签名文件和设备句柄

最新推荐文章于 2018-12-02 09:10:33 发布
最新推荐文章于 2018-12-02 09:10:33 发布
阅读量929 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: null action object file access delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2792401
版权
怎样根据设备名字得到驱动句柄......我不知道要驱动句柄要干什么...不过俩个函数就可以搞定

  

NTSTATUS 
  IoGetDeviceObjectPointer(
    IN PUNICODE_STRING  ObjectName,----->>>>>设备名字
    IN ACCESS_MASK  DesiredAccess,
    OUT PFILE_OBJECT  *FileObject,
    OUT PDEVICE_OBJECT  *DeviceObject
    );
 
NTSTATUS
  ObOpenObjectByPointer(
    IN PVOID  Object,
    IN ULONG  HandleAttributes,
    IN PACCESS_STATE  PassedAccessState OPTIONAL,
    IN ACCESS_MASK  DesiredAccess,
    IN POBJECT_TYPE  ObjectType,
    IN KPROCESSOR_MODE  AccessMode,
    OUT PHANDLE  Handle------------------------>>>>>句柄
    );

 

  数字签名...现在很多anti-rootkit都有用到..的确可以帮我们排除一些东西...找了段代码,贴出来

  
  

   
   BOOL CheckFileTrust( LPCWSTR lpFileName )
   
   
{
   
   
        BOOL bRet = FALSE;
   
   
        WINTRUST_DATA wd = { 0 };
   
   
        WINTRUST_FILE_INFO wfi = { 0 };
   
   
        WINTRUST_CATALOG_INFO wci = { 0 };
   
   
        CATALOG_INFO ci = { 0 };
   
   

   
   
        HCATADMIN hCatAdmin = NULL;
   
   
        if ( !CryptCATAdminAcquireContext( &hCatAdmin, NULL, 0 ) )
   
   
        {
   
   
            return FALSE;
   
   
        }
   
   

   
   
        HANDLE hFile = CreateFileW( lpFileName, GENERIC_READ, FILE_SHARE_READ,
   
   
            NULL, OPEN_EXISTING, 0, NULL );
   
   
        if ( INVALID_HANDLE_VALUE == hFile )
   
   
        {
   
   
            CryptCATAdminReleaseContext( hCatAdmin, 0 );
   
   
            return FALSE;
   
   
        }
   
   

   
   
        DWORD dwCnt = 100;
   
   
        BYTE byHash[100];
   
   
        CryptCATAdminCalcHashFromFileHandle( hFile, &dwCnt, byHash, 0 );
   
   
        CloseHandle( hFile );
   
   

   
   
        LPWSTR pszMemberTag = new WCHAR[dwCnt * 2 + 1];
   
   
        for ( DWORD dw = 0; dw < dwCnt; ++dw )
   
   
        {
   
   
            wsprintfW( &pszMemberTag[dw * 2], L"%02X", byHash[dw] );
   
   
        }
   
   

   
   
        HCATINFO hCatInfo = CryptCATAdminEnumCatalogFromHash( hCatAdmin,
   
   
            byHash, dwCnt, 0, NULL );
   
   
        if ( NULL == hCatInfo )
   
   
        {
   
   
            wfi.cbStruct           = sizeof( WINTRUST_FILE_INFO );
   
   
            wfi.pcwszFilePath      = lpFileName;
   
   
            wfi.hFile              = NULL;
   
   
            wfi.pgKnownSubject = NULL;
   
   

   
   
            wd.cbStruct                = sizeof( WINTRUST_DATA );
   
   
            wd.dwUnionChoice           = WTD_CHOICE_FILE;
   
   
            wd.pFile                   = &wfi;
   
   
            wd.dwUIChoice              = WTD_UI_NONE;
   
   
            wd.fdwRevocationChecks = WTD_REVOKE_NONE;
   
   
            wd.dwStateAction           = WTD_STATEACTION_IGNORE;
   
   
            wd.dwProvFlags             = WTD_SAFER_FLAG;
   
   
            wd.hWVTStateData           = NULL;
   
   
            wd.pwszURLReference        = NULL;
   
