闲着无事-IopInvalidDeviceRequest

最新推荐文章于 2023-03-02 11:50:54 发布
最新推荐文章于 2023-03-02 11:50:54 发布
阅读量1.8k 收藏
点赞数
分类专栏: Driver 文章标签: c object io 汇编 byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/svtanto/article/details/5623812
版权

 

;看看IopInvalidDeviceRequest的实现

;有符号表的情况下,在Windbg的命令窗口输入:u nt!IopInvalidDeviceRequest

;因为是默认的IRP处理例程,可以猜到例程的参数定义:

;NTSTATUS IopInvalidDeviceRequest(

;    IN PDEVICE_OBJECT DeviceObject,

;    IN PIRP Irp

;    )

nt!IopInvalidDeviceRequest:

804fa88e 8bff            mov     edi,edi

804fa890 55              push    ebp

804fa891 8bec            mov     ebp,esp

804fa893 56              push    esi

;取第2个参数(就是Irp)放入esi

804fa894 8b750c          mov     esi,dword ptr [ebp+0Ch]

;[esi+60h]的地方是Irp->Tail.Overlay.CurrentStackLocation

804fa897 8b4660          mov     eax,dword ptr [esi+60h]

;[eax]的意思是_IO_STACK_LOCATION的第1个成员,就是MajorFunction

;16其实是IRP_MJ_POWER

;这里是判断如果是IRP_MJ_POWER,就特别处理(je 8051c34e)

804fa89a 803816          cmp     byte ptr [eax],16h

804fa89d 0f84ab1a0200    je      nt!IopInvalidDeviceRequest+0x11 (8051c34e)

;如果是IRP_MJ_POWER以外的IRP

;给第2个参数赋值0(IO_NO_INCREMENT)

804fa8a3 32d2            xor     dl,dl

;给第1个参数赋值Irp

804fa8a5 8bce            mov     ecx,esi

;Irp->IoStatus.Status=0C0000010h(STATUS_INVALID_DEVICE_REQUEST)

804fa8a7 c74618100000c0  mov     dword ptr [esi+18h],0C0000010h

;_fastcall的方式调用nt!IofCompleteRequest

804fa8ae e85393feff      call    nt!IofCompleteRequest (804e3c06)

;无论返回值是什么,都设置为0C0000010h(STATUS_INVALID_DEVICE_REQUEST)

804fa8b3 b8100000c0      mov     eax,0C0000010h

804fa8b8 5e              pop     esi

804fa8b9 5d              pop     ebp

804fa8ba c20800          ret     8;

下面来看看je      nt!IopInvalidDeviceRequest+0x11 (8051c34e)

;8051c34e做了什么事呢?马上揭晓

kd> u 8051c34e 8051c3b4

nt!IopInvalidDeviceRequest+0x11:

;和前面联系起来,这时候esi是Irp

8051c34e 56              push    esi

;调用nt!PoStartNextPowerIrp esi是作为唯一的参数压栈的

8051c34f e84a8efeff      call    nt!PoStartNextPowerIrp (8050519e)

;直接跳804fa8a3

8051c354 e94ae5fdff      jmp     nt!IopInvalidDeviceRequest+0x17 (804fa8a3)

 

// 根据反汇编的结果,可以写出对应的C代码

NTSTATUS IopInvalidDeviceRequest(

IN PDEVICE_OBJECT DeviceObject,

IN PIRP Irp

)

{

if (Irp->Tail.Overlay.CurrentStackLocation->MajorFunction == IRP_MJ_POWER) {

PoStartNextPowerIrp(Irp);

}

Irp->IoStatus.Status = 0C0000010h

IofCompleteRequest(Irp, IO_NO_INCREMENT);

return Irp->IoStatus.Status;

