Windows驱动 - 事件

最新推荐文章于 2023-03-04 20:31:58 发布
最新推荐文章于 2023-03-04 20:31:58 发布
阅读量617 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq726232111/article/details/111561061
版权

0x00 函数

KeWaitForSingleObject将当前线程置于等待状态,直到给定的Dispatcher对象被设置为一个信号状态,或者(可选)直到等待超时。

PsCreateSystemThread  创建一个以内核模式执行并返回线程句柄的系统线程。

PsTerminateSystemThread  终止当前系统线程。

ZwClose关闭一个对象句柄。

KeInitializeEvent 将事件对象初始化为同步(单个侍者)或通知类型事件,并将其设置为已发出信号或未发出信号的状态。

KeSetEvent  如果事件尚未发出信号,则KeSetEvent例程将事件对象设置为已发出信号的状态,并返回事件对象的前一状态。

KeClearEvent  将事件设置为无信号状态。

KeDelayExecutionThread  在指定的时间间隔内将当前线程置于可报警或不可报警的等待状态。

 

 

0x01 代码

#include <wdm.h>

 

 

//1 创建通知事件

//2 初始化事件

//3 创建三个现成 -> 1个修改,2个等待 查看打印信息

//4 将事件更改为同步事件

//5 查看线程打印信息

 

KEVENT Event = { 0 };

 

void DriverUnload(PDRIVER_OBJECT DriverObject)

{

 

    DbgPrint("DriverUnload");

 

}

 

void KstartRoutine1(PVOID StartContext)

{

 

    LARGE_INTEGER Timeout = { 0 };

    Timeout.QuadPart = -10 * 1000 * 1000 * 5; //5 -> 单位为100纳秒,*10 = 微秒,*10*1000 = 毫秒,*10*1000*1000 =

 

    NTSTATUS status = STATUS_SUCCESS;

    status = KeWaitForSingleObject(&Event, Executive, KernelMode,FALSE, &Timeout);

 

    if (status == STATUS_TIMEOUT)

    {

 

       

        DbgPrint("KstartRoutine1 -> KeWaitForSingleObject TimeOut ");

    }

    else

    {

        if (NT_SUCCESS(status))

        {

           

            DbgPrint("KstartRoutine1 -> KeWaitForSingleObject Success ");

 

        }

        else

        {

            DbgPrint("KstartRoutine1 -> KeWaitForSingleObject Other ");

        }

 

    }

 

   

    PsTerminateSystemThread(0); //关闭线程,否则线程属于挂起状态

 

}

 

 

 

 

void KstartRoutine2(PVOID StartContext)

{

    LARGE_INTEGER Timeout = { 0 };

    Timeout.QuadPart = -10 * 1000 * 1000 * 5; //5 -> 单位为100纳秒,*10 = 微秒,*10*1000 = 毫秒,*10*1000*1000 =

 

    NTSTATUS status = STATUS_SUCCESS;

    status = KeWaitForSingleObject(&Event, Executive, KernelMode, FALSE, &Timeout);

 

    if (status == STATUS_TIMEOUT)

    {

 

       

        DbgPrint("KstartRoutine2 -> KeWaitForSingleObject TimeOut ");

    }

    else

    {

        if (NT_SUCCESS(status))

        {

       

            DbgPrint("KstartRoutine2 -> KeWaitForSingleObject Success ");

        }

        else

        {

            DbgPrint("KstartRoutine2 -> KeWaitForSingleObject Other ");

        }

 

    }

 

 

    PsTerminateSystemThread(0);//关闭线程,否则线程属于挂起状态

}

 

void KstartRoutine3(PVOID StartContext)

{

 

    NTSTATUS status = STATUS_SUCCESS;

 

 

    KeSetEvent(&Event,0,TRUE);

 

 

    DbgPrint("KstartRoutine3 KeSetEvent Success ");

    PsTerminateSystemThread(0);//关闭线程,否则线程属于挂起状态

 

 

}

 

 

 

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)

{

    NTSTATUS status = STATUS_SUCCESS;

    HANDLE thread = NULL;

 

    DriverObject->DriverUnload = DriverUnload;

