Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

最新推荐文章于 2020-07-30 19:34:17 发布
最新推荐文章于 2020-07-30 19:34:17 发布
阅读量4.4k 收藏 14
点赞数 3
分类专栏: 驱动内核编程 文章标签: Win64驱动编程 驱动 驱动编程框架 驱动代码 驱动例子
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/57412682
版权
本文介绍了Win64驱动的基本开发流程,包括驱动安装、驱动程序编写以及驱动与应用程序间的通讯。通过一个HelloWorld示例,详细讲解了VS2015中创建驱动项目、配置编译选项以及解决编译错误的过程。在驱动安装部分,提到了使用SCM安装驱动的原理,并给出了安装模板代码。最后,文章讨论了在64位系统上安装无签名驱动的方法,以及如何测试驱动是否成功加载和运行。
摘要由CSDN通过智能技术生成

驱动安装,通讯,Hello World

开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回。

驱动程序Hello World

之前总结了驱动环境的搭建,这里就直接继续之前搭建好的环境创建项目,打开vs2015创建一个驱动项目:



写代码之前先配置下编译选项:


然后添加一个项目文件main.c(注意后缀是.c,前面名字无所谓可以不叫main),里面的内容如下(下面模板代码来源于网络,作者:胡文亮,我是在看他的资料学习,感谢这位前辈。)

/*
WIN64驱动开发模板
作者:Tesla.Angela
*/
 
//【0】包含的头文件,可以加入系统或自己定义的头文件
#include <ntddk.h>
#include <windef.h>
#include <stdlib.h>
 
//【1】定义符号链接,一般来说修改为驱动的名字即可
#define	DEVICE_NAME	L"\\Device\\KrnlHW64"
#define LINK_NAME	L"\\DosDevices\\KrnlHW64"
#define LINK_GLOBAL_NAME	L"\\DosDevices\\Global\\KrnlHW64"
 
//【2】定义驱动功能号和名字,提供接口给应用程序调用
#define IOCTL_IO_TEST	CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_SAY_HELLO	CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS)
 
//【3】驱动卸载的处理例程
VOID DriverUnload(PDRIVER_OBJECT pDriverObj)
{
UNICODE_STRING strLink;
DbgPrint("[KrnlHW64]DriverUnload\n");
//删除符号连接和设备
RtlInitUnicodeString(&strLink, LINK_NAME);
IoDeleteSymbolicLink(&strLink);
IoDeleteDevice(pDriverObj->DeviceObject);
}
 
//【4】IRP_MJ_CREATE对应的处理例程,一般不用管它
NTSTATUS DispatchCreate(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
DbgPrint("[KrnlHW64]DispatchCreate\n");
pIrp->IoStatus.Status = STATUS_SUCCESS;
pIrp->IoStatus.Information = 0;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}
 
//【5】IRP_MJ_CLOSE对应的处理例程,一般不用管它
NTSTATUS DispatchClose(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
DbgPrint("[KrnlHW64]DispatchClose\n");
pIrp->IoStatus.Status = STATUS_SUCCESS;
pIrp->IoStatus.Information = 0;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}
 
