DDK_HelloWorld卸载例程细化(驱动学习笔记四)

最新推荐文章于 2022-10-14 13:07:18 发布
最新推荐文章于 2022-10-14 13:07:18 发布
阅读量249 收藏 1
点赞数
分类专栏: 驱动学习笔记 文章标签: 驱动 学习笔记 问题探讨
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41655422/article/details/102489662
版权

DDK_HelloWorld卸载例程细化

0x0 蓝屏

  1. 在编译DDK卸载程序时,误将符号名字写成了设备名,从而导致卸载时直接蓝屏
    符号链接名蓝屏
  2. 加载驱动的时候发生蓝屏,使用windbg定位到问题点如下:
    在这里插入图片描述
    pDevobj正常,但是提示pDevExt为空指针从而导致蓝屏,想了想觉得很奇怪,难道是PDEVICE_EXTENSION定义错了?反复查看定义未发现有什么不妥,
    但是windbg中也显示pDevobj->DeviceExtension为空,后来左右对比发现如下代码:
    在这里插入图片描述
    在创建设备的时候,DEVICE_EXTENSION的大小竟然为0,难怪会是空指针!
    将代码改为如下后,加载驱动便不再蓝屏了:
    在这里插入图片描述
  3. 按照《Windows驱动开发技术详解》里的代码将HelloDDK编译后,发现每次卸载驱动的时候都会发生蓝屏,使用windbg定位到问题故障点如下:
    在这里插入图片描述
    根据dbg上查看到的信息发现是存储pLinkName的内存访问错误,反复检查流程,发现逻辑并没有什么问题,同时发现pDevExt->ustrSymLinkName和ustrDeviceName都是异常的内存,因此怀疑是内存已经被释放了?
    我们找到ustrSymLinkName和ustrDeviceName被赋值的地方如下:
    在这里插入图片描述
    我们发现它们的赋值是在创建设备的过程中进行的,检查创建过程的值发现它们确确实实是被成功赋值了,可是为什么后面又没有了呢?
    我们看到该函数时位于内存标志位INIT的内存区域的
    在这里插入图片描述
    书上对INIT内存区域的描述是函数只是在加载的时候需要载入内存,但是当驱动程序成功加载后,函数就会从内存中卸载掉,如下:
    在这里插入图片描述
    我的理解是,如果把CreateDevice函数放在INIT内存区域,函数内的赋值操作也会保存在INIT内存区域,那么在加载驱动的时候,给符号和设备名进行赋值的时候,一起正常。但是加载成功后,该段内存区域即被释放,所以当卸载驱动再次调用该段内存区域时,由于该内存区域已经被释放了,所以导致了蓝屏
    因此,解决办法是,把该函数放到PAGE内存区域,即不再蓝屏
    然而,事情没有结束
    在正常卸载掉驱动后,再次把该函数改到INIT内存区域,卸载驱动也不会出现蓝屏。这是否意味着,真正蓝屏的原因是由于之前内存中还保存着一些东西?按理来说,如果内存中有符号名是无法再次创建驱动成功的。
    真正的原因还待进一步去研究…

0x1 头文件、cpp文件

根据观察到的情况,通常,声明、定义结构体、重定义变量名放在头文件中,具体实现放在CPP文件中

0x2 PDEVICE_EXTENSION

根据源代码调用PDEVICE_EXTENSION时发现始终无法找到该结构体,后来发现原来该结构体需要自己定义,坑爹啊…如下:

typedef struct _DEVICE_EXTENSION 
{
	PDEVICE_OBJECT pDevice;
	UNICODE_STRING ustrDeviceName;	// 设备名称
	UNICODE_STRING ustrSymLinkName;	// 符号链接名
}DEVICE_EXTENSION,*PDEVICE_EXTENSION;

