IoEnumerateDeviceObjectList函数的还原

最新推荐文章于 2022-04-21 11:32:14 发布
最新推荐文章于 2022-04-21 11:32:14 发布
阅读量432 收藏
点赞数
分类专栏: windows inners
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/80615998
版权

函数接口解释参考ddk文档(win 7 32),用来遍历某个驱动对象的设备对象。c代码+WinDbg得到的反汇编代码

NTSTATUS 
  IoEnumerateDeviceObjectList(IN PDRIVER_OBJECT DriverObject,    //ebp+8
                             IN PDEVICE_OBJECT  *DeviceObject,    //ebp+ch
                             IN ULONG           DeviceObjectListSize,  //ebp+10h
                             OUT PLONG          ActualNumberDeviceObjects)  //ebp+14h
{
    NTSTATUS status=STATUS_SUCCESSFUL;
    PDEVICE_OBJECT tempDeviceObject=NULL;
    ULONG Count=0,i=0;
    PKIRQL OldIrql;
    KeAcquireQueuedSpinLock(0xa,OldIrql);
    DeviceObjcetListSize=DeviceObjectListSize/4;  //4=sizeof(a pointer)
    //enumerate the DeviceObject and get the number
    tempDeviceObjcet=DriverObject->DeviceObject;
    while(tempDeviceObject)
    {
        tempDeviceObject=tempDeviceObject->NextDevice;
        Count++;
    }
    //actual number
    *ActualNumberDeviceObjects=Count;
    if(Count>DeviceObjectListSize)  
    {
        status=STATUS_BUFFER_TOO_SMALL;
    }
    //
    if(DeviceObjectListSize<=0)  
    {
        KeReleaseQueuedSpinLock(0xa,OldIrql);
        return status;
    }
    tempDeviceObjcet=DriverObjct->DeviceObject;
    while(tempDeviceObcjet&&DeviceObjcetListSize)  //get the DeviceObjcet pointeres
    {
        ObfReferenceObjct(tempDeviceObjct);
        DeviceObject[i]=tempDeviceObject;   //save the DeviceObejct pointer
        DeviceObjcetListSize--;
    }

    KeReleaseQueuedSpinLock(0xa,OldIrql);
    return status;
}

反汇编代码

nt!IoEnumerateDeviceObjectList:
840485f7 8bff            mov     edi,edi
840485f9 55              push    ebp
840485fa 8bec            mov     ebp,esp
840485fc 51              push    ecx
840485fd 51              push    ecx
840485fe 56              push    esi
840485ff 57              push    edi
84048600 6a0a            push    0Ah
84048602 33ff            xor     edi,edi
84048604 217df8          and     dword ptr [ebp-8],edi
84048607 59              pop     ecx
84048608 ff1564110484    call    dword ptr [nt!_imp_KeAcquireQueuedSpinLock (84041164)]
8404860e 8b4d08          mov     ecx,dword ptr [ebp+8]
84048611 8b7510          mov     esi,dword ptr [ebp+10h]
84048614 8845ff          mov     byte ptr [ebp-1],al
84048617 8b4104          mov     eax,dword ptr [ecx+4]
8404861a c1ee02          shr     esi,2
8404861d eb04            jmp     nt!IoEnumerateDeviceObjectList+0x2c (84048623)

nt!IoEnumerateDeviceObjectList+0x28:
8404861f 8b400c          mov     eax,dword ptr [eax+0Ch]
84048622 47              inc     edi

nt!IoEnumerateDeviceObjectList+0x2c:
84048623 85c0            test    eax,eax
84048625 75f8            jne     nt!IoEnumerateDeviceObjectList+0x28 (8404861f)

nt!IoEnumerateDeviceObjectList+0x30:
84048627 8b4514          mov     eax,dword ptr [ebp+14h]
8404862a 8938            mov     dword ptr [eax],edi
8404862c 3bfe            cmp     edi,esi
8404862e 7607            jbe     nt!IoEnumerateDeviceObjectList+0x40 (84048637)

nt!IoEnumerateDeviceObjectList+0x39:
84048630 c745f8230000c0  mov     dword ptr [ebp-8],0C0000023h

nt!IoEnumerateDeviceObjectList+0x40:
84048637 8b7904          mov     edi,dword ptr [ecx+4]
8404863a 85f6            test    esi,esi
8404863c 761b            jbe     nt!IoEnumerateDeviceObjectList+0x62 (84048659)

nt!IoEnumerateDeviceObjectList+0x47:
8404863e 53              push    ebx
8404863f 8b5d0c          mov     ebx,dword ptr [ebp+0Ch]

