使用驱动来枚举DPC

于 2023-04-18 20:09:55 发布
阅读量118 收藏
点赞数 1
分类专栏: Windows 文章标签: windows 内核 Windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/130230056
版权

WIN7 X86

驱动

#include<ntifs.h>
#include <WinDef.h>

#define DEVICE_NAME L"\\Device\\wangliang"
#define SYM_NAME L"\\??\\wangliang"

#define _COMM_ID 0x12345678

typedef struct _CommPackage {
	ULONG64 id;
	ULONG64 pid;
	ULONG DPCobject;
	ULONG DeferredRoutine;
	ULONG Timerobject;
	ULONG Period;

}CommPackage, * PCommPackage;

typedef struct _KTIMER_TABLE_ENTRY
{
	UINT64			Lock;
	LIST_ENTRY		Entry;
	ULARGE_INTEGER	Time;
} KTIMER_TABLE_ENTRY, * PKTIMER_TABLE_ENTRY;

typedef struct _DPC_TIMER_ENTRY_INFORMATION
{
	UINT_PTR TimerObject;
	UINT_PTR RealDpc;
	UINT_PTR Cycle;       // 周期
	UINT_PTR TimeDispatch;
} DPC_TIMER_ENTRY_INFORMATION, * PDPC_TIMER_ENTRY_INFORMATION;

typedef struct _DPC_TIMER_INFORMATION
{
	UINT32                      NumberOfDpcTimers;
	DPC_TIMER_ENTRY_INFORMATION DpcTimerEntry[1];
} DPC_TIMER_INFORMATION, * PDPC_TIMER_INFORMATION;

typedef NTSTATUS(NTAPI* CommCallback)(PCommPackage package);
CommCallback gCommCallback = NULL;

NTSTATUS DefDispatch(DEVICE_OBJECT* DeviceObject, IRP* Irp)
{
	Irp->IoStatus.Status = STATUS_SUCCESS;
	IoCompleteRequest(Irp, 0);
	return STATUS_SUCCESS;
}

VOID DriverUnload(PDRIVER_OBJECT pDriver) {
	UNICODE_STRING symName = { 0 };
	RtlInitUnicodeString(&symName, SYM_NAME);
	IoDeleteSymbolicLink(&symName);

	IoDeleteDevice(pDriver->DeviceObject);

	DbgPrint("Driver UnLoad!");
}


typedef
BOOLEAN(*pfnKeSetTimer)(
	__inout PKTIMER Timer,
	__in LARGE_INTEGER DueTime,
	__in_opt PKDPC Dpc);


#define IOCTL_ARKPROTECT_ENUMDPCTIMER      (UINT32)CTL_CODE(FILE_DEVICE_ARKPROTECT, 0x824, METHOD_NEITHER, FILE_READ_ACCESS | FILE_WRITE_ACCESS)

NTSTATUS process_enum(DEVICE_OBJECT* DeviceObject, IRP* Irp) {
	
	
	PIO_STACK_LOCATION ioStack = IoGetCurrentIrpStackLocation(Irp);
	LARGE_INTEGER ByteOffset = ioStack->Parameters.Read.ByteOffset;
	int Length = ioStack->Parameters.Read.Length;
	PCommPackage package = Irp-> UserBuffer;
	NTSTATUS status = STATUS_UNSUCCESSFUL;

	PLIST_ENTRY KiTimerTableListHead = 0;

	UINT32   CpuNumber = KeNumberProcessors;	// 全局变量 CPU个数
	UINT32 i = 0;
	for (i = 0; i < CpuNumber; i++)
	{
		BOOLEAN   bOk = FALSE;
		PUINT_PTR KiWaitAlwaysAddress = NULL;
		PUINT_PTR KiWaitNeverAddress = NULL;
		UINT_PTR  PrcbAddress = 0;
		PUCHAR    TimerEntries = NULL;

		KeSetSystemAffinityThread(i + 1);	// 使当前线程运行在第一个处理器上



		_asm 
		{
		push eax
		mov eax,FS:[0x20]
		mov PrcbAddress,eax
		pop eax
		};

		KeRevertToUserAffinityThread();	  // 恢复处理器


		TimerEntries = (PUCHAR)(PrcbAddress + 0x1960 + 0x40);	// _KTIMER_TABLE_ENTRY
		

			UINT32 j = 0;
			KIRQL OldIrql = KeRaiseIrqlToDpcLevel();