TO be continue…

rep_Su
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.arch教学视频-编写DDK_HelloWorld驱动.exe
11-20
.arch教学视频-编写DDK_HelloWorld驱动.exe
驱动Hello World
zhangjie0072的专栏
06-01 3866
我们学习程序设计,都是从“Hello World”开始的,驱动程序也不例外,今天我就写一个驱动版的“Hello World”来热热身,目的希望大家能对驱动程序的基本框架有所了解。驱动程序分为2类,一个是Kernel模式驱动,另一个是Windows模式驱动,2种模式本质是相同,但细节不同,本文介绍的是内核模式驱动驱动程序的安装、使用。驱动程序同普通的EXE,DLL一样,都属于PE文件,而且
添加卸载驱动例程驱动学习笔记二)
rep_Su的博客
10-11 394
添加卸载驱动例程0x0 驱动卸载管理驱动工具使用代码问题 0x0 驱动卸载 管理驱动 卸载驱动其实用简单的命令行就可以做到,或者使用cmd脚本即可,当然工具的便利性毋庸置疑,工具的选择也可以有很多(如 drivermonitor)。这里的重点是把驱动启用,停止,删除的命令行做下记录: 驱动安装后 启动:sc start mydriver 停止:sc stop mydriver 删除:sc dele...
YJX_Driver_015_DDK_HelloWorld卸载例程细化
weixin_30781775的博客
03-31 99
1、 【178】复制第12课的代码,用vs2003(VC7.0)打开 【360】把部分代码 放到新建的头文件(mini_ddk.h)里面,然后项目再 "添加现有项"   【592】此时 "重新生成解决方案",OK ZC: 可以将“L"\\Device\\yjxDDK_Device"”和“L"\\??\\yjx888"” 做成全局变量,统一管理 ZC: 或者 将devName 和sym...
DDK_HelloWorld添加设备例程驱动学习笔记三)
rep_Su的博客
10-11 280
DDK_HelloWorld添加设备例程0x0 编译报错 0x0 编译报错 在编译DDK驱动时,我遇到了类似如下的报错: error -2: “Inf2Cat, signability test failed.” Double click to see the tool output. 当时时间在凌晨,采用VS2017编译驱动,反复编译发现始终有这样的报错,百思不得其解,于是百度之发现如下说...
016_为DDK_HelloWorld添加默认派遣例程
05-06 414
预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师  QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com    1.3.8为DDK_HelloWorld添加默认派遣例程-16课       A、初识IRP    ...
驱动开发:实现驱动加载卸载工具
CSDN
10-14 9912
驱动程序加载工具有许多,最常用的当属KmdManager工具,如果驱动程序需要对外发布那我们必须自己编写实现一个驱动加载工具,当需要使用驱动时可以拉起自己的驱动,如下将实现一个简单的驱动加载工具,该工具可以实现基本的,安装,加载,关闭,卸载等操作日常使用完全没问题
ddk驱动简单示例
一墨的博客
05-25 2256
#简单的驱动程序 本文档是[Driver Development Kit教程](ddk-tutorial.md)文档的一部分。 ##概述 在本章中,我们将了解驱动程序的基础知识。 我们将从简单到稍微复杂,每个驱动程序说明一组具体的概念如下: `dev/misc/demo-null` 和 `dev/misc/demo-zero`: *小的,“no-state”的接收器/源驱动程序,用于解释...
驱动学习笔记Hello World
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-17 608
编译环境用xp下VC6+DDK 新建一个文件夹当作工程目录,路径是E:/lingdux/ 从别的工程copy过来两个文件, 一个是makefile,它用来指定文件之间的依赖关系,确定项目中哪些文件时需要重新编译的,那些事已经编译过的。里面的内容不用改,直接默认就OK 另一个是source,它用来保存一些配置信息,内容如下: TARGETNAME=lingdux  这句
winddk.rar_ddk开发_win ddk_windows DDK_驱动_驱动开发
09-24
window ddk 驱动开发文档
USBTOCOM.rar_ddk_usbtoc_usbtocom_串口 驱动_虚拟 驱动
07-14
DDK下虚拟串口驱动源代码.首先安装DDK2003,然后安装VC6++,对DDK的相关库进行编译
ddk-china.rar_ddk_ddk 中文_ddk 驱动_ddk-china_visual c
09-22
ddk中文文档,ddkwindows下的驱动开发包
ndis驱动程序代码.rar_ddk_ddk packet_ddk2000 packet_ndis驱动_windows driv
09-23
首先,读者可以先将DDK原来的packet例子程序备份,然后用改动后的驱动程序源码覆盖原先的代码(即覆盖packet->driver目录下的代码,修改后的代码已经给出)。 然后开始编译。顺次选择开始->程序->...
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3292
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT的地址 0x0 windbg中查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
二探win10 x64 SSDT(驱动学习笔记六)
rep_Su的博客
10-13 2951
二探win10 x64 SSDT0x0 C0000082的通解背景介绍寻找SSDT代码实现 0x0 C0000082的通解 背景介绍 在上一篇学习笔记中,我们曾说过,在win10 x64 1809专业版上 通过C0000082 MSR寄存器,我所得到的地址并非是nt!KiSystemCall64,而是nt!KiSystemCall64Shadow。 因此,我的权宜之计是读取地址后取一个偏移量将开...
Hello Driver(驱动学习笔记一)
rep_Su的博客
10-11 399
Hello Driver0X0 编译报错背景介绍原因探讨解决办法 0X0 编译报错 背景介绍 由于没有找到win10上vs2017版本的vs ddk编译环境,因此直接在VS2017上尝试如下代码: #include <ntddk.h> int DriverEntry(PDRIVER_OBJECT A, PUNICODE_STRING b) { return 0; } 结果编译的时...
k8s1.16的jenkins部署java项目cicd(cd手动)-kubernetes安装包和详细文档笔记整理
最新发布
05-28
k8s1.16的jenkins部署java项目cicd(cd手动)-kubernetes安装包和详细文档笔记整理
sja1311.x86_64.tar.gz
05-28
SQLyong 各个版本,免费下载 SQLyog是业界著名的Webyog公司出品的一款简洁高效、功能强大的图形化MySQL数据库管理工具。使用SQLyog可以快速直观地让您从世界的任何角落通过网络来维护远端的MySQL数据库。
BL __user_initial_stackheap MOV R1, R2 BL __rt_lib_init LDR R0, [SP] LDR R1, =zx_ddk_init BLX R1 pop {R0, LR} BX LR解释一下代码
06-06
5. LDR R1, =zx_ddk_init:将 zx_ddk_init 的地址加载到 R1 寄存器中。 6. BLX R1:通过 BLX 指令跳转到 zx_ddk_init 函数,并将 R1 寄存器的值作为跳转地址。 7. pop {R0, LR}:从堆栈中弹出两个字(R0 和 LR),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值