windows分层过滤驱动再理解

最新推荐文章于 2024-07-19 20:25:39 发布
最新推荐文章于 2024-07-19 20:25:39 发布
阅读量2.7k 收藏 6
点赞数
分类专栏: 内核安全 文章标签: windows rookits 键盘驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nightsay/article/details/49849139
版权

最近在看rootkits相关的资料,无意间又翻到了驱动过滤类的知识。分层驱动程序不仅可以截获数据,也可以在传递数据之前对其进行修改。

IRP和堆栈位置

学习windows下的驱动,IRP一定是重中之重,他其实就相当于windows应用层下的消息,传递着各个操作的命令。先来看看IRP的结构:
这里写图片描述
结合上面的结构图,定义如下:

typedef struct _IRP {

    PMDL MdlAddress;//MDL地址,内存描述符表。用来建立一块虚拟地址空间与物理地址页面之间的映射

/*下面是一个共用体,很重要,联合的IRP,里面的SystemBuffer是指向应用层传递来的数据,采用的是DO_BUFFER_IO缓冲区拷贝的方式通信,速度慢,一般在DeviceIoControl小数据使用*/
    union {
        struct _IRP *MasterIrp;
        LONG IrpCount;
        PVOID SystemBuffer;
    } AssociatedIrp;

 /*里面有两个结构,一个Status是IRP完成的状态,一个是Infotmation存放数据传输的个数*/
    IO_STATUS_BLOCK IoStatus;

    CHAR StackCount;//栈的个数,可以由设备对象中StackSize的值决定

    CHAR CurrentLocation;//当前的设备栈位置,很重要,过滤器驱动需要判断是否大于0,否则直接蓝屏处理

    PKEVENT UserEvent;//构建IRP时很重要,同步事件,后面会讲到。


       } Overlay;

    PVOID UserBuffer;//用户缓冲区,第三种方式和应用程序共享数据。这种速度最快,但也是最不安全,内核程序直接读取用户的内存,必

须保证在相同设备上下文中访问才不会出错。  
    union {

        struct {

            struct {

                union {


                    struct _IO_STACK_LOCATION *CurrentStackLocation;//IO设备栈指针,他是一个设备栈数组

                };
            };

        } Overlay;


    } Tail;

} IRP, *PIRP;

