win10驱动开发8——内核重载new/delete关键字

最新推荐文章于 2023-04-15 12:29:26 发布
最新推荐文章于 2023-04-15 12:29:26 发布
阅读量532 收藏
点赞数
文章标签: c语言 驱动开发 visual studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41610493/article/details/121643902
版权

内部重载

new 和delete 关键字在驱动里面是不可以使用,通过重载的方式即可在内核中使用

#include <ntddk.h>   

class Myclass
{
public:
	Myclass() 
	{
		KdPrint(("构造函数\n"));
	}
	~Myclass() 
	{
		KdPrint(("析构函数\n"));
	}

	void * _cdecl operator new (size_t size,POOL_TYPE poolType= PagedPool)
	{
		KdPrint(("进入new\n"));
		return ExAllocatePoolWithTag(poolType,size,'a');
	};

	void _cdecl operator delete(void *p) 
	{
		KdPrint(("进入delete\n"));
		if (p!=NULL) 
		{
			ExFreePoolWithTag(p, 'a');
		}
	};
};

VOID Unload(IN PDRIVER_OBJECT pDriverObject)
{
	//驱动卸载的时候显示
	KdPrint(("Goodbye driver\n"));
}

extern "C" NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject,
	IN PUNICODE_STRING RegistryPath
)
{
	DriverObject->DriverUnload = Unload;
	//驱动启动的时候显示
	KdPrint(("Hello driver\n"));
	//调用的局部重载

	Myclass *pMyclass = new Myclass();
	delete pMyclass;
 	return STATUS_SUCCESS;
}

全局重载

#include <ntddk.h>   

void * _cdecl operator new (size_t size )
{
	KdPrint(("进入全局的new\n"));
	return ExAllocatePoolWithTag(PagedPool, size, 'a');
};

void _cdecl operator delete(void *p, unsigned int d)
{
	KdPrint(("进入全局的delete\n"));
	if (p != NULL)
	{
		ExFreePoolWithTag(p, 'a');
	}
};


VOID Unload(IN PDRIVER_OBJECT pDriverObject)
{
	//驱动卸载的时候显示
	KdPrint(("Goodbye driver\n"));
}

extern "C" NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject,
	IN PUNICODE_STRING RegistryPath
)
{
	DriverObject->DriverUnload = Unload;
	//驱动启动的时候显示
	KdPrint(("Hello driver\n"));
	//调用的全局重载
	PCHAR pstr = new char;
	delete pstr;
 	return STATUS_SUCCESS;
}

数组重载

在这里插入图片描述

#include <ntddk.h>   

void * _cdecl operator new (size_t size )
{
	KdPrint(("进入new\n"));
	return ExAllocatePoolWithTag(PagedPool, size, 'a');
};

void _cdecl operator delete(void *p, unsigned int d)
{
	KdPrint(("进入delete\n"));
	if (p != NULL)
	{
		ExFreePoolWithTag(p, 'a');
	}
};

void * __cdecl operator new[](unsigned int size)
{
	KdPrint(("进入new[]\n"));
	//此处是并未填写的,请参照第七章,可以写出
	return NULL;
}

void __cdecl operator delete[](void *p)
{
	KdPrint(("进入delete[]\n"));
	//此处是并未填写的,请参照第七章,可以写出
}

VOID Unload(IN PDRIVER_OBJECT pDriverObject)
{
	//驱动卸载的时候显示
	KdPrint(("Goodbye driver\n"));
}