			// 256个KTIMER_TABLE_ENTRY数组
			for (j = 0; j < 0x100; j++)
			{
				if (j == package->pid) {
					PLIST_ENTRY CurrentListEntry = (PLIST_ENTRY)(TimerEntries + sizeof(KTIMER_TABLE_ENTRY) * j + 0x4);  // 每次定位到数组的List_Entry成员
					if (CurrentListEntry && MmIsAddressValid(CurrentListEntry))
					{
						PLIST_ENTRY TravelListEntry;
						for (TravelListEntry = CurrentListEntry->Flink;
							MmIsAddressValid(TravelListEntry) && CurrentListEntry != TravelListEntry;
							TravelListEntry = TravelListEntry->Flink)
						{
							//获得首地址
							PKTIMER Timer = CONTAINING_RECORD(TravelListEntry, KTIMER, TimerListEntry);
							/*
							kd> dt _KTIMER
							nt!_KTIMER
							+0x000 Header           : _DISPATCHER_HEADER
							+0x018 DueTime          : _ULARGE_INTEGER
							+0x020 TimerListEntry   : _LIST_ENTRY
							+0x030 Dpc              : Ptr64 _KDPC
							+0x038 Processor        : Uint4B
							+0x03c Period           : Uint4B
							*/
							PKDPC RealDpc = Timer->Dpc;
							if (MmIsAddressValid(Timer) && MmIsAddressValid(RealDpc) && MmIsAddressValid(RealDpc->DeferredRoutine))
							{
								//DbgBreakPoint();
								//if (DpcTimerCount > dti->NumberOfDpcTimers)
								//{
								//DbgPrintEx(77, 0, "DPC对象:%p\r\n", (UINT_PTR)RealDpc);
								//DbgPrintEx(77, 0, "DPC函数入口:%p\r\n", (UINT_PTR)RealDpc->DeferredRoutine);
								//DbgPrintEx(77, 0, "Timer对象:%p\r\n", (UINT_PTR)Timer);
								//DbgPrintEx(77, 0, "触发周期:%d\r\n:", Timer->Period);



								package->DPCobject = RealDpc;
								package->DeferredRoutine = RealDpc->DeferredRoutine;
								package->Timerobject = Timer;
								package->Period = Timer->Period;



							}
						}
					}
				}
			}
			KeLowerIrql(OldIrql);
	}


	Irp->IoStatus.Information = 0;
	Irp->IoStatus.Status = status;



	IoCompleteRequest(Irp, 0);

	return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING registeryPat) {
	UNICODE_STRING unName = { 0 };
	RtlInitUnicodeString(&unName, DEVICE_NAME);

	UNICODE_STRING symName = { 0 };
	RtlInitUnicodeString(&symName, SYM_NAME);

	PDEVICE_OBJECT pDevice = NULL;

	NTSTATUS status = IoCreateDevice(pDriver, NULL, &unName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &pDevice);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("[db]:%x\r\n", status);
		return status;
	}

	status = IoCreateSymbolicLink(&symName, &unName);

	if (!NT_SUCCESS(status))
	{
		IoDeleteDevice(pDevice);
		DbgPrint("[db]:%x\r\n", status);
		return status;
	}

	pDevice->Flags &= ~DO_DEVICE_INITIALIZING;
	pDevice->Flags |= DO_BUFFERED_IO;

	pDriver->MajorFunction[IRP_MJ_CREATE] = DefDispatch;
	pDriver->MajorFunction[IRP_MJ_CLOSE] = DefDispatch;
	pDriver->MajorFunction[IRP_MJ_READ] = process_enum;

	pDriver->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;

}

R3

#include <stdio.h>
#include <Windows.h>

#define SYM_NAME   "\\\\.\\wangliang"

typedef struct _CommPackage {
	ULONG64 id;
	ULONG64 pid;
	ULONG DPCobject;
	ULONG DeferredRoutine;
	ULONG Timerobject;
	ULONG Period;
	
}CommPackage, * PCommPackage;

#define _COMM_ID 0x12345678

int main()
{
	CommPackage packag;
	packag.id = _COMM_ID;
	packag.pid = (ULONG64)0;
	int j = 0;

