驱动开发:内核枚举IoTimer定时器

已于 2024-06-03 08:35:48 修改
阅读量679 收藏 10
点赞数 17
分类专栏: 信息安全 文章标签: 驱动开发 信息安全
于 2024-06-03 08:35:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/booming2/article/details/139401761
版权
本文介绍如何通过代码枚举内核定时器,重点讲解如何找到内核定时器链表基址,以及利用特征码搜索定位。内容包括初始化函数解析、IO定时器结构定义、实际开发步骤及代码实现,最后展示了枚举输出结果。
摘要由CSDN通过智能技术生成

100编程书屋_孔夫子旧书网

今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化部分就可以找到IopTimerQueueHead地址,该变量内存储的就是定时器的链表头部。枚举IO定时器的案例并不多见,即便有也是无法使用过时的,此教程学到肯定就是赚到了。

枚举Io定时器过程是这样的:

  • 1.找到IoInitializeTimer函数,该函数可以通过MmGetSystemRoutineAddress得到。
  • 2.找到地址以后,我们向下增加0xFF偏移量,并搜索特征定位到IopTimerQueueHead链表头。
  • 3.将链表头转换为IO_TIMER结构体,并循环链表头输出。

这里解释一下为什么要找IoInitializeTimer这个函数他是一个初始化函数,既然是初始化里面一定会涉及到链表的存储问题,找到他就能找到定时器链表基址,该函数的定义如下。

NTSTATUS 
  IoInitializeTimer(
    IN PDEVICE_OBJECT  DeviceObject,     // 设备对象指针
    IN PIO_TIMER_ROUTINE  TimerRoutine,  // 定时器例程
    IN PVOID  Context                    // 传给定时器例程的函数
    );

