Windows编写driver

最新推荐文章于 2024-07-23 10:48:19 发布
最新推荐文章于 2024-07-23 10:48:19 发布
阅读量918 收藏
点赞数
文章标签: 大数据
原文链接:http://www.cnblogs.com/long123king/p/3860830.html
版权

1. 编译

Pspeek.cpp

#include <ntddk.h>


#define DANIEL_LIST_PROCESS 0x8001

PDRIVER_OBJECT daniel_DriverObject;
PDEVICE_OBJECT daniel_DeviceObject;


NTSTATUS daniel_DispatchCreate(
	__in PDEVICE_OBJECT DeviceObject,
	__in PIRP Irp
	)
{
	NTSTATUS status = STATUS_SUCCESS;
	PIO_STACK_LOCATION stackLocation;
	PIO_SECURITY_CONTEXT securityContext;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);
	securityContext = stackLocation->Parameters.Create.SecurityContext;

	DbgPrint("###############\n");
	DbgPrint("Daniel PsPeek daniel_DispatchCreate\n");
	DbgPrint("###############\n");

	Irp->IoStatus.Status = status;
	Irp->IoStatus.Information = 0;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;
}

NTSTATUS KphDispatchDeviceControl(
	__in PDEVICE_OBJECT DeviceObject,
	__in PIRP Irp
	)
{
	NTSTATUS status;
	PIO_STACK_LOCATION stackLocation;
	PVOID originalInput;
	ULONG inputLength;
	ULONG ioControlCode;
	KPROCESSOR_MODE accessMode;
	UCHAR capturedInput[16 * sizeof(ULONG_PTR)];
	PVOID capturedInputPointer;

	stackLocation = IoGetCurrentIrpStackLocation(Irp);
	originalInput = stackLocation->Parameters.DeviceIoControl.Type3InputBuffer;
	inputLength = stackLocation->Parameters.DeviceIoControl.InputBufferLength;
	ioControlCode = stackLocation->Parameters.DeviceIoControl.IoControlCode;
	accessMode = Irp->RequestorMode;


	// Probe and capture the input buffer.
	if (accessMode != KernelMode)
	{
		__try
		{
			ProbeForRead(originalInput, inputLength, sizeof(UCHAR));
			memcpy(capturedInput, originalInput, inputLength);
		}
		__except (EXCEPTION_EXECUTE_HANDLER)
		{
			status = GetExceptionCode();
			goto ControlEnd;
		}
	}
	else
	{
		memcpy(capturedInput, originalInput, inputLength);
	}

	capturedInputPointer = capturedInput; // avoid casting below

	switch (ioControlCode)
	{
	case DANIEL_LIST_PROCESS:
		{
			status = STATUS_SUCCESS;
		}
		break;
	default:
		status = STATUS_INVALID_DEVICE_REQUEST;
		break;
	}

ControlEnd:
	Irp->IoStatus.Status = status;
	Irp->IoStatus.Information = 0;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;
}

VOID daniel_DriverUnload(
	__in PDRIVER_OBJECT DriverObject
	)
{
	PAGED_CODE();

	IoDeleteDevice(daniel_DeviceObject);
}


extern "C" NTSTATUS DriverEntry(
	__in PDRIVER_OBJECT DriverObject,
	__in PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	UNICODE_STRING deviceName;
	PDEVICE_OBJECT deviceObject;

	PAGED_CODE();

	DbgPrint("###############\n");
	DbgPrint("Daniel PsPeek DriverEntry\n");
	

	DbgPrint("Current Pid: %d\n", PsGetCurrentProcessId());
	DbgPrint("###############\n");

	daniel_DriverObject = DriverObject;

	// Create the device.

	RtlInitUnicodeString(&deviceName, L"\\Device\\DanielPsPeekDriver");

	status = IoCreateDevice(
		DriverObject,
		0,
		&deviceName,
		FILE_DEVICE_UNKNOWN,
		FILE_DEVICE_SECURE_OPEN,
		FALSE,
		&deviceObject
		);

	if (!NT_SUCCESS(status))
		return status;

	daniel_DeviceObject = deviceObject;

	// Set up I/O.

