Ring3与Ring0的通信

最新推荐文章于 2022-08-03 19:54:40 发布
最新推荐文章于 2022-08-03 19:54:40 发布
阅读量1.3k 收藏 5
点赞数 5
分类专栏: 驱动学习 文章标签: 驱动程序 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tatorey/article/details/124076983
版权
本文详细介绍了Windows驱动程序中Ring3(用户模式)与Ring0(内核模式)的通信过程,包括IRP的三种缓冲区、I/O设备控制以及如何通过DeviceIoControl实现通信。通过设定设备对象的缓冲区读写方式,定义IO控制码,以及Ring3层的DeviceIoControl函数,实现安全的Ring3与Ring0交互。
摘要由CSDN通过智能技术生成

一、IRP的三种缓冲区

通过查看IRP的结构信息,我们发现描述缓冲区的方式有三种,对于不同的IO类别,写入写出缓冲区的方式也不同,如下所示:

AssociatedIrp.SystemBuffer 一般用于比较简单且不追求效率情况下的解决方案 把R3层中的内存中的缓冲数据拷贝到内核空间中。注意,是直接拷贝。
MdlAddress 通过构造MDL就能实现这个R3到R0的地址映射功能。MDL可以翻译为"内存描述符链",本质上就是一个指针,从这个MDL中可以读出一个内核空间的虚拟地址。这就弥补了UserBuffer的不足,同时比SystemBuffer的完全拷贝方法要轻量,因为这个内存实际上没有拷贝,依旧在原位置。
UserBuffer Ring3的缓冲区地址直接放在UserBuffer里,在内核空间中直接访问(效率高)。要注意的是,在当前进程和发送进程一致的情况下,内核可以访问应用层的内存空间。一 旦内核进程已经切换,这个访问就结束了(进程的上下文切换了,因内核空间共享,切换后同一个地址对应的内容不同)。 
    char *Buffer = NULL;