 

//通知事件 -> 在将事件设置为失效前都有效

    KeInitializeEvent(&Event, NotificationEvent,FALSE);   //创建通知事件

 

    PsCreateSystemThread(&thread, GENERIC_ALL,NULL,NULL,NULL, KstartRoutine1,NULL);

    if (thread)

        ZwClose(thread);

 

    PsCreateSystemThread(&thread, GENERIC_ALL, NULL, NULL, NULL, KstartRoutine2, NULL);

    if (thread)

        ZwClose(thread);

 

    PsCreateSystemThread(&thread, GENERIC_ALL, NULL, NULL, NULL, KstartRoutine3, NULL);

    if (thread)

        ZwClose(thread);

 

   

 

    LARGE_INTEGER Interval = { 0 };

    Interval.QuadPart = -10 * 1000 * 1000 * 7;

    KeDelayExecutionThread(KernelMode, FALSE , &Interval);

 

    KeClearEvent(&Event);

    DbgPrint("DriverEntry KeClearEvent Success ");

 

//同步事件 -> 接收处理一次后失效

    KeInitializeEvent(&Event, SynchronizationEvent, FALSE);   //创建同步事件

 

    PsCreateSystemThread(&thread, GENERIC_ALL, NULL, NULL, NULL, KstartRoutine1, NULL);

    if (thread)

        ZwClose(thread);

 

    PsCreateSystemThread(&thread, GENERIC_ALL, NULL, NULL, NULL, KstartRoutine2, NULL);

    if (thread)

        ZwClose(thread);

 

    PsCreateSystemThread(&thread, GENERIC_ALL, NULL, NULL, NULL, KstartRoutine3, NULL);

    if (thread)

        ZwClose(thread);

 

 

    return status;

}

 

