RtlDeleteElementGenericTable小记

最新推荐文章于 2022-07-31 03:03:59 发布
最新推荐文章于 2022-07-31 03:03:59 发布
阅读量493 收藏
点赞数
分类专栏: Windows 文章标签: 驱动程序 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SuWanWorld/article/details/106439685
版权
本文详细介绍了在Windows驱动程序开发中使用RtlDeleteElementGenericTable的过程,包括查找、删除元素及释放内存的步骤。通过反编译NtosKrnl.exe,解析了函数的内部实现,并探讨了FreeRoutine的原型及其简单实现,强调了Buffer参数与实际element的关系。
摘要由CSDN通过智能技术生成

实验室的产品需要添加一个驱动,其中用到了RTL_GENERIC_TABLE,也就不可避免地用到了RtlDeleteElementGenericTable。

RTL_GENERIC_TABLE默认实现是伸展树,RtlDeleteElementGenericTable主要执行三个步骤:

1. 查找要删除的element的位置。

2. 使用RtlDelete移除element,RtlDelete会调用RtlSplay调整树结构

3. 调用FreeRoutine释放element内存。

RtlDeleteElementGenericTable实现在NtosKrnl.exe中,将其反编译,得到的代码大致是:

uint RtlDeleteElementGenericTable(undefined4 *param_1,int param_2)
{
  int iVar1;
  int *piVar2;
  int iVar3;
  uint uVar4;
  undefined4 uVar5;
  