nt!IoEnumerateDeviceObjectList+0x4b:
84048642 85ff            test    edi,edi
84048644 7412            je      nt!IoEnumerateDeviceObjectList+0x61 (84048658)

nt!IoEnumerateDeviceObjectList+0x4f:
84048646 8bcf            mov     ecx,edi
84048648 e8a7220700      call    nt!ObfReferenceObject (840ba8f4)
8404864d 893b            mov     dword ptr [ebx],edi
8404864f 8b7f0c          mov     edi,dword ptr [edi+0Ch]
84048652 83c304          add     ebx,4
84048655 4e              dec     esi
84048656 75ea            jne     nt!IoEnumerateDeviceObjectList+0x4b (84048642)

nt!IoEnumerateDeviceObjectList+0x61:
84048658 5b              pop     ebx

nt!IoEnumerateDeviceObjectList+0x62:
84048659 8a55ff          mov     dl,byte ptr [ebp-1]
8404865c 6a0a            push    0Ah
8404865e 59              pop     ecx
8404865f ff1560110484    call    dword ptr [nt!_imp_KeReleaseQueuedSpinLock (84041160)]
84048665 8b45f8          mov     eax,dword ptr [ebp-8]
84048668 5f              pop     edi
84048669 5e              pop     esi
8404866a c9              leave
8404866b c21000          ret     10h
pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
功率谱密度函数还原出时域函数.pdf
09-30
功率谱密度函数还原出时域函数.pdf 本文主要介绍了通过功率谱密度函数还原出时域函数的方法,即频域法。在频域法中,核心是快速傅立叶变换,通过对功率谱密度函数的离散采样,构造出频谱,然后再对其进行傅立叶逆...
IoEnumerateDeviceObjectList 枚举驱动的所有设备 文件过滤驱动 windows内核开发
baund的专栏
12-10 3223
IoEnumerateDeviceObjectList函数,用来枚举某驱动下的所有设备,主要是遍历deviceobject->nextobject字段,该函数第一次可以将DeviceObjectListSize传递0,来获取实际的设备个数,第二次调用,再获取整个设备列表,实现如下: 在文件过滤驱动中,常用该函数来枚举某文件系统下的所有设备,然后根据名字来区别是卷设备还是控制设备,空名字即
webrtc入门:3.使用enumerateDevices获取设备中可用的流媒体
haleycat的博客
04-21 2807
前面两篇文章,分别用了不同的api获取到了摄像头和桌面应用的数据。在一些设备中,流媒体插件比较多,比如有些设备有多个的摄像头,多个的音频输入或输出口,我们需要把这些设备都枚举出来,在会议直播的时候,能够顺利的切换这些音视频设备。 webrtc中,同样提供了api,我们可以很方便的就把这些设备枚举出来,同样的采用js的形式,枚举出 navigator.mediaDevices.enumerateDevices().then(gotDevices).catch(handleError); 在gotDevice
谷歌浏览器MediaDevices.enumerateDevices() 获取媒体设备不全或者没有labei属性的问题
南极亚拉的博客
06-09 1万+
有问题的代码 <script> navigator.mediaDevices.enumerateDevices() .then(gotDevices).catch(handleError); // 遍历所有的设备,包括视频和音频设备,找到双目摄像头 function gotDevices(deviceInfos) { console.log(deviceInfos); } function handleError(er
3-webrtc设备管理
LIJIWEI0611的博客
01-02 321
webrtc 获取音视频设备 通过enumerateDevices()获取到所有的音频和视频设备,返回的值是一个promise,这是javaScript中一个特有的对象,在promsie中有一个特有的结构体:MediaDevicesInfo,在这个结构体中存放了非常重要的几个信息,deviceid为这个设备的唯一标志符,第二个label就是设备的名字,比如内置音频设备,内置音频输入设备等 首先解释一个背景,JavaScript中是使用单线程去处理整个逻辑的,为了防止被阻塞,大量...
