22.DriverBase-ObReferenceObjectByHandle通过Ring3句柄获得Ring0对象

最新推荐文章于 2018-01-05 21:57:55 发布
最新推荐文章于 2018-01-05 21:57:55 发布
阅读量1.3k 收藏 1
点赞数 2
分类专栏: 驱动基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/77336200
版权

ObReferenceObjectByHandle

示例ring3的event传入ring0,并在ring0设置有信号状态
ring0:

#include "Driver.h"

#pragma INITCODE
extern "C" NTSTATUS DriverEntry (
            IN PDRIVER_OBJECT pDriverObject,
            IN PUNICODE_STRING pRegistryPath    ) 
{
    NTSTATUS status;
    pDriverObject->DriverUnload = HelloDDKUnload;
    pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
    pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = HelloDDKDeviceIOControl;
    status = CreateDevice(pDriverObject);
    return status;
}

#pragma PAGEDCODE
NTSTATUS CreateDevice (IN PDRIVER_OBJECT    pDriverObject) 
{
    NTSTATUS status;
    PDEVICE_OBJECT pDevObj;
    PDEVICE_EXTENSION pDevExt;

    //创建设备名称
    UNICODE_STRING devName;
    RtlInitUnicodeString(&devName,L"\\Device\\Handle2Object");

    //创建设备
    status = IoCreateDevice( pDriverObject,
                        sizeof(DEVICE_EXTENSION),
                        &(UNICODE_STRING)devName,
                        FILE_DEVICE_UNKNOWN,
                        0, TRUE,
                        &pDevObj );
    if (!NT_SUCCESS(status))
        return status;

    pDevObj->Flags |= DO_DIRECT_IO;
    pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
    pDevExt->pDevice = pDevObj;
    pDevExt->ustrDeviceName = devName;


    //创建符号链接
    UNICODE_STRING symLinkName;
    RtlInitUnicodeString(&symLinkName,L"\\??\\Handle2ObjectLink");
    pDevExt->ustrSymLinkName = symLinkName;
    status = IoCreateSymbolicLink( &symLinkName,&devName );
    if (!NT_SUCCESS(status)) 
    {
        IoDeleteDevice( pDevObj );
        return status;
    }
    return STATUS_SUCCESS;
}

#pragma PAGEDCODE
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject) 
{
    PDEVICE_OBJECT  pNextObj;
    KdPrint(("Enter DriverUnload\n"));
    pNextObj = pDriverObject->DeviceObject;
    while (pNextObj != NULL) 
    {
        PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pNextObj->DeviceExtension;

        //删除符号链接
        UNICODE_STRING pLinkName = pDevExt->ustrSymLinkName;
        IoDeleteSymbolicLink(&pLinkName);
        pNextObj = pNextObj->NextDevice;
        IoDeleteDevice( pDevExt->pDevice );
    }
}

#pragma PAGEDCODE
NTSTATUS HelloDDKDeviceIOControl(IN PDEVICE_OBJECT pDevObj,
                                 IN PIRP pIrp)
{
    NTSTATUS status = STATUS_SUCCESS;
    KdPrint(("Enter HelloDDKDeviceIOControl\n"));

    //得到当前堆栈
    PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
    //得到输入缓冲区大小
    ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;
    //得到输出缓冲区大小
    ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;
    //得到IOCTL码
    ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;

    ULONG info = 0;

    switch (code)
    {                       // process request
        case IOCTL_TEST1:
        {
            KdPrint(("IOCTL_TEST1\n"));
            HANDLE hUserEvent= *(HANDLE*)pIrp->AssociatedIrp.SystemBuffer;
            PKEVENT pEvent;
            // 由事件句柄得到内核事件数据结构
            status = ObReferenceObjectByHandle(hUserEvent,EVENT_MODIFY_STATE,*ExEventObjectType,KernelMode,(PVOID*)&pEvent,NULL);// 参看MSDN
            // 设置事件
            KeSetEvent(pEvent,IO_NO_INCREMENT,FALSE);
            // 减小引用计数
            ObDereferenceObject(pEvent);
            break;
        }

        default:
            status = STATUS_INVALID_VARIANT;
    }

    // 完成IRP
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = info;  // bytes xfered
    IoCompleteRequest( pIrp, IO_NO_INCREMENT );
    KdPrint(("Leave HelloDDKDeviceIOControl\n"));

    return status;
}

#pragma PAGEDCODE
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
                                 IN PIRP pIrp) 
{
    KdPrint(("Enter HelloDDKDispatchRoutine\n"));
    NTSTATUS status = STATUS_SUCCESS;
    // 完成IRP
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0; // bytes xfered
    IoCompleteRequest( pIrp, IO_NO_INCREMENT );
    KdPrint(("Leave HelloDDKDispatchRoutine\n"));
    return status;
}

ring3:

// Handle2ObjectRing3.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#include <process.h>

