2023驱动保护学习 -- 创建驱动设备及符号链接并实现删除操作

最新推荐文章于 2023-05-14 20:05:59 发布
最新推荐文章于 2023-05-14 20:05:59 发布
阅读量190 收藏
点赞数
分类专栏: windows逆向 文章标签: 驱动程序 驱动保护 驱动设备 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/129546033
版权
本文介绍了如何在C语言中进行设备的创建和删除操作。首先,通过IoCreateDevice创建设备对象,并创建符号链接以便于应用程序访问。然后,在设备删除时,先删除符号链接,再删除设备对象。删除设备的逻辑在卸载回调函数中执行。此外,DriverEntry函数用于在驱动加载时创建设备。
摘要由CSDN通过智能技术生成

一、新建一个C文件进行设备添加删除操作

1、创建设备操作,通过状态判断是否创建成功,创建的设备名称只能在内核中使用,如果要在外部应用使用,需要通过符号链接使用,所以需要创建符号链接

NTSTATUS 创建设备(PDRIVER_OBJECT 驱动对象)
{
  NTSTATUS 状态码;
  UNICODE_STRING 驱动名称aiyou;
  PDEVICE_OBJECT 设备对象bucuo;
  RtlInitUnicodeString(&驱动名称aiyou, L"\\DEVICE\\aiyou");//初始化设备名称


  //通过驱动对象创建驱动设备,返回最后的参数设备指针
  状态码 = IoCreateDevice(驱动对象, sizeof(驱动对象->DriverExtension), &驱动名称aiyou, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &设备对象bucuo);


  if (状态码 == STATUS_SUCCESS)
  {
    KdPrint(("nxyn:驱动设备对象创建成功!!! \n"));
    //创建符号链接
    UNICODE_STRING 符号链接名字;  //在应用层使用的名字
    RtlInitUnicodeString(&符号链接名字, L"\\??\\bucuo"); //初始化符号链接名字
    状态码 = IoCreateSymbolicLink(&符号链接名字, &驱动名称aiyou);
    if (状态码 == STATUS_SUCCESS)
    {
      KdPrint(("nxyn:创建符号链接 %wZ 成功!!!", &符号链接名字));
    }
    else
    {
      KdPrint(("nxyn:创建符号链接 %wZ 失败 status=%X!!!", &符号链接名字, 状态码));
    }
  }
  else
  {


    KdPrint(("nxyn:驱动设备对象创建失败,删除设备!!!\n"));
    IoDeleteDevice(设备对象bucuo);
  }
  return 状态码;
}

2、删除设备操作,先删除符号链接,再删除设备,最后再删除驱动

void 删除设备(PDRIVER_OBJECT 驱动对象)
{
  KdPrint(("nxyn:正在删除设备"));
  if (驱动对象->DeviceObject)//是否创建的驱动设备
  {
    UNICODE_STRING 符号链接名字; //符号链接名字     
    RtlInitUnicodeString(&符号链接名字, L"\\??\\bucuo"); 
    KdPrint(("nxyn:删除符号链接=%wZ", &符号链接名字));
    IoDeleteSymbolicLink(&符号链接名字);
    KdPrint(("nxyn:删除驱动设备"));
    IoDeleteDevice(驱动对象->DeviceObject);//删除设备对象


  }
  KdPrint(("nxyn:已全部删除"));
}

二、在上节课的C代码中,声明一下创建设备和删除设备函数

NTSTATUS 创建设备(PDRIVER_OBJECT 驱动对象);
void 删除设备(PDRIVER_OBJECT 驱动对象);

三、在卸载回调函数中调用删除设备,在主函数中调用创建设备

void 卸载驱动回调函数(PDRIVER_OBJECT 驱动对象)
{
  删除设备(驱动对象);
  KdPrint(("nxyn:我被卸载了,驱动编号=%p", 驱动对象));
  
}


NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT 驱动对象, _In_ PUNICODE_STRING psg)
{
  创建设备(驱动对象);
  驱动对象->DriverUnload = 卸载驱动回调函数;
  KdPrint(("nxyn:第一个驱动程序,驱动编号:%p", 驱动对象));
  return 0;
}