    if (Irp->AssociatedIrp.SystemBuffer)    
        Buffer = Irp->AssociatedIrp.SystemBuffer;
    else if (Irp->MdlAddress)                // MmGetSystemAddressForMdlSafe是一个宏,它为MDL描述的缓冲区返回一个非分页的系统空间虚拟地址。
        Buffer = MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);
    else if (Irp->UserBuf
最低0.47元/天 解锁文章
剑桥艺术生
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
01-25
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
Ring3/Ring0的四种通信方式
Rodney443220的专栏
06-11 7904
21.1.5  DeviceIoControl函数与IoControlCode 打开驱动设备后,Ring3还要和驱动进行通讯或调用驱动的派遣例程,这需要用到一个非常重要的函数:DeviceIoControl。 BOOL DeviceIoControl(    HANDLE hDevice,           //设备句柄    DWORD dwIoControlCode,
Ring0 Ring3 通信
qq_42021840的博客
05-20 349
Ring0: #define DEVICE_OBJECT_NAME L"\\Device\\MaDeviceObjectName" //驱动之间通信 #define DEVICE_LINK_NAME L"\\DosDevices\\MaDeviceLinkName" //Ring0Ring3 之间通信 #define IOCTL_NEITHER_NORMAL(i) \ CTL_CODE \ (
ring3ring0通信
小驹的专栏
05-18 1901
ring0程序: #include #define DEVICE_NAME L"\\Device\\KillHDDGMon" #define LINK_NAME L"\\DosDevices\\KillHDDGMon" #define IOCTL_WRITE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800,METHOD_BUFFERED, FILE_ANY_ACC
Ring0Ring3如何进行通信
weixin_43742894的博客
04-10 446
学习是孤独的,但生活不是孤独的,学生生活中有志同道合的兄弟是是幸运的。 转载于https://blog.csdn.net/qq_42253797/article/details/105254741 正文: 我们写一个Ring0的代码,有时候需要和Ring3进行交互,比如我们做一个进程防杀的驱动保护,那我们可以通过Ring3的进程,发送请求告诉驱动层,究竟哪些进程属于白名单,哪些属于黑名单,而在通信...
驱动层ring0和应用层ring3软件通信.zip
01-27
**Ring0Ring3间的通信** 通信机制是连接驱动层和应用层的关键。一种常见的方法是通过系统调用(如Windows API函数),应用程序在Ring3发出请求,由操作系统内核(在Ring0)接收并处理。处理完毕后,结果再返回到...
ring0驱动调用ring3应用程序 从RING0级下启动RING3级的应用程序源代码
01-22
5. **同步和通信**:如果Ring0Ring3之间需要交换数据,必须使用适当的同步机制,如事件对象、信号量或互斥量,以避免竞态条件和数据不一致性。 6. **编程语言**:题目中提到了"C"标签,这通常意味着代码可能用...
SSDT.rar_ring0_ssdt
09-22
Ring0Ring3之间的通信是通过系统调用来实现的。 **三、Ring0与SSDT的关系** 在Ring0中,操作系统可以直接修改SSDT,添加或替换系统服务,这使得恶意软件有可能篡改SSDT来隐藏其活动或者执行恶意操作。因此,对...
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
最新发布
09-23
"zw"在这里可能指的是 Zw函数系列,这是Windows NT内核提供的一组函数,用于在Ring3Ring0之间进行通信。Zw函数允许用户模式代码以安全的方式执行内核操作,这些函数经过精心设计,防止非法操作和错误。 "r0 r3 ho...
6.ring0ring3通信
Mikasys的博客
10-27 507
0x6 ring0ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
进入ring0ring3
03-06
ring0下众生程序平等。程序转移分为两种: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。例如:windows ring3下cs是0x1b , ring0下cs通常是0x08.。 对于近转移,我们不需要进行特权级检查。由于windows是保护模式的操作系统,对于远转移如果跨层则需要进行特权级检查,看是否允许其调用。
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
RING0RING3之间的简单交互
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-20 885
叫简单交互的原因是,只从ring3传给ring0一个变量的值,不涉及到锁事件的问题(有点像多线程的那个东东...)。这里我使用了最简单的例子,就是SSDT HOOK NtOpenProcess. ring3的应用程序将自己的PID传给ring0的驱动,驱动hook NtOpenProcess之后就无法从任务管理器终止应用程序了。          加载驱动的方式用的是SCM....而且是《w
Ring3Ring0通信方法若干
03-10 2095
本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。               Ring3Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。          1 同步的策略          初写驱动的朋友都知道,通过Dev
[转]ring0调用ring3-apc
weixin_33940102的博客
08-30 151
最近一段时间都在解决ring0调用ring3函数的问题 因为想在驱动中间实现启动一个应用程序,这个应用程序有可能是exe也有可能是dll,但是在核心层没有像WinExec或者LoadLibrary这样的API可供我们调用,并且驱动程序和应用程序的地址空间不同,一个是在高地址空间,一个在低地址空间,如何才能实现ring0调用ring3的函数呢,肯定是不能直接在驱动的地址空间中间执行,因为这些函数在...
Ring0Ring3
weixin_43742894的博客
05-13 2807
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3Windows只使用RING0RING3RING0只给操作系统用,RING3谁都能用。 如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。因为有CPU的特权级别作保护。 ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之…… 以Li...
ring0ring3的区别
爱码农爱生活
03-16 563
 现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。      Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0Ring3(后面简称R0、R1、R2、R3)。R0层拥有最高的权限,R3层拥有最低的权限。按照Intel原有的构想,应...
Windows 0环和3环通信方式
maomao171314的专栏
08-03 614
0环与3环通讯
什么是ring0-ring3
黄腾霄的博客
03-01 6245
大家可能听说过某个代码需要运行在ring 0的说法。但是ring 0究竟是什么,今天就给大家介绍下。 权限控制 我们都知道计算机中运行着许多的软件,有些软件是和硬件打交道的,比如驱动软件,操作系统软件,有些软件只是运行在操作系统之上的,比如浏览器,文本编辑软件等。 为什么要这样设计? 这是为了控制运行软件的权限,让一些特定的软件才能执行某些“危险”的行为,比如读写特定的内存等。 这里就引申出了我...
内核驱动开发:RING3RING0通信实战
"RING与RING通信-内核驱动开发" 在计算机系统中,内核驱动程序是操作系统核心的一部分,它们负责管理硬件设备并提供与应用程序交互的接口。在Windows操作系统中,驱动程序通常运行在Ring0权限级别,而用户模式的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

剑桥艺术生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值