#define IOCTL_TEST1 CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)
unsigned __stdcall ThreadProc(PVOID lp)
{
    HANDLE hEvent = *(HANDLE*)lp;
    WaitForSingleObject(hEvent,INFINITE);
    return 0;
}

int _tmain(int argc, _TCHAR* argv[])
{
    HANDLE hDevice = 
        CreateFileA("\\\\.\\Handle2ObjectLink",
        GENERIC_READ | GENERIC_WRITE,
        0,      // share mode none
        NULL,   // no security
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL );     // no template
    if (INVALID_HANDLE_VALUE == hDevice)
    {
        printf("fail:%d",GetLastError());
        system("pause");
        return 1;
    }
    // 创建用户模式同步事件
    HANDLE hEvent = CreateEvent(NULL,FALSE,FALSE,NULL);
    HANDLE hThread = (HANDLE)_beginthreadex(NULL,0,ThreadProc,&hEvent,0,NULL);
    DWORD dwOutPut;
    DeviceIoControl(hDevice,IOCTL_TEST1,&hEvent,sizeof(hEvent),NULL,0,&dwOutPut,NULL);
    WaitForSingleObject(hThread,INFINITE);
    CloseHandle(hDevice);
    CloseHandle(hThread);
    CloseHandle(hEvent);
    system("pause");
    return 0;
}
花熊
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
inline hook ObReferenceObjectByHandle 程序代码
05-25
windows 驱动层,inline hook 简单的示例程序。其实是看了“详谈内核三步走Inline Hook实现“,网上的一篇文章...hook ObReferenceObjectByHandle.里面还有一个说明文件。我想这可以作为inline hook 的入门,找找感觉。
(转) ObReferenceObjectByHandle 的使用
weixin_30693183的博客
12-28 937
http://blog.sina.com.cn/s/blog_62a630640100gost.html NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType, IN KPRO...
Dissecting the Windows Kernel - 关于ObReferenceObjectByHandle中对句柄的处理
StanfordZhang的专栏
11-18 4425
Dissecting the Windows Kernel -   关于ObReferenceObjectByHandle中对句柄的处理 一、   摘要 在开发一个 Anti-Rootkit工具中的枚举进程句柄时,发现枚举System Process进程的句柄信息在Windows XP和Windows 7/8的处理细节有一些不一样,遂想刨根问底,一探究竟。在获取句柄对象名和类型名的时候都会使
ObReferenceObjectByHandle
zacklin的专栏
05-09 2568
调用方传递给驱动程序的句柄不会经过 I/O 管理器,因此 I/O 管理器不对这类句柄执行任何验证检查。决不要假设一个句柄有效;始终确保句柄拥有正确的对象类型、对于所需任务的合适的访问权、正确的访问模式,并且访问模式与请求的访问兼容。 驱动程序应该谨慎使用句柄,特别是那些从用户模式应用程序接收到的句柄。第一,这种句柄特定于进程上下文,因此它们仅在打开句柄的进程中有效。当从不同的进程上下文或工作线程
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6059
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
ObReferenceObjectByHandle内核函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 1499
大槪就是看这个句柄是当前进程的句柄还是当前线程的句柄,最后再看看这AccessMode是内核还是用户态下,内核的话,句柄表就用ObpKernelHandleTable,用户态的话就用当前进程的句柄表 NTSTATUS ObReferenceObjectByHandle (     __in HANDLE Handle,     __in ACCESS_MASK DesiredAccess,
Windows内核的分析.pdf
10-09
`ObReferenceObjectByName`和`ObReferenceObjectByHandle`等函数用于根据名称或句柄获取对象的引用,而`ObDereferenceObject`则在不再需要对象时减少引用计数,当计数为零时,对象会被释放。 命名对象允许进程间...
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构、功能、算法与具体实现。全书从“内存管理”、“进程”、“进程间通信”、“设备驱动”等多个方面进行分析介绍,所有的分析都有ReactOS的源代码(以及...
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
自己尝试还原的ObReferenceObjectByHandle
pureman_mega的博客
01-05 1173
ObReferencObjectByHandle()这个函数从字面上看就可以知道是通过句柄Handle)来访问对象。还原的过程中对汇编语言强大又有了进一步的认识,其效率之高令人惊叹,每个寄存器的使用都是那么的精妙绝伦,相同或类似的功能的代码很少重复出现。效率高的代价就是可读性较差,和C代码相比就会表现出巨大的差异;但是对于那些比较熟悉这两种语言的高手来说,随意在两者之间切换应该不是什么问题,而我看
驱动程序的同步处理
Masimaro的专栏
01-09 2070
驱动程序运行在系统的内核地址空间,而所有进程共享这2GB的虚拟地址空间,所以绝大多数驱动程序是运行在多线程环境中,有的时候需要对程序进行同步处理,使某些操作是严格串行化的,这就要用到同步的相关内容。 异步是指两个线程各自运行互不干扰,而当某个线程运行取决与另一个线程,也就是要在线程之间进行串行化处理时就需要同步机制。中断请求级别在进行I/O操作时会产生中断,以便告知CPU当前I/O操作已完成,此时
win10中“windbg+vmware+win7双机调试”设置
热门推荐
Sagittarius_Warrior的博客
05-03 1万+
本文主要介绍在win10下如何设置windbg+vmware,以进行双机调试。本文主要参考:李Sir的博客,并浏览了大量网文,以及windbg自带的help文档和MSDN,除了综合各家的经验外,也分享了本人在实践遇到的问题和解决办法。 一、安装环境 1,主机(Host OS): win10 X64 2,Windbg:10.0.10586.567 ADM64(本人安装的是wdk10+VS201
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1129
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline的
线程同步(2) - 内核模式下的线程同步
收集学习过程中对自己有帮助的牛人文章
11-29 1994
转载自:http://mzf2008.blog.163.com/blog/static/355997862010112041821953/ 1.内核模式下的等待 NTSTATUS    KeWaitForSingleObject(     IN PVOID  Object,     IN KWAIT_REASON  WaitReason,     IN KPROCE
obreferenceobjectbyhandle
最新发布
09-06
该函数在编程中经常用于操作句柄对象的场景,比如在一些图形界面框架中,可以使用该函数来获取窗口、按钮等控件的引用,以便对其进行操作。 总之,obreferenceobjectbyhandle函数是一个根据句柄获取对象引用的函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值