获得DISK的DeviceObject

最新推荐文章于 2024-01-22 21:31:31 发布
最新推荐文章于 2024-01-22 21:31:31 发布
阅读量846 收藏
点赞数
文章标签: disk object null attributes extension list

很久没有写代码了,最近简单的看了一下disk相关的东西,写了段代码share一下。

先用livekd看一下Disk.sys DriverObject的一些信息:

kd> !drvobj /driver/disk
Driver object (89885a08) is for:
/Driver/Disk
Driver Extension List: (id , addr)
(f763e3be 898858f0)
Device Object list:
8985ec68  8987fc68  8989ac68  89818ab8

然后看下这四个DeviceObject,分区数和硬盘数量不同,Device的数量也不同,我的机器只有三个分区,一块硬盘

kd> !devobj 8985ec68
Device object (8985ec68) is for:
DP(3)0×700a41e00-0xba11e0200+3 /Driver/Disk DriverObject 89885a08
Current Irp 00000000 RefCount 0 Type 00000007 Flags 000020d0
Vpb 89861b38 Dacl e1555b1c DevExt 8985ed20 DevObjExt 8985efd0 Dope 8989bad8
ExtensionFlags (0000000000)
Device queue is not busy.


kd> !devobj 8987fc68
Device object (8987fc68) is for:
DP(2)0×2002f3e00-0×500746200+2 /Driver/Disk DriverObject 89885a08
Current Irp 00000000 RefCount 0 Type 00000007 Flags 000020d0
Vpb 89862d78 Dacl e1555b1c DevExt 8987fd20 DevObjExt 8987ffd0 Dope 899260e8
ExtensionFlags (0000000000)
Device queue is not busy.


kd> !devobj 8989ac68
Device object (8989ac68) is for:
DP(1)0×7e00-0×2002e4200+1 /Driver/Disk DriverObject 89885a08
Current Irp 00000000 RefCount 0 Type 00000007 Flags 000000d0
Vpb 89886b38 Dacl e1555b1c DevExt 8989ad20 DevObjExt 8989afd0 Dope 899021a8
ExtensionFlags (0000000000)
Device queue is not busy.


kd> !devobj 89818ab8
Device object (89818ab8) is for:
DR0 /Driver/Disk DriverObject 89885a08
Current Irp 00000000 RefCount 0 Type 00000007 Flags 00000050
Vpb 89880008 Dacl e1555b1c DevExt 89818b70 DevObjExt 89818fd0 Dope 8985fbc8
ExtensionFlags (0000000000)
AttachedDevice (Upper) 89884a18*** ERROR: Module load completed but symbols could not be loaded for Apsx86.sys
/Driver/Shockprf
AttachedTo (Lower) 8989a9e8 /Driver/ACPI
Device queue is not busy.

ok,可以用下面的代码取出想要的DeviceObject


PDEVICE_OBJECT
GetDiskDeviceObject(
    VOID
)
{
    NTSTATUS        status = STATUS_SUCCESS;
    UNICODE_STRING    usDiskName;
    PDRIVER_OBJECT    pDiskDrvObj = NULL;
    PDEVICE_OBJECT    pDiskDevObj = NULL;
    DWORD            dwLength = 0;
    POBJECT_NAME_INFORMATION poni = NULL;
    poni = poni;

    RtlInitUnicodeString(&usDiskName, L"//Driver//Disk");

    status = ObReferenceObjectByName(
        &usDiskName,
        0x40,
        0,
        0,
        *IoDriverObjectType,
        0,
        NULL,
        &pDiskDrvObj
        );
    if(!NT_SUCCESS(status))
    {
        KdPrint(("[dsv] ObReferenceObjectByName() failed./n"));
        return NULL;
    }

    pDiskDevObj = pDiskDrvObj->DeviceObject;
    if(pDiskDevObj == NULL)
    {
        KdPrint(("[dsv] Disk DeviceObject is NULL./n"));
        ObDereferenceObject(pDiskDrvObj);
        return NULL;
    }

    while(pDiskDevObj != NULL)
    {
        if(pDiskDevObj->DeviceType != FILE_DEVICE_DISK)
        {
            KdPrint(("[dsv] DeviceObject is NOT for Disk./n"));
            pDiskDevObj = pDiskDevObj->NextDevice;
            continue;
        }

