一个串口输入过滤驱动

最新推荐文章于 2022-10-27 10:29:25 发布
最新推荐文章于 2022-10-27 10:29:25 发布
阅读量711 收藏 1
点赞数
分类专栏: 驱动开发学习 HOOK技术 文章标签: object delay null integer io string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslife/article/details/7677174
版权

在看了《寒江独钓--Windows内核安全编程》一书,根据书中所讲编写,代码中只对IRP_MJ_WRITE进行了过滤处理


//文件名comCap.c

#include <ntddk.h>

#include <ntstrsafe.h>
#define NTSTRSAFE_LIB
#define CCP_MAX_COM_ID 32 //设定最大COM端口个数


//保存所有过滤设备指针
static PDEVICE_OBJECT s_fltobj[CCP_MAX_COM_ID]= { 0 };
static PDEVICE_OBJECT s_nextobj[CCP_MAX_COM_ID] =  { 0 };


//与设备卸载相关的参数定义
#define DELAY_ONE_MICROSECOND (-10)
#define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
#define DELAY_ONE_SECOND (DELAY_ONE_MILILISECOND*1000)


//生成一个虚拟设备,并与真实设备进行绑定
NTSTATUS ccpAttachDevice(PDRIVER_OBJECT driver, PDEVICE_OBJECT oldobj, PDEVICE_OBJECT *fltobj, PDEVICE_OBJECT *next)
{
NTSTATUS status;
PDEVICE_OBJECT topdev = NULL;

//fltobj是新生成的设备,然后绑定
status = IoCreateDevice(driver, 0, NULL, oldobj->DeviceType, 0, FALSE, fltobj);

if(status != STATUS_SUCCESS)
{
return status;
}

//拷贝重要标志位,这一步很重要,就是要将生成的虚拟设备的标志位与被绑定真实设备相同的参数选项
if(oldobj->Flags & DO_BUFFERED_IO)
{
(*fltobj)->Flags |= DO_BUFFERED_IO;
}
if(oldobj->Flags & DO_DIRECT_IO)
{
(*fltobj)->Flags |= DO_DIRECT_IO;
}
if(oldobj->Characteristics & FILE_DEVICE_SECURE_OPEN)
{
(*fltobj)->Characteristics |= FILE_DEVICE_SECURE_OPEN;
}
(*fltobj)->Flags |= DO_POWER_PAGABLE;

//将上面生成的虚拟设备fltobj绑定到另一个设备上oldobj上面
topdev = IoAttachDeviceToDeviceStack(*fltobj, oldobj);
if(topdev == NULL)
{
//如果绑定失败,销毁设备,返回错误
IoDeleteDevice(*fltobj);
*fltobj = NULL;
status = STATUS_UNSUCCESSFUL;
return status;
}
*next = topdev;

//设置这个设备已经启动
(*fltobj)->Flags = (*fltobj)->Flags & ~DO_DEVICE_INITIALIZING;
return STATUS_SUCCESS;
}


//打开一个端口设备
PDEVICE_OBJECT ccpOpenCom(ULONG id, NTSTATUS *status)
{
//外面输入的是串口的ID,这里会改成字符串的形式
UNICODE_STRING name_str;
static WCHAR name[32] = { 0 };
PFILE_OBJECT fileobj = NULL;
PDEVICE_OBJECT devobj = NULL;

//根据ID转换成串的名字
memset(name, 0, sizeof(WCHAR)*32);
RtlStringCchPrintfW(name, 32, L"\\Device\\Serial%d", id);
RtlInitUnicodeString(&name_str, name);

//打开设备对象
*status = IoGetDeviceObjectPointer(&name_str, FILE_ALL_ACCESS, &fileobj, &devobj);

//如果打开成功了,记得一定要把文件对象解除引用
if(*status == STATUS_SUCCESS)
{
ObDereferenceObject(fileobj);
}

//返回设备对象
return devobj;
}


//这个函数绑定所有的串口
void ccpAttachAllComs(PDRIVER_OBJECT driver)
{
ULONG i = 0;
PDEVICE_OBJECT com_ob = NULL;
NTSTATUS status;
for(i = 0; i<CCP_MAX_COM_ID; i++)
{
//获得object引用
com_ob = ccpOpenCom(i, &status);
if(com_ob == NULL)
{
continue;
}

//在这里绑定,并不管绑定是否成功
ccpAttachDevice(driver, com_ob, &s_fltobj[i], &s_nextobj[i]);
}
}

//IRP过滤处理
NTSTATUS ccpDispatch(PDEVICE_OBJECT device, PIRP irp)
{
PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
NTSTATUS status;

ULONG i = 0; 
ULONG j = 0;

