一些内核操作函数

最新推荐文章于 2024-05-29 12:27:27 发布
最新推荐文章于 2024-05-29 12:27:27 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sqzxwq/article/details/48197183
版权 
#ifdef __cplusplus
extern "C" {
#endif

#define DELAY_ONE_MICRO (-10)
#define DELAY_ONE_MILLI (DELAY_ONE_MICRO*1000)
#include <ntifs.h>
#include <stdlib.h>
	NTSTATUS DriverEntry(IN PDRIVER_OBJECT  objDriver,IN PUNICODE_STRING strRegPath);

	HANDLE KernelCreateFile(IN PUNICODE_STRING pstrFile,IN BOOLEAN bIsDir);

	ULONG64 KernelGetFileSize(IN HANDLE hFile);

	ULONG64 KernelReadFile(IN HANDLE hFile,IN PLARGE_INTEGER Offset,IN ULONG ulLength,OUT PVOID pBuffer);
	ULONG64 KernelWriteFile(IN HANDLE hFile,IN PLARGE_INTEGER Offset,IN ULONG ulLength,OUT PVOID pBuffer);
	NTSTATUS KernelDeleteFile(IN PUNICODE_STRING pstrFile);

	void KernelKillProcess(UINT32 PiD);

	PEPROCESS LookupProcess(HANDLE hPid);
	NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS pEProcess);
	NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS pEProcess);
	VOID EnumProcess();

	PFILE_BOTH_DIR_INFORMATION KernelFindFirstFile(IN HANDLE hFile,IN ULONG ulLen,OUT PFILE_BOTH_DIR_INFORMATION pDir);
	NTSTATUS KernelFindNextFile(IN OUT PFILE_BOTH_DIR_INFORMATION* pDir);
	void Traversal();

	NTKERNELAPI NTSTATUS PsSuspendProcess(PEPROCESS pEProcess);
	NTKERNELAPI NTSTATUS PsResumeProcess(PEPROCESS pEProcess);

	UINT32 PauseProcess(PEPROCESS pEProcess);
	UINT32 ResumeProcess(PEPROCESS pEProcess);

	typedef NTSTATUS (__stdcall *PSSUSPENDTHREAD)(IN PETHREAD pEThread,OUT PULONG PreviousSuspendCount);
	typedef NTSTATUS (__stdcall *PSRESUMETHREAD)(IN PETHREAD pEThread,OUT PULONG PreviousCount);
	PSSUSPENDTHREAD PsSuspendThread = (PSSUSPENDTHREAD)0x842de1bb;
	PSRESUMETHREAD PsResumeThread = (PSRESUMETHREAD)0x84235cd6;

	UINT32 PauseThread(PETHREAD pEThread);
	UINT32 ResumeThread(PETHREAD pEThread);

	KEVENT g_kEvent;
	
	VOID t_funThread(IN PVOID StartContext);
	VOID Test_CreateThread();

	typedef NTSTATUS (__fastcall *ZWTERMINATETHREAD)(HANDLE hThread,ULONG uExitCode);
	ZWTERMINATETHREAD ZwTerminateThread = (ZWTERMINATETHREAD)0x8407fad4;
	void KernelKillThread(UINT32 TiD);
	NTSTATUS ZwOpenThread(OUT PHANDLE ThreadHandle,IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId OPTIONAL);
	VOID EnumThread(PEPROCESS pEProcess);

	VOID KernelSleepA(LONG MicroSeconds);
	VOID KernelSleepB(LONG MicroSeconds);

	ULONG KernelGetVersion();