四、运行效果

web安全工具库
关注
专栏目录
Symlink Manager:一个易于创建和管理符号链接的程序。-开源
05-08
4. **批量操作**:对于需要处理大量符号链接的情况,"Symlink Manager"提供了批量创建删除的功能,提高了工作效率。 5. **自定义设置**:"Symlink Manager.exe.config"文件可能包含了用户的个性化配置,如默认...
Windows驱动开发第9课(驱动设备符号链接)
weixin_42655748的博客
11-27 2056
Windows驱动(创建驱动符号链接)
GNAIXGNAHZ的博客
02-05 364
Windows驱动(创建符号链接)
2023驱动保护学习 -- 应用层与驱动层读写操作
weixin_41489908的博客
03-20 188
1、双击写操作按钮,通过DeviceIoControl函数进行操作。一、在MFC中添加控制码,告诉驱动我们要进行的操作。3、应用层通过驱动实现加法运算。四、在IRP处理函数中调用。2、双击读操作按钮,通过。写入的数据是3个整数。
windows驱动小知识
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
05-14 121
Driver\kbdclass和\driver\mouseclass是windows中键盘和鼠标驱动的名称。其中,键盘设备对象的符号名:L”\Device\KeyboardClass0”,鼠标设备对象的符号名:L”\Device\PointerClass0”。\Device\serial0是串口设备的名称,\Driver\serial0是串口驱动名称。\.\HarddiskVolume1:应用层设备名,ntdll.dll中的nt层以及以上的层面可以使用。\:符号连接,nt层以及以下的层次可以使用。
驱动开发之 驱动设备名称,符号连接名,以及应用程序打开设备
Lydia的博客
07-02 5147
驱动设备名:
驱动视频:windows驱动讲稿1.6 - 设备对象详解
01-16
- **创建删除**: 当总线驱动程序决定创建删除一个子PDO时,它会调用`IoInvalidateDeviceRelations`函数来通知系统总线上的设备关系发生了变化。系统随后会根据最新的子设备列表重新枚举总线上的设备。 - **枚举*...
windows驱动开发技术详解-part2
07-06
 第3章 Windows驱动编译环境配置、安装及调试  本章将带领读者一步步对驱动程序进行编译、安装和简单的调试工作。这些步骤虽然简单,但往往困 惑着初次接触驱动程序的开发者。  3.1 用C语言还是用C++语言  ...
Windows驱动开发技术详解的光盘-part1
07-06
本书共分23章,内容涵盖了Windows操作系统的基本原理、NT驱动程序与WDM驱动程序的构造、驱动程序中的同步异步处理方法、驱动程序中即插即用功能、驱动程序的各种调试技巧等。同时,还针对流行的PCI驱动程序、USB驱动...
驱动中通过设备链接名取得磁盘符号的方法
qycer的专栏
08-07 5173
主要思路: 从驱动设备链接名获取DosName很难做到通用,但DosName->DeviceSymblinkName可以做到通用,这样的话就有一种思路: 查询一个设备链接名对应的磁盘盘符的方法: 获取从A到Z的盘的设备链接名,如果有一个和传入的参数(设备链接名)完全匹配,那么其对应的盘符就是该设备链接名对应的盘符。 GetSymbolicLink( IN PUNICOD
驱动开发之符号链接设备名称
把梦想放飞在蓝色的天空里...
12-18 1657
windows下的设备是以"\Device\[设备名]”形式命名的。例如磁盘分区的c盘,d盘的设备名称就是"\Device\HarddiskVolume1”,"\Device\HarddiskVolume2”, 当然也可以不指定设备名称。如果IoCreateDevice中没有指定设备名称,那么I/O管理器会自动分配一个数字作为设备的名称。例如"\Device\00000001"。\Device\[
windows驱动创建文件符号链接
weixin_43787608的博客
11-24 1029
0x00 最近需要实现一个功能,在驱动创建文件的符号链接。搜了一圈,只能找到 mklink 命令, mklink 命令显然不能在内核调用。 因为大部分的系统调用最终都会调用到内核层的实现,所以整体思路就是搞清楚 mklink 的实现,找到对应的内核接口。 0x01 简单搜索了下系统目录,发现并没有 mklink 文件,因此怀疑 mklink 是 cmd 的内置命令。验证这个想法很简单,直接把 c...
代码:编写一个简单的字符设备驱动(自动创建设备文件)
Allen
07-01 3171
说明: (1)该篇在上篇的基础上实现了自动创建设备文件的功能; (2)自动创建文件主要用到了class_create()、device_create()两个函数,声明在inclue/linux/device.h里; (3)设备文件的创建和销毁放在模块加载和卸载函数中; #include #include #include #include #include #include
驱动开发之一 --- 创建一个简单的设备驱动 【译文】(精华)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-22 1034
在这里,我们将描述如何创建一个简单的设备驱动程序,动态的加载和卸载,以及在用户模式与之通讯。 理论: 在开始之前,我们需要了解几个概念: 我们知道一个程序经过编译器和连接器,最终生成一个一定格式二进制文件,这个格式可以被操作系统识别。在windows系统中,这个格式就是PE格式。在这个格式中,有一个描述项称为subsystem(子系统),它和PE文件头中的其他项,描述了如何加载一个可执行
【Window内核驱动开发】——通过符号链接获取真实设备
zcr214的博客
11-28 4151
【我的】Window驱动开发——通过符号链接获取真实设备 作者:zcr214 时间:2016/5/5   我们想要把驱动绑定到指定的盘符,实际是绑定到它对应的真实设备卷,实际上windows用户看到的C盘D盘只是符号链接名,而真实设备通常是/Device/HarddiskVolume2,/Device/HarddiskVolume3等,符号链接名可以任意更改,但是真实设备卷却是不变的。而实际
驱动设备符号名写法
程序员人生
09-27 1934
/创建设备名称 UNICODE_STRING devName; RtlInitUnicodeString(&devName,L"\\Device\\MyDDKDevice");   //创建设备 status = IoCreateDevice(pDriverObject,//驱动对象 sizeof(DEVICE_EXTENSION),//自定义的扩展结构的大小 &(UNICODE_
Linux驱动程序设计详解
接下来,我们会讨论文件系统和目录操作,包括文件属性的获取和修改(如stat、chmod、chown等)、链接符号链接创建(link、symlink、readlink)以及文件的创建删除和重命名。文件权限管理(如umask、chmod、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值