用驱动遍历驱动

已于 2023-04-08 17:14:27 修改
阅读量167 收藏
点赞数 1
分类专栏: Windows 文章标签: windows 驱动 网络安全
于 2023-04-08 17:10:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/130031594
版权

X86 win7 平台

驱动

#include <ntifs.h>

#define DEVICE_NAME L"\\Device\\wangliang"
#define SYM_NAME L"\\??\\wangliang"

#define _COMM_ID 0x12345678

typedef struct _KLDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY exp;
	ULONG un;
	ULONG NonPagedDebugInfo;
	ULONG DllBase;
	ULONG EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT __Undefined5;
	ULONG  __Undefined6;
	ULONG  CheckSum;
	ULONG  TimeDateStamp;
} KLDR_DATA_TABLE_ENTRY, * PKLDR_DATA_TABLE_ENTRY;


NTKERNELAPI NTSTATUS ObReferenceObjectByName(
	__in PUNICODE_STRING ObjectName,
	__in ULONG Attributes,
	__in_opt PACCESS_STATE AccessState,
	__in_opt ACCESS_MASK DesiredAccess,
	__in POBJECT_TYPE ObjectType,
	__in KPROCESSOR_MODE AccessMode, 
	__inout_opt PVOID ParseContext,
	__out PVOID* Object 
);


extern POBJECT_TYPE* IoDriverObjectType;

typedef struct _CommPackage {
	ULONG64 id;
	ULONG64 pid;
	CHAR name[64];
}CommPackage, * PCommPackage;

typedef NTSTATUS(NTAPI* CommCallback)(PCommPackage package);

CommCallback gCommCallback = NULL;


NTSTATUS DefDispatch(DEVICE_OBJECT* DeviceObject, IRP* Irp)
{
	Irp->IoStatus.Status = STATUS_SUCCESS;
	IoCompleteRequest(Irp, 0);
	return STATUS_SUCCESS;
}

NTSTATUS ReadDispatch(DEVICE_OBJECT* DeviceObject, IRP* Irp)
{
	//DbgBreakPoint();
	
	PIO_STACK_LOCATION ioStack = IoGetCurrentIrpStackLocation(Irp);
	LARGE_INTEGER ByteOffset = ioStack->Parameters.Read.ByteOffset;
	int Length = ioStack->Parameters.Read.Length;
	PCommPackage package = Irp->UserBuffer;
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	

	PKLDR_DATA_TABLE_ENTRY ldr = (PKLDR_DATA_TABLE_ENTRY)DeviceObject->DeviceExtension;
	PKLDR_DATA_TABLE_ENTRY pre = (PKLDR_DATA_TABLE_ENTRY)ldr->InLoadOrderLinks.Flink;
	PKLDR_DATA_TABLE_ENTRY next = (PKLDR_DATA_TABLE_ENTRY)pre->InLoadOrderLinks.Flink;

	if (package->pid > 1) {
		ULONG64 i = (ULONG64)1;
		for (; i < package->pid; i++) {
			next = (PKLDR_DATA_TABLE_ENTRY)next->InLoadOrderLinks.Flink;
		}
	}
	if (Length == sizeof(CommPackage) ) {

		UNICODE_STRING  driverName1 = next->FullDllName;
		PDRIVER_OBJECT Driver = NULL;
		ANSI_STRING ansi_buffer_target = { 0 };

		NTSTATUS status = ObReferenceObjectByName(&driverName1, FILE_ALL_ACCESS, 0, 0, *IoDriverObjectType, KernelMode, NULL, &Driver);//通过驱动的到驱动的对象

		if (package->id == _COMM_ID) {

			RtlUnicodeStringToAnsiString(&ansi_buffer_target, &driverName1, TRUE);
			strcpy(package->name, ansi_buffer_target.Buffer);
			RtlFreeAnsiString(&ansi_buffer_target);

		}
	
	};
	
	Irp->IoStatus.Information = 0;
	Irp->IoStatus.Status = status;
	IoCompleteRequest(Irp, 0);
	
	return status;
}
VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	UNICODE_STRING symName = { 0 };
	RtlInitUnicodeString(&symName, SYM_NAME);
	IoDeleteSymbolicLink(&symName);

	IoDeleteDevice(pDriver->DeviceObject);
	DbgPrint("END\r\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)
{
	PKLDR_DATA_TABLE_ENTRY ldr = (PKLDR_DATA_TABLE_ENTRY)pDriver->DriverSection;

	UNICODE_STRING unName = { 0 };
	RtlInitUnicodeString(&unName, DEVICE_NAME);

	UNICODE_STRING symName = { 0 };
	RtlInitUnicodeString(&symName, SYM_NAME);

	PDEVICE_OBJECT pDevice = NULL;

