Windows驱动 - R3-R0事件交互

最新推荐文章于 2023-02-05 19:42:40 发布
最新推荐文章于 2023-02-05 19:42:40 发布
阅读量631 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq726232111/article/details/111690891
版权

0x00 函数

ObReferenceObjectByHandle  //通过句柄获取内核资源

ObDereferenceObject //释放资源

 

0x01 代码

桌面程序

#include <windows.h>

#include <stdio.h>

 

#define IOCTL_CREATE_EVENT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x999, METHOD_BUFFERED , FILE_READ_DATA | FILE_WRITE_DATA)

 

HANDLE customEvent = NULL;

HANDLE handle = NULL;

 

DWORD WINAPI ThreadProc(_In_ LPVOID lpParameter)

{

    for (int i = 0; i < 10; i++)

    {

        Sleep(1500);

        printf("\nThreadProc %d", i);

        SetEvent(customEvent);

    }

 

    printf("\nThreadProc end");

 

    //Sleep(4000); 

 

   

    CloseHandle(customEvent);

    CloseHandle(handle);

    return 0;

}

 

int main(int argc, char* grav[])

{

    HANDLE thread = NULL;

    LPCWSTR eventNanme = L"CustomEvent";

 

    DWORD BytesReturned = 0;

 

    printf("CreateFile\n");

 

    system("pause");

 

    handle = CreateFile(L"\\\\.\\EventDriver", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

 

    if (handle == INVALID_HANDLE_VALUE)

 

    {

        printf("handle INVALID_HANDLE_VALUE:%d\n", GetLastError());

        system("pause");

 

        return 0;

    }

 

    printf("CreateEvent\n");

    customEvent = CreateEvent(NULL, FALSE, FALSE, eventNanme);

 

    printf("main -> customEvent:%p \n", customEvent);

 

    if (customEvent == INVALID_HANDLE_VALUE)

    {

        CloseHandle(handle);

        printf("customEvent  INVALID_HANDLE_VALUE\n");

        system("pause");

        return 0;

    }

 

    printf("DeviceIoControl\n");

 

    system("pause");

   if (DeviceIoControl(handle, IOCTL_CREATE_EVENT, &customEvent, sizeof(HANDLE), NULL, 0, &BytesReturned, NULL))

    {

        if (BytesReturned)

        {

            printf("DeviceIoControl -> CreateThread");

            //创建线程

            thread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);

            if (thread == INVALID_HANDLE_VALUE)

            {

                CloseHandle(handle);

                CloseHandle(customEvent);

 

                printf("CreateThread failed\n");

                system("pause");

                return 0;

            }

 

            printf("CreateThread success\n");

            CloseHandle(thread);

       

        }

        else

        {

            printf("DeviceIoControl BytesReturned -> FALSE ");

        }

    }

    else

    {

        printf("DeviceIoControl failed\n");

    }

 

    printf("main success\n");

 

    system("pause");

 

    return 0;

}

 

驱动程序

#include <Ntddk.h>

#include <wdm.h>

 

#define IOCTL_CREATE_EVENT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x999, METHOD_BUFFERED , FILE_READ_DATA | FILE_WRITE_DATA)

 

KSTART_ROUTINE KstartRoutine1;

 

 

 

VOID DriverUnload(PDRIVER_OBJECT DriverObject)

{

    if (DriverObject->DeviceObject)

    {

        DbgPrint("DriverUnload->IoDeleteDevice");

 

        IoDeleteDevice(DriverObject->DeviceObject);

 

        UNICODE_STRING SysmbolicLinkNmae = { 0 };

 

        RtlInitUnicodeString(&SysmbolicLinkNmae, L"\\??\\EventDriver");

 

        IoDeleteSymbolicLink(&SysmbolicLinkNmae);

    }

 

    DbgPrint("DriverUnload");

}

 

void KstartRoutine(PVOID StartContext)

{

    PKEVENT pkEvent = (PKEVENT) StartContext;

    LARGE_INTEGER Timeout = { 0 };

    Timeout.QuadPart = -10 * 1000 * 1000 * 3; //5 -> 单位为100纳秒,*10 = 微秒,*10*1000 = 毫秒,*10*1000*1000 =

 

    NTSTATUS status = STATUS_SUCCESS;

 

    int i = 0;

 

    while(TRUE)

    {

   

   

        DbgPrint("pkEvent %p | KstartRoutine -> KeWaitForSingleObject Start", pkEvent);

 

        status = KeWaitForSingleObject(pkEvent, Executive, KernelMode, FALSE, &Timeout);  //等待

