WDK中的辅助内核模式库(Auxiliary Kernel-Mode Library)

最新推荐文章于 2023-08-17 14:55:56 发布
最新推荐文章于 2023-08-17 14:55:56 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Windows 文章标签: library module resources null 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Seaquester/article/details/1640132
版权

WDK中的辅助内核模式库(Auxiliary Kernel-Mode Library)

WDK中增加了一个辅助内核模式库(Auxiliary Kernel-Mode Library),里面的函数可以让内核模式驱动程序访问某些系统功能。里面包含的函数有下面几个:

AuxKlibInitialize
AuxKlibQueryModuleInformation
AuxKlibGetImageExportDirectory
AuxKlibGetBugCheckData


1. AuxKlibInitialize 函数用来初始化 Auxiliary Kernel-Mode Library。Driver 在使用 Auxiliary Kernel-Mode Library 里面的其他函数之前必须先调用 AuxKlibInitialize。函数原型如下:

NTSTATUS
AuxKlibInitialize (
   VOID
   );

另外,要使用里面的函数必须包含头文件 aux_klib.h,并链接 aux_klib.lib。

  
2. AuxKlibQueryModuleInformation 是一个文档化的获得加载模块的方法,可以替代 ZwQuerySystemInformation 的部分功能。函数原型如下:

NTSTATUS
AuxKlibQueryModuleInformation (
   IN OUT PULONG  BufferSize,
   IN     ULONG   ElementSize,
   OUT    PVOID   QueryInfo    OPTIONAL
   );


下面的示例代码摘录自MSDN:

NTSTATUS                  status;
ULONG                      modulesSize;
AUX_MODULE_EXTENDED_INFO*  modules;
ULONG                      numberOfModules;


//
// Get the required array size.
//
status = AuxKlibQueryModuleInformation(
   &modulesSize,
   sizeof(AUX_MODULE_EXTENDED_INFO),
   NULL
   );

if (!NT_SUCCESS(status) || modulesSize == 0)
{
   break;
}

//
// Calculate the number of modules.
//
numberOfModules = modulesSize / sizeof(AUX_MODULE_EXTENDED_INFO);


//
// Allocate memory to receive data.
//
modules = (AUX_MODULE_EXTENDED_INFO*) ExAllocatePoolWithTag(
   PagedPool,
   modulesSize,
   '3LxF'
   );
if (modules == NULL)
{
   status = STATUS_INSUFFICIENT_RESOURCES;
   break;
}

RtlZeroMemory(modules, modulesSize);

//
// Obtain the module information.
//
status = AuxKlibQueryModuleInformation(
   &modulesSize,
   sizeof(AUX_MODULE_EXTENDED_INFO),
   modules
   );
if (!NT_SUCCESS(status))
{
   break;
}

3. AuxKlibGetImageExportDirectory 函数可以得到一个模块的导出目录。函数原型如下:

PIMAGE_EXPORT_DIRECTORY
AuxKlibGetImageExportDirectory(
   IN PVOID  ImageBase
   );


4. AuxKlibGetBugCheckData 函数可以获得一个刚发生的 Bug Check 的信息。函数原型如下:

NTSTATUS
AuxKlibGetBugCheckData(
   OUT PKBUGCHECK_DATA  BugCheckData
   );

注:AuxKlibGetBugCheckData 只能在 BugCheckCallback 例程里面调用(如何注册 BugCheckCallback 例程请参考KeRegisterBugCheckCallback 函数)。