extern "C" NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject,
	IN PUNICODE_STRING RegistryPath
)
{
	DriverObject->DriverUnload = Unload;
	//驱动启动的时候显示
	KdPrint(("Hello driver\n"));
	//调用的全局重载
	PCHAR pstr = new char[100];
	delete[] pstr;
 	return STATUS_SUCCESS;
}
华阙之梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
重载内核实现绕过一切钩子
weixin_30390075的博客
09-09 409
很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应数据,重定位后得到相对当前内核加载位置的正确调用地址。大部分的实现代码比较粗糙,因为要不停的在文件地址和内存地址之间进行转换,因此代码繁琐不易读懂。 我在考虑解放方案的时...
重载内核(x86)
125096
11-17 2238
#include #include #include #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 256 #endif typedef unsigned char *PBYTE; typedef unsigned char BYTE; typedef unsigned int UIN
重载内核全程分析笔记
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
过游戏保护之重载内核
u010416927的专栏
01-31 6194
原文链接:http://www.ghostasm.com/thread-1898-1-1.html     因为之前 代码与360冲突跟基址重定位出了点问题. 今天重新复习改进后 可以直接跳过360hook 与360 不冲突了.   注意事项 : 我用的OD是 自己有保护的,经过内核重载 CE就能打开OD了 没重载之前呢 是看不到OD进程的 不要跟360HOOK了一个点 要
win732位内核重载技术
01-16
win732位内核重载技术,对学习内核提升帮助挺大。
内核_有用1
fyfy
04-11 231
ShellCode欺骗的艺术! 网上看到一份ShellCode  非常NICE  ,用来抛砖引玉! sub sp,0x440 xor ebx,ebx push ebx push 0x74736577 push 0x6c696166 mov eax,esp push ebx push eax push eax push ebx mov e... http://blog.csdn.ne
驱动-内核重载
chengtoreal的博客
03-13 439
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
x86重载内核[源码在最后]
deadpoolwilson12的博客
04-15 653
[滴水三期中级学习记录]x86内核重载技术,驱动程序编写
1.ring0-内核重载详解(NTOS)
热门推荐
hgy413的专栏
08-07 2万+
1.取得NTOS原始的地址: 这个可以通过遍历系统模块,找到第一个被加载的模块(NTOS),获得NTOS的路径,基地址,大小: 基本思路为: 1.1 ZwQuerySystemInformation查询到所有模块 1.2 获得NTOS的路径,基地址,大小 代码如下: NTSTATUS GetNtosModuleInfo(WCHAR *pNtosPath,ULONG nSize,
破解win7 win8 win10 64位内核
07-06
破解64位win7 win8 win10系统内核,实现隐藏进程等功能
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载内核重载后指定某个程序使用你重载内核,可以绕过原有内核上面的所有hook
《Linux设备驱动开发详解——基于最新的Linux4.0内核》源码.zip
最新发布
02-10
嵌入式Linux开发
Linux设备驱动开发详解4.0内核(非扫描版)_Linux驱动_linuxkernel_linux内核_Linux/Unix编
09-28
Linux设备驱动开发详解4.0内核(非扫描版).pdf 技术日新月异,产业斗转星移,滚滚红尘,消逝的事物太多,新事物的诞生也更迅猛。众多新生事物如灿烂烟 花,转瞬即逝。当我们仰望星空时,在浩如烟海的专业名词中寻找,...
内核重载易语言源码(含C驱动源码).rar
01-25
内核重载易语言源码(含C驱动源码)
Linux驱动开发——内核同步方法
10-16
共享资源需要保护,防止被并发访问。共享资源之所以需要防止被并发访问,是因为如果多个执行线程同事访问和操作数据,就有可能发生个线程之间相互覆盖共享数据的情况,造成被访问数据处于不一直状态。...
Windows驱动开发学习笔记(七)—— 多核同步&内核重载
qq_41988448的博客
12-17 1556
Windows驱动开发学习笔记(七)—— 多核同步之临界区前言基础知识并发与同步示例分析InterlockedIncrement原子操作相关API内核文件临界区错误的临界区正确的临界区自旋锁分析 KeAcquireSpinLockAtDpcLevel 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 并发:指多个线程在同时执行 ...
一份内核重载代码的学习笔记
0xDQ的博客
04-21 1159
0x00 前言 参考文章:https://blog.csdn.net/whatday/article/details/14160875 https://blog.csdn.net/pjz969/article/details/8615085 首先重载内核不是什么新技术,对于绕过HOOK是一种一刀切的做法,不过对于我这样初探内核的小白还是很有总结意义的。 本篇涉及的知识点:0环和3环通信...
内核重载的认识
weixin_41725706的博客
12-03 327
内核重载得认识
win下内核重载过保护
weixin_34293902的博客
06-23 229
这里以SSDT为例原理:程序要用到哪些模块自己加载。局限性:不可能完全重载。因为内核中很定有一些全局变量等。因此这里修复重定位时以原来的模块为基址 ,而 SSDT以新的为基址。这里只过了openprocess的保护 #include <ntifs.h> #include <ntimage.h> #pragma pack(1) typedef struct _Service...
win7驱动程序开发
12-20
总之,Win7驱动程序开发是一项需要充分理解Windows内核驱动模型,熟悉设备驱动程序架构和接口,以及严格遵循Microsoft规范和标准的复杂工作,但通过认真的开发和测试,可以为Windows 7系统提供稳定可靠的硬件设备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值