内核编程学习笔记(001)

最新推荐文章于 2023-03-16 15:20:27 发布
最新推荐文章于 2023-03-16 15:20:27 发布
阅读量787 收藏
点赞数
分类专栏: 内核驱动编程学习 文章标签: 编程 microsoft windows file components include
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaojieChen/article/details/6210518
版权

1. WDK windows Driver Kit 下载并安装在本机上,安装路径要避免有空格,最新版本还会集成了WinDbg,很方便

 

 

2. 然后编写第一个工程

 

******驱动主程序myfirst.c

 

 

#include <ntddk.h>

 

 

//卸载函数

 

VOID DriverUnload(PDRIVER_OBJECT driver)

 

{

 

DbgPrint("first:Driver is unloading.../r/n");

 

}

 

 

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)

 

{

 

#if DBG

 

_asm int 3

 

#endif

 

//内核模块的入口

 

DbgPrint("first:Hello, Puztion!/r/n");

 

 

//设置一个卸载函数

 

driver->DriverUnload = DriverUnload;

 

return STATUS_SUCCESS;

 

}

 

***********************分割线*********************

 

******有一个makefile文件

 

 

!IF 0

 

 

Copyright (C) Microsoft Corporation, 1999 - 2002

 

 

Module Name:

 

 

    makefile.

 

 

Notes:

 

 

    DO NOT EDIT THIS FILE!!!  Edit ./sources. if you want to add a new source

 

    file to this component.  This file merely indirects to the real make file

 

    that is shared by all the components of Windows NT (DDK)

 

 

!ENDIF

 

 

!INCLUDE $(NTMAKEENV)/makefile.def

 

其实上这段英文的意思就是说,这个文件内容好无聊,你永远也不要修改他(ps:我大致翻译了一下,意思应该差不多)看了这个文件的结构,其实就是最后一行起作用的:

 

!INCLUDE $(NTMAKEENV)/makefile.def

 

 

***********************分割线*********************

 

******有一个SOURCES文件

 

 

TARGETNAME=first

 

TARGETTYPE=DRIVER

 

TARGETPATH=obj

 

SOURCES=myfirst.c

 

 

其中TARGETPATH这行指定生成驱动所在的路径/obj/first.sys

 

其他看英文就差不多知道意思了

 

 

3. 在wdk运行 在对应系统的x86 Checked Build Environment下进入上述文件目录

 

build 就可以生成了

 

还有,特别注意,那三个文件的对应目录不能出现空格

 

build -c 是清楚先前生成的文件,重新生成

 

 

4. 要用到的工具有如下

 

Dbgview //用于查看内核的输入和输出

 

SRVINSTW //用于创建服务来加载驱动

 

DriverMonitor //用于加载驱动

 

Kernel Detective //一款集成的工具,可以查看内核,查看驱动信息等等

 

 

5. Dbgview 要注意的是要把 Capture Kernel 勾选上,捕获内核输出信息

 

 

6. SRVINSTW 要注意的是

 

①在输入目标程序路径的时候是无法选中sys文件的,要手动输入路径

 

②选择设备驱动

 

③NT驱动目标不用,要设置为手动启动服务

 

④要记得服务名,在windows服务管理里是看不到这个服务的,要用SRVINSTW来卸载服务

 

⑤用 net start/stop 服务名 这命令就可以启动对应的服务

 

 

7. DriverMonitor暂时还不是很会用,就会加载便行

 

 

8. 用WinDbg双机调试驱动,在vmware 里添加一个 串口(Serial Port)然后使用管道 命名为 //./pipe/com_1 (这个一般是默认的), 选择 this other end is an application。

 

 

9. 在 虚拟机中的系统 的启动文件 添加多一个启动方式,就是复制原先的一个启动方式,后面加上 /fastdetect /debug /debugport=com1 /baudrate=115200

 

 

10. 创建一个批处理启动WinDbg

 

start windbg.exe -b -k com:port=//./pipe/com_1,baud=115200,pipe

 