navigator.mediaDevices.enumerateDevices()的兼容性问题
qq_37800258的博客
03-18 5754
navigator.mediaDevices.enumerateDevices方法 的兼容性问题 经测试发现,除谷歌浏览器和现在使用Chromium内核的Microsoft Edge浏览器外,enumerateDevices()方法存在一些兼容性问题。 首先,如果不先获取媒体权限,用enumerateDevices()获取到的设备列表中label为空,即无法识别设备名字。这个考虑有两种方案解决:   a)在调用enumerateDevices()时,对于label为空的情况手动定义设备名字,在进入会议调
C++函数指针详解
01-21
学习c++的过程中,指针是难点,熟悉了指针之后,还有一个让人很蛋疼的难点,那是函数指针了。本博文详细介绍一下常见的各种坑爹的函数指针。  至于指针的详细学习,推荐这篇博文C++指针详解  与数据一样,函数也...
TALIB 函数大全
04-04
TALIB 函数大全,几乎包括所有TALIB模块的函数及说明,调用方法。
power bi 函数大全
03-01
整合power bi 函数的各种应用方法及相关使用说明。》》》》
Python中还原JavaScript的escape函数编码后字符串的方法
10-25
主要介绍了Python中解析JavaScript的escape函数编码后字符串的方法,即Python中如何还原JavaScript escape函数编码后的字符串,需要的朋友可以参考下
TrueCrypt的国内延伸版本CnCrypt V1.11(单一文件绿色版)
06-15
CnCrypt是一款专门为用户打造的磁盘加密软件,同时支持Windows2000-Win 10之间的所有操作系统。主要为用户提供便捷的电脑磁盘加密功能,能创建加密的“虚拟磁盘文件”(类似虚拟光驱,大小可以自定义),所有加密数据都是经过AES等加密算法的运算后的结果,无法破解。CnCrypt提供多种加密算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性还有支持FAT32和NTFS分区、隐藏卷标、热键启动等。 主要特性 1 所有加密都是以分区为基础的。 2 真加密,所有加密数据都是经过AES等加密算法的运算后的结果,无法破解(穷举法除外)。 3 能创建加密的“虚拟磁盘文件”(类似虚拟光驱,大小可以自定义) 4 加密单个分区或整个硬盘。 5 加密过程自动、实时、透明(使用加密文件或分区前输入密码,载入后就可以像使用一个普通分区一样使用加密分区。) 6 提供两级方案,以应对被强迫说出密码的情况(如抢劫)。 6.1 隐藏分区(覆盖式密码术,steganography) 6.2 无法探测到CnCrypt 加密分区(加密数据会被认为是随机数据) 7 加密算法:AES-256、Serpent、Twofish。为取得更好加密效果,可以同时使用两种或三种加密算法。操作模式:XTS。 8 多样化的身份认证 8.1支持通常使用的密码认证; 8.2支持密匙文件认证,通过指定的文件作为密匙对数据加密。(密匙文件支持:任何类型的文件)电脑上那么多文件,要是想尝试暴利破解,就等着累死吧。 8.3支持PKCS 11运行库,可以使用硬件口令卡(例如:U盾)进行加密认证。密钥随身携带,从而再次提高了数据的安全性,以此实现更高规格的防暴力破解。 CnCrypt V1.11 修改记录 实现单文件绿色版本,包括安装,创建,加载功能 修正V1.10中存在的一些细节BUG 密钥文件按钮上显示当前密钥文件个数 某些Windows错误弹窗为空白,无法获取到错误信息描述 菜单增加关联资源管理器,取消关联资源管理器选项 资源管理器菜单修改为子菜单方式 属性中增加占用磁盘空间项,可以显示动态卷目前已经占用的磁盘空间 在加密卷右键菜单上增加了创建桌面快捷方式菜单项 Mount命令行增加盘符被占用时自运选择空闲盘符选项,可与指定盘符功能一块用,例如 "/letter X: /letter auto" 增加快速创建加密卷(一键创建加密卷) 便携版本配置文件目录移动到用户数据目录(之前为程序目录) 增加文件日期修改工具 增加加密卷占用磁盘空间压缩功能 CnCrypt V1.10 修改记录 增加加密卷空间扩充工具 恢复了TrueCrypt原有系统加密功能 修正了TrueCrypt安全审计团队审计发现的几个BUG 当有子窗口时用快捷键退出存在的BUG WIN7之后系统修改显示密码选项后*号显示不一样的问题 对多处界面显示进行了修正 创建新加密卷时‘选择文件’按钮修改为‘指定文件’。 文件浏览窗口为非保存模式时,修改指定文件必须存在。 设备浏览窗口中分区前面加了若干空格来区分磁盘和卷。 Format和Mount的历史记录可以实时同步 挂载盘符时可以使用A和B盘符 盘符列表右键菜单增加了‘打开文件所在位置’功能 增加了检查更新功能,该功能不会自动连接网络,除非用户手动进行操作。 收藏加密卷中存在同样加密卷时进行提醒 对主菜单布局进行了调整 对中文进行了更好的优化 增加了CnCrypt加密方式,同时继续兼容TrueCrypt加密方式 对磁盘大小输入框进行输入验证 自动加载所有设备加密卷时,跳过对系统所在磁盘和系统分区的检测,节省一定时间。 