驱动学习三

最新推荐文章于 2024-04-24 14:21:34 发布
最新推荐文章于 2024-04-24 14:21:34 发布
阅读量150 收藏
点赞数
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41693985/article/details/121131820
版权 
#include<ntddk.h>
#include<windef.h>
#include<intrin.h>

PVOID OpenProcessAddr = NULL;
PVOID jmpAddr         = NULL;



KIRQL  WPOFFx64()
{
	KIRQL irql = KeRaiseIrqlToDpcLevel();

	DWORD64 cr0 =__readcr0();

	cr0 &= 0xfffffffffffeffff;

	__writecr0(cr0);

	_disable();

	return irql;

}


void WPONx64(KIRQL irql)
{
	DWORD64 cr0 = __readcr0();

	cr0 |= 0x10000;

	__writecr0(cr0);

	_enable();

	KeLowerIrql(irql);

	return;

}


typedef NTSTATUS(*PNtOpenProcess)
(
	PHANDLE            ProcessHandle,
	ACCESS_MASK        DesiredAccess,
	POBJECT_ATTRIBUTES ObjectAttributes,
	PCLIENT_ID         ClientId
	);






void DrvUnload(PDRIVER_OBJECT driver)
{
	KIRQL tempirql = WPOFFx64();

	RtlCopyMemory(OpenProcessAddr,jmpAddr,13);

	WPONx64(tempirql);

	ExFreePool(jmpAddr);

	jmpAddr = NULL;

	DbgPrint("the Driver has been unload");

	return;
}

NTSTATUS MyNtOpenProcess(
         PHANDLE            ProcessHandle,
         ACCESS_MASK        DesiredAccess,
         POBJECT_ATTRIBUTES ObjectAttributes,
		 PCLIENT_ID         ClientId
)
{
	
	if (ClientId->UniqueProcess == 4116)return STATUS_UNSUCCESSFUL;


	PNtOpenProcess tempaddr = (PNtOpenProcess)jmpAddr;


	return tempaddr(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
}









NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING pregpath)
{
	UNREFERENCED_PARAMETER(pregpath);
	
	UNICODE_STRING g_openprocess = { 0 };
	RtlInitUnicodeString(&g_openprocess, L"NtOpenProcess");
	OpenProcessAddr = MmGetSystemRoutineAddress(&g_openprocess);
	if (!OpenProcessAddr)
	{
		return STATUS_NOT_FOUND;
	}

	//DbgPrint("%p",OpenProcessAddr);


	BYTE hookcode[] = { 0x48,0xb8,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0xff,0xe0 };

	ULONG tag=NULL;
	//jmpAddr = ExAllocatePool2(POOL_FLAG_NON_PAGED,0x1000,tag);

	jmpAddr = ExAllocatePool(NonPagedPool, 0x1000);

	RtlZeroMemory(jmpAddr, 0x1000);
	RtlCopyMemory(jmpAddr,OpenProcessAddr,13);

	*((PULONG_PTR)(hookcode + 2)) = ((ULONG_PTR)OpenProcessAddr+13);

	RtlCopyMemory((PUCHAR)jmpAddr+13, hookcode, sizeof(hookcode));

	*((PULONG_PTR)(hookcode + 2)) = (PULONG_PTR)&MyNtOpenProcess;

	KIRQL    tempirql = WPOFFx64();

	RtlCopyMemory(OpenProcessAddr, hookcode, sizeof(hookcode));

	WPONx64(tempirql);


	driver->DriverUnload = DrvUnload;