 

11. 然后在WinDbg里 FILE->Symbol File Path中选择生成 sys驱动文件的目录 以去加载符号文件

 

 

12. 调试中

 

g: 运行

 

u: 反汇编

 

bp: 下断点

 

bl: 列出断点

 

be: 启动断点

 

bd: 停止断点

 

bc: 删除断点

 

一般上指令和一般的debug差不多

 

piaojieChen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习记录----2020.7.24
菜鸡的博客
07-24 205
学习记录 这几天看了一些关于驱动的东西,然后学了一些WinDbg的双机调试以及IDA使用WinDbg插件调试驱动,踩了很多坑 然后之前还做了一个比赛的crackme,然后数学题太顶了,不懂数论就没做出来 WinDbg 首先虚拟机的配置。首先先移除打印机,然后添加串行端口,按照如图所配置 命名管道:\.\pipe\com_1 然后WinDbg配置 在目标那一栏填 ...
win10 win7双机调试
chaoguodong的专栏
04-14 472
删除打印机 \\.\pipe\com_1 "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" "-b -k com:pipe,port=\\.\pipe\com_1,resets=0,reconnect -y” bcdedit bcdedit /dbgsettings serial baudrate:115200 debugport:1 bcdedit /copy {current} /d DebugEntry bcde...
YJX_Driver_011_驱动保护原理实战__IDA
weixin_30651273的博客
03-24 272
1、 【00:28】认识Win32子系统   【02:02】WinAPI 一般分为3类:USER函数、GDI函数、Kernel函数     【02:38】GDI --> 物理设备上执行绘图操作 --> win32k.sys     【02:55】win32k.sys 一般我们很少用到,常用的是 ntkrnlpa.exe 和 ntkrnlpa.lib (kernel32.dll)...
驱动实验一(第一个驱动程序创建)
个人笔记
12-10 635
第一个驱动程序 创建驱动 1.创建工程 2.添加源文件 3.MyDriver1 Package可选择性移除,不影响功能。 4.配置调整不必要的属性 C/C++ 5.main.c源码 #include<ntddk.h> VOID nothing(HANDLE ppid, HANDLE mypid, BOOLEAN bcreate) { DbgPrint("ProcessNotify\n"); } VOID DrvUnload(PDRIVER_OBJECT pdriver) { Db
HOOK SSDT 实现内核级的进程保护
Windows内核学习笔记
07-07 625
SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。 SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息
Linux系统编程学习笔记
最新发布
02-21
### Linux系统编程学习笔记 #### 一、IO **1.1 标准I/O (stdio)** - **fopen/fclose**: `fopen` 用于打开或创建一个文件,并返回一个指向该文件的 `FILE *` 类型的指针。`fclose` 用于关闭一个已经打开的文件。...
UNIX系统编程学习笔记
06-15
在进入UNIX系统编程学习之前,我们首先需要理解UNIX的基本概念。UNIX是一种多用户、多任务的操作系统,由贝尔实验室在1960年代末开发。它以其简洁、强大的命令行接口和丰富的工具集而闻名,是许多现代操作系统设计...
linux编程学习笔记PDF资料下载.txt
07-17
根据提供的文件信息,我们可以推断出这是一份关于Linux编程学习笔记的PDF资料。下面将对这份资料可能涉及的关键知识点进行详细的阐述。 ### Linux编程基础知识 #### 1. Linux操作系统概述 - **定义与特点**:Linux...
linux内核设计与实现第二版 学习笔记
02-02
在《Linux内核设计与实现》第二版的学习笔记中,我们可以深入探讨以下几个关键知识点: 1. **内核架构**:Linux内核采用微内核架构,主要由进程管理、内存管理、文件系统、设备驱动和网络协议栈等模块组成。这些...
STM32学习笔记,入门学习笔记