seaquester
关注
专栏目录
win-kernel-programming-code.rar_驱动编程_C/C++_
08-12
寒江独钓-Windows内核安全编程所有源代码
Kernel内核 5.5.0
01-05
包含 1. linux-headers-5.5.0-050500rc4_5.5.0-050500rc4.201912291930_all.deb 2. linux-headers-5.5.0-050500rc4-generic_5.5.0-050500rc4.201912291930_amd64.deb 3. linux-image-unsigned-5.5.0-050500rc4-generic_5.5.0-050500rc4.201912291930_amd64.deb 4. linux-modules-5.5.0-050500rc4-generic_5.5.0-050500rc4.201912291930_amd64.deb
Auxiliary Bus
六六哥的博客
10-22 1137
Auxiliary 总线 在某些子系统,核心设备(PCI/ACPI/其他)的功能对于单个设备来说过于复杂,无法由单个某驱动程序(例如 Sound Open Firmware)管理,多个设备可能会实现共同的功能交集(例如 NIC+ RDMA),或者驱动程序可能想导出一个接口供另一个子系统驱动(例如 SIOV Physical Function export Virtual Function management)。将功能拆分为代表sub-domains功能的child- devices,可以通过 Lin.
Linux 安装显卡驱动
weixin_39446416的博客
09-08 350
安装显卡驱动出现下面错误: ERROR: You appear to be running an X server; please exit X before installing. 解决方法: sudo ./NVIDIA-Linux-x86_64-384.59.run -no-opengl-files -no-x-check
Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)
时空之中的灵魂
10-14 413
附另两种方法链接 Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation) 1.主要区别
Xilinx Alveo X3522安装指导
最新发布
a1013552415的博客
08-17 1029
Xilinx Alveo X3522使用XCUX35 FPGA(XCUX35-3VSVA1365E),包含两个DSFP28网络连接贺一个PCIe Gen4x8/Gen3x8接口。每一个DSFP28模块通过一个共享PF支持两个端口。
microsoft kernel-mode driver framework install-v1.9-win2k-winxp-win2k3.exe
04-14
Microsoft Kernel-Mode Driver Framework Install-v1.9-Win2k-WinXP-Win2k3.exe WDK开发Xp虚拟机必备插件
Overloaded-kernel-for-XPSP3.rar_内核 重载_内核重载_重载内核
09-20
在Windows XP Service Pack 3(XP SP3)环境,"Overloaded-kernel-for-XPSP3.rar" 提供了一个经过重载的内核,这表明它可能包含了对原始XP内核的修改或扩展,以实现特定的目标。这种内核通常由开发人员使用Windows...
Anti-Delete:使用内核模式驱动程序保护具有指定扩展名的文件的删除
05-01
本文将深入探讨如何利用内核模式驱动程序(Kernel-Mode Driver)来实现这一目标,特别关注保护具有指定扩展名的文件不被删除。这种技术通常用于开发反病毒软件或安全防护系统,以增强系统的保护能力。 内核模式驱动...
Windows-WDK驱动开发文档.zip
05-25
通过WDK,开发者可以创建用户模式驱动(User-Mode Driver, UMD)和内核模式驱动(Kernel-Mode Driver, KMD),满足不同层次的需求。 二、用户模式驱动与内核模式驱动 1. 用户模式驱动:运行在用户模式下的驱动程序...
Mainconcept编码外挂内核软件
03-17
Mainconcept是强大的编码外挂内核软件,为专业软件提供编码内核支持
Kernel 内核 5.3.8
01-05
包含如下 1. linux-headers-5.3.8-050308_5.3.8-050308.201910290940_all.deb 2. linux-headers-5.3.8-050308-generic_5.3.8-050308.201910290940_amd64.deb 3. linux-image-unsigned-5.3.8-050308-generic_5.3.8-050308.201910290940_amd64.deb 4. linux-modules-5.3.8-050308-generic_5.3.8-050308.201910290940_amd64.deb
FTKernelAPI BT协议内核及示例源码
02-23
