用Visual studio2012在Windows8上开发内核驱动监视进程创建

最新推荐文章于 2022-10-14 13:11:42 发布
最新推荐文章于 2022-10-14 13:11:42 发布
阅读量5.1k 收藏 3
点赞数 1
分类专栏: Visual C++2010编程技术 VC++编程技术 Visual Studio2012 Windows8 Windows7编程技术 Visual Studio 11开发专栏 Windows8开发专栏 文章标签: windows extension dos null delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itcastcpp/article/details/7751744
版权

在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。 
在Windows NT中,存在三种Device Driver:

  1.“Virtual device Driver” (VDD)。通过VDD,16位应用程序,如DOS 和Win16应用程序可以访问特定的I/O端口(注意,不是直接访问,而是要通过VDD来实现访问)。

  2.“GDI Driver”,提供显示和打印所需的GDI函数。

  3.“Kernel Mode Driver”,实现对特定硬件的操作,比如说CreateFile, CloseHandle (对于文件对象而言), ReadFile, WriteFile, DeviceIoControl 等操作。“Kernel Mode Driver”还是Windows NT中唯一可以对硬件中断和DMA进行操作的Driver。SCSI 小端口驱动和 网卡NDIS 驱动都是Kernel Mode Driver的一种特殊形式。

 

 

Visual studio2012与Windows8带来格外不同的新体验

 

1.启动Vs2012


2.看见满目的驱动开发模板

3.选择一个驱动模式,有内核模式与用户模式两种的驱动

 

4.创建一个驱动程序,KMDF DriverMVP

 

5.我们选择的是内核模式的驱动程序,下面是创建成功后的界面,分别是驱动程序本身,与驱动安装包

6.按下F5,选择驱动编译,

 


插入下列代码实现内核的进程创建

#include "ProcMon.h"
#include "../inc/ioctls.h"

//
//

//
//
// 全局变量
//

PDEVICE_OBJECT	g_pDeviceObject;

//
//

//
//
// 函数实现
//

NTSTATUS
DriverEntry(
	IN PDRIVER_OBJECT		DriverObject,
	IN PUNICODE_STRING		RegistryPath
)
{
	NTSTATUS			Status = STATUS_SUCCESS;    
	UNICODE_STRING		ntDeviceName;
	UNICODE_STRING		dosDeviceName;
	UNICODE_STRING		ProcessEventString;
	PDEVICE_EXTENSION	deviceExtension;
	PDEVICE_OBJECT		deviceObject = NULL;
	
	KdPrint(("[ProcMon] DriverEntry: %wZ\n", RegistryPath));
	
	//
	// 创建设备对象
	//
	RtlInitUnicodeString(&ntDeviceName, PROCMON_DEVICE_NAME_W);
	
	Status = IoCreateDevice(
						DriverObject, 
						sizeof(DEVICE_EXTENSION),		// DeviceExtensionSize
						&ntDeviceName,					// DeviceName
						FILE_DEVICE_PROCMON,			// DeviceType
						0,								// DeviceCharacteristics
						TRUE,							// Exclusive
						&deviceObject					// [OUT]
						);

	if(!NT_SUCCESS(Status))
	{
		KdPrint(("[ProcMon] IoCreateDevice Error Code = 0x%X\n", Status));
		
		return Status;
	}
	
	//
	// 设置扩展结构
	//
	deviceExtension = (PDEVICE_EXTENSION)deviceObject->DeviceExtension;
	
	//
	// Set up synchronization objects, state info,, etc.
	//
	deviceObject->Flags |= DO_BUFFERED_IO;
	
	//
	// 创建符号链接
	//
	RtlInitUnicodeString(&dosDeviceName, PROCMON_DOS_DEVICE_NAME_W);
	
	Status = IoCreateSymbolicLink(&dosDeviceName, &ntDeviceName);
	
	if(!NT_SUCCESS(Status))
	{
		KdPrint(("[ProcMon] IoCreateSymbolicLink Error Code = 0x%X\n", Status));

		IoDeleteDevice(deviceObject);
		
		return Status;
	}
	
	//
	// 分发IRP
	//
	DriverObject->MajorFunction[IRP_MJ_CREATE]			= ProcmonDispatchCreate;
	DriverObject->MajorFunction[IRP_MJ_CLOSE]			= ProcmonDispatchClose;
	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]	= ProcmonDispatchDeviceControl;
	DriverObject->DriverUnload							= ProcmonUnload;
	
	//
	// 保存设备对象指针
	//
	g_pDeviceObject = deviceObject;

	//
	// 创建事件对象与应用层通信
	//
	RtlInitUnicodeString(&ProcessEventString, EVENT_NAME);
	
	deviceExtension->ProcessEvent = IoCreateNotificationEvent(&ProcessEventString, &deviceExtension->hProcessHandle);
	KeClearEvent(deviceExtension->ProcessEvent);			// 非受信状态