	DriverObject->MajorFunction[IRP_MJ_CREATE] = daniel_DispatchCreate;
	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KphDispatchDeviceControl;
	DriverObject->DriverUnload = daniel_DriverUnload;

	deviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	return status;
}

  

  

 

sources

TARGETNAME=Pspeek
TARGETPATH=obj
TARGETTYPE=DRIVER

SOURCES=Pspeek.cpp

  

 mk.bat

set setenv_script=D:\WinDDK\7600.16385.1\bin\setenv.bat
set ddk_path=D:\WinDDK\7600.16385.1\
set config=chk
set platform=x86
set os=WXP

%setenv_script% %ddk_path% %config% %platform% %os% && H: && cd %cd% && build

  

2. 加载

ld.bat

sc stop Pspeek
sc delete Pspeek
copy /y "F:\pspeek.sys" "C:\WINDOWS\system32\pspeek.sys"
sc create Pspeek binPath= "C:\WINDOWS\system32\pspeek.sys" type= kernel start= auto error= ignore DisplayName= "Daniel Process Peek Driver"
sc start Pspeek

  

在Windows 7下,需要使用"管理员权限"才能执行上述脚本。

3. 枚举进程列表

void GatherProcessListByEPROCESS()
{
	HANDLE pid = PsGetCurrentProcessId();
	DbgPrint("Current Pid: %d\n", pid);
	PEPROCESS eprocess;
	PsLookupProcessByProcessId(pid, &eprocess);

	DbgPrint("_EPROCESS: 0x%08x\n", eprocess);

	_LIST_ENTRY active_process_node = {0,0};
	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	DbgPrint("Active Process List Node: [0x%08x, 0x%08x]\n", active_process_node.Blink, active_process_node.Flink);

	DbgPrint("VirtualSize: 0x%08x \n", *(ULONG*)((CHAR*)eprocess + 0xb0));
}

  

 上面代码与WinDbg的验证一致,因此Windows下获取内核相关的数据与Linux并无太大差别。

 

 

void PProcess(char* eprocess)
{
	DbgPrint("%16s: 0x%08x\n", "_EPROCESS", eprocess);
	DbgPrint("%16s: %s\n", "ImageName", eprocess + 0x174);

	DbgPrint("\n");
}

void GatherProcessListByEPROCESS()
{
	HANDLE pid = PsGetCurrentProcessId();
	DbgPrint("Current Pid: %d\n", pid);

	PEPROCESS eprocess;
	PsLookupProcessByProcessId(pid, &eprocess);

	_LIST_ENTRY active_process_node = {0,0};
	memcpy(&active_process_node, (CHAR*)eprocess + 0x88, 8);

	_LIST_ENTRY* head = active_process_node.Flink;

	PProcess((char*)eprocess);
	for (_LIST_ENTRY* cur=head;
		cur->Flink != head;
		cur = cur->Flink)
	{
		PProcess((char*)cur - 0x88);
	}
}

  

  

