枚举驱动

最新推荐文章于 2022-10-17 08:47:02 发布
最新推荐文章于 2022-10-17 08:47:02 发布
阅读量354 收藏
点赞数
原文链接:http://www.cnblogs.com/dhbzzz/archive/2010/04/29/1723572.html
版权

接着补充一个……驱动枚举

--------------------------------------------------------------------------

ExpandedBlockStart.gif 代码
// --------------------------------------------------------------------------
 //  Copyright (C), 2004-2010, Zhengzongzhao, All Rights Reserved
 //
//  FileName:    EnumDriver.cpp
 //
//  Author:      zhengzz
 //
//  Date:        2009-07-20
 //
//  Description: 枚举驱动
 //
//  History:     <author>zhengzongzhao<time>2009-07-20<version>1.0
 //
// -------------------------------------------------------------------------

#include  " stdafx.h "
#include  < windows.h >
#include  < stdlib.h >
#include  < stdio.h >

//  定义函数返回值
typedef ULONG NTSTATUS;

 //  宽字节字符串结构定义
typedef  struct  _UNICODE_STRING {
    USHORT  Length;
    USHORT  MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING,  * PUNICODE_STRING;

 //  对象属性定义
typedef  struct  _OBJECT_ATTRIBUTES {
    ULONG Length;
    HANDLE RootDirectory;
    UNICODE_STRING  * ObjectName;
    ULONG Attributes;
    PSECURITY_DESCRIPTOR SecurityDescriptor;
    PSECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
} OBJECT_ATTRIBUTES, * POBJECT_ATTRIBUTES;

 //  基本信息定义
typedef  struct  _DIRECTORY_BASIC_INFORMATION {
    UNICODE_STRING ObjectName;
    UNICODE_STRING ObjectTypeName;
} DIRECTORY_BASIC_INFORMATION,  * PDIRECTORY_BASIC_INFORMATION;

 //  返回值或状态类型定义
#define  OBJ_CASE_INSENSITIVE    0x00000040L
#define  DIRECTORY_QUERY            (0x0001)
#define  STATUS_SUCCESS            ((NTSTATUS)0x00000000L)  //  ntsubauth
#define  STATUS_MORE_ENTRIES        ((NTSTATUS)0x00000105L)
#define  STATUS_BUFFER_TOO_SMALL    ((NTSTATUS)0xC0000023L)

//  初始化对象属性宏定义
#define  InitializeObjectAttributes( p, n, a, r, s ) { \
    (p) -> Length  =   sizeof ( OBJECT_ATTRIBUTES );          \
    (p) -> RootDirectory  =  r;                             \
    (p) -> Attributes  =  a;                                \
    (p) -> ObjectName  =  n;                                \
    (p) -> SecurityDescriptor  =  s;                        \
    (p) -> SecurityQualityOfService  =  NULL;               \
    }

 //  字符串初始化
typedef VOID (CALLBACK *  RTLINITUNICODESTRING)(PUNICODE_STRING,PCWSTR);
RTLINITUNICODESTRING RtlInitUnicodeString;

 //  打开对象
typedef NTSTATUS (WINAPI  * ZWOPENDIRECTORYOBJECT)(
                      OUT PHANDLE DirectoryHandle,
                      IN ACCESS_MASK DesiredAccess,
                      IN POBJECT_ATTRIBUTES ObjectAttributes
);
ZWOPENDIRECTORYOBJECT ZwOpenDirectoryObject;

 //  查询对象
typedef
NTSTATUS
(WINAPI  * ZWQUERYDIRECTORYOBJECT)(
                       IN HANDLE DirectoryHandle,
                       OUT PVOID Buffer,
                       IN ULONG BufferLength,
                       IN BOOLEAN ReturnSingleEntry,
                       IN BOOLEAN RestartScan,
                       IN OUT PULONG Context,
                       OUT PULONG ReturnLength OPTIONAL
);
ZWQUERYDIRECTORYOBJECT ZwQueryDirectoryObject;

 //  关闭已经打开的对象
typedef
NTSTATUS
(WINAPI  * ZWCLOSE)(
        IN HANDLE Handle
);
ZWCLOSE ZwClose;


 int  _tmain( int  argc, _TCHAR *  argv[])
{
    HMODULE hNtdll  =  NULL;

    hNtdll  =  LoadLibrary(_T( " ntdll.dll "  ));
     if  ( NULL  ==  hNtdll )
    {
        printf( " [%s]--Load ntdll.dll failed(%ld).\r\n " , __FUNCTION__, GetLastError());
         goto  EXIT;
    }

    printf( " [%s]--Load ntdll.dll sucess now get proc.\r\n " , __FUNCTION__);
    RtlInitUnicodeString    =  (RTLINITUNICODESTRING)GetProcAddress( hNtdll,  " RtlInitUnicodeString " );
    ZwOpenDirectoryObject   =  (ZWOPENDIRECTORYOBJECT)GetProcAddress( hNtdll,  " ZwOpenDirectoryObject " );
    ZwQueryDirectoryObject  =  (ZWQUERYDIRECTORYOBJECT)GetProcAddress( hNtdll,  " ZwQueryDirectoryObject " );
    ZwClose                 =  (ZWCLOSE)GetProcAddress( hNtdll,  " ZwClose " );