	HANDLE hDevice = CreateFileA(SYM_NAME, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);


	if (hDevice == NULL || hDevice == INVALID_HANDLE_VALUE)
	{
		printf("%d", hDevice);
		system("pause");
		return 0;
	}

	DWORD p = 0;

	for (j = 0; j < 0x100; j++) {
		
		packag.DeferredRoutine = 0;
		packag.DPCobject = 0;
		packag.Period = 0;
		packag.Timerobject = 0;
		ReadFile(hDevice, &packag, sizeof(CommPackage), &p, NULL);

		if (packag.DPCobject != NULL && packag.DeferredRoutine != NULL) {
			printf("DPC对象:0x%x\r\n", packag.DPCobject);
			printf("DPC函数入口:0x%x\r\n", packag.DeferredRoutine);
			printf("Timer对象:0x%x\r\n", packag.Timerobject);
			printf("触发周期:%u\r\n", packag.Period);
		}
		
		packag.pid = packag.pid + 1;
	}
	


	CloseHandle(hDevice);

	system("pause");
	return 0;
}

截图效果

在这里插入图片描述

0xwangliang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言-易语言驱动 过保护 内核重载 钩子扫描 DPC
06-25
IOTimer的枚 使用 和 卸载 DCPTimer的枚 内核InlineHook的扫描 (跟XUETR那个内核钩子扫描一样) 内核有效地址判断的实现 TP GPK HS NP等保护的处理 TP IO通信算法的逆向 各种Image Create回调的枚和删除 等等.....
驱动开发:内核中枚进线程与模块
热门推荐
CSDN
10-14 1万+
内核枚进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
驱动开发:内核使用IO/DPC定时器
CSDN
04-04 1万+
本章将继续探索驱动开发中的基础部分,定时器在内核中同样很常用,在内核中定时器可以使用两种,即IO定时器,以及DPC定时器,一般来说IO定时器是DDK中提供的一种,该定时器可以为间隔为N秒做定时,但如果要实现毫秒级别间隔,微秒级别间隔,就需要用到DPC定时器,如果是秒级定时其两者基本上无任何差异,本章将简单介绍。编译并运行这段程序,会发现其运行后的定时效果与IO定时器并无太大区别,但是DPC可以控制更精细,通过。函数对定时器进行初始化,但需要注意的是此函数每个设备对象只能调用一次,当初始化完成后用户可调用。
x64驱动遍历 DPC 定时器
LYSM
05-22 733
目的 拿到类似于 PChunter 中的信息: 过程 首先,要拿到系统的 _KPRCB ,也就是 KiProcessorBlock 的地址: 我这里显示了 4 地址,这是因为我的 CPU 是 4 核 —— (垃圾电脑勿喷) 对于 KiProcessorBlock 这个 API , Windows 没有导出: 但是可以通过另一种办法获取到这个地址: // 获取特殊寄存器中的值,拿 _KPRCB ULONG64 PrcbAddress = (ULONG64)__readmsr(0xC0000101)
[再mark] 系统注册的dpc,枚定时器相关的……
Returns' Station
06-06 1438
续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html 刚没事儿又看了下~mark而已啊~   1. ExpTimerDpcRoutine   R3程序调用NtCreateTimer   创建句柄对应Etimer,etimer包含一个ktimer结构,最
x64 驱动 创建 dpc 定时器
墨鱼菜鸡
07-06 123
初始化 KTIMER my_timer; KDPC KiTimerExpireDpc; KTIMER: typedef struct _KTIMER { DISPATCHER_HEADER Header; ...
Windows驱动开发基础视频教程.txt
12-20
第五十课 分层驱动:枚设备栈上的设备对象 第五十一课 编写过滤驱动程序 第五十二课 irp完成函数 第12章驱动程序开发高级技能 第五十三课 驱动程序的兼容性 第五十五课 驱动调试之windbg与vmware 第五十六课...
windows驱动开发技术详解-part2
07-06
