IoCreateNotificationEvent 同步r3和r0

最新推荐文章于 2023-08-31 17:16:49 发布
最新推荐文章于 2023-08-31 17:16:49 发布
阅读量4k 收藏
点赞数
分类专栏: 驱动/内核/HOOK/ROOKIT 文章标签: object application microsoft 防火墙 security ddk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/5993603
版权
本文介绍了在驱动开发中如何利用IoCreateNotificationEvent进行用户态(r3)和内核态(r0)的同步。通过创建命名事件对象,驱动和应用程序可以通过IOCTL传递句柄实现通信。在DriverEntry中创建事件对象,并在用户模式下等待,内核态通过KeSetEvent和KeClearEvent控制线程执行。
摘要由CSDN通过智能技术生成

今天逆向驱动加载防火墙看到了这个函数

PKEVENT 
  IoCreateNotificationEvent(
    IN PUNICODE_STRING  EventName,
    OUT PHANDLE  EventHandle
    );

ddk中说可以用于r3和r0同步和便于传递信息,使用共享的事件对象有以下2个办法:

  • The user-mode application creates the event object and passes a handle to the object to the driver by sending an IOCTL to the driver. The driver must handle the IOCTL in the context of the process that created the event object and must validate the handle by calling ObReferenceObjectByHandle. This method is the recommended method for sharing event objects between user a
最低0.47元/天 解锁文章
instruder
关注
专栏目录
Windows内核地址跑r3代码实现
被遗弃的庸才博客
04-30 968
背景 最近在看雪上看到了一篇修改页属性的博客https://bbs.pediy.com/thread-266781.htm,之前的同事也提到过有人在r0跑dll,于是趁着这个机会把原作者的代码改了下,将申请的内核地址改成user可读,如下所示,这里有几点需要注意的 1、在win10 1903 中测试失败,蓝屏0x1a,会对pxe做检查 2、内核的pte基址是写死的 3、不支持大页 #include <Ntifs.h> #include <ntimage.h> #inclu
Windows驱动 - R3-R0事件交互
qq726232111的博客
12-25 682
0x00 函数 ObReferenceObjectByHandle //通过句柄获取内核资源 ObDereferenceObject //释放资源 0x01 代码 桌面程序 #include <windows.h> #include <stdio.h> #define IOCTL_CREATE_EVENT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x999, METHOD_BUFFERED , FILE_READ_DATA | FILE...
IoCreateNotificationEvent
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-16 1080
在做磁盘过滤驱动时候在驱动的DirverEntry里面创建了一个事件,一启动就BSOD了,定位到EVENT上去了,可是测试代码OK,原因是测试的驱动是在系统启动后的事了。 后来再看原来是这下面这个原因,内核EVNET的创建一定要在win32子系统初始化完成后才能进行创建 ,后创建一个线程,创建启动OK The \\BaseNamedObjects object directory is n
IoCreateNotificationEvent 中文翻译
juxua_xatu的专栏
03-01 1422
IoCreateNotificationEvent 该例程创建或者打开一个命名的通知事件用于通知一个或多个线程一个事件已经发生. PKEVENT  IoCreateNotificationEvent( IN PUNICODE_STRING EventName,   指向一个以NULL结尾的UNICODE字符串,该字符串包含事件的名称 OUT PHANDLE EventHandle
应用层R3程序以及内核R0程序实现获取时间功能
苞米地里捉小鸡的博客
05-13 604
1.R3应用层windows下有专门的API获取系统时间以及本地时间 通过调用GetLocalTime以及GetSystemTime 函数原型: void GetSystemTime( LPSYSTEMTIME lpSystemTime ); void GetLocalTime( LPSYSTEMTIME lpSystemTime ); https://docs.microsoft.com/en-us/windows/win32/api/sysinfoapi/nf-sysinfoapi-g
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
09-23
这个主题"r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho"聚焦于如何在Windows 2000和XP系统中从用户模式(Ring3)进入内核模式(Ring0)。下面我们将详细探讨这一转换过程以及相关的技术知识点。 首先,让我们理解...
R0、R1、R2、R3寄存器实验.pdf
07-05
R0、R1、R2、R3等寄存器是通用寄存器的一种,通常在微处理器中用于执行计算和数据处理任务。在这个实验中,我们将深入理解这些寄存器的作用、工作原理以及如何通过硬件接口进行操作。 实验的目的旨在让学生了解...
R3LIVE项目实战(5) — R3LIVE数据采集与时间同步
最新发布
几度春风里的博客
08-31 2979
采集数据需要注意的一点是,不同传感器之间的时间同步问题,因为LIVOX默认是从开始启动激光雷达开始算时间的并不是ROS系统时间,如果直接记录数据,是跑不起来的。在R3LIVE中设置外参时,要对此处的得到的外参结果求逆,不然得不到最后的点云着色效果。在线运行时,与提前录制数据集方法相同,修改相应的雷达和相机的话题名称,启动相机和雷达的节点,同时要注意启动时间同步的功能。robag play录制的数据集,最后得到正确的结果,如果没有时间戳同步,则接受不到对应的图像,激光点云也没有颜色。PTP时间同步的方法。
