过滤/ObReferenceObjectByName/XT

最新推荐文章于 2018-01-16 17:51:00 发布
最新推荐文章于 2018-01-16 17:51:00 发布
阅读量386 收藏
点赞数
分类专栏: Windows 文章标签: 过滤 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013205877/article/details/56890106
版权 
#include "ntddk.h"

NTKERNELAPI
NTSTATUS
ObReferenceObjectByName(
    IN PUNICODE_STRING ObjectName,
    IN ULONG Attributes,
    IN PACCESS_STATE PassedAccessState OPTIONAL,
    IN ACCESS_MASK DesiredAccess OPTIONAL,
    IN POBJECT_TYPE ObjectType,
    IN KPROCESSOR_MODE AccessMode,
    IN OUT PVOID ParseContext OPTIONAL,
    OUT PVOID *Object
    );

extern POBJECT_TYPE *IoDriverObjectType;

//global
PDRIVER_OBJECT g_FilterDriverObject;
PDRIVER_DISPATCH gfn_OrigReadCompleteRoutine;

NTSTATUS FilterReadCompleteRoutine(
    __in struct _DEVICE_OBJECT *DeviceObject,
    __inout struct _IRP *Irp
    )
{
    KdPrint(("IRP_MJ_DEVICE_CONTROL."));

    return gfn_OrigReadCompleteRoutine(DeviceObject,Irp);
}

VOID UnFilterDriverRoutine()
{
    if (MmIsAddressValid(gfn_OrigReadCompleteRoutine))
        {
        g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = gfn_OrigReadCompleteRoutine;
        }
}

NTSTATUS FilterDriverQuery()
{   
    NTSTATUS Status;
    UNICODE_STRING  usObjectName;

    RtlInitUnicodeString(&usObjectName,L"\\Driver\\Xuetr");

    Status = ObReferenceObjectByName(
        &usObjectName,
        OBJ_CASE_INSENSITIVE,
        NULL,
        0,
        *IoDriverObjectType,
        KernelMode,
        NULL,
        (PVOID*)&g_FilterDriverObject
        );

    if(!NT_SUCCESS(Status))
    {   
        KdPrint (("ObReferenceObjectByName failed"));
        return Status;
    }
    KdPrint (("0x%X",g_FilterDriverObject));

    gfn_OrigReadCompleteRoutine = g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL];
    g_FilterDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = (PDRIVER_DISPATCH)FilterReadCompleteRoutine;

ObDereferenceObject(g_FilterDriverObject);

    return STATUS_SUCCESS;
}

VOID MyDriverUnLoad(PDRIVER_OBJECT pDriverObject)
    {
    UNICODE_STRING usSymName;
    RtlInitUnicodeString(&usSymName,L"\\??\\FirstDevice");

    if(pDriverObject->DeviceObject!=NULL)
        {
        IoDeleteSymbolicLink(&usSymName);
        IoDeleteDevice(pDriverObject->DeviceObject);
        KdPrint(("delete device success"));
        }

    UnFilterDriverRoutine();

    }

NTSTATUS CreateDevice(PDRIVER_OBJECT pDriverObject)
    {
    NTSTATUS Status;
    PDEVICE_OBJECT pDevObj;
    UNICODE_STRING usDevName;//type error bluescreen
    UNICODE_STRING usSymName;

    RtlInitUnicodeString(&usDevName,L"\\Device\\FirstDevice");

    Status = IoCreateDevice(pDriverObject,0,&usDevName,FILE_DEVICE_UNKNOWN,0,TRUE,&pDevObj);

    if(!NT_SUCCESS(Status))
    {
        return Status;
    }

    pDevObj->Flags |= DO_BUFFERED_IO;

    RtlInitUnicodeString(&usSymName,L"\\??\\FirstDevice");

    Status = IoCreateSymbolicLink(&usSymName,&usDevName);
    if(!NT_SUCCESS(Status))
    {
        IoDeleteDevice(pDevObj);
        return Status;
    }
    return STATUS_SUCCESS;

    }




NTSTATUS CreateCompleteRoutine(PDEVICE_OBJECT pDeviceObject,PIRP pIrp)
    {

    NTSTATUS Status;