}

svtanto
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
My-account:暑假着玩做的
05-18
【标题】"My-account:暑假着玩做的" 暗示这可能是一个个人项目,作者在暑假期间出于兴趣和学习目的创建了一个名为"My-account"的系统。这个系统可能涉及用户账户管理,允许用户注册、登录、管理个人信息等功能。...
Echarts-themes:着没干做的Echarts主题
07-07
Echarts-themes着没干做的Echarts主题第一个为helianthus,现在已经是Echarts线上内置的主题之一了~第二个配色方案选了画家威廉·透纳的画。但实际效果没有想象中的要好看。
求助:关于IoCreateFileSpecifyDeviceObjectHint返回结果是STATUS_INVALID_DEVICE_OBJECT_PARAMETER的问题
myworldbig的专栏
07-25 2692
想在sfcreate中用IoCreateFileSpecifyDeviceObjectHint打开一个文件来判断文件是否存在,如果打开同盘的文件可以实现(返回STATUS_OBJECT_NAME_NOT_FOUND
sfilter和应用层通讯处理
trents的专栏
12-08 1417
基于sfilter修改的磁盘过滤驱动,在应用层和驱动进行通讯时,在调用CreateFile时会返回Errorcode 1,原因是对sfilter本身对sfCreate做了处理,不允许对自身对象进行操作。 sfilter的sfCreate代码如下: ... if (IS_MY_CONTROL_DEVICE_OBJECT(DeviceObject)) {         //
FileDisk 源代码
Tech is Online(物联网技术传播)
09-18 2515
FileDisk 是一个虚拟的磁盘驱动程序,能加载PE:ISO等文件,而且FileDisk代码还提供了应用层程序,具备很好的研究价值.
IDA反汇编深度总结(转载)
weixin_30446197的博客
08-01 784
1,[eax]的歧义(其中eax指向SourceString):到底是*SourceString还是SourceString所处的结构的第一个偏移的结构。这个应该根据语境来,比如[eax]赋给的值的结构和第一偏移结构匹配,就是后面一种可能;反之就是第一种可能。2,IDA翻译的代码不一定是完全正确的,比如入口函数它会翻译为DriverEntry(int,PUNICODE_STRING SourceS...
键盘过滤驱动之IRP劫持
hutao1101175783的专栏
04-23 605
参考资料: [1] 《Rootkits——Windows内核的安全与防护》 [2]让一切输入都难逃法眼(驱动级键盘过滤钩子) 本文主要介绍通过劫持IRP(IRP_MJ_READ)实现键盘过滤驱动的基本方法。算是学习总结吧。 这里简单地列举了几个需要注意的地方: [1] 由于需要动态卸载驱动程序,所以要挂接KeyboardClass0。 [2] 键盘过滤驱动工作在异步模式。为了得到一个按键操作,首先会发送一个IRP(IRP_MJ_READ)到驱动的设备栈,键盘物理驱动收到这个IRP后会一直保持为pend.
着没整理了一下DLL的N种注入方法.rar
11-20
DLL(Dynamic Link Library)是Windows操作系统中的一个重要组成部分,它封装了可重用的代码和数据,可供多个程序同时调用。DLL注入是一种技术,通过这种技术,我们可以将一个DLL文件加载到另一个正在运行的进程内存...
DI-504升级失败的处理
03-26
DI-504升级失败的处理前几天搞到一个DI504路由器,着手痒。去官网上来了个固件升级,
nacos-server-2.0.4
07-05
Nacos是阿里巴巴开源的一款分布式服务治理和配置中心的框架,主要功能包括服务发现、配置管理、命名服务等,广泛应用于微服务架构中。版本号"2.0.4"表明这是Nacos的一个稳定版本,通常包含了前一版本的优化和新特性...
文件系统驱动和设备驱动的区别
04-12
文件系统驱动和设备驱动是容易混淆的概念,本PDF将对文件系统过滤驱动和设备驱动的异同点做简要总结和分析,详细剖析两者的异同点,超高清PDF
【Android开发中最常见的39个报错与异常解决方案汇总】
大雪冬至的博客
03-02 2579