转载于:https://www.cnblogs.com/long123king/p/3860830.html

weixin_33721344
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux driver编写基础(转)
cuj2489的博客
04-17 214
linux 下面对 driver 的定义: struct device_driver { const char * name; struct bus_type...
驱动的编写
idea的博客
09-09 6032
A、PLATFORM驱动,虚拟总线的驱动。 1、写好设备树节点,中断,GPIO,别名等。 2、在驱动中新建 platform_driver结构体test_device_driver和of_device_id。注意:of_device_id必须多出一行空行。在platform_driver中写入probe和remove函数,以及和of_device_id绑定。 3、在INIT中调用regist...
一个简单的windows驱动程序的编写
weixin_30270889的博客
03-19 560
首先去微软的网站下载DDK的开发包。 下载地址: http://www.microsoft.com/whdc/DevTools/ddk/default.mspx 假如要开发一个for windows 2003的驱动 就下载 http://download.microsoft.com/download/9/0/f/90f019ac-8243-48d3-91cf-81fc4093ecfd/...
编写简单的驱动
qinqin772的博客
07-27 3977
1.下面写一个最简单的驱动,这个驱动只有两个函数,也就是说一个驱动最少需要两个函数,这两个函数是 NTSTATUS DrvierEntry( PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath); VOID DriverUnload(PDRIVER_OBJECT pDriver);  2.我们先建一个驱动项目: 2.1 创建或者需要选
linux驱动编写(总结篇)
热门推荐
嵌入式-老费,一个分享专业嵌入式知识的blog
04-12 2万+
【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】 01、linux驱动编写(入门) 02、linux驱动编写(虚拟字符设备编写) 03、linux驱动编写(字符设备编写框架) 04、linux驱动编写(Kconfig文件和Makefile文件) 05、linux驱动编写(块设备驱动代码) 06、linux驱动编写(platfo......
Windows Driver Kits 教程
09-28
Windows Driver Kits(WDK)是微软提供的一个综合开发工具集,包含了编写、构建、调试和测试驱动程序所需的所有工具、库和文档。通过WDK,开发者可以创建符合Windows Driver Model(WDM)的驱动程序,这是Windows...
Windows-driver-samples-master
05-11
"Windows-driver-samples-master" 是一个宝贵的资源库,包含了微软官方提供的多种驱动开发示例,旨在帮助开发者理解和掌握Windows驱动的开发技术。 在Windows操作系统中,驱动程序分为不同层次,包括用户模式驱动、...
windows user moder driver
05-17
Windows操作系统中,用户模式驱动程序(User-Mode Driver,简称UMD)是一种特殊的软件组件,它在用户模式下运行,而不是在系统的核心层——内核模式。这种设计允许驱动程序与应用程序在同一个地址空间中运行,提高...
windriver_windows_windriver_Driver_
10-04
WDF(Windows Driver Frameworks):包括KMDF(Kernel-Mode Driver Framework)和UMDF(User-Mode Driver Framework),是微软提供的简化驱动开发的框架,它们提供了一套预定义的类和接口,帮助开发者更高效地编写...
KMDF_PNP_driverwindows_
10-03
【KMDF_PNP_driverwindows_】是一个基于Kernel-Mode Driver Framework (KMDF)的Windows驱动程序示例。这个示例主要是为了展示如何在Windows操作系统中编写一个设备插拔(Plug and Play, PNP)驱动,它允许硬件设备的...
## **Windows驱动编译环境搭建(Visual Studio 2017 + WDK)*
qq_21763381的博客
10-20 6284
*Windows驱动编译环境搭建(Visual Studio 2017 + WDK) 在Win10环境下开发Windows驱动程序需要依赖WDK,微软在”WDK7600“以后就不再提供独立的内核驱动开发包了,而是必须首先安装微软集成开发环境VisualStudio。本文将介绍如何在Win10环境下配置Visual Studio 2017 + WDK开发环境。 微软官网对于WDK的介绍如下: ...
编写一个Windows窗口应用程序
xtxm_hr的博客
08-16 5680