	VOID Test_GetCurrentTime();
#ifdef __cplusplus
}
#endif

HANDLE KernelCreateFile(IN PUNICODE_STRING pstrFile,IN BOOLEAN bIsDir)
{
	HANDLE hFile = NULL;
	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	IO_STATUS_BLOCK StatusBlock = {0};
	ULONG ulShareAccess = FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE;
	ULONG ulCreateOpt = FILE_SYNCHRONOUS_IO_NONALE
最低0.47元/天 解锁文章
sqzxwq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一些内核函数
YL_WH的专栏
09-06 3061
内核模式下的字符串操作 KdPrint();  // 类似于C中的printf(); 字符串结构体 typedef struct _STRING {  USHORT Length;     // 字符的长度  USHORT MaximumLength;   // 整个字符缓冲区的最大长度  PCHAR Buffer;     // 缓冲区的指针 }STRING; typede
驱动遍历进程的方法
qq_41071646的博客
10-27 1409
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
Windows 应用暂停技术汇总
最新发布
Frendguo的博客
05-29 1026
介绍了四种暂停或冻结 Windows 应用的方法:NtSuspendProcess、SuspendThread、NtDebugActiveProcess 和 JobObjectFreezeInformation。NtSuspendProcess 和 NtDebugActiveProcess 效率高,但无法暂停内核代码;SuspendThread 效率较低,可能漏掉新线程;JobObjectFreezeInformation 适用于 UWP 应用,但如果句柄丢失,恢复性差。每种方法复杂度和系统兼容性不同。
ZwQueryDirectoryFile获取文件信息
angliu9837的博客
06-28 525
// tt.cpp : This file contains the 'main' function. Program execution begins and ends there. // #include "pch.h" #include <windows.h> #include <stdio.h> typedef LONG NTSTAT...
内核编程 warning C4273: 'PsGetProcessId' : inconsistent dll linkage
07-14 171
内核使用C++方式编程时声明PsGetProcessId出现这个问题(WDK8.1) 解决方法是在前边加上NTKERNELAPI这个宏,如下: //我是在C++边,C不用加上extern "C" extern "C" NTKERNELAPI HANDLE PsGetProcessId( __in PEPROCESS Process); 转载于:https://ww...
驱动关闭进程
qq_41071646的博客
10-28 914
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
Linux 内核态调试函数
01-09
 作用:一些内核调用可以用来方便标记bug,提供断言并输出信息。常用的两个是BUG()和BUG_ON()。  当被调用的时候,它们会引发oops,导致栈的回溯和错误信息的打印。为什么这些声明会导致 oops跟硬件的体系结构 ...
linux内核内存操作篇之内存操作相关函数
01-15
详细介绍了linux内核中用到的内存操作相关的函数,如内存申请、释放、读写等函数接口,很全面,推荐大家收藏。
文件操作函数.html
01-01
Linux 文件 函数 信号 内核 线程池 进程 内核源码 Linux 文件 函数 信号 内核 线程池 进程 内核源码 Linux 文件 函数 信号 内核 线程池 进程 内核源码 Linux 文件 函数 信号 内核 线程池 进程 内核源码 Linux ...
windows内核函数详解
06-16
内核函数涉及进程创建、销毁、调度和线程同步等操作。 二、关键内核函数 2.1 NtCreateProcess 和 ZwCreateProcess 这两个函数用于创建新进程。它们负责分配进程上下文、初始化内存管理结构,并设置进程权限。 2.2...
操作系统实验报告-添加内核模块
12-24
操作系统实验报告-添加内核模块】 实验报告的焦点在于理解和操作Linux内核模块,这是一种扩展内核功能的方法,无需重新编译整个操作系统。通过添加内核模块,开发者可以为系统引入新的硬件驱动或实现特定的功能。...
关于PsGetProcessImageFileName获取结果不全的问题
Think88666的博客
09-21 1613
最近在使用该例程时发现一个问题,其返回值并不完整,返回名称是残缺不全的15字节,
驱动开发:内核中枚举进线程与模块
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
驱动层文件高级操作
qq_41490873的博客
08-25 593
文件复制 wsSrcFileName 要复制的源文件名 已存在的文件 wsDesFileName 复制到的目标文件 需要程序创建的文件 NTSTATUS CopyFile(PCWSTR wsDesFileName, PCWSTR wsSrcFileName ) { NTSTATUS status=STATUS_SUCCESS; //打开文件 HANDLE hSrcFile; OBJECT_ATTRIBUTES oa; UNICODE_STRING usSrcFileName; RtlIni
驱动层进程和线程操作
qq_41490873的博客
08-25 1837
枚举进程 //根据进程结构获得进程名指针 需要自己申明一下。 NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID EnumProcess() { ULONG i = 0; for (i; i < 20000; i += 4) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Eprocess; status = PsLookupProces
Pthread使用总结
热门推荐
沧海桑田
12-04 2万+
摘要最近由于开发需要用到多线程,以前看的ARTOOKIT项目中有用到pthread,所以又重新看了一下,重点分析了它的多线程实现。它的实现方式的确很nice,以前没有注意到,现在整理在这,一方面便于以后查询,另一方面也方便其他人。Pthread设计思路多线程编程设计的主要部分无非是线程创建,参数传递,数据同步,结果返回以及线程销毁。这主要就这几个部分做简单的说明,重点给出代码,方便快速上手。如果
functionWithControlPoints的参数
github_26248951的专栏
03-01 681
Discussion The end points of the Bézier curve are automatically set to (0.0,0.0) and (1.0,1.0). The control points defining the Bézier curve are: [(0.0,0.0), (c1x,c1y), (c2x,c2y), (1.0,1.0)].
如何从进程名获得进程ID
Tommy(凌飞)的专栏
08-24 1808
#include #include "ntifs.h"HANDLE RetrivePID( char* ProcessName ){ PEPROCESS PeProcess = NULL; PLIST_ENTRY pNextEntry, pListHead; PeProcess = PsGetCurrentProcess(); if(!PeProcess)
内核中对进程的操作
qq_41071646的博客
01-13 326
也是参考了看雪论坛分享的 这 我找不到那个分享的网址了  比较尴尬 什么时候找到了  把分享 教程的网址放出来 。。。  本来是看 windows黑客编程技术详解 这本书 看的很起劲 但是 发现  emmm 比较可惜    那个irp 发现也不是那么的神奇  于是 直接看 内核进程的操作了  就是简单的枚举pid #include &lt;ntddk.h&gt; #includ...
Verilog内核函数
08-29
在Verilog中,内核函数是一种特殊的函数类型,用于实现硬件描述语言中的内部操作。它们通常用于实现模块内部的逻辑和功能,而不是在模块外部调用。 Verilog中的内核函数具有以下特点: 1. 内核函数可以包含多个输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值