应用与内核通信,内核方面的编程

最新推荐文章于 2024-04-19 08:52:50 发布
最新推荐文章于 2024-04-19 08:52:50 发布
阅读量501 收藏
点赞数
分类专栏: Windows 文章标签: 内核 通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013205877/article/details/53372958
版权

生成控制设备

//在DriverEntry之外定义一个全局变量
PDEVICE_OBJECT g_cdo = NULL;

NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg_path)
{
//生成一个控制设备,然后生成符号链接
UNICODE_STRING sddl = RTL_CONSTANT_STRING(L"D:P(A;;GA;;;WD)");//允许任何用户访问设备
UNICODE_STRING cdo_name = RTL_CONSTANT_STRING(L"\\Device||slbk_3948d33e");//设备名字

..............................

status = IoCreateDeviceSecure(
driver,
0,
&cdo_name,
FILE_DEVICE_UNKNOWN,
FILE_DEVICE_SECURE_OPEN,
FALSE,
&sddl,//安全性设置
(LPCGUID)&SLBKGUID_CLASS_MYCDO,&g_cdo
);
if(!NT_SUCCESS(status))
return status;
..................

}

//生成符号链接

NTSTATUS
        IoCreateSymbolicLink(
            IN PUNICODE_STRING SymbolicLinkNmae,
            IN PUNICODE_STRING DeviceName
);

删除符号链接和控制设备

#define CWK_CDO_SYB_NAME   L"\\??\\slbkcdo_3948d33e"

NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg_path)
{
//在DriverUnload里面,设置了cwkUload就是写在函数
driver->DriverUnload = cwkUnload;
}

void cwkUnload(PDRIVER_OBJECT driver)
{
UNICODE_STRING cdo_syb =RTL_CONSTANT_STRING(SLBKCDO_SYB_NAME);
ASSERT(g_cdo != NULL);
IoDeleteSymbolicLink(&);
IoDeleteDevice(g_cdo);
}

分发函数的原型

NTSTATUS cwkDispatch(
IN PDEVICE_OBJECT dev,
IN PIRP irp
)

分发函数必须首先设置给驱动对象,这个工作在DriverEntry中完成
NTSTATSU DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg_path)
{
ULONG i;
//所有的分发函数都设置成一样的
for(i=0;i<IRP_MJ_MAXIMUM_FUNCTION;i++)
{
driver->MajorFunction[i] = cwkDispatch;
}
}

请求的处理
获得栈空间,利用当前栈空间获得主功能号码

NTSTATUS cwkDispatch(IN PDEVICE_OBJECT dev,IN PIRP irp)
{
PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);//获得栈空间的方法

//判断请求发给谁
if(dev !=g_cdo)
...
...
//判断请求的种类
if(irpsp->MajorFunction == IRP_MJ_CREATE || irpsp->MajorFunction == IRP_MJ_CLOSE)
{
...
}
if(irpsp->MajorFunction == IRP_MJ_DEVICE_CONTROL)
{
...
}
...
}

在分发函数里面返回请求,需要下满四个步骤 

NTSTATUS cwkDispatch(IN PDEVICE_OBJECT dev,IN PIRP irp)

{
...
irp->IoStatus.Information = ret_len;//记录返回的输出长度(小于等于输出缓冲区的长度)
irp->IoStatus.status = status;//记录请求的完成状态
IoCompleteRequest(irp,IO_NO_INCREMENT);//结束这个请求
return status;

