WDK中的辅助内核模式库(Auxiliary Kernel-Mode Library)

最新推荐文章于 2023-08-17 14:55:56 发布
最新推荐文章于 2023-08-17 14:55:56 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Windows 文章标签: library module resources null 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaquester/article/details/1640132
版权

WDK中的辅助内核模式库(Auxiliary Kernel-Mode Library)

WDK中增加了一个辅助内核模式库(Auxiliary Kernel-Mode Library),里面的函数可以让内核模式驱动程序访问某些系统功能。里面包含的函数有下面几个:

AuxKlibInitialize
AuxKlibQueryModuleInformation
AuxKlibGetImageExportDirectory
AuxKlibGetBugCheckData


1. AuxKlibInitialize 函数用来初始化 Auxiliary Kernel-Mode Library。Driver 在使用 Auxiliary Kernel-Mode Library 里面的其他函数之前必须先调用 AuxKlibInitialize。函数原型如下:

NTSTATUS
AuxKlibInitialize (
   VOID
   );

另外,要使用里面的函数必须包含头文件 aux_klib.h,并链接 aux_klib.lib。

  
2. AuxKlibQueryModuleInformation 是一个文档化的获得加载模块的方法,可以替代 ZwQuerySystemInformation 的部分功能。函数原型如下:

NTSTATUS
AuxKlibQueryModuleInformation (
   IN OUT PULONG  BufferSize,
   IN     ULONG   ElementSize,
   OUT    PVOID   QueryInfo    OPTIONAL
   );


下面的示例代码摘录自MSDN:

NTSTATUS                  status;
ULONG                      modulesSize;
AUX_MODULE_EXTENDED_INFO*  modules;
ULONG                      numberOfModules;


//
// Get the required array size.
//
status = AuxKlibQueryModuleInformation(
   &modulesSize,
   sizeof(AUX_MODULE_EXTENDED_INFO),
   NULL
   );

if (!NT_SUCCESS(status) || modulesSize == 0)
{
   break;
}

//
// Calculate the number of modules.
//
numberOfModules = modulesSize / sizeof(AUX_MODULE_EXTENDED_INFO);


//
// Allocate memory to receive data.
//
modules = (AUX_MODULE_EXTENDED_INFO*) ExAllocatePoolWithTag(
   PagedPool,
   modulesSize,
   '3LxF'
   );
if (modules == NULL)
{
   status = STATUS_INSUFFICIENT_RESOURCES;
   break;
}

RtlZeroMemory(modules, modulesSize);

//
// Obtain the module information.
//
status = AuxKlibQueryModuleInformation(
   &modulesSize,
   sizeof(AUX_MODULE_EXTENDED_INFO),
   modules
   );
if (!NT_SUCCESS(status))
{
   break;
}

3. AuxKlibGetImageExportDirectory 函数可以得到一个模块的导出目录。函数原型如下:

PIMAGE_EXPORT_DIRECTORY
AuxKlibGetImageExportDirectory(
   IN PVOID  ImageBase
   );


4. AuxKlibGetBugCheckData 函数可以获得一个刚发生的 Bug Check 的信息。函数原型如下:

NTSTATUS
AuxKlibGetBugCheckData(
   OUT PKBUGCHECK_DATA  BugCheckData
   );

注:AuxKlibGetBugCheckData 只能在 BugCheckCallback 例程里面调用(如何注册 BugCheckCallback 例程请参考KeRegisterBugCheckCallback 函数)。