接着我们需要得到IO定时器的结构定义,在DEVICE_OBJECT设备对象指针中存在一个Timer属性。

lyshark.com: kd> dt _DEVICE_OBJECT
ntdll!_DEVICE_OBJECT
   +0x000 Type             : Int2B
   +0x002 Size             : Uint2B
   +0x004 ReferenceCount   : Int4B
   +0x008 DriverObject     : Ptr64 _DRIVER_OBJECT
   +0x010 NextDevice       : Ptr64 _DEVICE_OBJECT
   +0x018 AttachedDevice   : Ptr64 _DEVICE_OBJECT
   +0x020 CurrentIrp       : Ptr64 _IRP
   +0x028 Timer            : Ptr64 _IO_TIMER
   +0x030 Flags            : Uint4B
   +0x034 Characteristics  : Uint4B
   +0x038 Vpb              : Ptr64 _VPB
   +0x040 DeviceExtension  : Ptr64 Void
   +0x048 DeviceType       : Uint4B
   +0x04c StackSize        : Char
   +0x050 Queue            : <anonymous-tag>
   +0x098 AlignmentRequirement : Uint4B
   +0x0a0 DeviceQueue      : _KDEVICE_QUEUE
   +0x0c8 Dpc              : _KDPC
   +0x108 ActiveThreadCount : Uint4B
   +0x110 SecurityDescriptor
最低0.47元/天 解锁文章
一百编程网朱老师
关注
  • 17
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux 驱动开发 - 内核定时器
走向CTO的路上...
06-30 654
内核定时器是一种机制,允许驱动程序安排在特定时间或间隔执行任务。本指南介绍了如何在 Linux 驱动程序中使用内核定时器。本指南介绍了如何在 Linux 驱动程序中使用内核定时器。通过遵循提供的算法和代码示例,开发人员可以创建使用定时器安排任务的驱动程序。
Linux驱动开发-内核定时器
03-25 1016
内核定时器内核用来控制在未来某个时间点(基于jiffies(节拍总数))调度执行某个函数的一种机制,相关函数位于 <linux/timer.h> 和 kernel/timer.c 文件中。
IO定时器和DPC定时器
weixin_42071117的博客
04-27 312
// driver.c #include <ntddk.h> KDPC dpc; KTIMER timer; LARGE_INTEGER timeout; // 卸载函数 VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject); // 普通分发函数 NTSTATUS DispatchRoutine(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp); // 时钟处理函数 VOID IoTimerTes
IO定时器
dengjiatao9832的博客
09-21 161
IoInitializeTimer 初始化定时器 IoStartTime 开启定时器 IoStopTimer 停止定时器 回调函数 VOID IoTimer( __in struct DEVICE_OBJECT *DeviceObject,__in_opt PVOID Context) IN PDEVICE_OBJECT DeviceOb...
枚举 Timer
qq_53999102的博客
02-07 66
枚举 Timer
windows驱动 - Timer
qq726232111的博客
12-26 289
0x00 函数 KeInitializeDpc() //初始化DPC KeInitializeTimer() //初始化计时器 KeSetTimer() //将计时器与DPC进行绑定,待计时器过期时,执行DPC KeCancelTimer)() //在计时器间隔(如果有的话)到期之前将计时器对象排出队列 0x01 代码 #include <wdm.h> KTIMER Timer = { 0 }; KDPC Dpc = { 0 }; LARGE_INTEGER DueTim...
Linux设备驱动开发详解:基于最新的Linux4.0内核,linux设备驱动开发详解pdf,LINUX
09-10
《Linux设备驱动开发详解》是一本深度探讨Linux内核驱动程序开发的专业书籍,它以Linux 4.0内核为背景,为驱动工程师提供了一条深入理解与实践Linux设备驱动的路径。这本书涵盖了许多关键的知识点,对于想要在Linux...
STM32F407VET6 学习笔记3:内核定时器SystemTick(SysTick)的初始化.rar
最新发布
05-21
主要是在学习移植UC/OS III系统时,需要我掌握好内核定时器SystemTick,以掌控整个实时操作系统的节拍,但我之前并未过多研究单片机的内核定时器,因此同步学习一下 文章目的是理解内核定时器SystemTick初始化,并...
易语言多功能定时器
08-22
易语言多功能定时器源码系统结构:关闭软件,返回星期几,显示目前时间,提示信息,执行任务,创建事件同步对象,打开事件同步对象,FindWindow,GetWindowRect,OpenIcon, ======_启动窗口程序集 || ||-
易语言 Crontab 定时任务执行模块 v1.2 支持单位秒 也可做计时器等-易语言
06-11
易语言 Crontab 定时任务执行模块 v1.2 支持单位秒 也可做计时器等-易语言
IO流定时器
ovecy的专栏
10-08 590
/** * 定时器 * 在应用开发中,经常需要一些周期性的操作,比如每5分钟检查一下新邮件等。 * 对于这样的操作最方便、高效的实现方式就是使用java.util.Timer工具类。 */public class UsingTimer { public static void main(String[] args) {  Timer timer = new Timer();  TimerTas
驱动开发内核枚举DpcTimer定时器
热门推荐
CSDN
10-16 1万+
在笔者上一篇文章`《驱动开发内核枚举IoTimer定时器》`中我们通过`IoInitializeTimer`这个API函数为跳板,向下扫描特征码获取到了`IopTimerQueueHead`也就是IO定时器的队列头,本章学习的枚举DPC定时器依然使用特征码扫描,唯一不同的是在新版系统中DPC是被异或加密的,想要找到正确的地址,只是需要在找到DPC表头时进行解密操作即可。
驱动程序中IO定时器的实现详解
cdsntxz158的专栏
09-20 3709
IO定时器是DDK提供的一种定时器。使用这种定时器时,每间隔1s系统会调用一次IO定时器例程。 程序员稍加改进,就可以将定时间隔修改为多秒。 如果需要的时间间隔小于1S,那么IO定时器就没办法做到了,就需要用DPC定时器了。 IO定时器的使用之前需要对其进行初始化,初始化的时候使用内核函数IoInitializeTimer。 NTSTATUS IoInitializeTi
IoTimer的使用
ming_taizi的博客
05-05 656
IoTimer的使用 IoTimer是系统里面的时钟,比如说我们想要隔一段时间调用一次我们自己写的函数,那么我们就可以设置一个时钟(当然,也可以用DPC,可以参考我前两篇的博客),将所要调用函数和时钟关联,就可以实现自动调用。IoTimer和DPC不同的是,DPC可以自己设定时间,而IoTimer是一秒执行一次所关联的函数(当然,也可以想几秒调一次函数就几秒掉一次函数,下面的例子我是5秒调用一次
window驱动 - IoTimer
qq726232111的博客
12-26 119
0x00 函数 IoInitializeTimer() //将IoTimer()与设备进行关联,每个设备对象只应调用一次IoInitializeTimer,执行间隔为1秒 IoStartTimer() //重新启用计时器 IoStopTimer() //禁用计时器 IoTimer() //计时器回调,是一个DPC,注册后每秒调用一次。IRQL = DISPATCH_LEVEL 0x01 代码 #include <wdm.h> VOID DriverUnload(PDRI...
枚举内常用方法+定时器的常用书写(复制用)
幻世
12-08 242
一、枚举内的常用方法 package com.control.platform.api.enums; import com.hilife.internal.common.enums.CommonIntEnum; import lombok.AllArgsConstructor; import lombok.Getter; import java.util.Arrays; import java.util.List; /** * @author wyf * @createDate 2021/11
暂停系统中任意驱动的时钟--StopIoTimer
ming_taizi的博客
04-24 960
这篇文章主要说暂停IoTimer,可能有人说直接调用IoStopTimer就好了,不过,这篇文章说的是如何通过自己的驱动程序去停止其他驱动的时钟,比如说现在正在运行的一个驱动IoTimer.sys(上一篇文章介绍的的驱动程序),现在我们想要暂停它里面的时钟,在不卸载驱动的情况下,我们该怎么做呢?现在我们就介绍一下方法:
USB驱动开发:从枚举到实践
"USB驱动开发详解——稳稳当当USB枚举过程.pdf" 本文主要介绍了USB驱动的制作过程,包括环境配置、库文件的编译以及USB驱动开发的基础步骤。作者hoguowi分享了他在2007年6月进行电子DIY时的经验。 一、环境配置 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一百编程网朱老师

谢谢大爷谢谢大爷谢谢大爷谢谢大

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值