 

        i++;

 

        if (status != STATUS_SUCCESS)

        {

            DbgPrint("pkEvent %p | KstartRoutine -> KeWaitForSingleObject Timeout index:%d ", pkEvent,i);

            break;

        }

 

        DbgPrint("pkEvent %p | KstartRoutine -> KeWaitForSingleObject End, index:%d ", pkEvent, i);

 

 

    }

 

    DbgPrint("pkEvent %p | KstartRoutine End", pkEvent);

    ObDereferenceObject(pkEvent);  //释放资源

    PsTerminateSystemThread(0);

}

 

NTSTATUS MyDispatchControl(PDEVICE_OBJECT DeviceObjct, PIRP Irp)

 

{

    NTSTATUS status = STATUS_SUCCESS;

    HANDLE customEvent = NULL;

    HANDLE thread = NULL;

    PKEVENT pkEvent = NULL;

    PIO_STACK_LOCATION  IrpSp = IoGetCurrentIrpStackLocation(Irp); //获取堆信息

 

    DbgPrint("MyDispatchControl");

 

    //IrpSp->Parameters.DeviceIoControl.IoControlCode -> 用户层传入的指定代码

 

    switch (IrpSp->Parameters.DeviceIoControl.IoControlCode)

 

    {

    case IOCTL_CREATE_EVENT:

 

        Irp->IoStatus.Information = TRUE;    //返回给R3的附加信息

 

        if (IrpSp->Parameters.DeviceIoControl.InputBufferLength != sizeof(HANDLE))

        {

            Irp->IoStatus.Information = FALSE;    //返回给R3的附加信息

            break;

        }

       RtlCopyMemory(&customEvent, Irp->AssociatedIrp.SystemBuffer, sizeof(HANDLE));        //获取句柄

 

        DbgPrint("MyDispatchControl ->  customEvent : %p", customEvent);

 

        status = ObReferenceObjectByHandle(customEvent, EVENT_MODIFY_STATE, *ExEventObjectType, KernelMode, &pkEvent, NULL);   //根据句柄获取内核对象

 

        if (!NT_SUCCESS(status))

        {

            DbgPrint("MyDispatchControl -> ObReferenceObjectByHandle failed: %x", status);

            Irp->IoStatus.Information = FALSE;    //返回给R3的附加信息

            break;

        }

 

       

 

        DbgPrint("MyDispatchControl -> ObReferenceObjectByHandle ststus: %x pkEvent:%p ", status, pkEvent);

 

       //创建线程

        status = PsCreateSystemThread(&thread, GENERIC_ALL, NULL, NULL, NULL, KstartRoutine, pkEvent);

 

        if (!NT_SUCCESS(status))

        {

            DbgPrint("MyDispatchControl -> PsCreateSystemThread failed");

            Irp->IoStatus.Information = FALSE;    //返回给R3的附加信息

            break;

        }

 

        DbgPrint("MyDispatchControl -> PsCreateSystemThread %p", thread);

        ZwClose(thread);

 

        break;

 

    default:

 

        DbgPrint("MyDispatchControl::switch->default");

 

        break;

    }

 

    Irp->IoStatus.Status = status; //irp完成状态

 

    IofCompleteRequest(Irp, IO_NO_INCREMENT); //当驱动程序完成给定IRP的所有处理时调用,代表IRP处理完成

 

    return status;

}

 

NTSTATUS MyDispatchCreate(PDEVICE_OBJECT DeviceObjct, PIRP Irp)

 

{

    NTSTATUS status = STATUS_SUCCESS;

 

    DbgPrint("MyDispatchCreate");

 

    Irp->IoStatus.Information = 0; //返回给R3的附加信息

 

    Irp->IoStatus.Status = status; //irp完成状态

 

    IofCompleteRequest(Irp, IO_NO_INCREMENT); //当驱动程序完成给定IRP的所有处理时调用,代表IRP处理完成

 

    return status;

}

 

NTSTATUS MyDispatchCleanUp(PDEVICE_OBJECT DeviceObjct, PIRP Irp)

 

{

    NTSTATUS status = STATUS_SUCCESS;

 

    DbgPrint("MyDispatchCleanUp");

 

    Irp->IoStatus.Information = 0; //返回给R3的附加信息

 

    Irp->IoStatus.Status = status; //irp完成状态

 

    IofCompleteRequest(Irp, IO_NO_INCREMENT); //当驱动程序完成给定IRP的所有处理时调用,代表IRP处理完成

 

    return status;

}

 