//首先要知道发送给了哪个设备,设备最多一共有CCP_MAX_COM_ID个,是前面的代码保存好的,都在s_fltobj中
for(i=0; i<CCP_MAX_COM_ID; i++)
{
if(s_fltobj[i] == device)
{
//所有电源操作,全部直接通过
if(irpsp->MajorFunction == IRP_MJ_POWER)
{
//直接发送,然后返回说已经被处理了
PoStartNextPowerIrp(irp);
IoSkipCurrentIrpStackLocation(irp);
return PoCallDriver(s_nextobj[i], irp);
}

//此外我们只过滤写请求,写请求,获得缓冲区及其长度然后打印
if(irpsp->MajorFunction == IRP_MJ_WRITE)
{
//如果是写,先获得长度
ULONG len = irpsp->Parameters.Write.Length;
//然后获得缓冲区
PUCHAR buf = NULL;
if(irp->MdlAddress != NULL)
{
buf = (PUCHAR)MmGetSystemAddressForMdlSafe(irp->MdlAddress, NormalPagePriority);
}
else
{
buf = (PUCHAR)irp->UserBuffer;
}
if(buf == NULL)
{
buf = (PUCHAR)irp->AssociatedIrp.SystemBuffer;
}

//打印内容
for(j=0; j<len; j++)
  {
   DbgPrint("comcap: Send Data: %02x\r\n", buf[j]);
  }
}

//这些请求直接下发执行即可,我们并不禁止止或者改变它
IoSkipCurrentIrpStackLocation(irp);
return IoCallDriver(s_nextobj[i], irp);
}
}

//如果根本就不在被绑定的设备中,那是有问题的,直接返回参数错误
irp->IoStatus.Information = 0;
irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
IoCompleteRequest(irp, IO_NO_INCREMENT);

return STATUS_SUCCESS;
}

//卸载例程函数
void ccpUnload(PDRIVER_OBJECT drv)
{
ULONG i = 0;
LARGE_INTEGER interval;

//首先解除绑定
for(i=0; i<CCP_MAX_COM_ID; i++)
{
if(s_nextobj[i] != NULL)
{
IoDetachDevice(s_nextobj[i]);
}

//睡眠5秒,等待所有IRP处理结束
interval.QuadPart = (5*1000 *DELAY_ONE_MILLISECOND);
KeDelayExecutionThread(KernelMode, FALSE, &interval);

//删除这些设备
for(i=0; i<CCP_MAX_COM_ID; i++)
{
if(s_fltobj[i] != NULL)
{
IoDeleteDevice(s_fltobj[i]);
}
}
}
}

//驱动入口函数
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
size_t i = 0;

//所有的分发函数都设置成一样的
for(i=0; i<IRP_MJ_MAXIMUM_FUNCTION; i++)
{
driver->MajorFunction[i] = ccpDispatch;
}

//支持动态卸载
driver->DriverUnload = ccpUnload;

//绑定所有的串口
ccpAttachAllComs(driver);

//直接返回成功即可
return STATUS_SUCCESS;

}



符个截图看看效果:

cosmoslife
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows驱动过滤-串口过滤
weixin_42071117的博客
03-26 439
#include <ntddk.h> #include <ntstrsafe.h> // 设定计算机上只有32个串口 #define CCP_MAX_COM_ID 32 #define DELAY_ONE_MICROSECOND (-10) #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND * 1000) #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND * 1000) // 保
透明底层文件过滤驱动加密技术.rar
03-18
明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。应用透明加密技术,用户打开或编辑未加密的指定后缀文件时会自动加密;打开加密了的指定后缀文件时不需要输入密码会自动解密。
《Windows内核安全编程》第三章 串口过滤
冰糖葫芦的夏天的博客
10-27 670
IoAttachDevice只能用来绑定具有名称的设备,且总是会绑定设备栈上最顶层的那个设备。在获得后不用时,必须通过ObDereferenceObject解除引用,否则内存泄漏。IRP都具有一个主功能号和一个次功能号。:调用者生成的用来过滤的虚拟设备。:字符串,要被绑定的设备的名字。:返回被绑定的设备对象的指针。:指针,要被绑定的设备的指针。:返回最终被绑定的设备。
驱动开发笔记4—串口过滤
qq_42814021的博客
10-27 994
文章目录串口过滤生成过滤设备对象获得目标设备对象绑定设备串口过滤 串口 串口是Windows中的一种设备,它比较简单,且有固定名字。第一个串口名为"\Device\Serial0",第二个为"\Device\Serial1",以此类推。 过滤 **过滤:**在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。 实现过滤:首先生成一个过滤设备(虚拟的设备对象),将其绑定在一个真实的设备上。一旦绑定,则原本操作系统要发送给真实
串口过滤驱动及应用程序
03-16
完整的串口驱动过滤驱动及测试程序,有这方面需求的可以下载。提醒没有驱动编程经验的人,观看代码可能有些吃力.
[内核安全1]串口过滤
輚至消亡
10-21 582
串口过滤是通过编写一个过滤驱动, 将其加载到计算机上,通过附着到所有串口设备的驱动上来实现对串口设备通信的监控。由于Windows上的串口设备名都是形如: \\Device\\Serial1 \\Device\\Serial2 \\Device\\Serial3 .... \\Device\\SerialN 所以可以通过枚举所有的串口设备名来把新的过滤驱动附着到上面。先来看一下下面的代码: PDEVICE_OBJECT ccpOpenCom(ULONG id, NTSTATUS *status)
串口侦听器
08-01
SUDT SerialTrace提供了全部符合串口标准的高级过滤功能,对各种串口输入、输出控制码(IOCTLS)也提供了良好的参数显示支持。经SerialTrace侦听、拦截得到的信息,完全符合RS232/422/485接口标准。 <br>...
windows驱动开发技术详解-part2
07-06
本章向读者呈现两个最简单的Windows驱动程序,一个是NT式的驱动程序,另一个是WDM式的驱动程序。 这两个驱动程序没有操作具体的硬件设备,只是在系统里创建了虚拟设备。在随后的章节中,它们会作 为基本驱动程序...
Windows驱动开发技术详解的光盘-part1
07-06
本章向读者呈现两个最简单的Windows驱动程序,一个是NT式的驱动程序,另一个是WDM式的驱动程序。这两个驱动程序没有操作具体的硬件设备,只是在系统里创建了虚拟设备。在随后的章节中,它们会作为基本驱动程序框架,...
调试助手串口网络
09-30
11、在连接方式选择服务器端是,如果设备名称不输入,这是所有的连接默认接入就直接使用,如果有输入设备名称,则可以过滤连接,并且外来连接连接后,第一个数据包认为为注册包,应该为设备名称对应,否则不进行数据...
串口驱动_串口驱动过滤_串口过滤_简单串口过滤驱动_
09-30
简单的串口过滤驱动,使用VS2017可以成功编译,使用windbg进行查看输出。附带调试的串口工具
VC++串口过滤驱动源代码
08-09
你是不是现在想学习底层驱动开发?串口源代码是入门的最好材料,它会帮助你快速入门!赶快下载学习吧!
串口设备过滤驱动程序
08-19
Serenum enumerates Plug-n-Play RS-232 devices that are compliant with the current revision of Plug and Play External COM Device.It loads as an upper filter driver to many different RS-232 device drivers that are compliant with its requirements and performs this service for them.
串口过滤驱动源代码实现
01-10
采用C书写的串口过滤驱动,可以实现对串口数据的监控和禁用的效果。
irp hook来隐藏端口(过vista)
05-16
irp hook来隐藏端口(过vista)
<读书笔记>Windows内核安全 ---- 串口过滤(2)
一泓清水
03-09 1202
上篇讲到书中实现串口过滤的方式,不过想想这里面有些不是很灵活的地方,例如这个针对已经有串口的电脑才能使用,如果是USB转串口类型需要先接入USB之后,启动该过滤驱动才能实现过滤的作用,而且对串口的编号枚举是从1~32之间进行处理,那假设真的会有32以后的呢(当然从未见过这样变态的串口号),不过串口的高级设定里面是可以显示到32以后的,那这样就带来了一些问题,这些设备该如何去使用该驱动呢。
串口过滤驱动源码
sstower的专栏
04-19 1405
注意IRP_MJ_WRITE和IRP_MJ_READ处理方式,两者有很大的不同: /************************************************************************ * 函数名称:HelloDDKDispatchRoutine * 功能描述:对读IRP进行处理 * 参数列表: pDevObj:功能设备对象 pIrp:从IO请求包 * 返回 值:返回状态 ***************************
串口过滤驱动例子
Iqian1314的专栏
06-12 3356
<br />这里我们主要以串口1过滤驱动为例,例程:comtest<br />1、 先建好makefile文件和sources文件,因为用到RtlStringCchPrintfW函数,所以必须包含TARGETLIBS= $(DDK_LIB_PATH)/ntstrsafe.lib这句话,然后源文件(comtest.c)中加入<br />#define NTSTRSAFE_LIB<br />#include <br /><br />2、程序部分我们先看DriverEntry函数,也就是整个驱动的入口程序<br
编写一个Linux串口驱动
最新发布
04-01
但我可以为您提供一个基本的步骤和结构来编写一个 Linux 串口驱动程序。 步骤: 1. 确定串口地址和中断向量。 2. 定义文件操作结构体,包括打开、关闭、读取和写入等函数指针。 3. 实现串口初始化函数,包括设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值