	//
	// 设置回调例程
	//
	Status = PsSetCreateProcessNotifyRoutine(ProcessCallback, FALSE);

	return Status;
}

NTSTATUS
ProcmonDispatchCreate(
	IN PDEVICE_OBJECT		DeviceObject,
	IN PIRP					Irp
)
{
	NTSTATUS Status = STATUS_SUCCESS;
	
	Irp->IoStatus.Information = 0;
	
	KdPrint(("[ProcMon] IRP_MJ_CREATE\n"));
	
	Irp->IoStatus.Status = Status;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	
	return Status;
}

NTSTATUS
ProcmonDispatchClose(
	IN PDEVICE_OBJECT		DeviceObject,
	IN PIRP					Irp
)
{
	NTSTATUS Status = STATUS_SUCCESS;
	
	Irp->IoStatus.Information = 0;
	
	KdPrint(("[ProcMon] IRP_MJ_CLOSE\n"));
	
	Irp->IoStatus.Status = Status;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	
	return Status;
}

NTSTATUS
ProcmonDispatchDeviceControl(
	IN PDEVICE_OBJECT		DeviceObject,
	IN PIRP					Irp
)
{
	NTSTATUS			Status = STATUS_SUCCESS;
	PIO_STACK_LOCATION	irpStack;
	PDEVICE_EXTENSION	deviceExtension;
	ULONG				inBufLength, outBufLength;
	ULONG				ioControlCode;
	PCALLBACK_INFO		pCallbackInfo;
	
	// 获取当前设备栈
	irpStack = IoGetCurrentIrpStackLocation(Irp);
	deviceExtension = (PDEVICE_EXTENSION)DeviceObject->DeviceExtension;
	
	// 提取信息
	pCallbackInfo = Irp->AssociatedIrp.SystemBuffer;
	inBufLength = irpStack->Parameters.DeviceIoControl.InputBufferLength;
	outBufLength = irpStack->Parameters.DeviceIoControl.OutputBufferLength;
	ioControlCode = irpStack->Parameters.DeviceIoControl.IoControlCode;

	// 处理不同的IOCTL
	switch (ioControlCode)
	{
	case IOCTL_PROC_MON:
		{
			KdPrint(("[ProcMon] IOCTL: 0x%X", ioControlCode));

			if (outBufLength >= sizeof(PCALLBACK_INFO))
			{
				pCallbackInfo->hParentId = deviceExtension->hParentId;
				pCallbackInfo->hProcessId = deviceExtension->hProcessId;
				pCallbackInfo->bCreate = deviceExtension->bCreate;

				Irp->IoStatus.Information = outBufLength;
			} 
			break;
		}
		
	default:
		{
			Status = STATUS_INVALID_PARAMETER;
			Irp->IoStatus.Information = 0;
			
			KdPrint(("[ProcMon] Unknown IOCTL: 0x%X (%04X,%04X)", \
					ioControlCode, DEVICE_TYPE_FROM_CTL_CODE(ioControlCode), \
					IoGetFunctionCodeFromCtlCode(ioControlCode)));
			
			break;
		}
	}
	
	Irp->IoStatus.Status = Status;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);	
	
	return Status;
}

VOID
ProcmonUnload(
	IN PDRIVER_OBJECT		DriverObject
)
{
	UNICODE_STRING dosDeviceName;
	
	//
	// Free any resources
	//

	// 卸载回调例程
	PsSetCreateProcessNotifyRoutine(ProcessCallback, TRUE);
	
	//
	// Delete the symbolic link
	//
	
	RtlInitUnicodeString(&dosDeviceName, PROCMON_DOS_DEVICE_NAME_W);
	
	IoDeleteSymbolicLink(&dosDeviceName);
	
	//
	// Delete the device object
	//
	
	IoDeleteDevice(DriverObject->DeviceObject);
	
	KdPrint(("[ProcMon] Unloaded"));
}

VOID
ProcessCallback(
	IN HANDLE				ParentId,			// 父进程ID
	IN HANDLE				ProcessId,			// 发生事件的进程ID
	IN BOOLEAN				Create				// 进程是创建还是终止
)
{
	PDEVICE_EXTENSION deviceExtension = (PDEVICE_EXTENSION)g_pDeviceObject->DeviceExtension;

	deviceExtension->hParentId = ParentId;
	deviceExtension->hProcessId = ProcessId;
	deviceExtension->bCreate = Create;

	// 触发事件,通知应用程序
	KeSetEvent(deviceExtension->ProcessEvent, 0, FALSE);
	KeClearEvent(deviceExtension->ProcessEvent);
}

//
//


ring3实现应用层的调用,搞定进程创建的监视


#include "windows.h"
#include "winioctl.h"
#include "stdio.h"
#include "../inc/ioctls.h"