12-07
STM32学习笔记,作为一款基于ARM Cortex-M内核的微控制器,STM32具有丰富的功能和广泛应用场景,尤其适合嵌入式系统开发初学者。本文档主要涵盖STM32的基础知识,包括芯片介绍、新建工程流程以及GPIO的输入输出操作...
Kernel Detective v1.3.0 汉化版
08-15
不错的内核工具,最新汉化版1.3。喜欢的下。
汉化Kernel Detective v1.3.0
01-23
驱动类 系统分析工具 如NP TP HS HGK
1- 环境配置
https://www.yuque.com/onlyxiu-123com
03-16 595
内核调试——环境准备
VMware+Windgb+Win7 内核驱动调试
weixin_34138377的博客
12-14 198
本文主要记录个人安装VMware+Windgb+Win7内核驱动调试的笔记。 一、安装环境 主机:Windows Vista Bussiness 虚拟机:VMware 7 GUestOS: Win7 Windbg: 6.11  二、虚拟机配置 打开相应 vmware 虚拟机上的 “Virtaul Machine Settings“ 2.“Hardware ”...
Syser 调试驱动 查看内核NTopenprocess
~~~jesse的专栏
12-26 1435
1.使用工具Syser 1900.1178、Kernel Detective v1.3.02 结果 2)kd1.3图黄色高亮 122索引号Ntopenprocess 地址和上图一样。
【转帖】解读makefile和source文件
floweronwarmbed的专栏
11-03 984
 编译驱动 需要三个文件:源文件(假设只有一个), MAKEFILE, SOURCE总共三个文件。源文件是你的驱动程序了。MAKEFILE如下: ## DO NOT EDIT THIS FILE!!! Edit ./sources. if you want to add a new source# file to this component. This file merely indirec
内核编程学习笔记(004) 对某某游戏的驱动双开的分析及其学习
飘之境界_puztion
04-23 3074
<br /><br />目前网络游戏,由于外(和谐)挂盛行,在游戏中加了很多很多的防护校验,我们耳熟能详的有TP,NP,HS,xtrap,apex等,在游戏加载前都可以看到它们的身影。<br /><br /><br /><br />作为一个初学内核驱动的菜鸟,看着高手们辗压各种驱动保护,心里真的是羡慕妒嫉恨啊。不过,现在还是要打好基础为最重要。先还是实现一个简单的驱动双开吧~<br /><br /><br /><br />某游戏要实现双开,说难不难,说容易不容易,主要是有一条技术分界线,那就是ring0级的
内核编程学习笔记(005) “天空很蓝”的5个教训
飘之境界_puztion
04-23 2700
<br /><br />某游戏的双开驱动虽然说是简单,本人在做这个工具的时候,蓝屏死机了n次,为了自己的电脑着想,特此把经验给记录下来。<br /><br />①寄存器没有平衡或平衡写错,低级错误打自己嘴巴。<br /><br />②页面保护欺骗逻辑与运算写错,低级错误。<br />and eax,not 00010000h<br />or eax,00010000h<br /><br />③对于SSDT里的Nt函数 整个操作系统都随时有可能会调用到,并不是只有自己心目中某程序想的时候才会用,就像NtCre
NT驱动开发学习笔记001
飘之境界_puztion
05-04 2526
<br /><br /> <br />题外话:<br />关于之前写的《内核编程学习笔记1-5》,那只是为了做某游戏的双开驱动而做的学习,所以比较肤浅(连NT式驱动和WDM式驱动都分不不清)。这次是一个系统的学习,会结合操作系统的知识来学习,是一个系统的学习过程,所以要重新写的学习笔记。加油吧~<br /><br /><br /><br />NT驱动开发学习笔记一2011.05.04<br /><br /><br />关于头文件:<br />①#pragma once//表示这个头文件只会被包含一次,可以防
UC内核编程笔记:详解mutex创建与销毁函数
在UC内核编程中,mutex变量是用于同步多个线程执行的重要工具,确保数据一致性并避免竞态条件。以下是对创建和销毁mutex变量相关函数的详细解释: 1. `pthread_mutex_init(mutex, attr)`: 这个函数用于初始化一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值