Windows驱动 - 链表 LIST_ENTRY

最新推荐文章于 2023-12-10 23:12:19 发布
最新推荐文章于 2023-12-10 23:12:19 发布
阅读量871 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq726232111/article/details/111534154
版权

0x00 函数

InitializeListHead //初始化链表头

InsertTailList  //加入到链表尾

RemoveTailList  //从链表尾移除

IsListEmpty //判断链表是否为空

PsSetCreateProcessNotifyRoutine    //设置进程创建/关闭时的回调

ExAllocatePool  //申请内存

RtlZeroMemory   //内存置零

RtlCopyMemory   //拷贝内存

ExFreePool  //释放申请的内存

PsLookupProcessByProcessId //根据ProcessId查询EPROCESS

PsGetProcessImageFileName  //获取进程名

ObDereferenceObject //释放EPROCESS

CONTAINING_RECORD //根据成员指针,结构体,成员获取结构体的地址

 

0x01 结构体

LIST_ENTRY  //链表结构体

 

 

0x01 代码

 

#include <ntifs.h>

#include <ntddk.h>

#include <wdm.h>

 

NTKERNELAPI UCHAR* PsGetProcessImageFileName(__in PEPROCESS Process);

 

 

typedef struct _MY_LIST

{

 

    HANDLE ProcessId;

    LIST_ENTRY ListEntry;

    UCHAR ProcessName[50];

 

 

} MY_LIST, * PMY_LIST;

 

 

LIST_ENTRY ListEntryHead;

 

 

void PcreateProcessNotifyRoutine(HANDLE ParentId, HANDLE ProcessId, BOOLEAN Create)

{

 

    PEPROCESS Process = NULL;

    PCHAR ProcessName = NULL;

 

    if (Create) //创建

    {

        PMY_LIST myList =  ExAllocatePool(NonPagedPool,sizeof(MY_LIST));  //申请内存

 

        if (myList)

        {

 

            RtlZeroMemory(myList, sizeof(MY_LIST));

 

            myList->ProcessId = ProcessId;

 

 

            PsLookupProcessByProcessId(ProcessId,&Process);    //根据进程ID获取EPROCESS

            if (Process)

            {

                ProcessName = PsGetProcessImageFileName(Process);

                if (ProcessName)

                {

                   RtlCopyMemory(myList->ProcessName, ProcessName,strlen(ProcessName));

                }

 

                ObDereferenceObject(Process);  //释放获取的EPROCESS

 

            }

           

            DbgPrint("ProcessId -> %p , ProcessName -> %s", myList->ProcessId, myList->ProcessName);

 

            InsertTailList(&ListEntryHead,&myList->ListEntry); //插入至链表

 

                  

 

        }

 

 

    }

 

    return;

 

}

 

 

 

 

void DriverUnload(PDRIVER_OBJECT DriverObject)

{

    PMY_LIST myList = NULL;

    PLIST_ENTRY temp = NULL;

 

 

    while (!IsListEmpty(&ListEntryHead))

    {

        temp = ListEntryHead.Blink;

 

        RemoveTailList(&ListEntryHead);    //移除

 

        if (temp)

        {

            //查询

            myList = CONTAINING_RECORD(temp, MY_LIST, ListEntry);

 

            if (myList)

            {

 

                //打印

                DbgPrint("DriverUnload -> RemoveTailList -> %p %s ", myList->ProcessId, myList->ProcessName);

 

                //释放

                ExFreePool(myList);

 

 

            }

 

        }

 

    }

 

 

    PsSetCreateProcessNotifyRoutine(PcreateProcessNotifyRoutine, TRUE); //设置进程创建通知例程.TRUE -> 删除例程,也可以理解为关闭例程

    DbgPrint("DriverUnload");

 

 

}

 

 

 

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)

{

 

    NTSTATUS status = STATUS_SUCCESS;

 

    DriverObject->DriverUnload = DriverUnload;

 

    InitializeListHead(&ListEntryHead);    //初始化链表头

 

    PsSetCreateProcessNotifyRoutine(PcreateProcessNotifyRoutine,FALSE);   //设置进程创建通知例程.FALSE -> 添加例程,也可以理解为启用例程

 

    return status;

 

}

 