#define SYMBOL_LINK "\\\\.\\ProcMon"
//#define SYMBOL_LINK "\\\\.\\slNTProcDrv"

int main()
{
	CALLBACK_INFO cbkinfo, cbktemp = {0};

	// 打开驱动设备对象
	HANDLE hDriver = ::CreateFile(
							SYMBOL_LINK,
							GENERIC_READ | GENERIC_WRITE,
							0,
							NULL,
							OPEN_EXISTING,
							FILE_ATTRIBUTE_NORMAL,
							NULL);
	if (hDriver == INVALID_HANDLE_VALUE)
	{
		printf("打开驱动设备对象失败!\n");

		return -1;
	}
	
	// 打开内核事件对象
	HANDLE hProcessEvent = ::OpenEventW(SYNCHRONIZE, FALSE, EVENT_NAME);

	while (::WaitForSingleObject(hProcessEvent, INFINITE))
	{
		DWORD	dwRet;
		BOOL	bRet;

		bRet = ::DeviceIoControl(
							hDriver,
							IOCTL_PROC_MON,
							NULL,
							0,
							&cbkinfo,
							sizeof(cbkinfo),
							&dwRet,
							NULL);

		if (bRet)
		{
			if (cbkinfo.hParentId != cbktemp.hParentId || \
				cbkinfo.hProcessId != cbktemp.hProcessId || \
				cbkinfo.bCreate != cbktemp.bCreate)
			{
				if (cbkinfo.bCreate)
				{
					printf("有进程被创建,PID = %d\n", cbkinfo.hProcessId);
				} 
				else
				{
					printf("有进程被终止,PID = %d\n", cbkinfo.hProcessId);
				}

				cbktemp = cbkinfo;
			}
		} 
		else
		{
			printf("\n获取进程信息失败!\n");
			break;
		}
	}

	::CloseHandle(hDriver);