    UNICODE_STRING     strDirName;
    OBJECT_ATTRIBUTES  oba;
    NTSTATUS           ntStatus; 
    HANDLE             hDirectory;

    RtlInitUnicodeString( & strDirName, _T( " \\Driver " ));
    InitializeObjectAttributes( & oba,  & strDirName, OBJ_CASE_INSENSITIVE, NULL, NULL);

    printf( " [%s]--Open directory object now.\r\n " , __FUNCTION__);
    ntStatus = ZwOpenDirectoryObject( & hDirectory, DIRECTORY_QUERY,  & oba);
     if  ( ntStatus  !=  STATUS_SUCCESS )
    {
        printf( " [%s]--Open directory object failed(%ld).\r\n " , __FUNCTION__, GetLastError());
         goto  EXIT;
    }
    printf( " [%s]--Open directory object success.\r\n " , __FUNCTION__);

    PDIRECTORY_BASIC_INFORMATION   pBuffer  =  NULL;
    PDIRECTORY_BASIC_INFORMATION   pBuffer2;
    ULONG    ulLength   =   0x800 ;     //  2048
    ULONG    ulContext  =   0 ;
    ULONG    ulRet      =   0

     //  查询目录对象
     do
    {
         if  ( pBuffer  !=  NULL )
        {
            free(pBuffer);
        }

        ulLength  =  ulLength  *   2 ;
        pBuffer   =  (PDIRECTORY_BASIC_INFORMATION)malloc(ulLength);
         if  ( NULL  ==  pBuffer )
        {
            printf( " [%s]--Malloc failed(%ld).\r\n " , __FUNCTION__, GetLastError());
             goto  EXIT;
        }

        ntStatus  =  ZwQueryDirectoryObject(hDirectory, pBuffer, ulLength, FALSE, TRUE,  & ulContext,  & ulRet);
        printf( " [%s]--ZwQueryDirectoryObject out return is %ld.\r\n " , __FUNCTION__, ulRet);
    } while  ( ntStatus  ==  STATUS_MORE_ENTRIES  ||  ntStatus  ==  STATUS_BUFFER_TOO_SMALL );

     if  ( STATUS_SUCCESS  ==  ntStatus )
    {
        printf( " [%s]--ZwQueryDirectoryObject success.\r\n " , __FUNCTION__);
        pBuffer2  =  pBuffer;
         while  ( (pBuffer2 -> ObjectName.Length  !=   0 &&  (pBuffer2 -> ObjectTypeName.Length != 0 ) )
        {
            printf( " ObjectName: [%S]---ObjectTypeName: [%S]\n " , pBuffer2 -> ObjectName.Buffer, pBuffer2 -> ObjectTypeName.Buffer);
            pBuffer2 ++ ;
        }
    }
     else
    {
        printf( " [%s]--ZwQueryDirectoryObject failed(%ld).\r\n " , __FUNCTION__, GetLastError());
    }

EXIT:

     if  ( pBuffer  !=  NULL )
    {
        free(pBuffer);
    }

     if  ( hDirectory  !=  NULL )
    {
        ZwClose(hDirectory);
    }

    getchar();
     return   0 ;
}


转载于:https://www.cnblogs.com/dhbzzz/archive/2010/04/29/1723572.html

weixin_30487317
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动枚举进程
爱杀之爪的矩阵
03-14 1963
Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"
枚举指定驱动对象和设备对象
weixin_42071117的博客
04-29 308
// driver.c #include <ntifs.h> #include <ntddk.h> extern POBJECT_TYPE* IoDriverObjectType; NTSTATUS ObReferenceObjectByName( __in PUNICODE_STRING ObjectName, __in ULONG Attributes, __in_opt PACCESS_STATE AccessState, __in_opt ACCESS_MASK
通过驱动名称枚举驱动下设备和挂载设备的信息
06-26
通过驱动名称枚举驱动下设备和挂载设备的信息
枚举 & 表驱动
LIXI.FUN
08-22 168
枚举 & 表驱动】 初级版本 先看一段代码 /** * if/else 版本 */ public void trafficIfElseVersion(String trafficLight) { if ("红色".equals(trafficLight)) { System.out.println("现在是红灯,请停下"); } else if ("绿色".equals(trafficLight)) { System.out.println("现
易语言暴力枚举驱动
07-16
"暴力枚举驱动"是网络安全领域中的一种技术,通常用于系统漏洞探测或逆向工程分析。在易语言中实现暴力枚举驱动,意味着开发者使用易语言编写了能够遍历和检测系统驱动的程序。 驱动程序是操作系统与硬件设备之间...
易语言-枚举驱动模块源代码
07-02
"易语言-枚举驱动模块源代码"是针对驱动程序开发的一个实例,主要涉及到的是系统驱动枚举与调试。在Windows操作系统中,驱动程序是操作系统与硬件设备之间的桥梁,它负责管理和控制硬件,使得操作系统能够正常地与...
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
易语言暴力枚举驱动源码-易语言
06-13
本文将深入探讨“易语言暴力枚举驱动源码”这一主题,它涉及到操作系统底层的驱动程序、系统工具的开发以及易语言的编程技巧。 驱动程序是操作系统与硬件设备之间的桥梁,它们负责处理硬件的输入和输出,使得操作...
BusEnum总线枚举驱动器(是对http://msdn.microsoft.com/en-us/library/dd187254.aspx中文章的翻译,介绍怎样修改BusEnum以加快设备启动的方法)
11-25
是对http://msdn.microsoft.com/en-us/library/dd187254.aspx中文章的翻译,介绍怎样修改BusEnum以加快设备启动的方法.个人英语水平有限..翻译得不准确的地方大家可以讲出来.谢谢
用NtQuerySystemInformation函数暴力枚举驱动
06-01
资源介绍:。易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享.因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓,。资源作者:。lms520。资源界面:。资源下载:。
易语言-用NtQuerySystemInformation函数暴力枚举驱动
06-29
易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享. 因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓, lms520
API之EnumPrinterDrivers
11-24
EnumPrinterDrivers枚举打印机驱动信息,完整用法详见代码演示
易语言枚举内核驱动
07-22
易语言枚举内核驱动源码,枚举内核驱动,取文件名,填充,NtQuerySystemInformation,LocalAlloc,CopyMemory_MODULES,LocalFree
通过暴搜DRIVER_OBJECT枚举驱动
cqyczj的专栏
04-24 1373
作 者: gjden 时 间: 2010-03-30,00:12:20 链 接: http://bbs.pediy.com/showthread.php?t=109819 通过暴搜DRIVER_OBJECT枚举驱动   技术可能有点老了,不过希望能够给和我一样的初学者一点参考。   先来捣鼓几句,几年前,在内核中战争的焦点总是检测与隐藏,通过内核的特权,我们能够肆
驱动开发:内核枚举驱动内线程(答疑篇)
最新发布
CSDN
10-17 9206
这篇文章比较特殊,是一篇穿插答疑文章,由于刚好在前一篇教程`《驱动开发:内核枚举PspCidTable句柄表》`整理了枚举句柄表的知识点,正好这个知识点能解决一个问题,事情是这样的有一个粉丝求助了一个问题,想要枚举驱动中活动的线程信息,此功能我并没有尝试过当时也只是说了一个大致思路,今天想具体聊一聊这个话题,也想聊一聊自己对粉丝们的想法。
文档化ring3 api列举驱动列表 --- 做了一些重构。(解决内存泄漏问题)
weixin_30535843的博客
12-08 125
https://bbs.pediy.com/thread-77339.htm 参考资料 直接源码 , 基于 C C++ 。代码检测枚举 查找 驱动 列表 //.h #pragma once#include "stdafx.h" //MFC , 可以删。#define MAXNUM 255#define UNICODE // to support chinese#include &lt...
[内核编程]枚举内核空间所有驱动模块
輚至消亡
07-13 1231
1. 通过驱动对象枚举 第一种方法是通过驱动对象。驱动对象DRIVER_OBJECT中有一个字段叫DriverSection的指针。该指针实际上指向一个_LDR_DATA_TABLE_ENTRY结构 与内核态下枚举进程内的模块一样。驱动模块也是通过该结构中的3条双向循环链条以不同顺序分别串起来。 先根据windbg获取对应需要的结构体: typedef struct _PEB_LDR_DATA { ULONG Length; UCHAR Initialized[4]; PVOID..
<C++>_C++的枚举
qq_33882179的博客
12-03 303
C语言中枚举本质就是整型,枚举变量可以用任意整型赋值。而 C++中枚举变量,只能用被枚举出来的元素初始化。               例如我们定义如下枚举:        enum season        {            SPR,            SUM,            AUT,            WIN        }

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值