   
        }
   
   
        else
   
   
        {
   
   
            CryptCATCatalogInfoFromContext( hCatInfo, &ci, 0 );
   
   
            wci.cbStruct                 = sizeof( WINTRUST_CATALOG_INFO );
   
   
            wci.pcwszCatalogFilePath = ci.wszCatalogFile;
   
   
            wci.pcwszMemberFilePath      = lpFileName;
   
   
            wci.pcwszMemberTag           = pszMemberTag;
   
   

   
   
            wd.cbStruct                = sizeof( WINTRUST_DATA );
   
   
            wd.dwUnionChoice           = WTD_CHOICE_CATALOG;
   
   
            wd.pCatalog                = &wci;
   
   
            wd.dwUIChoice              = WTD_UI_NONE;
   
   
            wd.fdwRevocationChecks = WTD_STATEACTION_VERIFY;
   
   
            wd.dwProvFlags             = 0;
   
   
            wd.hWVTStateData           = NULL;
   
   
            wd.pwszURLReference        = NULL;
   
   
        }
   
   
        GUID action = WINTRUST_ACTION_GENERIC_VERIFY_V2;
   
   
        HRESULT hr      = WinVerifyTrust( NULL, &action, &wd );
   
   
        bRet            = SUCCEEDED( hr );
   
   

   
   
        if ( NULL != hCatInfo )
   
   
        {
   
   
            CryptCATAdminReleaseCatalogContext( hCatAdmin, hCatInfo, 0 );
   
   
        }
   
   
        CryptCATAdminReleaseContext( hCatAdmin, 0 );
   
   
       delete[] pszMemberTag;
   
   
        return bRet;
   
