EXE和SYS基于事件同步消息通知

最新推荐文章于 2022-12-13 15:31:41 发布
最新推荐文章于 2022-12-13 15:31:41 发布
阅读量654 收藏
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/53944001
版权 
#ifndef _HEADER_HEAD_FILE
#define _HEADER_HEAD_FILE
#pragma once
#include <ntifs.h>
#include <ntddk.h>

#ifndef MAX_PATH
#define MAX_PATH	260
#endif



NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);



//驱动控制代码
#define IOCTL_START CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_STOP CTL_CODE(FILE_DEVICE_UNKNOWN, 0x811,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_GET_DATA CTL_CODE(FILE_DEVICE_UNKNOWN, 0x812,METHOD_BUFFERED, FILE_ANY_ACCESS)

#endif


#include "Header.h"





//同步事件对象
PRKEVENT g_pEventObject = NULL;
//句柄信息
OBJECT_HANDLE_INFORMATION g_ObjectHandleInfo;

char g_szOutBuf[MAX_PATH] = { 0 };



//获取进程名
PCHAR GetProcessName16ByProcessId(HANDLE ProcessId)
{
	//定义变量
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	PEPROCESS ProcessObj = NULL;
	PUCHAR ProcessName = NULL;

	//进程ID和返回一个引用指针的过程EPROCESS结构
	status = PsLookupProcessByProcessId(ProcessId, &ProcessObj);
	if (NT_SUCCESS(status))
	{
		// ImageFileName    : [16]  "SogouExplorer.e"
		//使用这个函数,只能获取进程名称是16的长度,后面的被截取了。。。
		ProcessName = PsGetProcessImageFileName(ProcessObj);
		ObfDereferenceObject(ProcessObj);
	}

	return ProcessName;
}



VOID CreateProcessNotifyFunction(IN HANDLE  ParentId, IN HANDLE  ProcessId, IN BOOLEAN  Create)
{
	if (Create)
	{
		char* pName=GetProcessName16ByProcessId(ProcessId);
		if (pName)
		{
			RtlZeroMemory(g_szOutBuf, sizeof(g_szOutBuf));
			RtlCopyMemory(g_szOutBuf, pName, strlen(pName)+1);

			//设置事件为有信号,通知应用层
			KeSetEvent(g_pEventObject, 0, FALSE);
		}

	}

	return;
}


VOID DriverUnload(DRIVER_OBJECT *DriverObject)
{
	PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, TRUE);
	UNICODE_STRING Win32Device;
	RtlInitUnicodeString(&Win32Device, L"\\DosDevices\\KernelHandle");
	IoDeleteSymbolicLink(&Win32Device);
	IoDeleteDevice(DriverObject->DeviceObject);
	return;
}

NTSTATUS KernelHandleCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	Irp->IoStatus.Status = STATUS_SUCCESS;
	Irp->IoStatus.Information = 0;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}

NTSTATUS KernelHandleClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;
	Irp->IoStatus.Information = 0;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	return Irp->IoStatus.Status;
}

NTSTATUS KernelHandleDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	NTSTATUS status = STATUS_SUCCESS;
	ULONG ulReturn = 0;
	PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(Irp);
	ULONG ulCtrlCode = stack->Parameters.DeviceIoControl.IoControlCode;
	PVOID InputBuffer = (PVOID)Irp->AssociatedIrp.SystemBuffer;
	PVOID OutputBuffer = (PVOID)Irp->AssociatedIrp.SystemBuffer;
	ULONG ulInputBufferSize = stack->Parameters.DeviceIoControl.InputBufferLength;
	ULONG ulOutputBufferSize = stack->Parameters.DeviceIoControl.OutputBufferLength;

	switch (ulCtrlCode)
	{
	case IOCTL_START:
	{
		//设置同步事件
		if (InputBuffer == NULL || ulInputBufferSize < sizeof(HANDLE))
		{
			KdPrint(("Set Event Error~!\n"));
			break;
		}

		//取得句柄对象
		HANDLE hEvent = *(HANDLE*)InputBuffer;
		status = ObReferenceObjectByHandle(hEvent, GENERIC_ALL, NULL, KernelMode, (PVOID*)&g_pEventObject, &g_ObjectHandleInfo);
		PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, FALSE);
		break;
	}
	case IOCTL_STOP:
	{
	
		//移除进程创建通知函数
		PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, TRUE);
		//释放对象引用
		if (g_pEventObject != NULL)
		{
			ObDereferenceObject(g_pEventObject);
			g_pEventObject = NULL;
		}

		break;
	}
	case IOCTL_GET_DATA:
	{
		int nLength = strlen(g_szOutBuf)+1;
		if (OutputBuffer == NULL && ulOutputBufferSize < nLength)
		{
			KdPrint(("OutputBufferSize is too small ~!\n"));
			break;
		}