FTKernelAPI 是一套完全免费(对于非商业性程序而言)的实现了BitTorrent 网络协议的内核。在兼容官方BitTorrent协议的同时针对国内的网络带宽状况进行了优化,增加了一个侦听端口支持多个任务同时运行, 文件选择下载,断点续传, 自动配置支持UPnP协议的路由器, 对于全局或者单个任务进行速度限制等功能。FTKernelAPI BT协议内核以及示例源码 BitZam 的出现,使BT软件开发不再高深。只要你愿意,不必关心网络编程,BT协议,只需简单的调用FTKernelAPI的接口在3天的时间里就能开发出满足你自己需要的BT下载软件。假如你正在想自己开发一个BT下载软件或者你正在为你的公司的程序寻找一种省钱省时的下载解决方案, FTKernelAPI将是你的理想选择...FTKernelAPI 成熟可靠吗? 可以被那些开发语言使用?BT下载软件FlashBT(变态快车) 就是使用的本内核. 从2004年开发至今,经过了大约100万以上用户的测试使用,已经非常成熟和可靠。而且作者长期从事P2P和IM软件的开发,积累了丰富的开发经验,还在不断的改进和完善FTKernelAPI 之。FTKernelAPI 是使用C++开发, 以标准C API 接口的方式提供外部调用接口. 所以FTKernelAPI 不但可以应用于C++开发的程序, 同样可以应用于VB/Delphi/C++ Builder 的语言开发的程序. 目前FTKernelAPI 已经被国内和国外的几家公司成功的应用于他们的商业程序, 包括C++和Delhpi开发的程序.FTKernelAPI 如何使用? 有什么例子可以参照吗?为了便于大家使用, 作者提供了一个使用FTKernelAPI 开发的开放源码的BT下载程序 - BitZam. 关于使用FTKernelAPI, 你可以下载BitZam的C++源码看看. 使用起来非常简单. 你可以在BitZam的基础上在很短的时间内开发出通用的BitTorrent下载程序或者自己专用的禁止其他人的BitTorrent软件下载的程序. 你不必再关心BitTorrent协议的细节, 这些都已经被封装在了内核.FTKernelAPI 和FlashBT的使用的内核有差别吗?FlashBT同样使用的是 FTKernelAPI 内核. 你得到的内核和FlashBT使用的没有任何差别. 这意味着, 只要你愿意, 你可以开发出和FlashBT一样强大的BT下载程序.FTKernelAPI 是完全免费的吗? 可以将它应用于商业程序吗?对于非商业性非盈利性软件你可以自由免费使用它. 没有任何时间和功能限制. 对于商业性程序, 你只需要支付少量的费用,就可以获取到本内核的商业使用权, 并且获得到作者的免费长期技术支持。另外对于商业应用的特殊需求,FTKernelAPI提供了特别的接口,就是使用FTKernelAPI可以制作出使用DE算法加密的只有FTKernelAPI能够识别和下载的Torrent件,保护您的商业利益不受侵犯!
Linux网络内核分析与开发
03-13
2.6.8.1的内核讲解(2.6是现代Linux系统的经典)。这本书名气不是很大,远远比不上国外的那本大部头以及源代码情景分析啥的,封面也是略略有点土,但绝对是我目前能发现的最好的分析Linux网络协议栈实现的书。难度不大,属于基础向,但是最好对网络协议栈的理论知识有一定的认知,并且结合着理论看,才能了解“为什么”而不仅仅是“怎样做”。
功能强大的通用组件
03-16
一个通用的组件。可以:读写注册表、重启系统、设置程序在启动时自动运行、取操作系统类型和版本信息、像 Windows 一样批量的拷贝文件、将文件删除到回收站、播放多媒体文件、取域名、域下的所有组和用户、启动停止服务、RAS 自动拨号、创建 IIS 虚拟目录、获取当前系统所有运行的程序窗口、移动关闭窗口、执行鼠标操作、在任务栏托盘增加小图标等等。 如果在下载过程或其他地方有什么问题,请和我联系:cuicb@163.net
FindWDK:CMake模块,用于使用Windows开发工具包(WDK)构建驱动程序
05-10
FindWDK使使用Windows开发工具包(WDK)和CMake构建内核驱动程序和内核成为可能。 要求: WDK10 Visual Studio 2015及更高版本 CMake 3.0及更高版本 用法 将FindWDK添加到模块搜索路径,然后调用find_package ...
linux 模块兼容性,kernel-module内核之间的Linux内核模块(* .ko)兼容性
weixin_42297843的博客
05-16 860
我有一个简单的内核对象,我为内核内存探测而构建.如果我在我的64位Ubuntu(3.2)机器上构建它,它在该机器上工作正常.但它不会在我的64位Ubuntu(3.9)机器上进行insmod.反之亦然.如果我尝试在内核上运行它而不是我构建它的那个,它会给我一个“-1无效的模块格式”错误.我认为insmod将动态链接到导出的符号表,导出的符号表在内核修订版之间不会发生变化. (它被附加.)有人能告诉我...
AuxKlibQueryModuleInformation---from ddk 文档
pureman_mega的博客
12-20 397
AuxKlibQueryModuleInformation 例程获取操作系统已经加载的映像模块的信息。 NTSTATUS AuxKlibQueryModuleInformation( IN OUT PULONG BufferSize, IN ULONG ElementSize, OUT PVOID QueryInfo OPTIONAL );参数 B
文档化方法列举系统模块
10-14 843
 关于Enum Module的方法 ,我想最常用的就是ZwQuerySystemInformation函数。我们知道这个函数是一个undocumented function。未文档化的函数有一个地方让人不放心,就是微软可能在某个时候改变他。这里我想介绍一个文档化的方法来列举系统模块。实际上,这并不是一个新技术了,但是好像很多朋友还是在用未文档的ZwQuerySystemInformation
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值