}
Peace & Love
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应用层和内核通信
返_人_类_联盟
11-20 2379
介绍应用层和内核通信前需要了解一些自旋锁,事件,链表相关的东西。 LIST_ENTRY一个双向链表,在Windows中经常使用。在使用时只需在结构体中插入一个LIST_ENTRY结构,位置无所谓(最好在前面)。比如: typedef struct { LIST_ENTRY list_entry; UNICODE_STRING file_name; }MY_LIST_TEST; 在使用
应用内核通信
weixin_45678798的博客
07-12 161
驱动如果想和应用程序进行通讯,需要有设备对象,首先要先创建驱动对象; 2.符号链接 应用层是无法直接通过设备名字访问设备的,需要通过建立符号链接进行访问 注意:符号链接得原理就是记录一个字符串对应到另一个字符串的一种简单结构,所以符号链接的方式并不安全,存在和其他驱动的符号链接发生冲突的情况下 方式1:先进行尝试删除这个符号链接,如果存在就被删除了,如果不存在也无所谓,再创建 方式2:使用GUID的方式来访问设备处理三环发送给设备对象的请求的函数,比如:OPEN,CLOSE,DEVICE CONTROL等
应用内核通信内核方面2)--windows内核安全与驱动开发
l19901218的博客
04-19 125
分发函数是一组用来发送给设备对象的请求函数。它由内核驱动的开发者编写,以便来处理这些请求 并且返回给windows。分发函数的设置是在Driver Object上。也就是说每一个Driver Object都有自己 的分发函数。 请求有很多种,这里暂且只说3中。 1.打开(create),在访问一个设备对象时,必须先请求打开它,打开成功后再能发送其他请求。 2.关闭(close),在访问完一个...
windows内核通信
Rodney443220的专栏
10-30 1503
/***************************************************************************/ /*创建上下文句柄....RtlCopyMemory(Ea->EaName, TdiConnectionContext, Ea->EaNameLength + 1);  /*CHAR Buffer[sizeof (FILE_FULL_EA_
内核和用户空间通信—netlink源码
05-12
一、imp2源码 整个源码包含三个文件:imp2_k.c, imp2_u.c和imp2.h. 其中imp2_k.c为内核模块的源代码,imp2_u.c为应用程序,即测试代码,imp2.h为两个源文件都需要引用的头文件。其整体的功能是:注册一种新的netlink协议,并注册一个新的NF hook函数。当有ping包发往当前主机或者经过当前主机转发时,内核向用户发送ping包的源IP和目的IP。各个文件的简单分析见下文。 1. imp2.h 该文件主要是定义了一种新的Netlink协议类型NL_IMP2(31)。新的协议类型的选值不能和当前内核中已经定义的netlink协议类型重复。定义了基于该协议类型的消息类型,内核根据接收到消息的不同类型,进行不同的处理:IMP2_U_PID和IMP2_CLOSE分别为请求和关闭。IMP2_K_MSG代表内核空间发送的消息。 该头文件的源码如下: 2. imp2_k.c 该程序为内核模块程序。其完成的功能如下: (1)创建一种新的Netlink协议NL_IMP2,并注册该协议的回调函数kernel_receive。但用户空间通过建立且协议类型为NL_IMP2的socket套接字并调用sendto,sendmsg函数发送数据时,传送到内核空间的数据由kernel_receive进行处理。该函数主要是记录用户进程的ID,用于随后发送数据的时候指定目的。 (2)在Netfilter的hook点NF_IP_PRE_ROUTING注册hook函数get_icmp,对经过该hook点的ping包进行处理。get_icmp首先判断是否是ping包,如果不是,直接Accept。如果是,则记录该包的源IP和目的IP,然后调用send_to_user,将记录的信息发送给kernel_recieve函数中记录的用户进程ID。 该文件的源码如下: 3. imp2_u.c 该程序为用户空间的测试程序。该程序包括以下功能: (1)生成NL_IMP2协议的socket.然后通过调用sendto发送IMP2_U_PID类型的请求信息给内核。然后等待接受内核发回的信息。记住:仅当有ping包经过内核的NF时,内核才会向用户进程发送信息。 (2)当用户进程通过Ctrl+C来结束该程序时,调用信号处理函数sig_int,向内核发送IMP2_CLOSE的消息,结束socket。 该文件的源码如下: 二、编译和测试 1. 整个源文件编译的Makefile如下: all: gcc -O2 -DMODULE -D__KERNEL__ -W -Wstrict-prototypes -Wmissing-prototypes -isystem /lib/modules/`uname -r`/build/include -c -o imp2_k.o imp2_k.c gcc imp2_u.c -o imp2_u install: insmod imp2_k.o uninstall: rmmod imp2_k clean: rm -f imp2_k.o imp2_u 2. 加载内核模块,并执行测试程序。 #make install #./imp2_u 当没有ping包时,终端一直处于等待输出状态。通过另一台主机(192.168.1.100)向当前主机(192.168.1.101)发送ping包,则终端已经有输出: #./imp2_u [root@localhost imp2]# ./imp2_u src: 192.168.1.100, dest: 192.168.1.101 src: 192.168.1.100, dest: 192.168.1.101 src: 192.168.1.100, dest: 192.168.1.101 src: 192.168.1.100, dest: 192.168.1.101
linux 内核 编程
05-03
