驱动内存映射文件

最新推荐文章于 2024-07-20 20:16:43 发布
最新推荐文章于 2024-07-20 20:16:43 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 驱动 文章标签: 驱动 ZwMapViewOfSection 内存映射文件 ZwCreateSection
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwen930723/article/details/52662128
版权

驱动内存映射文件,一切尽在代码中,各位老爷请看:

 

 

 

// 内存映射文件,返回基址 
// 用完记得ZwUnmapViewOfSection(ZwCurrentProcess(), BaseAddress);
PVOID CreateMapFileAndGetBaseAddr(PUNICODE_STRING FilePath, PSIZE_T Size)
{
#define SEC_IMAGE 0x01000000

	PVOID MapFileBaseAddress = NULL;
	HANDLE  FileHandle = NULL;
	HANDLE  SectionHandle = NULL;
	NTSTATUS status;
	IO_STATUS_BLOCK IoStatus = { 0 };
	OBJECT_ATTRIBUTES oa = { 0 };

	InitializeObjectAttributes(
		&oa,
		FilePath,
		OBJ_CASE_INSENSITIVE,
		0,
		0
		);

	status = ZwOpenFile(&FileHandle,
		FILE_READ_DATA,
		&oa,
		&IoStatus,
		FILE_SHARE_READ,
		FILE_SYNCHRONOUS_IO_NONALERT);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("ZwOpenFile failed: 0x%x\n", status));
		return NULL;
	}
	oa.ObjectName = 0;

	status = ZwCreateSection(&SectionHandle,
		SECTION_ALL_ACCESS,
		&oa,
		0,
		PAGE_READONLY,
		SEC_IMAGE,
		FileHandle);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("ZwCreateSection failed: 0x%x\n", status));
		ZwClose(FileHandle);
		return NULL;
	}

	status = ZwMapViewOfSection(SectionHandle,
		ZwCurrentProcess(),
		&MapFileBaseAddress,
		0,
		0,
		0,
		Size,
		ViewUnmap,
		0,
		PAGE_READONLY);

	if (!NT_SUCCESS(status))
	{
		KdPrint(("ZwMapViewOfSection failed: 0x%x\n", status));
		ZwClose(SectionHandle);
		ZwClose(FileHandle);
		return NULL;
	}

	ZwClose(SectionHandle);
	ZwClose(FileHandle);
	return MapFileBaseAddress;
}

 

 

 

本博客旨在提供高稳定性和良好风格的代码。

 