NTSTATUS MyDispatchClose(PDEVICE_OBJECT DeviceObjct, PIRP Irp)

 

{

    NTSTATUS status = STATUS_SUCCESS;

 

    DbgPrint("MyDispatchClose");

 

    Irp->IoStatus.Information = 0; //返回给R3的附加信息

 

    Irp->IoStatus.Status = status; //irp完成状态

 

    IofCompleteRequest(Irp, IO_NO_INCREMENT); //当驱动程序完成给定IRP的所有处理时调用,代表IRP处理完成

 

    return status;

}

 

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{

    NTSTATUS status = STATUS_SUCCESS;

 

    DbgPrint("DriverEntry");

 

    //驱动卸载

 

    DriverObject->DriverUnload = DriverUnload;

 

    //创建设备

 

    PDEVICE_OBJECT DeviceObjet = NULL;

 

    UNICODE_STRING DeviceName = { 0 };

 

    RtlInitUnicodeString(&DeviceName, L"\\Device\\EventDriver");

 

    status = IoCreateDevice(DriverObject, 400, &DeviceName, FILE_DEVICE_UNKNOWN, 0, TRUE, &DeviceObjet);

 

    if (!NT_SUCCESS(status))

 

    {

        DbgPrint("DriverEntry->IoCreateDevice failed");

 

        return status;

    }

 

    DeviceObjet->Flags |= DO_BUFFERED_IO//未设置此标志,Irp->AssociatedIrp.SystemBufferNULL,注意是|= 不要直接=,会消除其它标志位

 

    //创建符号链接

 

    UNICODE_STRING SysmbolicLinkNmae = { 0 };

 

    RtlInitUnicodeString(&SysmbolicLinkNmae, L"\\??\\EventDriver");

 

    status = IoCreateSymbolicLink(&SysmbolicLinkNmae, &DeviceName);

 

    if (!NT_SUCCESS(status))

 

    {

        DbgPrint("DriverEntry->IoCreateSymbolicLink failed");

 

        IoDeleteDevice(DeviceObjet);

 

        return status;

    }

 

    DriverObject->MajorFunction[IRP_MJ_CREATE] = MyDispatchCreate; //CreateFile

    DriverObject->MajorFunction[IRP_MJ_CLEANUP] = MyDispatchCleanUp;  //CloseHandle

    DriverObject->MajorFunction[IRP_MJ_CLOSE] = MyDispatchClose;  //CloseHandle

    DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MyDispatchControl;    //CustomCode

 

    DbgPrint("DriverEntry Success");

 

    return status;

}

 

0x02 分析

资源释放:

驱动程序通过ObDereferenceObject(pkEvent);释放资源

桌面程序通过CloseHandle(customEvent);释放资源

如果在驱动程序调用KeWaitForSingleObject(pkEvent, Executive, KernelMode, FALSE, &Timeout);前释放了pkEvent,并且桌面程序也是释放了customEvent则这个事件无人使用,系统会处理该资源,之后调用KeWaitForSingleObject() 由于事件已经被系统销毁,则参数1属于无效内容.此时操作系统会出现意想不到的问题.

切记要在句柄或内核资源使用结束后,再去释放,否则提前释放会导致问题.

 