    Status = STATUS_SUCCESS;

    KdPrint(("create routine"));

    pIrp->IoStatus.Status = Status;
    pIrp->IoStatus.Information = 0;

    IoCompleteRequest(pIrp,IO_NO_INCREMENT);
    return Status;
    }

NTSTATUS CloseCompleteRoutine(PDEVICE_OBJECT pDeviceObject,PIRP pIrp)
    {
    NTSTATUS Status;

    Status = STATUS_SUCCESS;

    KdPrint(("close routine"));

    pIrp->IoStatus.Status = Status;
    pIrp->IoStatus.Information = 0;

    IoCompleteRequest(pIrp,IO_NO_INCREMENT);
        return Status;
    }

NTSTATUS ReadCompleteRoutine(PDEVICE_OBJECT pDeviceObject,PIRP pIrp)
    {
    NTSTATUS Status;

    Status = STATUS_SUCCESS;

    KdPrint(("read routine"));

    pIrp->IoStatus.Status = Status;
    pIrp->IoStatus.Information = 0;

    IoCompleteRequest(pIrp,IO_NO_INCREMENT);
        return Status;
    }

NTSTATUS WriteCompleteRoutine(PDEVICE_OBJECT pDeviceObject,PIRP pIrp)
    {
    NTSTATUS Status;

    Status = STATUS_SUCCESS;

    KdPrint(("write routine"));

    pIrp->IoStatus.Status = Status;
    pIrp->IoStatus.Information = 0;

    IoCompleteRequest(pIrp,IO_NO_INCREMENT);
        return Status;
    }


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegistryPath)
    {
    NTSTATUS Status;

    Status = CreateDevice(pDriverObject);
    if (!NT_SUCCESS(Status))
        {
        KdPrint(("create device failed"));
        }
    else
        {
        KdPrint(("create device successed"));
        KdPrint(("%wZ",pRegistryPath));
        }

    pDriverObject->MajorFunction[IRP_MJ_CREATE] = CreateCompleteRoutine;
    pDriverObject->MajorFunction[IRP_MJ_CLOSE] = CloseCompleteRoutine;
    pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = ReadCompleteRoutine;
    pDriverObject->MajorFunction[IRP_MJ_WRITE] = WriteCompleteRoutine;

    FilterDriverQuery();

    pDriverObject->DriverUnload = MyDriverUnLoad;
    return STATUS_SUCCESS;