	NTSTATUS status = IoCreateDevice(pDriver, sizeof(PKLDR_DATA_TABLE_ENTRY)+1, &unName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &pDevice);//创建一个驱动设备使用的设备对象
	
	if (!NT_SUCCESS(status))
	{
		DbgPrint("[db]:%x\r\n", status);
		return status;
	}

	memcpy(pDevice->DeviceExtension, ldr, sizeof(PKLDR_DATA_TABLE_ENTRY));
	status = IoCreateSymbolicLink(&symName, &unName);
	
	if (!NT_SUCCESS(status))
	{
		IoDeleteDevice(pDevice);
		DbgPrint("[db]:%x\r\n", status);
		return status;
	}

	pDevice->Flags &= ~DO_DEVICE_INITIALIZING;
	pDevice->Flags |= DO_BUFFERED_IO;

	pDriver->MajorFunction[IRP_MJ_CREATE] = DefDispatch;
	pDriver->MajorFunction[IRP_MJ_CLOSE] = DefDispatch;
	pDriver->MajorFunction[IRP_MJ_READ] = ReadDispatch;

	pDriver->DriverUnload = DriverUnload;
	
	return STATUS_SUCCESS;
}

R3

#include <stdio.h>
#include <Windows.h>

#define SYM_NAME   "\\\\.\\wangliang"

typedef struct _CommPackage {
	ULONG64 id;
	ULONG64 pid;
	CHAR name[64];
}CommPackage, * PCommPackage;

#define _COMM_ID 0x12345678

int main()
{
	CommPackage packag;
	packag.id = _COMM_ID;
	packag.pid = (ULONG64)1;
	for (int i = 0; i < 64; i++) {
		packag.name[i] = 0;
	}
	HANDLE hDevice = CreateFileA(SYM_NAME, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	
	
	if (hDevice == NULL || hDevice == INVALID_HANDLE_VALUE)
	{
		printf("%d", hDevice);
		system("pause");
		return 0;
	}

	DWORD p = 0;
	

	ReadFile(hDevice, &packag, sizeof(CommPackage), &p, NULL);
	char First[64] = {0};
	strcpy_s(First, 64, packag.name);
	printf("%s\r\n", packag.name);
	
	do{
		
		packag.pid = packag.pid + 1;
		for (int i = 0; i < 64; i++) {
			packag.name[i] = 0;
		}
		ReadFile(hDevice, &packag, sizeof(CommPackage), &p, NULL);
		printf("%s\r\n", packag.name);
		Sleep(1000);
	} while (strcmp(First, packag.name) != NULL);
		

	CloseHandle(hDevice);
	