	return 0;
}



尹成
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
【软件测试】测试驱动开发行为驱动开发
星拱北辰的博客
03-24 607
本文讨论测试驱动开发行为驱动开发
KernelModeMonitor:内核模式驱动程序和用户模式应用程序通信项目
05-11
模拟Microsoft的WinObj工具模块:列出加载的模块(.dll和.sys文件) 驱动程序对象:列出目录对象内的所有驱动程序VS版本使用Visual Studio 2013 Ultimate和WDK(Windows驱动程序工具包)版本8.1编译项目。...
驱动开发:监控进程与线程对象操作
CSDN
06-14 8573
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程或线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3161
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。 2、当
驱动开发内核监控进程与线程创建
CSDN
10-14 7146
监控进程的启动与退出可以使用 `PsSetCreateProcessNotifyRoutineEx` 来创建回调,当新进程产生时,回调函数会被率先执行,然后执行我们自己的`MyCreateProcessNotifyEx`函数,并在内部进行打印输出。而检测线程操作与检测进程差不多,检测线程需要调用`PsSetCreateThreadNotifyRoutine` 创建回调函数,然后就可以检测线程的创建了。
精通Windows.API-函数、接口、编程实例.pdf
01-27
3.3.7 在Platform SDK的基础上使用nmake 56 3.4 使用WinDbg调试 57 3.4.1 安装WinDbg 57 3.4.2 编译可调试的程序 58 3.4.3 WinDbg命令 59 3.4.4 调试过程演示 59 3.5 集成开发环境 Visual Studio 62 ...
processhacker:免费,强大,多功能的工具,可帮助您监视系统资源,调试软件和检测恶意软件
01-28
如果您更喜欢使用Visual Studio构建项目,请执行位于build目录中的build_release.cmd来编译项目或加载ProcessHacker.sln和Plugins.sln解决方案。 您可以下载免费的来构建Process Hacker源代码。增强功能/错误请使用...
卓然主动防御模块源码,VC 驱动级云安全实例.rar
07-09
应用层采用Visual Studio 2008(C )开发驱动开发环境为WDK 6001.18002、Notepad ,测试环境为VMware 6.0、Windows Xp Sp3。 开发目的 系统特性: 一. 使用RootiKit技术,精确拦截木马,曝光恶意行为 二. 提供详细...
驱动开发之磁盘读写文件监控.sys驱动程序.zip
01-27
驱动开发之磁盘文件读写监控.sys驱动程序.zip
Xilinx公司xdma驱动下的底层读写DLL封装
03-05
自己将Xilinx提供的xdma IP核 PCIE驱动的底层读写操作封装成了DLL文件,可供其它C++或C#程序直接调用,已经在项目中使用,非常方便,支持PCIE中断
Xilinx_xdma_driver_win_2018_2
10-27
这是Xilinx官方提供的Windows平台下的XDMA的驱动程序和VS源代码,压缩包里面包含三个子压缩包
驱动开发进程创建及 销毁的监视
xmmdbk的博客
11-21 281
The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of routines to be called whenever a process is created or deleted. NTSTATUS PsSetCr...
驱动程序调测方法与技巧
生活=研发;
09-06 2112
驱动程序开发的一个重大难点就是不易调试。本文目的就是介绍驱动开发中常用的几种直接和间接的调试手段,它们是: 利用printk 查看OOP消息 利用strace 利用内核内置的hacking选项 利用ioctl方法 利用/proc 文件系统 使用kgdb 一、利用prin
测试驱动开发系列之七--监视产品代码
千月星跡
07-15 786
测试驱动的嵌入式C语言开发 以动手实践为荣,以只看不练为耻。 以打印日志为荣,以单步跟踪为耻。 以空格缩进为荣,以制表缩进为耻。 以单元测试为荣,以人工测试为耻。 以模块复用为荣,以复制粘贴为耻。 以多态应用为荣,以分支判断为耻。 以pythonic为荣,以冗余拖沓为耻。 以总结分享为荣,以跪求其解为耻。 为什么以单步跟踪为耻 单步跟踪,对于面对代码中的bug一筹莫展的程序员来
[Debug]驱动程序调测方法与技巧
anxuan3201的博客
09-20 195
转自:http://blog.csdn.net/lichangc/article/details/43272457 驱动程序开发的一个重大难点就是不易调试。本文目的就是介绍驱动开发中常用的几种直接和间接的调试手段,它们是: 利用printk 查看OOP消息 利用strace 利用内核内置的hacking选项 利用ioctl方法 利用/proc 文件系统 使用kgdb ...
Windows驱动开发系列之一:小白入门经典
09-05
Windows驱动程序开发比较复杂,我将带领大家一起领略内核模式下编程的奥妙。您将真正掌握内核编程的原理与技术,将技术水平提升一个档次,学会核心技术。您将掌握Windows驱动开发的基本技术;灵活应用IRP、IO堆栈、设备栈、派遣函数等;您将掌握Windows驱动的分层技术,了解WDM驱动的基本原理您将掌握Windows驱动开发中的各种回调例程:完成例程、取消例程、DPC例程、APC例程、等等。具体内容包括但不限于:Windows驱动开发小白入门,Windows内核架构与驱动开发的基本概念,VS2015+VMware(win10x64)双机调试驱动,Win10x64中安装WDM驱动驱动程序的基本结构(NT,WDM),Windows内存管理,Windows内核函数,驱动程序的派遣函数,驱动程序的同步处理,IRP的同步,定时器,驱动程序调用驱动程序,分层驱动程序
在平板电脑与移动3G大爆炸的时代,昔日霸主微软的反击
热门推荐
尹成的技术博客
06-02 1万+
在Android已经如日中天的时刻,在苹果的市值超过微软的时刻,微软已经意识到错过了未来,但是微软不会坐以待毙,犹如三国争霸的时代,云计算微软投入重兵,但是移动3G,微软会放弃吗?       微软的对抗战略如下     Windows 8 是由微软公司开发的,具有革命性变化的操作系统。该系统旨在让人们的日常电脑操作更加简单和快捷,为人们提供高效易行的工作环境。Windows8将支持来自Intel
visual studio community开发windows驱动程序有缺点啊
最新发布
07-15
是的,使用Visual Studio Community开发Windows驱动程序可能会有一些限制和缺点。以下是一些常见的缺点: 1. 缺少某些高级功能:相比于更高级的版本如Visual Studio Professional或Enterprise,Visual Studio Community可能缺少某些高级功能和工具,这可能对一些复杂的驱动开发任务造成限制。 2. 限制于个人或非商业用途:Visual Studio Community版本是免费提供给个人开发者和小型团队使用的,对于商业用途可能会有一些限制。如果您的驱动程序用于商业目的,您可能需要考虑使用更高级的版本。 3. 限制于特定操作系统版本:Visual Studio Community版本可能只支持特定版本的Windows操作系统。如果您需要在较旧或较新的Windows版本上开发驱动程序,可能需要使用其他版本的Visual Studio。 4. 缺少某些驱动开发工具:驱动程序开发通常需要一些特定的工具和扩展,例如WDK(Windows Driver Kit)和DDK(Driver Development Kit)。虽然Visual Studio Community可以与这些工具集成,但某些高级功能可能需要其他版本。 5. 受限于社区支持:相对于更高级的版本,Visual Studio Community可能受到较少的官方支持。您可能需要依靠社区论坛和资源来解决问题和获取支持。 请注意,上述缺点并不意味着Visual Studio Community无法用于Windows驱动程序开发。对于一些简单或小规模的项目,它仍然是一个很好的选择。但对于更复杂的驱动开发任务或商业项目,您可能需要考虑使用更高级的版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尹成

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值