Win7系统用户已经碰到几次在安装adb驱动时提示“系统找不到指定文件”,实际原因是系统在安装adb驱动的时候需要安装系统自带的winusb驱动,而winusb所需的winusb.sys文件是依靠inf文件的“windows cd”字段来复制文件的,有时间系统会不知道“windows cd”的位置就造成在安装过程中缺少winusb.sys文件而安装中止。--------------------【因此:this.requestWindowFeature();不要以认为模拟器退出到桌面了就没有东西在跑了。
基于文件过滤驱动的文件重定向
问题记事本
06-01 791
转自:http://mzf2008.blog.163.com/blog/static/3559978620114153254458/   NTSTATUS SfCreate (     IN PDEVICE_OBJECT DeviceObject,     IN P
《Windows NT FileSystem Internals》学习笔记之DRIVER_OBJECT对象结构
不论你在什么时候开始,重要的是开始之后就不要停止。
11-01 1183
驱动编程这么长时间了,还没有 彻底理解这个玩意,呵呵惭愧。看了《Windows NT FileSystem Internals》把每一个细节搞清楚了,这里记下来,防止以后忘掉(以后还不知道能不能开发驱动呢)typedef struct _DRIVER_OBJECT{        CSHORT      Type;        CSHORT      Size;     
DeviceIoControl与驱动交互
iteye_8029的博客
05-02 792
与驱动程序通信的函数,除了ReadFile和WriteFile函数还有DeviceIoControl函数,而且DeviceIoControl函数那是相当的彪悍。因为它可以自定义控制码,你只要在IRP_MJ_DEVICE_CONTROL对应的派遣函数中读取控制码,然后针对控制码,你就可以实现自定义的功能了。 函数原型: BOOL WINAPI DeviceIoControl( __...
windows 驱动开发入门——驱动中的数据结构
Masimaro的专栏
09-24 3396
最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书——《独钓寒江 windows安全编程》 和 《windows驱动开发技术详解》。 驱动开发过程中,主要使用的C语言,虽说C中定义了许多数据类型,但是一般来说在编码上还是习惯与使用WDK的规范,虽说这个不是必须的,比如有这样一句unsigned long ul = 0;这个数据的大小
直接修改内核对象隐藏进程
05-15 1261
作 者: guolijie时 间: 2008-05-12,10:13链 接: http://bbs.pediy.com/showthread.php?t=64728Windows NT/2000/XP/2003操作系统具有描述了进程的可执行对象。Taskmgr.exe列出机器上运行的进程。ZwQuerySystemInformation 也使用这 些 对象列出运行的进程,修改这 些 对象,可以隐藏
深度剖析WinPcap之(九)——数据包的发送过程(10)
理性的幻想
06-23 688
本文转自http://eslxf.blog.51cto.com/918801/217015     1.8    驱动程序中对应的函数接口 在NPF中,提供了NPF_Write、NPF_BufferedWrite与NPF_IoControl函数,实现把数据包传递给NDIS层,最终调用NdisSend函数把数据包发送出去。 1.8.1    发送单个数据包的接口实现 1.8.1.1
AssertionError: CUDA unavailable, invalid device 0 requested
热门推荐
qq_49641239的博客
06-24 5万+
1、查看报错 Traceback (most recent call last): File "train.py", line 651, in <module> device = select_device(opt.device, batch_size=opt.batch_size) File "/home/camila/test/xxx/utils/torch_utils.py", line 71, in select_device assert torch.cuda.
超声波传感器原理HC-SR04
最新发布
04-30
HC-SR04是一种超声波传感器,可以用于测量距离。它的工作原理是利用超声波在空气中的传播速度来测量距离。具体来说,传感器会发送一束超声波信号,然后等待该信号被反射回来,并使用内置的计时器来测量信号的往返...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值