        if( !(pDiskDevObj->Flags & DO_DEVICE_HAS_NAME) )
        {
            KdPrint(("[dsv] DeviceObject DO NOT has a name./n"));
            pDiskDevObj = pDiskDevObj->NextDevice;
            continue;
        }

        status = ObQueryNameString(pDiskDevObj, poni, 0, &dwLength);
        if(STATUS_INFO_LENGTH_MISMATCH == status)
        {
            poni = (POBJECT_NAME_INFORMATION) np_malloc(dwLength);
            if(NULL == poni)
            {
                KdPrint(("[dsv] np_malloc() failed./n"));
                ObDereferenceObject(pDiskDrvObj);
                return NULL;
            }

            status = ObQueryNameString(pDiskDevObj, poni, dwLength, &dwLength);
            if(!NT_SUCCESS(status))
            {
                KdPrint(("[dsv] ObQueryNameString with length: %d failed./n", dwLength));
                free(poni);
                ObDereferenceObject(pDiskDrvObj);
                return NULL;
            }
        }
        else if( !NT_SUCCESS(status) )
        {
            KdPrint(("[dsv] ObQueryNameString() failed./n"));
            ObDereferenceObject(pDiskDrvObj);
            return NULL;
        }
        else
        {
            ; // Nothing.
        }

        KdPrint(("[dsv] %S/n", poni->Name.Buffer));

        //
        // TODO: Add code here.
        //

        free(poni);

        if(pDiskDevObj->NextDevice == NULL) break;

        pDiskDevObj = pDiskDevObj->NextDevice;
    }

    ObDereferenceObject(pDiskDrvObj);
    return pDiskDevObj;
}

还有两个例程的声明,如果装了ifs就不需要声明ObQueryNameString()了,写在下面(看我服务多周到^^)

NTSTATUS
ObQueryNameString(
    IN  PVOID Object,
    OUT POBJECT_NAME_INFORMATION ObjectNameInfo,
    IN  ULONG Length,
    OUT PULONG ReturnLength
    );

ObReferenceObjectByName(
    IN PUNICODE_STRING ObjectPath,
    IN ULONG Attributes,
    IN PACCESS_STATE PassedAccessState OPTIONAL,
    IN ACCESS_MASK DesiredAccess OPTIONAL,
    IN POBJECT_TYPE ObjectType,
    IN KPROCESSOR_MODE AccessMode,
    IN OUT PVOID ParseContext OPTIONAL,
    OUT PVOID *ObjectPtr
    );

visualliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
设备对象DEVICE_OBJECT)
门没锁的专栏
05-16 5850
DEVICE_OBJECT结构体是操作系统用来表示某个具体的设备对象,一个设备对象是一个逻辑上的,或者虚拟的,或者物理上的设备的具体抽象,驱动通过设备对象来处理I/O请求。 typedef struct _DEVICE_OBJECT { CSHORT Type; USHORT Size; LONG
设备对象(DEVICE_OBJECT)-----------------设备名称
weixin_30834019的博客
06-26 442
通常设备对象都把自己的名字放到\Device目录中。在Windows 2000中,设备的名称有两个用途。第一个用途,设备命名后,其它内核模式部件可以通过调用IoGetDeviceObjectPointer函数找到该设备,找到设备对象后,就可以向该设备的驱动程序发送IRP。 另一个用途,允许应用程序打开命名设备的句柄,这样它们就可以向驱动程序发送IRP。应用程序可以使用标准的CreateFile ...
设备对象(DEVICE_OBJECT)
最新发布
wendyWJGU的博客
01-22 1009
设备对象(DEVICE_OBJECT)
[Win驱动7]ObReferenceObjectByName获取设备对象指针(PDEVICE_OBJECT)
輚至消亡
10-18 1405
1. ObReferenceObjectByName是通过设备对象获取设备对象指针, 其会造成设备对象的引用计数增加所以还需要调用ObDereferenceObject来降低引用计数 2. IoGetDeviceObjectPointer可以通过设备对象获取设备对象指针和与其相关的文件对象指针,同样需要对其调用ObDereferenceObject来降低引用 第一种方式是通过这个未公开的内核函数ObReferenceObjectByName来获取设备对象指针,该原型是这样的: NTKERNELA
联想服务器阵列驱动RAID LSI MR9240_8i SCSI Disk Device
04-26
它采用了SCSI(Small Computer System Interface)Disk Device技术,这是一种成熟且广泛使用的硬盘接口标准,具有高速数据传输和稳定性高的特点。 RAID LSI MR9240_8i的驱动程序是确保系统正常运行的关键组件。驱动...
iOS 12.2 Disk Image 模拟器运行包
03-27
Xcode运行程序到真机报错,提示Could not find developer disk image,在在“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport” 增加 12.2
Xcode9 ios11.3 developer disk image
03-30
这个文件可以让你在Xcode9版本调试iOS11.3版本的真机(Could not find Developer Disk Image)。将压缩包解压把文件夹放在 /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/...
device support 11.2,11.3,11.4
07-06
diskImage”可能指的是这些设备支持文件的磁盘映像格式,这些文件通常是以.dmg或.sparseimage等格式提供,用于加载到Xcode的模拟器中。“developer”标签则表明这些文件是专为开发者设计的工具。 压缩包子文件的...
iOS12.2 Developer Disk Image
04-01
iOS12.2 Developer Disk Image详解》 iOS12.2 Developer Disk Image是苹果公司为开发者提供的一个重要工具,主要用于支持iOS12.2版本的真机编译和调试工作。这一工具对于iOS应用开发者来说至关重要,因为它允许...
DRIVER_OBJECTDEVICE_OBJECT的关系
XinhuaSoft
01-14 2101
从开始接触驱动以来,一直对DRIVER_OBJECTDEVICE_OBJECT之间的关系很是困惑,经过一段时间的学习,大概了解了两者之间的关系。DRIVER_OBJECT是驱动程序在内核中的数据结构,每个驱动程序有唯一DRIVER_OBJECTIO管理器使用驱动程序对象代表每个设备驱动程序,驱动程序描述了驱动程序的载入到内存什么地方,驱动程序的大小和它的主要入口点(MajorFunction
驱动查询设备总线类型
操作系统内核与逆向工程
11-30 1403
\\这个函数适用于minifilter BOOLEAN IsUsb(PFLT_VOLUME volume) { NTSTATUS status; KEVENT WaitEvent; PIRP NewIrp; PSTORAGE_DEVICE_DESCRIPTOR Descriptor = NULL; CHAR pBuffer[sizeof(STORAGE_DEVICE_DESCRIPTOR
U 盘文件监控
stecdeng的专栏
05-23 2178
很简单的一个小玩意 就是监控U盘插上后记录创建 改名字 删除操作。 不过我这个是MINIFILTER架构;并且没有通知用户层 直接在C盘目录下创建文件记录操作的。 后来改了改;用于记录某些EXE安装过程中;出现了哪些SYS文件;方便分析同我的《关于隐藏文件夹附代码》一样否是从MINIFILTER的PASSTHROUGH框架改出的在PASSTHROUGH框架上逐步添加的一些代码 1.监控U
SwapBuffer分析
jimk1983的专栏
10-25 3954
将原先自己的博客迁移! 介绍 自己开辟一块缓存,将文件进行缓存交换,后续都是操作该缓存,例如加密解密等,等待操作完成后,再将缓存交换回去。(https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ifs/file-system-minifilter-drivers)         修改示例代码的INF文件,将相关的swap
读源码笔记--文件过滤驱动FileSpy第3篇 -- 绑定VDO
Yong的博客
12-07 259
在第2篇已经看到,SpyFsNotification中成功绑定了文件系统的控制设备对象CDO,然后判断编译版本时,如果是XP及以后的OS版本,就直接枚举文件系统下的所有的已经挂载了的卷设备,并绑定他们。 在看函数SpyEnumerateFileSystemVolumes之前,复习前面2篇的过程。 DriverEntry里面主要做4件事: 1:创建设备,该设备用来与应用层程序通信和修改驱...
device object viewer,查看系统中的硬件设备
山不在高,有金则名
11-08 2705
在usbview中,用CreateFile()打开的USB Host Controler Device的设备有: "\\.\HCD0" "\\.\HCD1" 用SetupDi***接口枚举到的结果有: "\\?\pci#ven_8086&dev_3b34&subsys_04401028&rev_06#3&11583659&0&e8#{3abf6f2d-71c4-462a-8a92-1e68
NtCreateFile获得的设备句柄为什么指向文件对象
求索
02-10 1471
通过NtCreateFile打开设备,获得的句柄实际上指向的是一个文件对象(FILE_OBJECT),而不是设备对象(DEVICE_OBJECT). 设备对象类型的创建过程如下,是有存在ParseProcedure的 : RtlInitUnicodeString( &nameString, L"Device" );     objectTypeInitializer.DefaultN
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值