西伯利亚的寒流
关注
专栏目录
Boost:内存映射文件
风静如云的博客
12-04 686
内存映射文件的好处在与,通过普通的read/write系统调用,需要先通过文件系统和驱动程序将硬盘的数据拷贝到内核空间中,然后再将内核空间的数据拷贝到用户空间。而内存映射文件在完成映射后,当进程访问对应的内存地址后,会出发缺页中断,然后缺页中断会通过mmap将硬盘的文件内从直接映射到内存地址上,也就是通过内存映射文件可以节省一次内存数据的拷贝。内存映射文件,是将一个文件全部或部分映射到进程的内存地址空间中,完成映射后,进程可以直接通过映射后的内存地址的读写完成对硬盘上文件的读写。可以看到文件的原始内容。
linux pcie内存映射,Linux下PCIe驱动以及DMA机制
weixin_28978471的博客
05-01 2425
1.驱动程序做用:异步·设备驱动程序向应用程序屏蔽了硬件在实现上的细节,使得应用程序能够像操做普通文件同样操做外部设备。Linux操做系统抽象了对硬件的处理,可使用和操做文件相同的,标准的系统调用接口来完成打开,关闭,读写喝I/O控制操做,而驱动程序主要任务也就是实现这些系统调用函数。函数·每一个设备文件对应两个设备号,其中主设备号标识设备种类,也标识了设备所使用的驱动程序;次设备号标识使用同一设...
zwcreatesection 共享内存区(Section)
wowbell的专栏
03-15 4622
zwcreatection创建一个section_object,section_object代表一块能够共享的内存对象。一个进程能够用section_object 来与其他进程共享它的内存空间。section_object 提供进程映射文件到其内存空间的机制。
Linux设备驱动内存映射
12-01
这篇文章描述的在linux下设备驱动内存映射
驱动开发系列06 - 内存映射和DMA
最新发布
GPU全栈博主-程序哥
07-20 556
本文深入探讨 Linux 内存管理子系统,重点介绍对设备驱动程序编写者有用的技术。许多类型的驱动程序编程都需要对虚拟内存子系统的工作原理有一定的了解;当我们编写一些更复杂、对性能要求更高的驱动时,本文所涉及的内容就会派上用场。虚拟内存子系统也是 Linux 核心内核中非常有趣的一部分,因此值得一看。本文内容分为三节:第一节涉及 mmap 系统调用的实现,该调用允许将设备内存直接映射到用户进程的地址空间。将设备内存直接映射到用户进程的地址空间。
Linux device driver 3 笔记 之 内存映射
e28sean的专栏
04-21 745
今天自己学习 Linux设备驱动程序 第三版 第15章 内存映射和DMA. 感觉有点吃力。主要是对内存映射很多术语和概念不是很清楚,理解起来有点费劲。后来结合英文原版,静下心来仔细学习,才算是有了一点进展。现在在这里做一个笔记,以备以后复习用。 低端内存和高端内存书中的图15-1有点误导人。图中将 内核虚拟地址 和 内核逻辑地址 分开了。其实应该是并在一起的。内核虚拟地址
内存映射(Linux设备驱动程序)
s651665496的专栏
04-22 1719
第一部分:mmap系统调用直接将设备内存映射到用户进程的地址空间里。 第二部分:跨越边界直接访问用户空间的内存页。一些相关的驱动程序需要这种能力,(用户空间内存如何映射到内核中的方法get_user_pages) 第三部分:直接内存访问(DMA)I/O操作,使得外设具有直接访问系统内存的能力。 Linux的内存管理 地址类型 Linux是一个虚拟内存系统, 这意味着用户程序
【Window内核驱动开发】——内存映射的基本使用
zcr214的博客
11-28 1919
【我的】Window驱动开发——内存映射的基本使用 作者:zcr214 时间:2016/5/18   内存映射文件可以用于3个不同的目的。 •系统使用内存映射文件,以便加载和执行. exe和DLL文件。这可以大大节省页文件空间和应用程序启动运行所需的时间。 •可以使用内存映射文件来访问磁盘上的数据文件。这使你可以不必对文件执行I/O操作,并且可以不必对文件内容进行缓存。 •可以使用内存
windows进程间通信系列 第二篇 内存映射文件
bobopeng
06-07 794
1.内存映射文件的原理
内存映射技术在Linux驱动程序中的应用和实现.pdf
09-06
内存映射技术在Linux驱动程序中的应用和实现 内存映射技术在Linux驱动程序中的应用和实现可以解决高速设备的驱动程序中传统的驱动实现读写系统调用的问题。传统的驱动实现读写系统调用的方式已经不能很好地利用操作...
进程创建监控
zzmzzff的博客
03-28 690
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSectionZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
x86 emulator 源码
12-13
模拟器源代码,内有汇编器、反汇编器,实现windows底层操作,ZwCreateSection, ZwCreateFileMapping, OpenProcess等,含有PE结构解析,引入表IAT重构,调试器dbg,还有linux底层相关的源码等等,自己去宝库发掘。 可以作为实现自己的模拟器的参考,也可以用作其他相关项目的源码参考,相当经典,推荐!
内存驱动源代码
09-06
内存驱动源代码,学习
内核 HOOK ZwMapViewOfSection
残酷な天使
10-06 3698
转自:http://lwglucky.blog.51cto.com/1228348/284829  有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT中的这个函数,过滤出是加载Kernel32.
内存分页保护属性修改
jian274622701的博客
03-20 1103
N年前看的郁金香老师的内核驱动开发教程,想起这段代码,作个笔记, 希望以后在arm下可能会用得上 VOID DisableWriteProtect( PULONG pOldAttr) { ULONG uAttr; _asm { push eax; moveax, cr0; movuAttr, eax; andeax, 0FFFEFFFFh; // CR0 16 BIT = 0 ...
执行体的重定向
05-10 1716
题目:特洛伊执行体重定向作者:Greg Hoglund, Gary McGraw翻译:Rhett//--------------------------------------------------------------一旦入侵者拿到系统的root权限,所有监视和审核系统的效能都会大打折扣,甚至是在硬件层面的数据审核和加密校验措施也能被挫败。唯一例外的是被隔离存放的审核和校验系统所在的硬件设备
修改父进程
sx5486510的专栏
07-12 3638
extern "C" { #define NTAPI __stdcall typedef struct _PEB *PPEB; #define PAGE_SIZE 0x1000 typedef LONG NTSTATUS; #define DECLSPEC_IMPORT __declspec(dllimport) #define NTSYSAPI DECLSPEC_IMPORT
神奇的记事本
Viper的专栏
10-08 5895
最初发表在我的QQ空间,见:http://user.qzone.qq.com/31731705/blog/1317393693 记事本是Windows系统上的老程序了,它的历史几乎和Windows一样久,其实,平凡的它也是一个神奇的程序。在Win7上,将c:\windows\s
混杂字符设备:LED驱动内存映射分析
本文档深入探讨了混杂字符设备(HCD)中的LED设备驱动设计,以及与CPU寄存器和虚拟内存映射的相关概念。混杂字符设备的核心特性是共享主设备号(通常是10),通过一个链表结构来连接多个独立的设备,次设备号用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值