0x02 扩展

Lookaside -> 适用于:1 申请的内存空间较小, 2 申请的内存空间长度不定

工具: KernelPoolMonitor -> 查看ExAllocatePoolWithTag根据标记分配的内存

PsGetCurrentProcess //得到当前进程EPROCESS

RtlCompareMemory       //内存比较

RtlEqualMemory  //内存比较

RemoveEntryList //移除链表

i未若
关注
Windows驱动编程视频教程-在驱动中使用链表
08-19
Windows驱动编程视频教程 详尽的讲解 里面还有屏幕录制的录像
windows内核驱动中的链表结构
weixin_33787529的博客
04-28 271
windows内核驱动中的链表结构与数据结构中的链表结构在构造上有很大不同,以循环双链表为例 数据结构中的链表结构:数据就像集装箱,可以直接放置在火车上,而节点就像每节之间的挂接装置. 内核驱动中的链表结构: 数据就像车厢,自带挂接装置(节点) 1.链表结构体不同 数据结构中的链表结构,包含有节点和数据, struct DataList{   DataType data;   st...
[内核驱动] 链表LIST_ENTRY的操作(转)
weixin_34259159的博客
03-09 298
转载:https://www.cnblogs.com/forlina/archive/2011/08/11/2134610.html 转载:http://www.xuebuyuan.com/1544347.html 转载:http://blog.chinaunix.net/uid-24789420-id-3045264.html 转载:https://www.cnblogs.com/nbso...
win10驱动开发6——在驱动中使用链表
qq_41610493的博客
11-30 495
链表初始化 InitializeListHead 链表是否为空 IsListEmpty 从首部插入链表 InsertHeadList 从尾部插入链表 InsertTailList 从首部删除链表 RemoveHeadList 从尾部删除链表 RemoveTailList 宏返回一个结构实例的基地址,该结构的类型和结构所包含的一个域(成员)地址已知。 PCHAR CONTAINING_RECORD( IN PCHAR Address, IN TYPE Type, IN...
windows驱动开发学习笔记一双向链表LIST_ENTRY
Gumo_x的博客
07-21 1530
LIST_ENTRY定义如下: typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; // 指向下一个节点 struct _LIST_ENTRY *Blink; // 指向前一个节点 } LIST_ENTRY, *PLIST_ENTRY; 由LIST_ENTRY的定义可以知道这是一个双向链表结构,通常
Windows内核编程基础之使用LIST_ENTRY
知其所以然
08-27 4390
LIST_ENTRY 是一个双向链表结构。它总是在使用的时候被插入到已有的数据结构中。Windows内核中使用LIST_ENTRY作为i链表,这个结构随处可见。     看看下面的代码,构建了一个链表,每个节点是又一个文件名和一个文件大小两个数据成员组成的结构。此外有一个FILE_OBJECT指针对象,在驱动中代表一个文件对象。该链表的作用是保存了文件的文件长度和文件名。 typedef st
linux内核链表list_empty,Linux内核设备驱动之内核中链表的使用笔记整理
weixin_36131257的博客
05-01 1612
/********************* 内核中链表的应用********************/(1)介绍在Linux内核中使用了大量的链表结构来组织数据,包括设备列表以及各种功能模块中的数据组织。这些链表大多采用在include/linux/list.h实现的一个相当精彩的链表数据结构。链表数据结构的定义很简单:struct list_head {struct list_head *ne...
windows _LIST_ENTRY
06-11
_LIST_ENTRYWindows 中的一个双向链表结构体,用于实现双向链表数据...总之,_LIST_ENTRYWindows 中实现双向链表的常用数据结构,它可以用于实现各种内核数据结构,例如进程链表、线程链表驱动程序链表等。
Linux内核中list_for_each_entry浅析
TECH_PRO的博客
04-19 3040
本文的目录结构: 一、list_for_each_entry的作用与定义 二、list_for_each_entry的简单实现 一、list_for_each_entry的作用与定义 在这篇博文中通过list_head来构造了链表,虽然方便实用,但也带来了一些额外的问题,比如如何对这些链表进行遍历,因为链表和结点元素是分开的,所以直接进行遍历是不方便的,而且也是不合理的。那么Lin
