佑的那首《童年》中所唱的一样:“池塘边的榕树上 知了在声声叫着夏天 操场边的秋千上 只有蝴蝶停在上面……”岩峰说自己从小十分自由,“父母都是事业单位的,工作特别忙,家里孩子又多,所以几乎都不管我们,属于放任自由型。姐姐考上哈工大的通知书来了,家里人才知道。”没有什么学习压力,也不上什么补习班,过得非常轻松自在。“不像现在的小孩,幼儿园就压力很大”说
U-Boot源码之start.s
Enjoy working的博客
10-12 565
start.S 文件是U-Boot启动最先执行的代码,对start.S 文件的正确理解是整个U-Boot源码理解的开端和基础。要理解start.S 文件,需要具备一些预备知识,下面先介绍这些预备知识。 一、start.S预备知识
设置驱动程序开机启动
热门推荐
ALCAT的专栏
12-21 1万+
开发驱动程序时,每次都用INF文件安装再加载实在是很麻烦,就写个程序来实现。 但是在实现驱动程序开机启动时却遇到了问题。 函数原型如下: CreateService Function Creates a service object and adds it to the specified service control manager database. SC_
PRE_BOOT_COMPLETED
最新发布
04-13
当设备完成预启动阶段后,系统会发送一个PRE_BOOT_COMPLETED广播,这个广播可以被应用程序接收并作出相应的处理。通常情况下,开发者可以在接收到PRE_BOOT_COMPLETED广播时执行一些需要在系统完全启动之前完成的操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue_Dream_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值