	return STATUS_SUCCESS;
}
彼岸Zz
关注
Win64 驱动内核编程-3.内核里使用内存
天使也掉毛
03-04 4682
内核里使用内存 内存使用,无非就是申请、复制、设置、释放。在 C 语言里,它们对应的函数是:malloc、memcpy、memset、free;在内核编程里,他们分别对应 ExAllocatePool、RtlMoveMemory、 RtlFillMemory、ExFreePool。它们的原型分别是:                                需要注意的是,RtlFi
文件过滤驱动用于windows驱动学习
10-19
3. **预处理与后处理回调**:Windows提供预处理(PreXxx)和后处理(PostXxx)回调函数,如PreCreate、PostCreate等,让驱动程序有机会在操作执行前或执行后进行干预。开发者可以根据需求,在这些回调中添加自定义...
Windows X64关闭内存写保护和打开内存写保护的代码
wing的专栏
03-20 5283
 关闭内存写保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存写保护的
驱动开发:内核CR3切换读写内存
热门推荐
CSDN
09-25 2万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
Windows 64位驱动 关闭内存保护
whatday的专栏
07-27 4348
包含头文件#include 关闭内存写保护的代码: KIRQL WPOFFx64() { KIRQL irql=KeRaiseIrqlToDpcLevel(); UINT64 cr0=__readcr0(); cr0 &= 0xfffffffffffeffff; __writecr0(cr0); _disable(); return irql; }
深度学习-智能时代的核心驱动力量_深度学习_美国基金_深度学习-智能时代的核心驱动力量_
10-04
深度学习-智能时代的核心驱动力量 书籍特伦斯·谢诺夫斯基(TerrenceSejnowski),世界十大AI科学家之一,美国四大国家学院(国家科学院、国家医学院、国家工程院、国家艺术与科学学院)在世仅3位的“四院院士”之一...
基于模型-数据-知识驱动和深度学习的地表温度反演方法
05-15
它成功地将专家知识、物理模型和数据驱动学习融合在一起,创建了一个能够适应不同空间分辨率数据的高效反演模型,降低了对先验知识的依赖,提高了反演精度。这一研究对遥感技术的进步以及地表温度监测的应用具有深远...
ARM驱动学习资料
12-05
2 鸟哥的Linux私房菜:基础学习篇 第四版 3 GNULinux Rapid Embedded Programming 4 Linux From Scratch Version 8.2 5 Linux内核实现设计与实现 3nd 6 linux设备驱动程序 7 Mastering Modern Linux 2nd
驱动学习笔记
08-26
驱动学习笔记涵盖了Windows驱动程序开发的基础知识,以及与游戏安全相关的应用。在Windows操作系统中,驱动程序是系统核心的一部分,它们允许硬件设备和操作系统之间进行通信。这些笔记将深入探讨如何使用VC++6.0这...
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
zfdyq
05-23 1万+
上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。
控制寄存器(CR0,CR1,CR2,CR3,CR4)
部落阁
08-27 4061
几个分页机制密切相关的控制寄存器
关闭和开启写保护
qq_41490873的博客
08-22 1697
KIRQL WPOFF() { KIRQL OldIrql = KeRaiseIrqlToDpcLevel(); //ULONG_PTR 这个类型在x86上是32位 x64就是64位 ULONG_PTR cr0 = __readcr0(); #ifdef _X86_ cr0 &= 0xfffeffff; #else cr0 &= 0xfffffffffffeffff; #endif _disable(); //关闭中断 __writecr0(cr0); //关闭写保
腾讯游戏安全大赛2024初赛题解
最新发布
君逍遥o
04-24 348
来自WeChat作者:吾爱pojie 公众号:吾爱破解论坛报名参加了一下2024的游戏安全竞赛,今天初赛结束,总体来说赛题质量还是非常高的。解题附件下载吐槽一下,吾爱官方开个2024的分类吧--more-->
使用jprobe构建镜像协议栈的原理与感悟
Netfilter
06-07 6648
突然回想起了往事,那是2007年的冬天的一个周五,我在看我的老湿调试Linux协议栈的IP层,只见他修改了路由查找的逻辑,然后直接make install了一下就即时生效了,当时我只知道的是,修改了这个逻辑需要重新编译内核,而他并没有重新编译,好像只是编译了一个文件...编译内核这个耗时又无聊的工作阻碍了我对Linux内核的探索进度,直到今天,我依然对编译内核有相当的恐惧,不怕出错,而是怕磁盘空间
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
翻肚鱼儿的博客
07-27 1902
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。 最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进.
使用jprobe建设镜面层叠的原则和见解
weixin_33872566的博客
07-27 95
忽然想起的回忆,那是2007上周五在冬季,我看我的老湿调试Linux堆IP层,只看到他改变路由查找的逻辑,然后直接make install上的立竿见影的效果有点,我只知道,,这种逻辑必须再次更改编译内核。再一次,他没有编译,就像刚才编译的文件...时又无聊的工作阻碍了我对Linux内核的探索进度,直到今天,我依旧对编译内核有相当的恐惧,不怕出错,而是怕磁盘空间不够,initrd的组装拆解之类,...
Windows驱动开发学习全记录
"Windows驱动学习笔记是一本由灰狐编写的免费电子书,主要面向Windows驱动开发的技术人员。这本书在邪恶八进制社区、泡面代码社区和作者博客等多个平台发布,允许非营利性的转载与复制,但需保持内容完整性。作者灰...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值