//【6】IRP_MJ_DEVICE_CONTROL对应的处理例程,驱动最重要的函数之一,一般走正常途径调用驱动功能的程序,都会经过这个函数
NTSTATUS DispatchIoctl(PDEVICE_OBJECT
最低0.47元/天 解锁文章
TK13
关注
专栏目录
Win64 驱动内核编程-4.内核里操作字符串
天使也掉毛
03-04 1583
内核里操作字符串 字符串本质上就是一段内存,之所以和内存使用分开讲,是因为内核里的字符串太有花 样了,细数下来竟然有 4 种字符串!这四种字符串,分别是:CHAR*、WCHAR*、ANSI_STRING、UNICODE_STRING。当然,内核里使用频率最多的是 UNICODE_STRING,其次是 WCHAR*,再次是 CHAR*,而 ANSI_STRING,则几乎没见过有什么内核函数使用。
WIN64内核编程-的基础知识
墨鱼菜鸡
09-28 275
  WIN64内核编程基础班(作者:胡文亮) https://www.dbgpro.com/x64driver   我们先从一份“简历”说起:   姓名:X86或80x86   性别:?   出生年月:1978   出生地点:美国   所属公司:主要是INTEL和AMD   主要历史(摘自维基百科):x86架构于1978年推出的Intel 8086中央处理器中首度出   现,它是从Intel...
天使也掉毛 Win64 驱动内核编程
11-24
天使也掉毛 Win64 驱动内核编程高清PDF,对于学习驱动帮助很大,需要的就下载吧
Windows 64驱动编程基础与win64 ssdt
weixin_30369087的博客
09-21 318
Win64编程 32位系统逐渐淘汰,转到64编程相当重要. 但苦于64驱动编程网上的资料比较杂乱 这里打算写写关于64驱动编程的内容,当然大部分内容都是从网上搜集过来的,然后汇集到一起好用来学习. 准备 双机调试, 加载驱动工具,debgview工具, win10重启后禁用驱动签名. 重启后加载驱动 双机调试: 在win7虚拟机关机状态...
Win64 驱动内核编程-27.强制读写受保护的内存
热门推荐
天使也掉毛
03-31 1万+
强制读写受保护的内存     某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。  方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进
cocos2d-x-3.x 源代码框架解析
陆癫子的博客
06-19 3287
cocos2d-x应用窗口相关源码剖析 1 CCApplicationProtocol、CCApplication、AppDelegate类实现源码分析 什么是框架框架最低要求  理论: 1)框架定义了一些协议(功能的抽象);目的:解耦合,通过函数指针实现。 2)框架实现了这层协议的调用,框架具有集成功能。 3)上层应用按照要求,去实现框架协议   代码兑现: 1)CCAppl
新版Android开发教程.rar
12-14
----------------------------------- Android 编程基础 1 封面----------------------------------- Android 编程基础 2 开放手机联盟 --Open --Open --Open --Open Handset Handset Handset Handset Alliance ...
Win64 驱动内核编程-20.UnHook SSDT
墨鱼菜鸡
12-18 148
UNHOOKSSDT 要恢复SSDT,首先要获得SSDT各个函数的原始地址,而SSDT各个函数的原始地址,自然是存储在内核文件里的。于是,有了以下思路: 1.获得内核里KiServiceTable的地址(变量名称:KiServiceTable) 2.获得内核文件在内核里的加载地址(...
WIN64驱动编程基础教程合订版本
05-20
WIN64驱动编程基础教程合订版本 把每个章节合成一个完整的PDF文件
Win64DriverStudy_Src:WIN64驱动编程基础教程-源码作者:胡文亮
03-24
#### WIN64驱动编程基础教程作者:胡文亮 原始码的编译环境是WDK7600 以下是记者介绍 【原创+福利+源码包】WIN64驱动编程基础教程(含PASS DSE的文件) 大家好,我的是Tesla.Angela。 这份指南本来是拿来出售的,不过由于某些原因导致部分章节出现在了互联网上,于是决定彻底公开了。 详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 1.驱动HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld 2.内核编程基础 | -WIN64内核编程基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其他常用代码 3.内核HOOK与UNHOOK |-系统调用,WOW64与兼容模式 |-编程
windows 64驱动程序开发
03-13
微软的有关64驱动开发的移植和编程指南,对从32位转64位非常有帮助
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
Windows 驱动之间的通信
tksnow99的专栏
04-29 2303
本文主要介绍windows NT驱动之间利用CTL_CODE如何通信。一般来讲,用户态的应用程序通过调用CreateFile和DeviceIOControl就可以和内核驱动之间进行通信,如果是内核态的一个驱动程序想和另外一个驱动程序进行类似操作又如何实现呢,接下来会做详细的说明。主要的思路是首先得到另外一个驱动的handle,再构建一个IRP,赋予必要的参数,再把这个IRP发送给另外一个驱动
Windows内核编程(一)第一个驱动的编写,以及生成
懒羊羊的梦想
07-30 531
内核编程 内核入口函数 NTSTATUS DriverEntry( PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath ) 第一个参数表示驱动对象指针:驱动运行后,OS在内存中为其分配了一个DRIVER_OBJECT的数据结构,里面记录这个驱动的一些信息。 第二个参数表表示当前驱动所对应的注册表的位置 typedef struct _UNICODE_STRING{ USHORT Lenghl; USHORT MaximumLengt
Windows 驱动驱动之间的通信
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-11 1766
本文主要介绍 windows NT 驱动之间利用 CTL_CODE 如何通信. 一般来讲, 用户态的应用程序通过调用 CreateFile 和 DeviceIOControl 就可以和内核驱动之间进行通信, 如果是内核态的一个驱动程序想和另外一个驱动程序进行类似操作又如何实现呢, 接下来会做详细的说明. 主要的思路是首先得到另外一个驱动的 handle, 再构建一个 IRP, 赋予必要的参
Win64 驱动内核编程-6.内核里操作注册表
天使也掉毛
03-04 1516
内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大,同样是“获得句柄->执行操作->关闭句柄”的模式,同样也只能使用内核 API 不能使用 WIN32API。不过内核里有一套 RTL 函数,把 Zw系列的注册表函数进行了封装,也就是说,只剩下“执行操作”这一步了。 接下来说说注册表的本质。注册表其实是文件,它存储在 c:\windows\system32\config 这个
windows内核安全编程——内核上机指导
比尔丁子
12-20 1843
1、WDK下载地址:windows driver kit https://connect.microsoft.com/default.aspx 2、第一个列子:first.c #include //卸载函数 VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("first: Our driver is unloading.
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64Windows驱动程序开发的教程资源,由作者“天使也掉毛”在CSDN博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值