 5.2 在驱动使用链表  5.2.1 链表结构  5.2.2 链表初始化  5.2.3 从首部插入链表  5.2.4 从尾部插入链表  5.2.5 从链表删除  5.2.6 实验  5.3 Lookaside结构  5.3.1 频繁申请内存的弊端  5.3.2...
Windows驱动开发技术详解的光盘-part1
07-06
 5.2 在驱动使用链表  5.2.1 链表结构  5.2.2 链表初始化  5.2.3 从首部插入链表  5.2.4 从尾部插入链表  5.2.5 从链表删除  5.2.6 实验  5.3 Lookaside结构  5.3.1 频繁申请内存的弊端  5.3.2...
LKT内核工具,用于分析内核
06-25
支持5种 驱动 支持 驱动IRP 驱动线程 驱动回调 驱动IO定时器 驱动DPC定时器 等枚 支持 各种入口地址查看反汇编 拆除 结束 恢复 等操作 支持 SSDT 和 ShadowSSDT 枚 支持 排序 和模糊查找。
Win64 驱动内核编程-25.X64枚和隐藏内核模块
天使也掉毛
03-26 4670
X64枚和隐藏内核模块     在 WIN64 上枚内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
驱动开发:内核枚DpcTimer定时器
CSDN
10-16 1万+
在笔者上一篇文章`《驱动开发:内核枚IoTimer定时器》`中我们通过`IoInitializeTimer`这个API函数为跳板,向下扫描特征码获取到了`IopTimerQueueHead`也就是IO定时器的队列头,本章学习的枚DPC定时器依然使用特征码扫描,唯一不同的是在新版系统中DPC是被异或加密的,想要找到正确的地址,只是需要在找到DPC表头时进行解密操作即可。
内核dpc定时器
sanfenlu的专栏
04-12 761
另外,应用程序每次取声音的数据量是根据系统的声音设置而定的,系统声音设置“录制”属性中设置44100每次取1764,设置48000每次取1920。默认值是第一次安装驱动中的接口而定的。应用程序每次只请求1764个字节,每一个中断对应有1920个字节,这样每一个中断就会在驱动中累积156个字节而导致数据在驱动中溢出。总数据量:48000*2*2=192000,应用程序每次请求1920个字节,驱动中的CELL刚好也是1920,这样就每一个中断往应用层写入一次,每秒刚好有100个中断(192000/1920)。
xp下枚KTIMER计时器(包含DPC计时器)
qinqin772的博客
01-04 1101
[此次枚发生在  32BIT XP sp3 下,别的版本暂时没有试验过] 【前提】 DPC定时器  中描述,KeSetTimerEx中,引用到了 KiInsertTreeTimer ,这个符号是个 FASTCAL L型的函数调用,但是 其并没有使用EDX。 第一个参数 通过 ECX 将 KTIMER的指针传入, 第二个,第三个参数 靠压栈实现,这两个参数就是 LARGE_INT
DPC定时器
07-04 536
#include <windows.h> #include <stdio.h> //使用CTL_CODE必须加入winioctl.h #include <winioctl.h> #include "..\DPC定时器\Ioctls.h" int main() { HANDLE hDevice = CreateFile(L"\\\\.\\HelloDDK...
逆--Win7x64 UserTimer结构获取,NtUserSetTimer,_SetTimer,InternalSetTimer 枚进程定时器
zhuhuibeishadiao
05-21 3591
用户层调用SetTimer-->内核NtUserSetTimer处理 NtUserSetTimer -->_SetTimer --> InternalSetTimer-->FindTimer / HMAllocObject 去看看NtUserSetTimer 函数原型 UINT_PTR APIENTRY NtUserSetTimer ( HWND hWnd, UINT_PT
IO_TIMER计时器
qinqin772的博客
01-02 1206
前提: 1。首先你得了解什么是IO_TIMER计时器 不了解的话可以去看一下《Windows驱动开发详解》第10章 2。你得会简单驱动的编写 不了解的话还是可以看一下《windows驱动开发详解》,或是参照网上的教程,开发环境是拦路虎,搭好了,再跟着书上例子,慢慢来,以及多网上查阅 3。你得清楚我的实验环境是在32bit-XP SP3下,因此我这儿的情况可能并不适用你那儿,但是走走流程还
51单片机驱动TM1640使用数码管
最新发布
07-27
51单片机可以使用TM1640来驱动数码管。TM1640是一种I2C接口的驱动芯片,只需要占用2个IO口就可以驱动6位数码管和16个按键。在使用TM1640之前,需要进行IO口的初始化。然后可以使用TM1640的自动地址加一模式对每位...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值