我们可以详细看下IO_STACK_LOCATION结构(截取一部分):
这里写图片描述

typedef struct _IO_STACK_LOCATION {
    UCHAR MajorFunction;//IRP主功能码
    UCHAR MinorFunction;//IRP次功能码,尤其是Pnp的IRP尤为重要
    UCHAR Flags;
    UCHAR Control;//DeviceControl的控制码
最低0.47元/天 解锁文章
Nightsay
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows7以上平台 NDISFilter 网卡过滤驱动开发
fanxiushu的专栏
01-16 6712
by fanxiushu 2019-01-16 转载或引用请注明原始作者 这里讨论的都是基于WIN7以上平台,NDIS 6.0以上版本的网络驱动。 做个驱动的目的,是因为很早之前,我使用 TDI 和 NDIS5.1 框架的...
Windows内核开发之串口过滤
Geons的花园阳台
04-15 6040
学习了几个月的内核编程,现在对Windows驱动开发又了更加深入的认识,特别是对IRP的分层处理逻辑有了深入认识。 总结起来就几句话: 当irp下来的时候,你要根据实际情况,进行处理 1> 无处理,继续往下传 2> 处理之后 ,往下传 3> 处理之后, 往上传 4> 不做处理,直接丢弃 具体怎么理解,通过一个串口驱动过滤就可以深入理解。 一、串口过滤概念 串口过滤:平时我
WFP网络过滤驱动-限制网站访问
大草的博客
02-23 1700
WFP网络过滤驱动-限制网站访问
windows驱动开发-WDM框架(一)
苏洛的博客
04-20 858
在前面的文章中解释过,NT5.0之后windows确定了新的架构Windows Driver Model (WDM),在Vista之后又推出了Windows Driver Framework(WDF),这两个都属于驱动程序框架,那么它们的之间的关系是怎样的?WDF是对WDM进行的封装,是为更快、更简单的进行驱动开发进行的二次封装,故WDM里面的所有概念对于WDF都是适用的,所以理解内核架构可以学习WDM,开发驱动程序则使用WDF框架。
Windows文件系统过滤驱动开发教程
Lassewang的成长历程
03-12 3296
对于这本教程,您可以免费获得并随意修改,向任何网站转贴。但是不得剽窃任何内容作为任何赢利出版物的全部或者部分。 1. 概述,钻研目的和准备 我经常在网上碰到同行请求开发文件系统驱动windows的pc机上以过滤驱动居多。其目的不外乎有以下几种: 一是用于防病毒引擎。希望在系统读写文件的时候,捕获读写的数据内容,然后检测其中是否含有病毒代码。 二是用于加密文件系统,希望
Windows 驱动开发 新手入门(四)
Doub1's Blog
06-21 2038
本篇文章介绍一下设备对象,这是写驱动过滤的基础,比如键盘,串口等等的过滤。是的缩写,直译就是物理设备对象,一般来说,就是在就是的设备对象。 只能返回设备对象地址。 指向包含 Unicode 字符串的缓冲区的指针,该字符串是设备对象的名称。 指定表示所需访问的。 通常 ,DesiredAccess指定FILE_READ_DATA。 不经常指定FILE_WRITE_DATA或FILE_ALL_ACCESS访问权限。 指向表示相应设备对象到用户模式代码的文件对象的指针(如果调用成功)。 指向表示命名逻辑、虚
USB过滤驱动程序
hutao1101175783的专栏
04-07 1761
本文分三部分来介绍如何构造一个简单的USB过滤驱动程序,包括“基本原理”、“程序的实现”、“使用INF安装”。此文的目的在于希望读者了解基本原理后,可以使用除DDK以外最流行也最方便的驱动开发工具DriverStudio来实现一个自己的过滤驱动,并正确地安装。 一、基本原理 我们知道,WDM(和KDM)是分层的,在构造设备栈时,IO管理器可以使一个设备对象附加到另外一个初始驱动程序创建的设备对象上。与初始设备对象相关的驱动程序决定的IRP,也将被发送到附加的设备对象相关的驱动程序上。这个被附加的...
Windows文件系统过滤驱动开发教程-楚狂人
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-17 2119
第一部分:概述,钻研目的和准备 我经常在网上碰到同行请求开发文件系统驱动Windows的PC机上以过滤驱动居多。其目的不外乎有以下几种:     1、用于防病毒引擎。希望在文件读写的时候,捕获读写的数据内容,然后检测其中是否含有病毒代码。     2、用于加密文件系统,希望在文件写过程中对数据进行加密,在读的过程中进行解密。     3、设计透明的文件系统加速。读写磁盘的
Windows驱动开发(一)WDM/WDF驱动概述
o0xwh_93150o的博客
02-07 4350
距离开发windows驱动已经快要满一年了,从一开始的小白什么都不知道,到现在,也算是有不少心得,准备抽时间写一些比较详细的经验分享,关于驱动开发的文章相对比较少,写的较深入的也不多,所以我想只有大家多共享一些内容,才能进步的更快!话不多说,开始。 本章主要讲述一些入门的概念性内容,有些部分可能会显得不好记,不用慌,等看了后续的文章用到的时候,再回头复习一下,就能理解它的用处了。 大家都知道,...
Windows驱动开发基础视频教程.txt
12-20
第11章分层过滤驱动 第五十课 分层驱动:枚举设备栈上的设备对象 第五十一课 编写过滤驱动程序 第五十二课 irp完成函数 第12章驱动程序开发高级技能 第五十三课 驱动程序的兼容性 第五十五课 驱动调试之windbg...
Windows WDM驱动程序设计教程 源代码
06-14
1. **驱动程序层次结构**:WDM驱动程序遵循分层结构,包括用户模式驱动(User-Mode Driver)、过滤驱动(Filter Driver)和设备驱动(Device Driver)。用户模式驱动与应用程序交互,过滤驱动用于扩展或修改设备功能...
内核:过滤驱动1
08-03
Windows操作系统中,内核模式的驱动程序扮演着关键角色,其中过滤驱动是一种特殊类型的驱动,用于在原始设备驱动和系统之间添加额外的功能层。本文主要讨论x64内核下过滤驱动如何实现Hook驱动,以及相关的IRP(I/O...
windows环境下驱动程序开发
01-04
3. **驱动类型**:在Windows CE中,常见的驱动类型有函数驱动过滤驱动、总线驱动和物理设备对象(PDO)。函数驱动是最底层的驱动,直接控制硬件;过滤驱动用于添加额外的功能或修改函数驱动的行为;总线驱动管理...
Windows网络驱动程序设计指南.doc
03-15
Windows网络驱动程序设计指南》是一部深入探讨网络驱动程序开发的重要文献,它涵盖了从基础概念到具体实现的多个层面。该指南分为五个主要部分,旨在帮助开发者理解和创建高效的网络驱动程序。 第一部分“网络...
2024.7.19 作业
qq_64434282的博客
07-19 2480
【代码】2024.7.19 作业。
【SCI一区】Matlab实现蛇群优化算法SO-CNN-LSTM-Attention的风电功率预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
Axure大屏可视化模板科技感原件.rp
最新发布
07-29
Axure大屏可视化是指使用Axure RP这款原型设计工具来创建具有视觉冲击力和数据展示功能的大屏幕界面。Axure以其强大的交互设计和丰富的组件库,成为了实现大屏可视化的重要工具之一。
【创新未发表】Matlab实现斑马优化算法ZOA-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
Windows CE设备驱动程序开发详解
这种分层架构有助于抽象化硬件细节,使得驱动开发更加模块化,易于维护和扩展。 USB鼠标驱动开发示例通常会涵盖USB总线设备驱动的流程,包括设备枚举、配置、命令传输以及中断处理等。USBD作为USB设备驱动的一部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值