### Linux内核编程知识点 #### 1. Linux内核编程简介 - **核心概念**:在《Linux内核编程》这本书中,作者Ori Pomerantz深入浅出地介绍了Linux内核的基础知识以及如何编写内核模块。对于初学者而言,这本书是一个很...
minifilter_内核通信_DEMO_minifilter_
10-02
这个"minifilter_内核通信_DEMO_minifilter_"项目旨在演示如何在内核模式的Minifilter驱动程序中实现与用户层应用程序的通信。通过这个DEMO,我们可以学习到以下关键知识点: 1. **Minifilter驱动程序**:...
L4微内核编程API介绍.pdf
09-10
L4微内核编程API是操作系统设计中的一个重要概念,它为开发者提供了与微内核进行交互的接口。L4内核是一种高效、小巧且安全的微内核,其设计目标是将最小化的核心功能(如进程管理、内存管理和通信机制)放在内核...
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
此外,还会学习到如何避免常见的内核编程陷阱,如内存管理错误、同步问题、资源泄漏等,这些都是导致系统不稳定或安全漏洞的关键因素。 总之,《寒江独钓--Windows内核安全编程光盘源码》提供了丰富的实践案例,是...
内核与用户层通信之四种方法
热门推荐
vertor11的博客
03-20 1万+
方法列表: 系统调用 虚拟文件系统 proc文件系统 sysfs文件系统 debugfs文件系统 ioctl接口 netlink 调试方法: https://blog.csdn.net/gatieme/article/details/68948080 一:系统调用 1.简介 优秀博客: https://blog.csdn.net/gatieme/article/detai...
内核通信错误处理方法
kevinhg的博客
11-27 4826
一、如果您开机后ESET NOD32提示“与内核通信时出错”,请按如下方法解决: 1、右键点击您桌面上的”我的电脑“ —— 选择”管理“:             2、 选择“服务和应用程序”--“服务”                   3、在“服务”中,找到ESET NOD32的核心服务eset Service,查看该服务的启动方式,与内核通讯出错,是由于该服务没有启动。
驱动层SSDT 隐藏进程
ShadowAssassin的专栏
11-27 6488
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动曾隐藏进程程序。 要点:  在驱动层隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏多个进程,在内核代码中创建一个链表,结构如下: //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s
windows内核开发中的字符串操作
我喝多了的博客
03-16 970
字符串的初始化 定义一个UNICODE_STRING类型的变量,这只是一个空的结构体而已,我们并没有给它分配任何的内存。如果直接对其进行字符串拷贝等操作,肯定会 引起异常的,当我们定义这样类型的一个变量,我们应该就把它看作一个WCHAR型的指针,没有“new”空间,所以我们必须去“new”空间给它。 typedef struct { USHORT Length; USHORT MaximumLength; PWCHAR Buffer; }UNICODE_STRIN...
Linux用户态/内核通信方式汇总
最新发布
zhengyuchao_的博客
04-19 1423
用户态和内核态之间的通信方式主要有以下几种:系统调用(System Call):这是最常见的方式,用户态程序通过系统调用接口(如open、read、write、fork等)请求内核执行特定的动作。系统调用是用户态和内核态之间进行交互的桥梁,它允许用户态程序请求内核提供服务。中断(Interrupts):中断包括软中断和硬中断。当中断到来时,CPU会暂停当前执行的用户态代码,切换到内核态来处理中断。中断机制允许内核在适当的时候介入用户态程序的执行,处理一些紧急或特殊的情况。
64位内核第七讲.内核中字符串编程注意事项
weixin_30279751的博客
06-08 282
目录 内存中字符串编程 一丶UNICODE_STRING讲解 1.1简介 1.2字符串的操作函数 1.3UNICODE_STRING的使用 1.3.3堆上初始化一个缓冲区. 二丶内核中其它常用字符串函数的使用 2.1...
Linux 用户态与内核态的交互
jhope的专栏
07-20 654
[size=4]Linux 用户态与内核态的交互 ——netlink 篇[/size] 作者:Kendo 2006-9-3 这是一篇学习笔记,主要是对《Linux 系统内核空间与用户空间通信的实现与分析》中的源码imp2的分析。其中的源码,可以到以下URL下载: http://www-128.ibm.com/developerworks/cn/linux/l-netlink/imp2.tar.gz
windows内核编程基础-0
Starr
12-20 737
文章目录0. 前言0.0 关于API0.1 命名前缀0.2 返回值0.3 函数所占内存属性0.4 数据类型字符串内存操作内核链表1. 一个简单的驱动1.0 加载/卸载驱动1.1 调试驱动1.2 蓝屏处理 0. 前言 驱动程序:针对某硬件,连接硬件与OS; 内核程序:针对某功能,作为内核的插件。 sys文件对ntkrnl.exe,就像dll对OD.exe(等支持插件的程序)。 驱动由3类: ...
驱动对象处理-狂人楚
一介码农,热爱金融。
10-18 1389
7.1 驱动入口与驱动对象 驱动开发程序员所编写的驱动程序对应有一个结构。这个结构名为DRIVER_OBJECT。对应一个“驱动程序”。下面的代码展示的是一个最简单的驱动程序。 #include NTSTATUS DriverEntry (     IN PDRIVER_OBJECT   DriverObject,     IN PUNICODE_STRING  Registry
VxWorks 6.8:应用内核编程全面指南
在Application Programmer's Guide中,开发者将学习如何构建和管理应用程序,包括模块化编程、任务管理、内存管理、中断处理、文件系统接口、网络通信方面的知识。这部分手册详细介绍了如何编写可扩展且高效的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值