		//复制进程到输出缓冲区
		RtlCopyBytes((PCHAR)OutputBuffer, g_szOutBuf, nLength);

		break;
	}
	default:
		break;
	}


	Irp->IoStatus.Status = STATUS_SUCCESS;
	Irp->IoStatus.Information = ulOutputBufferSize;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	return Irp->IoStatus.Status;
}

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	PDEVICE_OBJECT DeviceObject = NULL;
	UNICODE_STRING DeviceName;
	UNICODE_STRING Win32Device;

	KdBreakPoint();
	DriverObject->DriverUnload = DriverUnload;
	RtlInitUnicodeString(&DeviceName, L"\\Device\\KernelHandle");
	RtlInitUnicodeString(&Win32Device, L"\\DosDevices\\KernelHandle");

	DriverObject->MajorFunction[IRP_MJ_CREATE] = KernelHandleCreate;
	DriverObject->MajorFunction[IRP_MJ_CLOSE] = KernelHandleClose;
	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KernelHandleDefaultHandler;



	status = IoCreateDevice(DriverObject,0,&DeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,&DeviceObject);
	if (!NT_SUCCESS(status))
		return status;
	if (!DeviceObject)
		return STATUS_UNEXPECTED_IO_ERROR;
	DeviceObject->Flags |= DO_DIRECT_IO;
	DeviceObject->AlignmentRequirement = FILE_WORD_ALIGNMENT;
	status = IoCreateSymbolicLink(&Win32Device, &DeviceName);
	DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	return STATUS_SUCCESS;
}






#include <windows.h>
#include <tchar.h>
#include <stdio.h>


HANDLE hDevice;
HANDLE g_hKernelEvent = NULL;

//驱动控制代码
#define IOCTL_START CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_STOP CTL_CODE(FILE_DEVICE_UNKNOWN, 0x811,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_GET_DATA CTL_CODE(FILE_DEVICE_UNKNOWN, 0x812,METHOD_BUFFERED, FILE_ANY_ACCESS)


DWORD WINAPI ThreadProc(LPVOID lpParameter)
{
	printf("线程开始运行\n");

	DWORD dwRet;
	char szBuffer[MAX_PATH] = { 0 };

	while (WaitForSingleObject(g_hKernelEvent, INFINITE) == WAIT_OBJECT_0)
	{
		printf("收到状态\n");

		//等待完成,向驱动发送请求
		DeviceIoControl(hDevice,IOCTL_GET_DATA, NULL, 0, szBuffer, MAX_PATH, &dwRet,NULL);

		printf("从内核发来的信息是:%s\n", szBuffer);

		//设置同步事件为无信号,等待下一次通知
		ResetEvent(g_hKernelEvent);
	}

	printf("线程结束\n");
	return 0;
}





int main(void)
{

	//创建手动重置的事件
	g_hKernelEvent = CreateEvent(NULL, TRUE, FALSE, NULL);


	//打开驱动的符号链接
	hDevice = CreateFile(L"\\\\.\\KernelHandle", GENERIC_READ | GENERIC_WRITE, 0,NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	if (INVALID_HANDLE_VALUE == hDevice)
	{
		printf("CreateFile fail!\n");
		getchar();
		getchar();
		return FALSE;
	}
	DWORD dwRet;
	DeviceIoControl(hDevice, IOCTL_START, &g_hKernelEvent, sizeof(g_hKernelEvent), NULL, NULL, &dwRet, NULL);


	HANDLE hThread =CreateThread(NULL, NULL, ThreadProc, NULL, NULL, NULL);
	CloseHandle(hThread);


	getchar();
	getchar();

	DeviceIoControl(hDevice, IOCTL_STOP, NULL, 0, NULL, NULL, &dwRet, NULL);
	CloseHandle(hDevice);
	return 0;
}