编写一个Windows窗口应用程序使用VS2008,64位编译器。 1.打开VS2008,新建一个空项目2.在项目中添加.cpp文件3.输入代码如下 #include <windows.h> #include <stdio.h>LRESULT CALLBACK WinHuProc( HWND hwnd, // handle to window UINT uMsg,
Windows驱动开发——如何创建一个驱动项目
weixin_43742894的博客
04-23 1717
以一个初学者的方式来回忆驱动开发的知识(虽然我本来就是初学者,哈哈哈),因为记性不好,所以就得每过一段时间自己就会从零开始再学一遍。 驱动开发第一步,创建项目。 选择Windows Driver->Legacy->Empty WDM Driver。(当然创建的方式很多,这只是我自己常用的)。 添加新建项 这里我们新建文件,注意创建.c文件,不是.cpp文件,还有一般情况下,我们先将....
自己动手写驱动程序
习惯就好zz的专栏
08-15 7864
一、编码思维导图 二、编写代码 memdev.c #include linux/module.h> #include linux/init.h> #include linux/cdev.h> #include linux/fs.h> #include asm/
面对不断升级的内核,如何学习linux设备驱动
编程开发资料库
07-28 282
面对不断升级的linux内核、GNU开发工具、linux环境下的各种图形库,很多linux应用程序开发人员和linux设备驱动开发人员即兴奋,又烦躁。兴奋的是新的软件软件、工具给我提供了更强大的功能,烦躁的是适应新软件的特性、搭建新环境是一项非常繁琐的事情。本文想从以下3个方面探讨一下“面对不断升级的内核,如何学习linux设备驱动”。 内核发展的现状及其对技术人员的影响 Linux目前主...
SFilter框架理解
zhuhuibeishadiao
04-18 8065
控制设备(接受我们自己的客服端)----过滤设备(接受别的进程的IRP) IRP栈每层对应的设备不同   绑定后返回的:最顶层的设备 看图 为什么返回最顶层,当我们的设备处理好后要发给下面的 而下面的第一个就是最顶层的设备 看图理解 过滤 分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的。 图:
科普文:重读并翻译分布式计算经典文论-MapReduce
为无为,事无事,味无味。
07-22 878
Mapreduce是一种处理和生产大型数据集的大型数据集的编程模型和相关实现。用户指定一个map函数,该函数处理键/值对以生成一组中间健/值对,以及一个reduce函数,该函数合并与同一中间键关联的所有中间值。如本文所示,许多现实世界中的任务都可以用该模型表示。用这种函数式风格编写的程序可以自动并行化,并在大型商用机器集群上执行。运行时系统需要关注对输入数据进行分区、在一组机器上调度程序的执行、处理机器故障以及管理所需的机器间通信等细节。
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
最新发布
小哇
07-23 310
zookeeper安装并成功运行。
数据分析师学习路线与就业环境分析报告
关注收藏,可以私信解决问题!
07-23 818
数据分析师负责收集、处理和分析数据,以帮助企业做出基于数据的决策。他们使用统计方法、数据建模和数据可视化技术来解释复杂的数据集。
python windows application driver
11-21
Python Windows Application Driver是一个用于测试Windows桌面应用程序的驱动软件。它提供了一种使用Python编写自动化测试脚本来测试和控制Windows桌面应用程序的方法。 Python Windows Application DriverWindows操作系统上的一个WebDriver。它通过实现Windows屏幕上的UI Automation接口来和Windows桌面应用程序进行交互。通过它,我们可以使用Python编写自动化测试脚本来模拟用户与Windows应用程序的交互行为,比如点击按钮、输入文字等。 Python Windows Application Driver的安装非常简单。首先,我们需要安装Python,并确保已安装pip包管理器。然后,通过运行pip install windows-app-driver命令来安装Python Windows Application Driver。 一旦安装完成,我们就可以使用Python编写测试脚本了。首先,我们需要导入pywinauto库来实现Windows应用程序的自动化操作。然后,我们可以使用pywinauto库中的一些方法来定位和操作Windows应用程序的各个元素,比如查找按钮、输入框等。 使用Python Windows Application Driver进行自动化测试有很多好处。首先,它允许我们使用Python这个流行的编程语言来编写测试脚本,这样可以使用大量的Python库来辅助测试。其次,它提供了一种简单且灵活的方式来与Windows桌面应用程序进行交互,使得自动化测试变得更加容易和高效。 总之,Python Windows Application Driver是一个功能强大且易于使用的工具,可以帮助我们在Windows操作系统上进行桌面应用程序的自动化测试。它为Python开发者提供了一种简单且灵活的方式来与Windows应用程序进行交互,从而提高测试效率和质量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值