   
}

 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
取得设备内容句柄方法汇总
奔跑吧,蜗牛!
05-30 2198
Windows提供了几种取得设备内容句柄的方法。如果在处理一个消息时取得了设备内容句柄,应该在退出窗口函数之前释放它(或者删除它)。一旦释放了句柄,它就不再有效了。对于打印机设备内容句柄,规则就没有这么严格。 最常用的取得并释放设备内容句柄的方法是,在处理WM_PAINT消息时,使用BeginPaint和EndPaint呼叫: hdc = BeginPaint (hwnd, &ps) ;
C++ 验证微软数字签名
zhihu008的专栏
01-11 6390
C++ 验证微软数字签名    BOOL CheckFileTrust( LPCWSTR lpFileName ) { BOOL bRet = FALSE; WINTRUST_DATA wd = { 0 }; WINTRUST_FILE_INFO wfi = { 0 }; WINTRUST_CATALOG_INFO wci = { 0 }; CATALOG_INFO ci
获取设备句柄的两种方法
冷寒生读书笔记
10-16 2478
=============《Windows 程序设计 第五版》读书笔记 ||  第四章 输出文字 =============     获取设备句柄的两种方法     所谓设备句柄,说得通俗一点儿就是要操作的对象,比如一个窗口句柄,一个按钮的句柄。先说说这两种方法的不同之处,其中BeginPaint/EndPaint是重绘整个显示区域,它传回的是一个设备内容句柄,而GetDC/Rel
Windows编程入门-设备环境句柄
yyzh999的专栏
02-19 4326
Windows编程获取设备句柄的两种方法
取得设备内容句柄
weixin_34387284的博客
03-20 179
在处理WM_PAINT消息时,使用这种方法。它涉及BeginPaint和EndPaint两个函数,这两个函数需要窗口句柄(作为参数传给窗口消息处理程序)和PAINTSTRUCT结构的变量(在WINUSER.H表头文件中定义)的地址为参数。Windows程序写作者通常把这一结构变量命名为ps并且在窗口消息处理程序中定义它: PAINTSTRUCT ps ; 在处理WM...
各种获得设备环境句柄的方法
qq_40627648的博客
12-02 1993
以下解读来自《Windows 程序设计》(第5版 珍藏版)P103~105 设备环境 如果想希望在图形输出设备(诸如屏幕或者打印机)上绘制图形,必须首先获得一个设备环境(即 DC)句柄。将句柄传回给程序时,Windows 就给了你使用设备的权限。接着,在 GDI 函数中将这个句柄作为一个参数,告诉 Windows 你将要在哪个设备上进行绘图。 设备环境包含了许多决定 GDI 函数如何工...
c# 句柄类库 .net操作句柄
03-27
句柄在操作系统中是一种标识符,用于唯一地识别和访问操作系统内核中的对象,如窗口、文件、设备等。本文将深入探讨C#中如何使用句柄类库进行.NET操作句柄,并通过`TestWin`这个示例文件名,推测这是一个关于Windows...
c#命令行截屏工具和源码
04-18
在C#中实现截屏主要涉及Windows API调用,如`GetDesktopWindow()`获取桌面窗口句柄,`GetWindowDC()`获取窗口设备上下文,然后使用`BitBlt()`函数进行屏幕复制。这个过程涉及到图形设备接口(GDI)或者更现代的...
基于UEFI的UKey设备驱动的设计和实现
03-10
- 初始化模块需要在UEFI环境中注册相应的服务句柄和服务函数。 - 配置驱动程序的工作模式和参数,如缓冲区大小、数据传输速率等。 - 负责打开和关闭UKey设备,确保设备能够在UEFI环境下正常运行。 2. **通信模块...
USB端口JAR、DLL文件.zip
08-13
例如,`SetupAPI.dll`和`Usbdk.dll`等常见的DLL文件可以用于安装驱动程序、枚举设备、打开设备句柄以及进行I/O操作。 在压缩包中,我们可能会找到如下几种类型的文件: 1. **Java的USB库JAR**:如`usb.jar`,这...
C#切换windows默认音频设备
12-13
我们需要定义对应的委托类型和结构体来匹配API函数的签名,并使用`DllImport`特性导入API函数。 2. **Windows Core Audio APIs**:Windows操作系统提供了Core Audio APIs,用于管理音频设备和音流。这些API包括` ...
【半原创】Irp占坑保护文件不被删除
zhuhuibeishadiao
09-21 2168
Irp操作出自125096的博客 http://blog.csdn.net/qq125096885/article/details/53033896 这里提下 博主的例子中使用irpclose文件对象,这可能会造成蓝屏。 见链接:https://bbs.pediy.com/thread-215269.htm 所以这里把IrpCloseFile改为ObDereferenceObj
检查可执行文件是否有签名
UruseiBest 的技术专栏
04-08 1621
版权声明:本文为博主原创文章,转载请在显著位置标明本文出处以及作者网名,未经作者允许不得用于商业目的。 检查可执行文件是否有签名 网上大多数是C++或者C#的,做成了vb.net的。 设计窗体上增加一个按钮控件, 具体代码: Imports System.Runtime.InteropServices Public Class Form1 Private Declare ...
对Windows 平台下PE文件数字签名的一些研究
snowfoxmonitor的专栏
04-05 6964
Windows平台上PE文件的数字签名有两个作用:确保文件来自指定的发布者和文件被签名后没有被修改过。因此有些软件用数字签名来验证文件是否来自家厂商以及文件的完整性,安全软件也经常通过验证文件是否有数字签名来防误报。但是因为windows对于常用的数字签名验证API- WinVerifyTrust实现的问题,以及一些并不恰当的示例代码,很多地方在验证数字签名时存在卡慢或者安全性不高的问题。本文将介...
文件数字签名校验与信息获取
c/c++、x86汇编、Win32汇编、逆向、破解
02-10 6551
方法一、二兼容XP,三不兼容XP。 方法一: /* * An example of file signature verification using WinTrust API * Derived from the sample vertrust.cpp in the Platform SDK * * Copyright (c) 2009 Mounir IDRASSI . Al
文件句柄和文件描述符的区别
最新发布
11-17
文件句柄和文件描述符都是用于访问文件的概念,但它们有一些区别。 文件描述符是一个非负整数,用于标识一个打开的文件。在Unix和类Unix系统中,文件描述符是通过调用open()、socket()或pipe()等函数创建的。文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值