125096
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sys_time_5.rar_日历系统_时间同步
09-24
在"sys_time_5"系统中,时间同步功能确保用户无论身处何地,都能查看到与世界标准时间(UTC)同步的日期和时间,提高了信息交流的准确性,特别是对于需要精确时间记录的业务活动,如金融交易、航空调度等。...
EXESYS通信(FltSendMessage+FilterReplyMessage)
125096
01-04 4831
#ifndef _HEADER_HEAD_FILE #define _HEADER_HEAD_FILE #pragma once #include #include #ifndef MAX_PATH #define MAX_PATH 260 #endif typedef struct _SCANNER_NOTIFICATION { BOOLEAN bCreate; ULONG Res
minifilter 向应用层发送信息fltSendMessage
未来
11-01 2689
驱动层发送和接受时候的buf不包含header。应用层向minifilter发送没什么问题。应用层接收的时候需要添加header。
实战EXESYS通信
crkres9527
09-17 360
 A、用户层传入数据-EXE部分代码  B、驱动层接收数据并处理-SYS部分代码  C、驱动层返回数据至用户层  D、用户层获得处理结果 A、用户层传入数据EXE部分代码 //#include &lt;winioctl.h&gt; #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED,FILE_ANY...
自己的HIPS开发记录
kernweak的博客
07-18 480
记录下自己开发出现的bug以及原因,完成后提醒自己,不要再这么2 1.FltSendMessage的inputbuffer传错大小,本来应该穿自己分装的结构体大小,结果写错成了想传的结构体指针大小,所以造成蓝屏。提示bad_pool_header 2.在下发规则时候,IsPatternMatch(const PWCHAR pExpression, const PWCHAR pName, BOO...
关于PsGetProcessImageFileName获取结果不全的问题
DaiCharlie的博客
12-13 670
就是这个函数是获得EPROCESS结构体中的ImageFileName,而这个变量是15字节长度,超过就会截断。所以获取到的就不是准确的,下面给出准确获取的方法链接。
Sys-RevoBackup:基于Rsync的备份脚本
02-05
Sys-RevoBackup 是一个利用 Perl 编写的备份解决方案,它基于强大的文件同步工具 Rsync。这个备份脚本设计用于在 Linux 或类 Unix 系统上自动化执行数据备份任务,为用户提供了一种有效且灵活的方式,确保重要数据的...
linux c 进程间通信,使用共享内存和消息队列
05-04
本文将深入探讨两种主要的进程间通信(IPC,Inter-Process Communication)机制:共享内存和消息队列。 **一、共享内存** 共享内存是一种允许多个进程访问同一块内存区域的IPC方式。在Linux中,可以使用`<sys/shm....
fabric-broadcast-sys
03-13
在分布式系统中,广播常用于同步通知、组通信等场景,如分布式锁、共识算法(如Paxos、Raft)以及事件驱动架构。 "fabric-broadcast-sys"的核心组件可能包括以下几个方面: 1. **广播协议**:该系统可能基于特定...
SYSBIOS_Inter-Processor_Communication.pdf
05-11
4. **事件标志**:用于通知其他处理器特定事件的发生。 5. **内存映射**:允许通过映射物理内存到虚拟地址空间来实现共享内存通信。 #### 示例代码 虽然文档没有提供具体的代码示例,但在实际应用中,开发人员可能...
Windows驱动编程视频教程 SysExe文件的通讯A
08-19
Windows驱动编程视频教程 详尽的讲解 里面还有屏幕录制的录像
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1531
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
普通exesys驱动文件结构上有什么不同?
weixin_33815613的博客
08-22 231
2019独角兽企业重金招聘Python工程师标准>>> ...
【原创】FltSendMessage蓝屏分析
weixin_30500663的博客
07-05 501
INVALID_PROCESS_DETACH_ATTEMPT (6)Arguments:Arg1: 00000000Arg2: 00000000Arg3: 00000000Arg4: 00000000 Debugging Details:------------------ CUSTOMER_CRASH_COUNT: 2 DEFAULT_BUCKET_ID: DRIVER_FAULT ...
miniFilter 内核层与应用程序通信
Hansong0706的博客
03-15 481
重点说下FltSendMessage() FilterGetMessage() 和 FilterReplyMessage() 这三个函数 首先:内核层的结构体 // Defines the commands between the utility and the filter typedef enum _NPMINI_COMMAND { ENUM_PASS = 0,...
PsGetProcessImageFileName - 获取进程的主模块路径
热门推荐
死胖子的博客
08-24 1万+
/** 向前声明 */ NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); 声明后即可使用
文件系统Minifilter驱动(三)
听风
03-02 9842
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件或
python打包成exe丢失sys.stdin
最新发布
03-27
在将Python脚本打包成exe文件时,可能会出现丢失sys.stdin的问题。这是因为sys.stdin是一个标准输入流,而在Windows下,exe文件默认没有标准输入流。 为了解决这个问题,可以使用PyInstaller的--console选项来打包exe文件,并将脚本运行在控制台窗口中。这样,标准输入流就会被创建,并且可以正常使用。 另外,也可以使用pywinauto模块来模拟键盘输入,以替代标准输入流的功能。 下面是一个使用PyInstaller打包Python脚本的示例命令: ``` pyinstaller --console yourscript.py ``` 这将会生成一个名为“yourscript.exe”的可执行文件,该文件可以在控制台窗口中运行,并且可以正常使用标准输入流。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值