r3_to_r0.rar_from ring0 ring3_ring0_windows 内核
09-24
在计算机系统中,Ring 0 和 Ring 3 是处理器特权级别的两种主要状态,它们与操作系统内核和用户程序的执行权限密切相关。...通过分析和理解"r3_to_r0"中的代码,开发者可以更有效地编写高效且安全的系统级程序。
windows系统中核心态R0和用户态R3之间的通信
qq_33526144的博客
12-12 4325
权限级别 系统核心态指的是R0,用户态指的是R3,系统代码在核心态下运行,用户代码在用户态下运行。系统中一共有四个权限级别,R1和R2运行设备驱动,R0R3权限依次降低,R0R3的权限分别为最高和最低。从windows体系结构图可以看出在用户态可以调用的函数接口都在ntdll.dll中, ...
R3R0联调
kernweak的博客
05-23 713
如果没有联调,当看栈时候 WARNING: Frame IP not in any known module. Following frames may be wrong. 看不见操作步骤是 使用!process 0 0 获取用户空间的进程的信息 .process /p 87373550 切换到要调试的应用程序的Eprocess地址 重新加载user程序的 PDB文件 (需在Windbg...
(ZT)R3使用调用门切R0
谢绝(无视)留言与私信
10-19 1113
前言找了个例子,可以从R3通过"调用门"切到R0. 学习的过程中,还有点疑问. e.g. 为什么R3的选择子算的不对? 先丢这,等理解了再回来弄. 人家R0的代码用MASM写的, 用C写也行. 记录R3// hw.cpp : Defines the entry point for the console application. //// #include "stdafx.h" #include <
Windows内核编程R0R3通信
輚至消亡
03-20 1973
直接设备读写 其原理是锁定用户空间内存(这解决了分页内存置换导致缺页异常的问题)并将其映射到内核空间地址,直接对该内核空间地址进行写入即可,由于进程的内核空间是共享的。所以属于任何进程的线程都可以写入。 注意的点: 1. 要为设备添加DO_DIRECT_IO标志 2. 为R3下ReadFile和WriteFile派遣函数时获取对对应传入参数 a. 其中WriteFile的用户输入内存地址和ReadFile的设备输出地址通过MmGetSystemAddressForMdlSafe函数锁定IRP.
R0注入DLL到R3进程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 3146
R0注入DLL到R3,貌似没有必要,也的确没有必要。以下代码只是为了验证R0调用NtQueueApcThread来注入DLL到R3进程中,没有什么神秘的东西,博大家一笑 #include   PVOID pfn_BaseDispatchApc = NULL; PVOID pfn_LoadLibraryA = NULL; PVOID
Windows驱动开发第10课(R3R0通信交换数据第一节)
weixin_42655748的博客
11-28 1473
64位内核开发第十二讲,进程监视,ring3跟ring0事件同步.
weixin_30315435的博客
06-09 288
一丶同步与互斥详解,以及实现一个进程监视软件. 1.用于线程同步的 KEVENT 事件很简单分别分为 事件状态. 以及事件类别. 事件状态: 有信号 Signaled 无信号 Non-signaled 事件类别 自动恢复 Synchronization 自动设置 不自动恢复. Notification 手动设置 事件的创建函数 ** IoCreateNotificationEvent() ** *...
驱动开发:基于事件同步的反向通信
CSDN
06-20 8701
在之前的文章中`LyShark`一直都在教大家如何让驱动程序与应用层进行`正向通信`,而在某些时候我们不仅仅只需要正向通信,也需要反向通信,例如杀毒软件如果驱动程序拦截到恶意操作则必须将这个请求动态的转发到应用层以此来通知用户,而这种通信方式的实现有多种,通常可以使用创建Socket套接字的方式实现,亦或者使用本章所介绍的通过`事件同步`的方法实现反向通信。
驱动程序与驱动程序交互事件对象
weixin_34195142的博客
08-13 278
最近看张帆的《windows驱动技术开发详解》,看了一些东西通过写一些Demo来加深理解,这里把自己学习的东西和写的Demo记录下来,如有不妥,还请批评指正。 8.5.5 驱动程序与驱动程序交互事件对象 当我们在Ring0与Ring0交互的时候,类似于Ring0A与RingB各自的派遣函数要同步则我们要在这两者之间进行交互事件对象。 这里的关键是,A与B的事件对象的问题,即如何让A获得B的事...
LAD (R3),R0流程图怎么画
06-08
LAD (R3), R0 这条指令的含义是将寄存器 R0 中的值存储到寄存器 R3 所指向的内存地址中,因此其流程图可以分为以下几个步骤: 1. 将 R0 中的值读取到数据总线上。 2. 将 R3 中的地址读取到地址总线上。 3. 将写信号和存储器使能信号置高,表示要将数据写入存储器中。 4. 存储器接收到写信号和存储器使能信号后,将数据写入 R3 所指向的内存地址中。 以下是 LAD (R3), R0 指令的流程图: ``` +--------+ +--------+ | | | | | R0 | | R3 | | | | | +--------+ +--------+ | | | | | | | +-------------+ | | | | | +--> 数据总线 +--+ | | | | | +-------------+ | | | | +-------------+ | | | | | +--> 地址总线 +--+ | | | | | +-------------+ | | | | +-------------+ | | | | | +--> 写信号 +--+ | | | | | +-------------+ | | | | +-------------+ | | | | | +--> 存储器使能信号 +--+ | | +-------------+ ``` 注:箭头表示数据流向,加号表示组件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值