Linux内核中的链表——struct list_head
zsffzb的博客
06-12 1837
Linux内核中链表介绍_晴天_QQ的博客-CSDN博客_linux 链表链表是Linux内核中最简单、最普通的数据结构。链表是一种存放和操作可变数量元素(常称为节点)的数据结构。链表和静态数组的不同之处在于,它所包含的元素都是动态创建并插入链表的,在编译时不必知道具体需要创建多少个元素。另外也因为链表中每个元素的创建时间各不相同,所以它们在内存中无须占用连续内存区。正是因为元素不连续地存放,所以各元素需要通过某种方式被连接在一起。于是每个元素都包含一个指向下一个元素的...https://blog.csd
2.1 Windows驱动开发:内核链表与结构体
热门推荐
CSDN
11-13 1万+
如果需要在内核模式中返回一个结构体,可以通过定义一个结构体指针作为函数参数,将结构体指针作为函数返回值来实现。内核中,为了实现高效的数据结构操作,通常会使用链表和结构体相结合的方式进行数据存储和操作。DbgView是一款用于监视内核和应用程序调试输出的工具,可以输出各种调试信息和日志信息,包括。类型的成员变量,用来连接相邻的节点。等,可以对链表中的结构体进行插入、删除、遍历等操作。使用链表来存储结构体时,需要在结构体中嵌入一个。,可以用来描述一个链表中的每一个节点。中看到输出的进程信息,如下图所示;
LIST_ENTRY链表学习
ShadowAssassin的专栏
08-22 6312
链表驱动开发中经常遇到的一个数据结构,主要是双向循环链表;要使用链表,需要用到一个LIST_ENTRY的结构,其定义如下: typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; // 指向下一个节点 struct _LIST_ENTRY *Blink; // 指向前一个节点 } LIST_ENTR
1.3 Windows驱动开发:内核链表与结构体
最新发布
成长需要沉淀。
12-10 489
使用链表来存储结构体时,需要在结构体中嵌入一个LIST_ENTRY类型的成员变量,用来连接相邻的节点。通过一些列链表操作函数,如。数据结构操作,通常会使用链表和结构体相结合的方式进行数据存储和操作。内核提供了一个专门用于链表操作的数据结构。等,可以对链表中的结构体进行插入、删除、遍历等操作。,可以用来描述一个链表中的每一个节点。
驱动中使用链表sys
Windows内核学习笔记
02-27 131
#include <ntddk.h> //给节点定义一个结构类型,这里定义为结构体类型 typedef struct _strNode{ LIST_ENTRY Entry; //Windows自己提供的 LIST_ENTRY结构双向循环链表 int x; //调用LIST_ENTRY 结构时,一定要把它写在第一位,数据域写在它的下面,不然会导致蓝屏!! int y; }Node, *pNode; //建立链表 pNode SetNode(void){
Windows API实现的栈及使用(支持线程安全,以原子方式操作)
萧戈的专栏
12-05 825
InitializeSListHead:创建一个空栈。 InterlockedPushEntrySList:在栈顶添加一个元素。 InterlockedPopEntrySList:移除位于栈顶的元素并将它返回。 InterlockedFlushSList:清空栈。 QueryDepthSList:返回栈中元素的数量。 使用方法: #include #include //
[Win驱动3] Windows内核态的堆管理, LookAside,链表以及运行时函数
輚至消亡
10-08 502
内存机制简述 现代操作系统一般都有分页机制,其控制方式是通过Cr0控制寄存器中的PG位,如果PG位置位则表示分页机制开启,这种机制在还未进入保护模式时就已经确定了。在32位的CPU下,假设是4KB为一页,则4GB内存可以被分成2^20个页,并且通过页表来映射到各个进程或者磁盘上去。同一页可以映射到多个进程的虚拟内存空间中。 内核态堆空间分配 内核态中可以分配分页内存以及非分页的内存, 分页内存是CPU开启分页机制时才存在,如果没有开启分页机制,所有内存都是非分页的。 分页机制作用主要是为了给进程一个
驱动开发:内核中的链表与结构体
CSDN
09-23 9006
通过一些列链表操作函数对结构体进行装入弹出等操作,如下代码是本人总结的内核中使用链表存储多个结构体的通用案例。容器等数据结构的,当我们需要保存一个结构体数组时,就需要使用内核中提供的专用链表结构。首先实现一个枚举用户进程功能,将枚举到的进程存储到链表结构体内。如果需要返回一个结构体,则可以这样来写代码。Windows内核中是无法使用。
判断list是否为空isEmpty
技术老鸟
05-18 1623
CollectionUtils.isEmpty(list)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值