i未若
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows驱动开发技术详解-EPUB 格式
01-16
Windows驱动开发技术详解》是一本深入探讨Windows操作系统驱动程序开发的专业书籍,旨在帮助读者理解并掌握构建高效、稳定的驱动程序所需的技术。Windows驱动程序是操作系统的核心组成部分,它们提供了硬件设备与...
windows系统下usb过滤驱动实现
02-26
综上所述,实现Windows系统下的USB过滤驱动需要对Windows驱动开发有深入的理解,包括KMDF的使用、设备树的管理、IRP处理以及权限控制等。开发过程中,除了技术上的挑战,还需考虑系统的安全性和稳定性,确保驱动程序...
剖析Windows的消息运行机制
donixli1314的专栏
06-03 707
 一、引言  随着Windows操作系统的不断推广,众多软件开发包都提供有开发基于Windows平台应用软件的功能。虽然这些开发包不尽相同,流行的有Visual C++、Visual Basic、Delphi、C++ Builder 等多种,但由这些不同语言开发的软件有一点却是相同的--都是运行于Windows 操作平台,都必须接受Windows 的运行机制。作为Windows 操作系统灵魂的消息
Windows驱动等待
feixi7358的博客
03-04 132
【代码】Windows驱动等待。
阴沟里翻船之KeSetEvent
vbsourcecode的专栏
02-25 9826
阴沟里翻船之KeSetEvent KeSetEvent是个使用频率很高的内核支持函数,但经常使用未必意味着确实了解它。上周就曾遇到一件怪事,系统线程在调用KeSetEvent后线程IRQL竟然从PASSIVE_LEVEL提升至DISPATCH_LEVEL,以至后续的操作出错:Bug Check 0xA: IRQL_NOT_LESS_OR_EQUAL。 先看看它的函数声明:
KeSetEvent在linux如何实现
weixin_42599908的博客
02-02 72
KeSetEvent在Linux下没有对应的实现,因为它是Windows内核中的函数。在Linux内核中,可以使用信号量、条件变量或者管道来实现类似的功能。
ReacOS源代码阅读之进程间通信--SetEvent
faithzzf的专栏
12-05 624
ReacOS源代码阅读之进程间通信--SetEvent。
Windows驱动开发技术详解-带标签
03-15
在IT行业中,Windows驱动开发是一项复杂且至关重要的技术工作,它涉及到操作系统内核与硬件设备之间的交互。本文将深入探讨Windows驱动开发的核心概念、技术细节以及相关知识点。 首先,驱动程序是操作系统与硬件...
Windows驱动开发框架WDF源码,来自微软Github
最新发布
12-18
Windows驱动开发框架(Windows Driver Framework,简称WDF)是微软推出的一种现代化的驱动程序开发模型,旨在简化驱动程序的编写,提高驱动程序的稳定性和安全性。这个框架建立在Windows Driver Model(WDM)的基础...
Windows虚拟鼠标键盘驱动
01-18
2. **Kernel-Mode Callbacks**:在KMDF中,驱动程序通过注册回调函数来响应来自操作系统的事件,比如设备初始化、读写请求等。 3. **IRP(I/O Request Packets)**:这是Windows内核用来在设备驱动之间传递I/O请求...
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
05-15
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
同步 线程 事件
天蓝的专栏
12-10 2901
1. VOID KeInitializeEvent(IN PRKEVENT Event, IN EVENT_TYPE Type, IN BOOLEAN State);Type : 事件类型,可以是 NotificationEvent 和 而SynchronizationEvent.   NotificationEvent     等待一个IO操作完成.当一个NotificationEvent
内核中的定时等待
qq_41490873的博客
07-27 1057
第一种方法:使用KeWaitForSingleObject 使用KeWaitForSingleObject函数来实现等待,让这个函数等待一个没有信号的内核对象。 //单位是微秒 1秒=1000毫秒=1000*1000微秒 VOID WaitMicroSecond(ULONG ulMircoSecond) { KEVENT kEvent; //初始化一个未激发的内核事件 KeInitializeEvent(&kEvent, SynchronizationEvent, FALSE); //等
Windows事件等待学习笔记(三)—— WaitForSingleObject函数分析
qq_41988448的博客
03-04 2680
Windows事件等待学习笔记(三)—— WaitForSingleObject函数分析前言要点回顾WaitForSingleObjectNtWaitForSingleObjectKeWaitForSingleObject:上半部分关键循环总结关于强制唤醒实验:证明等待块与等待块表的关系第一步:编译并运行以下代码第二步:再WinDbg中找到该进程第三步:查看线程信息 前言 一、学习自滴水编程达人...
内核模式下的同步对象
qq_41490873的博客
07-24 282
内核模式下的等待 在内核模式下,有两个函数负责等待内核同步对象。 分别是KeWaitForSingleObjectKeWaitForMultipleObject函数。 NTSTATUS KeWaitForSingleObject ( PVOID Object, //同步内核对象的指针 KWAIT_REASON WaitReason, //内核模式下设置此值为Executive KPROCESSOR_MODE WaitMode, //驱动中应该设置为KernelMode
在内核下使用事件对象KeInitializeEvent
125096
08-02 4809
VOID MyProcessThread( IN PVOID StartContext) { #if DBG _asm int 3 #endif PKEVENT pEvent=(PKEVENT)StartContext; DbgPrint("11111111111111!\n"); //设置事件 KeSetEvent(pEvent,IO_NO_INCREMENT,FALSE);
多线程锁详解之【WaitForSingleObject
qq492927689的博客
06-04 3487
WaitForSingleObject
内核同步对象
~。~|||
06-12 8690
Windows NT提供了五种内核同步对象(Kernel Dispatcher Object),你可以用它们控制非任意线程(普通线程)的流程。表4-1列出了这些内核同步对象的类型及它们的用途。在任何时刻,任何对象都处于两种状态中的一种:信号态或非信号态。有时,当代码运行在某个线程的上下文中时,它可以阻塞这个线程的执行,调用KeWaitForSingleObjectKeWaitForMultipl
PsCreateSystemThread
125096
08-01 1056
HANDLE hSystemThread,hMyThread; PsCreateSystemThread(&hSystemThread,NULL,NULL,NULL,NULL,ThreadSystemStart,NULL); PsCreateSystemThread(&hMyThread,NULL,NULL,NtCurrentProcess(),NULL,ThreadUserStart,NULL)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值