    }
Peace & Love
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[转载]关于驱动中的ObReferenceObjectByName 和 IoGetDeviceObjectPointer
wowbell的专栏
03-17 2134
今天huhu0013问我为什么ObReferenceObjectByName不能得到Device类型的对象,讨论一番,最终得到如下解释,记录一下:================================================================================= 原文:http://www.boxcounter.org/?action=show&id=13前些阵子学写过滤驱动,遇到个问题,在网上找到了相应的资料,Blog下来。 我写的程序需要挂在文件系统上,
Win7上函数ObReferenceObjectByName返回失败的问题解决
Ghjhfssfgk的博客
04-08 419
//IoDriverObjectType实际上是一个全局变量,但是头文件中没有,声明之后可以使用 //extern POBJECT_TYPE IoDriverObjectType; extern POBJECT_TYPE *IoDriverObjectType; //这里是重点 win7的Io驱动设备类型指针改成指针的指针了 status = ObReferenceObjectByName(...
--------驱动开发之 ObReferenceObjectByName() 故障排查--------
weixin_30348519的博客
01-16 462
—————————————————————————————————————————————————————— 在写 filter driver 或 rootkit 时,经常需要 attach 到设备栈中的目标设备,来拦截途经的 IRP(I/O Request Packet),实现过滤功能。首先要获悉目标设备向 Windows Object Manager 维护的全局名称空间注册的 _DEV...
TDIFW ObReferenceObjectByName win7 出现0xc00000024
red__blood的博客
06-22 1392
将tdi_fw.h  头文件里的extern POBJECT_TYPE IoDriverObjectType;改为extern POBJECT_TYPE *IoDriverObjectType; 将对应的ObReferenceObjectByName 里的参数  也加上*号,即 status = ObReferenceObjectByName(&drv_name, OBJ_CASE_
SM2258XT HYNV6
最新发布
04-08
标题中的"SM2258XT HYNV6"指的是一个特定的硬盘控制器型号,SM2258XT,与HYNV6系列硬盘搭配使用。SM2258XT是由SMI(Silicon Motion)公司设计的一款SATA SSD主控芯片,用于固态硬盘的管理和数据传输。它集成了高性能...
XT311 / XT316-开源
05-02
XT311 / XT316 开源项目解析】 XT311 和 XT316 是基于Android OS,具体版本为"姜饼"(即Android 2.3.x系列)的3G智能手机。这些设备的独特之处在于它们背后的项目旨在开放源代码,允许社区成员参与开发、改进和...
2258XT-B16A
02-23
标题“2258XT-B16A”很可能是指一种特定的硬件设备或者固件版本,这在IT行业中常见于存储设备,比如SSD固态硬盘控制器。这种控制器的型号通常对应着其内部的主控芯片,负责管理数据读写、错误校验等功能。2258XT可能...
sm2246xt开卡工具
08-07
"sm2246xt开卡工具"是一个专门针对SM2246XT主控芯片进行存储卡格式化、初始化和修复的专业软件工具。在IT领域,这种工具通常被存储设备制造商、维修技术人员以及对存储卡有深度需求的用户使用。下面我们将详细探讨这...
SM2258XT 开卡工具
12-18
《SM2258XT开卡工具:解锁固态硬盘的专业解决方案》 在IT领域,固态硬盘(SSD)的使用已经变得越来越普遍,因其高速读写性能和稳定性受到广大用户的青睐。然而,对于一些专业用户或者维修人员来说,有时需要对固态...
ObReferenceObjectByName用法(自己测试成功)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 3817
//全局的一个对象类型 extern POBJECT_TYPE *IoDriverObjectType;  函数原型声明 NTSTATUS ObReferenceObjectByName (     __in PUNICODE_STRING ObjectName,     __in ULONG Attributes,     __in_opt PACCESS_STATE Acce
ObReferenceObjectByName函数,通过驱动程序得到设备对象
anna的专栏
10-23 1492
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     IN PUNICODE_STRING ObjectName,     IN ULONG
蛋疼的ObReferenceObjectByName调试
The New Old Things
10-11 6410
今天花了近一天的时间都在调试ObReferenceObjectByName这个内核函数,结果却无比狗血。故写篇文章记录一下这一天蛋疼的调试记录。 其实说是调试,其实是一直编译连接不通过。今天在研究楚狂人(其实是360的大牛wowocock写的代码,楚狂人进行了简化处理)的键盘过
ObReferenceObjectByName 函数解析
weixin_30311605的博客
12-05 199
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include <NTDDK.h> NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, I...
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6084
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行
06-04 1518
作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731// ***************************************************************//  Author:  Sysnap     //  Link:    http://hi.baidu.c
Windows 神器 Cmder Scoop Chocolatey Listary Seer
张昆
01-07 9468
诚言,对于开发者,Mac和Linux果断要比Windows更贴心;但只要折腾下,Windows下也是有不少利器的。之前就有在Windows下效率必备软件一文中对此做了下记载;其虽没oh-my-zsh那么逆天的存在,却也甚是好用,至少要比Windows原生Cmd好出了天际。因为好用,所以“必备”。 Cmder 介绍 Cmder官网(它把 conemu,msysgit 和 clink 打包在一
python 修改 删除 驱动服务 注册表
张昆
03-15 3386
外挂释放.sys到C:\Windows下,使用python通过修改其启动方式后断电重启禁止驱动加载,源码
ibm-pc/xt电路原理图.pdf
11-05
"ibm-pc/xt电路原理图.pdf" 是一份电子文档,其中包含了IBM PC/XT计算机的电路原理图。 IBM PC/XT是一款1980年推出的电脑型号,是IBM公司开创的个人电脑中的经典之一。 电路原理图是一种以图形的形式展示电路组成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值