i未若
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win32k(3) R0 to R3,键盘鼠标输入
Returns' Station
06-06 2222
第三部分 R0 to R3   这部分有教主非常精彩和实用的分析,我就不瞎说了。 http://bbs.pediy.com/showthread.php?t=104918   r3 to r0 是常规系统调用倒过来 中断或者sysenter的东西: http://hi.baidu.com/andriy_aolala/blog/item/0ce3ebbf13
R0R3联调
zhuhuibeishadiao
03-31 1915
1:使用!process 0 0 获取用户空间的进程的信息 //这步之前已经给要调试的驱动加载符号了 !process 0 0 2:使用.process /p + 你需要调试的应用程序的EProcess地址,切换到应用程序的地址空间 .process /p 0x81a02af0 3:重新加载user程序的 PDB文件 (需在Windbg里设置好R3的符号和源代码)然后运行(不要在对话框里的
驱动框架、内核驱动R3通信1
08-03
简介硬件驱动的抽象系统 -> 驱动 -> 硬件 抽象为 系统 -> 驱动 -> 文件 ,驱动功能(如:打开、关闭、读写、控制、电源)等向系统注册函数指针,即注册
windows系统中核心态R0和用户态R3之间的通信
qq_33526144的博客
12-12 4006
权限级别 系统核心态指的是R0,用户态指的是R3,系统代码在核心态下运行,用户代码在用户态下运行。系统中一共有四个权限级别,R1和R2运行设备驱动R0R3权限依次降低,R0R3的权限分别为最高和最低。从windows体系结构图可以看出在用户态可以调用函数接口都在ntdll.dll中, ...
Windows内核新手上路3——挂钩KeUserModeCallBack
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 844
Windows内核新手上路3——挂钩KeUserModeCallBack 1.     简介 在Windows系统中,提供了几种方式从R0调用位于R3函数,其中一种方式是KeUserModeCallBack,此函数流程如下: nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDis
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2586
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
驱动R3的通信
Misaka10046的博客
07-13 667
kd> dt PDRIVER_OBJECT Wdf01000!PDRIVER_OBJECT Ptr32 +0x000 Type : Int2B +0x002 Size : Int2B +0x004 DeviceObject : Ptr32 _DEVICE_OBJECT +0x008 Flags : Uint4B +0x00c DriverStart : Ptr32 Void +0
小娱XY-R3刷Breed教程.rar
11-04
小娱XY-R3刷Breed教程,小娱XY-R3不拆机刷不死Breed教程,MT7620A固件任意折腾
RVS31-BN-00000-r3p1-00rel0.tgz
03-23
rvct3.1
android-sdk-windows-1.5_r3.zip-tools
10-11
由于该包比较大,所以只上传了其中的tools目录中的工具
BQ40Z50-R3固件.zip
06-22
这是一份BQ40Z50R3版本固件,来源与TI官方;使用方法使用BQstudio调试器进行升级;
r3con1z3r-master.zip
01-06
r3con1z3r-master.zip
Windows内核地址跑r3代码实现
被遗弃的庸才博客
04-30 900
背景 最近在看雪上看到了一篇修改页属性的博客https://bbs.pediy.com/thread-266781.htm,之前的同事也提到过有人在r0跑dll,于是趁着这个机会把原作者的代码改了下,将申请的内核地址改成user可读,如下所示,这里有几点需要注意的 1、在win10 1903 中测试失败,蓝屏0x1a,会对pxe做检查 2、内核的pte基址是写死的 3、不支持大页 #include <Ntifs.h> #include <ntimage.h> #inclu
第七章——Windows内核基础-内核理论基础(0环通信,内核函数驱动加载流程)...
weixin_30338481的博客
12-26 283
windowsR3R0通信 当我们调用某个API的时候,这个API是被封装在某个DLL库中,而DLL库中的函数则是在更底层的ntdll.dll文件中,而相对应的则是调用ntdll中的Native API函数ntdll中的Native API函数是成对出现,分别以Nt和Zw开头,在ntdll中他们的本质是一样,只是名字不同。当API函数在ntdll中执行时,首先会检查参数工作,接...
Windows驱动(用户层R3与内核层R0通信)
GNAIXGNAHZ的博客
02-05 1817
Windows驱动(用户层与内核层通信)
驱动读写进程内存R3,R0通信
dengjiatao9832的博客
09-21 1397
1 stdafx.h 头文件代码 2 3 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or later. 4 #define _WIN32_WINNT 0x0501 // Change this to the appr...
R3-R0 系统调用(快速调用与中断门)
walker的博客
03-03 983
简介 我们知道,通过驱动程序可以实现从用户态进入内核态。而操作系统的 API 函数可以实现进入内核态,那么这是如何实现的呢? 操作系统定义了一个用户程序和内核程序都可以访问的一个结构 _KUSER_SHARED_DATA ,而用户态下的该结构和内核态下的该结构都指向同一个物理内存。操作系统通过初始化该结构体,以实现 API 函数直接 call 该结构体下的 SystemCall 中的函数地址( KiFastSystemCall 或 KiIntSystemCall 函数),以实现从用户态进入内核态。 _KU
[Windows 驱动开发] MDL 共享内存,实现 r0r3 通信
墨鱼菜鸡
08-31 251
背景 默认情况下,进程内存有一半为内核所有,一半为进程本身所有。但是因为 r3 的进程在不断的切换,所以不能在 r0 直接分配一个低位的内存(你不知道现在正在哪个进程的高位中)。 当然,使用 KeStackAttach...
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告.docx
最新发布
04-18
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告
STMFD SP!,{R0-R3,LR}
06-12
这条指令将寄存器 R0-R3 和链接寄存器 LR 的值保存到栈中,从低地址到高地址分别存储。其中 SP! 表示在存储数据之后,将栈指针 SP 减去存储数据所占用的空间大小。因此,该指令会将 R0-R3 和 LR 的值按照顺序存储到 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值