                    /* 0x1534fa  1067  RtlDeleteElementGenericTable */
  uVar4 = FUN_0055345c(param_2,&param_2);
  iVar3 = param_2;
  if ((uVar4 == 0) || (uVar4 != 1)) {
    uVar4 = uVar4 & 0xffffff00;
  }
  else {
    uVar5 = RtlDelete(param_2);
    *param_1 = uVar5;
    iVar1 = *(int *)(iVar3 + 0xc);
    piVar2 = *(int **)(iVar3 + 0x10);
    *piVar2 =
最低0.47元/天 解锁文章
cs_zh_xi
关注
专栏目录
_Rtl_GenericTable_ 系列函数 的逆向分析
BpLife
11-11 896
以下是IDA的分析 text:77EC7812 ; int __stdcall RtlInitializeGenericTableAvl(void *Dst, int, int, int, int) .text:77EC7812 public _RtlInitializeGenericTableAvl@20 .text:77EC7812 _RtlInitiali
C/C++ 实现文件透明加解密
尹成的技术博客
11-05 1万+
    今日遇见一个开超市的朋友,真没想到在高校开超市一个月可以达到月净利润50K,相比起我们程序员的工资,真是不可同日而语,这个世道啊,真是做程序员不如经商开超市,我们高科技的从业者,真是造原子弹不如卖茶叶蛋。请见代码详细注释   //  修复涉及后视列表的Win2K兼容性//  Fixes Win2K compatibility regarding lookaside
RtlInitializeGenericTable系列函数的总结
xum2008的专栏
03-05 3062
Windows 驱动中使用伸展树(Splay Tree)或者平衡树来存储数据,加快数据的查询速度的方法总结。 伸展树 维基百科,自由的百科全书 伸展树(Splay Tree)是一种二叉排序树,它能在O(log n)内完成插入、查找和删除操作。它由Daniel Sleator和Robert Tarjan创造。 它的优势在于不需要记录用于平衡树的冗余信息。 在伸展树上的一般操作都基于伸展操作
Mark备查。。。Win8 RP的ntdll新增函数列表
a1875566250的专栏
06-04 4099
Win7 SP1对比Win8 RP [C:\Users\Windows\Desktop\ntdll.dll] compare [C:\Windows\system32\ntdll.dll],file1 not: NtGetPlugPlayEvent RtlEnlargedUnsignedDivide TpDbgGetFreeInfo TpPoolFreeUnusedNodes
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 995
驱动开发
python进行爬虫小记
01-15
Python爬虫技术是一种用于自动化网页数据抓取的编程方法,尤其适合初学者快速入门。Python在爬虫领域具有显著优势,因为其拥有丰富的第三方库,如requests、lxml和parsel等,使得编写爬虫代码变得简洁高效。...
Scrum过程实践小记
02-26
严格来说,不能算是真正的scrum实践,但实践敏捷的过程本身也是一种“敏捷方法”,所以就算是“敏捷实践之敏捷开发方法-scrum过程”吧。1.Scrum团队(5-7个人的小项目组)。 2.Backlog:急待完成的一系列任务,包括...
lua遍历table中删除table中元素
哲学天空的博客
08-07 4326
很多时候,我们有这样的需求:删除table中若干符合条件的元素,最原始的想法就是用for遍历一边table,符合条件的用table.remove就可以了 function test1(t) for i , v in ipairs(t) do if v.id%3 == 0 then table.remove(t ,i) end end end ​ 结果证明这是不行的...
Realtek网卡MAC硬改工具
05-05
Realtek8139系列网卡MAC硬改工具,包括8139A-D,内附使用说明。
内核数据结构
crlyn的博客
12-15 389
程序计算中的数据如何存放与管理? LIST_ENTRY  HASH表  TREE树  LookAside结构  1.LIST_ENTRY  typedef _struct _MYDATA_LIST {     LIST_ENTRY Entry;     WCHAR NameBuffer[MAX_PATH]; } MYDATA_LIST_ENTRY
access驱动程序_剖析Windows Defender驱动程序:WdFilter(Part 1)
weixin_39727976的博客
11-18 511
虽然我一直对杀毒软件的工作原理及其在内核非常感兴趣,但由于我无法访问任何源代码,所以我只能通过逆向工程来反向了解。WdFilter是Windows Defender的主要内核组件,大致来说,此驱动程序充当加载顺序组“FSFilter Anti-Virus”中的Minifilter,这意味着它已附加到文件系统堆栈并在一些前/后回调中处理I/O操作。不仅如此,该驱动程序还实现了通过其他技术来...
Rtl系列函数
huanongying131的博客
11-19 2507
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfuf.html        http://blog.sina.com.cn/s/blog_4a1acc7f0100cfui.html         375  170 000375D9 RtlAbortRXact         376  171 00029E38 RtlAbsoluteToSelf...
NTDLL.DLL API Publish!
Lobbyfish的专栏
10-07 5071
__isascii__iscsym__iscsymf__toascii_alldiv_alldvrm_allmul_alloca_probe_allrem_allshl_allshr_atoi64_aulldiv_aulldvrm_aullrem_aullshr_chkstk_CIcos_CIlog_CIpow_CIsin_CIsqrt_fltused_ftol_i64toa_i64tow_ito
如何列出一个可执行档里输出的函数
hoboo的专栏
01-24 3484
 很久以前的东西,不小心翻了出来#include #include #include #include #include void PrintUsage(char * msg){ printf("|---------------------------------------------------------|/n"); printf("|   CreateDate: 2000-02-1
8口交换机方案-RTL8309N(含原理图和PCB)
热门推荐
weixin_42005993的博客
04-21 2万+
本文分享一下8口交换机的芯片方案-RTL8309N,纯硬件,无需EEPROM及单片机配置,这个方案是经过打板验证过的。 先前分享了一下16口的交换机方案RTL8316E(收录在本公众号”硬件工程师炼成之路”的“常用电路”里面,有需要请自提),如今为了降成本,降空间,又寻了一款8口的交换机方案RTL8309N,现分享出来。 RTL8309N是一款8端口快速以太网交换机控制器,可将8个MAC和8个...
protobuff使用小记
最新发布
05-31
下面是使用Protobuf的一些小记: 1. 定义消息格式 首先,需要定义消息格式,以便Protobuf可以将数据序列化和反序列化。消息格式定义在.proto文件中,使用protobuf语言编写。例如,下面是一个简单的消息格式定义: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值