	system("pause");
	return 0;
}

效果图

在这里插入图片描述

0xwangliang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
32位/64位WINDOWS驱动遍历Process,Thread Object勾子遍历驱动模块
最新发布
a756598009的博客
07-09 396
遍历成功拿到了线程回调对象。
遍历系统中加载的驱动程序以及通过设备对象指针获取设备对象名称
Masimaro的专栏
03-01 2381
遍历系统中加载的驱动以及通过设备对象指针获取设备对象名称
枚举和隐藏内核模块
liuhaidon1992的博客
01-08 1000
在 WIN64 上枚举内核模块有两种方法:使用 ZwQuerySystemInformation 的第 11 号功能(SystemModuleInformation)和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表; 隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向...
遍历windows驱动遍历对象目录的对象
03-05 1929
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
win7-32、驱动模块遍历驱动模块隐藏
Windows内核学习笔记
07-08 842
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
驱动层获取文件大小、遍历文件夹、创建文件
03-26
驱动层获取文件大小,遍历文件夹、创建文件、隐藏文件
C#遍历操作系统下所有驱动器的方法
09-03
主要介绍了C#遍历操作系统下所有驱动器的方法,涉及C#中DriveInfo类GetDrivers方法的使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下
14.遍历驱动模块.mp4
09-10
windows x64驱动程序开发 14.遍历驱动模块.
通过注册表遍历查找USB3.0驱动
07-28
通过注册表遍历查找USB3.0驱动 http://blog.csdn.net/greless/article/details/72867700
内存遍历工具(驱动版)
03-23
使用详细: 1.工具有一个隐含快捷键alt+f,这个快捷键的作用是选择窗口,选择了以后工具的区域1就会变成“窗口句柄+进程ID+进程句柄+OK”如果打开失败了,那就变成“error”了。 2.区域6的作用是显示遍历结果,这个窗口的数据不是时时更新的,并且软件关闭后不会记录,除右键菜单外还支持快捷操作 (1)左键双击-记录鼠标选择行所有信息到区域3(当前激活的) (2)DELETE-删除鼠标选择行 3.区域2的作用是归类当前TAB标签,可以在软件目录下opmem.ini文件设置其标签名称,方法为在“[setup]”下添加“char_tab1=人物信息”标签1就变成了人物信息,如果是“char_tab2”那么就是第二个标签的标题,这几个标签是可以切换的,且各自独立。 4.区域3的作用是分类记录已经分析完成的内存信息(这些信息重器软件是保存的),其中软件读取的地址为偏移栏目下的基址+偏移,除右键菜单外还支持DELETE键,还有就是内存锁定功能(把地址栏的勾打上),锁定功能这里要提及一下,软件会锁定你修改成的值,其它就没什么了。 5.区域4的作用是设置遍历参数,这个栏目属于最基础的,所以就不多说了,就是设置了信息然后单击开始遍历就可以了。 6.区域5的作用是设置过滤条件和信息,在这个栏目设置了以后电击开始过滤就会根据你设置的条件和信息对区域6的信息进行过滤,下面详细介绍每个过滤条件以及对应的过滤信息的设置。组1:单-过滤对象为区域6的单字信息,双-过滤对象为区域6的双字信息,四-过滤对象为区域6的四字信息,A-过滤对象为区域6的文本A信息,U-过滤对象为区域6的文本U信息 组2:%d-代表读取的内存信息用十进制表示 %x-代表读取的内存信息用十六进制表示 组3:大-过滤条件是比搜索1框内输入数字大的保留,小于或等于的删除,小-过滤条件是比搜索1框内输入数字小的保留,大于或等于的删除,间-过滤条件是比搜索1框内输入数字小或者比搜索2框内输入数字大的删除,其余的保留,等-过滤条件是等于搜索1框内输入数字的保留,其余的删除,增-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据大于当前的则保留,其余的删除,减-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据小于当前的则保留,其余的删除 同-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据和当前的相同则保留,其余的删除,变-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据和当前的不相同则保留,其余的删除。 7.CALL相关这个按钮和开始搜索这个按钮的功能还没有写,在此希望哪位同行发一份CE的源码让我学习,我会增加CE的功能于这款软件
文件过滤驱动中文件路径的获取
05-17
主本主要讲解了文件过滤驱动中文件路径的获取   
驱动开发笔记5—驱动对象、设备对象、IRP和派遣函数
qq_42814021的博客
10-28 957
驱动对象 每个驱动程序都会有唯一的驱动对象与之对应,并且这个驱动对象是在驱动加载的时候,被内核中的对象管理程序所创建的。 0: kd> dt _DRIVER_OBJECT nt!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0x004 DeviceObject : Ptr32 _DEVICE_OBJECT //驱动程序创建的第一个设备对象,通过它可以遍历驱动对象里
遍历所有驱动的名_根据本驱动对象的成员(DriverObject->DriverSection)_对应LDR_DATA_TABLE_ENTRY结构体_双向链表使用
01-27 3355
#include"ntddk.h" typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个 我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表 本驱动驱动对象就是一个节点 LIST_ENTRY InMemoryOrderL...
驱动遍历进程的方法
qq_41071646的博客
10-27 1398
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
x64驱动 遍历驱动模块
LYSM
07-02 2120
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
驱动开发:探索DRIVER_OBJECT驱动对象
CSDN
04-03 7015
本章将探索驱动程序开发的基础部分,了解驱动对象`DRIVER_OBJECT`结构体的定义,一般来说驱动程序`DriverEntry`入口处都会存在这样一个驱动对象,该对象内所包含的就是当前所加载驱动自身的一些详细参数,例如驱动大小,驱动标志,驱动名,驱动节等等,每一个驱动程序都会存在这样的一个结构。
驱动-遍历驱动、隐藏驱动
chengtoreal的博客
03-05 576
//自定义消息 #define Ergodicdrivelist CTL_CODE( FILE_DEVICE_UNKNOWN, 0x801, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) #define Hidedriver CTL_CODE( FILE_DEVICE_UNKNOWN, 0x802, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) // 遍历驱动 void Ergodicdrivelistfun(PIRP Irp) { PIO_STACK_
C/C++ 应用层遍历驱动列表
CSDN
07-16 5811
需要注意的是,这段代码使用了Windows特定的API函数,并使用了C的字符串操作函数。这段代码用于列举系统中加载的驱动程序并打印驱动程序的名称。函数获取system32文件夹的路径,需要确保目标缓冲区足够大来存储路径。,分别用于存储驱动程序的文件名、全路径和system32文件夹路径。函数获取system32文件夹的路径,并将结果存储在。使用循环遍历驱动程序地址列表,对于每个驱动程序,使用。函数获取驱动程序的全路径,并将结果存储在。函数获取驱动程序的名称,并将结果存储在。数组的大小,继续执行下面的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值