seaquester
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kernel 内核 5.3.8
01-05
包含如下 1. linux-headers-5.3.8-050308_5.3.8-050308.201910290940_all.deb 2. linux-headers-5.3.8-050308-generic_5.3.8-050308.201910290940_amd64.deb 3. linux-image-unsigned-5.3.8-050308-generic_5.3.8-050308.201910290940_amd64.deb 4. linux-modules-5.3.8-050308-generic_5.3.8-050308.201910290940_amd64.deb
linux内核辅助工具
huhuoyun的专栏
06-27 475
Linux多媒体 -------------- drivers\base drivers\char drivers\video drivers\media drivers\media\v4l2-core drivers\media\platform 辅助工具-打印 ----------------- #define xe(fmt, ...) printk("\0013##############1.0 console start##############\n" fmt "###############1
linux 内核辅助接口
我的专栏
09-26 758
linux内核开发者为为我们提供丰富的接口,使用这些接口可以简化代码,减少错误和方便开发等好处。我用的比较多的是链表、sysfs、proc、和工作队列。 链表:     链表是linux内核开发最常用的数据结构之一, 1、数据结构      struct list_head {            struct list_head *next, *prev;      };
内核辅助函数系列 002 --- _find_next_bit:unsigned long 整数数组第一个 0 或 1 位
jackchan-x 的博客
04-04 432
基于4.19.55 内核源码 参数 addr1 带搜寻 0/1 位的整数数组 addr2 扩展数组 nbits 最大搜索位 start 搜索开始位 invert 反转掩码 返回值 invert 等于 0 时,返回第一个非 0 位,等于 ~0UL 时,返回整数数组第一个 0 位 代码在 find_bit.c ,实现如下: /* * This is a common helper functi...
linux 模块兼容性,kernel-module内核之间的Linux内核模块(* .ko)兼容性
weixin_42297843的博客
05-16 796
我有一个简单的内核对象,我为内核内存探测而构建.如果我在我的64位Ubuntu(3.2)机器上构建它,它在该机器上工作正常.但它不会在我的64位Ubuntu(3.9)机器上进行insmod.反之亦然.如果我尝试在内核上运行它而不是我构建它的那个,它会给我一个“-1无效的模块格式”错误.我认为insmod将动态链接到导出的符号表,导出的符号表在内核修订版之间不会发生变化. (它被附加.)有人能告诉我...
microsoft kernel-mode driver framework install-v1.9-win2k-winxp-win2k3.exe
04-14
Microsoft Kernel-Mode Driver Framework Install-v1.9-Win2k-WinXP-Win2k3.exe WDK开发Xp虚拟机必备插件
Overloaded-kernel-for-XPSP3.rar_内核 重载_内核重载_重载内核
09-20
在Windows XP Service Pack 3(XP SP3)环境,"Overloaded-kernel-for-XPSP3.rar" 提供了一个经过重载的内核,这表明它可能包含了对原始XP内核的修改或扩展,以实现特定的目标。这种内核通常由开发人员使用Windows...
Anti-Delete:使用内核模式驱动程序保护具有指定扩展名的文件的删除
05-01
本文将深入探讨如何利用内核模式驱动程序(Kernel-Mode Driver)来实现这一目标,特别关注保护具有指定扩展名的文件不被删除。这种技术通常用于开发反病毒软件或安全防护系统,以增强系统的保护能力。 内核模式驱动...
Windows-WDK驱动开发文档.zip
05-25
通过WDK,开发者可以创建用户模式驱动(User-Mode Driver, UMD)和内核模式驱动(Kernel-Mode Driver, KMD),满足不同层次的需求。 二、用户模式驱动与内核模式驱动 1. 用户模式驱动:运行在用户模式下的驱动程序...
FindWDK:CMake模块,用于使用Windows开发工具包(WDK)构建驱动程序
05-10
FindWDK使使用Windows开发工具包(WDK)和CMake构建内核驱动程序和内核成为可能。 要求: WDK10 Visual Studio 2015及更高版本 CMake 3.0及更高版本 用法 将FindWDK添加到模块搜索路径,然后调用find_package ...
Mainconcept编码外挂内核软件
03-17
Mainconcept是强大的编码外挂内核软件,为专业软件提供编码内核支持
Auxiliary模块使用(三)
weixin_43047908的博客
03-20 1684
VNC空密码扫描程序   这个模板将会扫描特定的网段,以搜索可以使用空密码访问的虚拟网络计算(VNC)服务器。 旨在帮助了解辅助工具模板在渗透测试过程的重要作用 msf5 > use auxiliary/scanner/vnc/vnc_none_auth msf5 auxiliary(scanner/vnc/vnc_none_auth) > show options Module options (auxiliary/scanner/vnc/vnc_none_auth): Nam
Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)
时空之中的灵魂
10-14 364
附另两种方法链接 Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation) 1.主要区别
AuxKlibQueryModuleInformation---from ddk 文档
pureman_mega的博客
12-20 381
AuxKlibQueryModuleInformation 例程获取操作系统已经加载的映像模块的信息。 NTSTATUS AuxKlibQueryModuleInformation( IN OUT PULONG BufferSize, IN ULONG ElementSize, OUT PVOID QueryInfo OPTIONAL );参数 B
Xilinx Alveo X3522安装指导
最新发布
a1013552415的博客
08-17 687
Xilinx Alveo X3522使用XCUX35 FPGA(XCUX35-3VSVA1365E),包含两个DSFP28网络连接贺一个PCIe Gen4x8/Gen3x8接口。每一个DSFP28模块通过一个共享PF支持两个端口。
进程强杀
zhuhuibeishadiao
04-04 2769
强杀进程 PsTerminateProcessPspTerminateProcess PspTerminateThreadByPointerPspExitThread未导出函数 暴力搜索 特征值 xp的 0x8B55ff8B 0xA16456EC 0x00000124 0x3B08758B 内核地址空间NtQueryXXX / AuxKlibQueryModuleInform
note : IRP hook on R0
谢绝留言与私信
09-14 1734
IRP hook 以FSD Hook 为例, Hook和UnHook的操作, 在DeviceIoControl响应. Hook 处理 /// @file Fsd.h /// @brief FSD(\\FileSystem\\Ntfs) 处理 #ifndef __FSD_H__ #define __FSD_H__ #include #include "
【第一章】浅谈游戏作弊类型与核心原理
qq_38944721的博客
10-22 1万+
浅谈游戏作弊与核心原理导语外挂发展史外挂核心以及原理本章总结下期预告建议收藏此专栏以免迷路 导语 为什么有的人说游戏外挂开发门槛极低,但为什么又有的人说游戏外挂开发门槛极高? 只有了解了外挂原理,我们才能对其制衡。 其实手游外挂圈就像修仙一样,是有技术等级和小圈子之分,大致总结如下: 会使用GG修改器、Cheat Engine修改器等内存工具对游戏内存空间进行修改 会使用易语言、GG修改器、XScript等工具编写简单 修改内存脚本或程序 会使用GG修改器、Cheat Engine等工具扫描出指
VS2015+WDK10+Win10 Win7以上系统驱动发开环境搭建
热门推荐
VHeroin的博客
07-27 1万+
2016年8月6日 by myCode·5 Comments 文本主要介绍 Win10 系统下安装 VS2015 及 WDK10 驱动开发环境的搭建,搭建完成后可通过 VS2015 直接新建驱动项目并编译通过后可在 Win7 以上系统运行。无需自己制作模版等繁琐步骤(其实早在 VS2013+WDK8.1 的时候就已经支持直接从 IDE 新建项目)。以下是相关截图: 可直接通过
wdk如何将内核全局变量映射给用户态
02-07
WDK ,可以使用 MmMapIoSpace 函数来将内核全局变量映射到用户态。使用时,需要提供内核全局变量的地址和要映射的内存的大小,函数会返回一个指向映射后的内存的指针。例如: ``` PVOID pMappedMemory = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值