密钥文件按钮上显示当前密钥文件个数 CnCrypt V1.00 修改记录 基于TrueCrypt7.1a的主要修改 完美支持win2000-win10的所有32位和64位版本。 增加了便携磁盘加密卷创建和加载功能(不会出现“未格式化”的提示) 增加了与Windows资源管理器的集成(加载加密卷,保存至加密卷,粉碎选择文件) 去除了有关系统盘\系统驱动器部分(UEFI之后已无法支持之前实现方式) 增加加密卷擦除功能 增加密码生成器功能 增加了密码输入软键盘功能 增加了磁盘痕迹擦除工具 增加了悬浮框,支持拖放加载,右键功能菜单等。 托盘菜单支持快速加载,支持加载历史记录,加载收藏卷等功能。 加密卷创建向导增加了向导步聚显示 界面细节的诸多优化 内核驱动一些BUG的处理 安装包体积缩小至1.67M,便携压缩包缩小至0.9M 界面完美支持中文 界面使用了操作系统风格 在界面中增加了Banner 对加密卷收藏夹界面进行较大修改 对语言选择界面进行较大
WebRTC API枚举音视频设备
椛茶的博客
03-20 722
WebRTC 提供了 mediaDevices.enumerateDevices API 来获取系统的音视频设备。上述调用返回值是一个 Promise 对象,当完成时会接收一个 MediaDeviceInfo 对象的数组,MediaDeviceInfo 属性值含义解释如下。
WebRTC源码研究(9)webrtc获取音视频设备
kyl282889543的博客
06-09 822
文章目录WebRTC源码研究(9)webrtc获取音视频设备 WebRTC源码研究(9)webrtc获取音视频设备
【音】chrome 获取媒体 enumerateDevices 详细信息
点滴
03-20 6816
async function f () { let d = await navigator.mediaDevices.enumerateDevices(); console.log(d); }; f(); 非允许情况下是获取不到label详细信息的 如果是允许情况下,可以获取到 faceTime HD Camera 获取详情可以访问这个地址 进行测试查看 https://ibeege...
CH340串口读取
热门推荐
浪克oo的博客
12-26 1万+
最近在开发android工控机同硬件设备通信的时候,用到了ch340U转串,所以把关于这个串口的一些知识分享给大家。 简介: CH34x 系列芯片是 USB 总线的转接芯片,主要包含 CH340、CH341、CH345,通过 USB 总线提供异 步串口、打印口、并口、MIDI 以及常用的 2 线和 4 线等接口。 CH34x 串口提供的 Android 接口需要基于 Android 3.1 ...
navigator.mediaDevices.enumerateDevices() 返回空label
Crisf的博客
01-29 5140
搭建环境环境见拙作: https://blog.csdn.net/Crisf/article/details/113242541 本次记录navigator.mediaDevices.enumerateDevices() 返回的label,deviceId为空的解决办法。问题截图如下: 代码如下所示: 结构如下: index.html: <html> <head> <title> WebRTC get
遍历所有驱动的名_根据本驱动对象的成员(DriverObject->DriverSection)_对应LDR_DATA_TABLE_ENTRY结构体_双向链表使用
01-27 3393
#include"ntddk.h" typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个 我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表 本驱动的驱动对象就是一个节点 LIST_ENTRY InMemoryOrderL...
sfilter开源驱动分析(一)--文件过滤的基本步骤
jimk1983的专栏
10-24 2310
NT的I/O管理器支持分层的驱动程序模式。         当应用层的CreateFile() (R3层)  --> || NtCreateFile() [I/O管理器在这一层,ntdll.dll]  -->|| 内核驱动层(R0层) ,这里讨论的主要是针对最后的内核驱动层的处理。          当每个IRP被处理的时候,它会经过驱动层中的各个驱动程序,直到最终被某个驱动程序调用IoCo
读源码笔记--文件过滤驱动FileSpy第3篇 -- 绑定VDO
junjie1595的专栏
11-18 1206
在第2篇已经看到,SpyFsNotification中成功绑定了文件系统的控制设备对象CDO,然后判断编译版本时,如果是XP及以后的OS版本,就直接枚举文件系统下的所有的已经挂载了的卷设备,并绑定他们。   在看函数SpyEnumerateFileSystemVolumes之前,复习前面2篇的过程。 DriverEntry里面主要做4件事: 1:创建设备,该设备用来与应用层
deconvreg函数还原噪音
最新发布
06-01
`deconvreg`函数主要用于盲源分离,通常情况下不会还原噪音。但是,如果混合矩阵`H`中包含了噪音,那么在进行盲源分离时,噪音也会被分离出来。 如果需要还原噪音,可以使用信号处理中的滤波函数,例如`filter`函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值