驱动学习三

最新推荐文章于 2022-09-25 11:26:20 发布
最新推荐文章于 2022-09-25 11:26:20 发布
阅读量129 收藏
点赞数
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41693985/article/details/121131820
版权 
#include<ntddk.h>
#include<windef.h>
#include<intrin.h>

PVOID OpenProcessAddr = NULL;
PVOID jmpAddr         = NULL;



KIRQL  WPOFFx64()
{
	KIRQL irql = KeRaiseIrqlToDpcLevel();

	DWORD64 cr0 =__readcr0();

	cr0 &= 0xfffffffffffeffff;

	__writecr0(cr0);

	_disable();

	return irql;

}


void WPONx64(KIRQL irql)
{
	DWORD64 cr0 = __readcr0();

	cr0 |= 0x10000;

	__writecr0(cr0);

	_enable();

	KeLowerIrql(irql);

	return;

}


typedef NTSTATUS(*PNtOpenProcess)
(
	PHANDLE            ProcessHandle,
	ACCESS_MASK        DesiredAccess,
	POBJECT_ATTRIBUTES ObjectAttributes,
	PCLIENT_ID         ClientId
	);






void DrvUnload(PDRIVER_OBJECT driver)
{
	KIRQL tempirql = WPOFFx64();

	RtlCopyMemory(OpenProcessAddr,jmpAddr,13);

	WPONx64(tempirql);

	ExFreePool(jmpAddr);

	jmpAddr = NULL;

	DbgPrint("the Driver has been unload");

	return;
}

NTSTATUS MyNtOpenProcess(
         PHANDLE            ProcessHandle,
         ACCESS_MASK        DesiredAccess,
         POBJECT_ATTRIBUTES ObjectAttributes,
		 PCLIENT_ID         ClientId
)
{
	
	if (ClientId->UniqueProcess == 4116)return STATUS_UNSUCCESSFUL;


	PNtOpenProcess tempaddr = (PNtOpenProcess)jmpAddr;


	return tempaddr(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
}









NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING pregpath)
{
	UNREFERENCED_PARAMETER(pregpath);
	
	UNICODE_STRING g_openprocess = { 0 };
	RtlInitUnicodeString(&g_openprocess, L"NtOpenProcess");
	OpenProcessAddr = MmGetSystemRoutineAddress(&g_openprocess);
	if (!OpenProcessAddr)
	{
		return STATUS_NOT_FOUND;
	}

	//DbgPrint("%p",OpenProcessAddr);


	BYTE hookcode[] = { 0x48,0xb8,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0xff,0xe0 };

	ULONG tag=NULL;
	//jmpAddr = ExAllocatePool2(POOL_FLAG_NON_PAGED,0x1000,tag);

	jmpAddr = ExAllocatePool(NonPagedPool, 0x1000);

	RtlZeroMemory(jmpAddr, 0x1000);
	RtlCopyMemory(jmpAddr,OpenProcessAddr,13);

	*((PULONG_PTR)(hookcode + 2)) = ((ULONG_PTR)OpenProcessAddr+13);

	RtlCopyMemory((PUCHAR)jmpAddr+13, hookcode, sizeof(hookcode));

	*((PULONG_PTR)(hookcode + 2)) = (PULONG_PTR)&MyNtOpenProcess;

	KIRQL    tempirql = WPOFFx64();

	RtlCopyMemory(OpenProcessAddr, hookcode, sizeof(hookcode));

	WPONx64(tempirql);


	driver->DriverUnload = DrvUnload;




	return STATUS_SUCCESS;
}
一夜通宵程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3G驱动学习
11-16
3G驱动的基础知识学习文档
s3c2410 LCD驱动学习心得
07-10
实验内容简要描述1.实验目的学会驱动程序的编写方法,配置S3C2410的LCD驱动,以及在LCD屏上显示包括bmp和jpeg两种格式的图片2.实验内容(1)分析S3c2410实验箱LCD以及LCD控制器的硬件原理,据此找出相应的硬件设
linux之字符设备驱动学习示例
04-06
1.驱动文件: Makefile memdev.c memdev.h ,执行make,即可生成驱动memdev.ko 2.测试文件: app-write.c build.sh epoll_read.c,执行脚本build.sh ,即可生成测试程序。 3.app是使用epoo方式读取数据 , write,是往字符设备里写数据
Linux驱动学习总结
03-31
感谢网友diytvgy的总结,原文请访问作者博客。 我只是把网页保存为PDF文档,方便保存,共享。 总结是根据学习时的笔记(李杨老师授课)、《linux内核设计与实现》第版、《linux设备驱动程序》第版和 《linux设备驱动开发详解》第一版来归纳的
ARM驱动学习资料
12-05
1 Linux设备驱动开发详解:基于最新的Linux4.0内核 文字版+源码 2 鸟哥的Linux私房菜:基础学习篇 第四版 3 GNULinux Rapid Embedded Programming 4 Linux From Scratch Version 8.2 5 Linux内核实现设计与实现 3nd 6 linux设备驱动程序 7 Mastering Modern Linux 2nd
内核模式下关闭/开启写保护(WriteProtect)
輚至消亡
07-12 3075
在内核态下,数据段受到写保护,并非可以直接修改,控制写保护的就是一个比特位,其位于CR0寄存器的第17位(即索引为16)。 在x86下可以通过内联汇编来修改该位。但是在64位下无法使用内联汇编了。还是有办法可以实现对WP位的控制。 // 关闭CR0控制寄存器内的WP位 KIRQL WriteProtectOff() { KIRQL OldIrql = 0; ULONG_PTR cr0 = 0; // 提升IRQL等级到Dispatch Level OldIrql = KeRaiseIr.
Win64 驱动内核编程-3.内核里使用内存
天使也掉毛
03-04 4587
内核里使用内存 内存使用,无非就是申请、复制、设置、释放。在 C 语言里,它们对应的函数是:malloc、memcpy、memset、free;在内核编程里,他们分别对应 ExAllocatePool、RtlMoveMemory、 RtlFillMemory、ExFreePool。它们的原型分别是:                                需要注意的是,RtlFi
驱动开发:内核CR3切换读写内存
热门推荐
CSDN
09-25 1万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
Win64 驱动内核编程-33.枚举与删除对象回调
07-04 283
转载:http://www.voidcn.com/article/p-wulgeluy-bao.html 枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在ObjectType.CallbackList这 个双向链表里。但对象结构体在每个系统上都不一定相同。比如WIN7X64的结构体如下: ntdll!_OBJECT_TYPE +0x00...
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
zfdyq
05-23 1万+
上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。
Win64 驱动内核编程-32.枚举与删除注册表回调
天使也掉毛
04-04 2483
枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,则用来监控自启动等键值。 注册表回调在XP系统上貌似是一个数组,但是从WIN...
Windows X64关闭内存写保护和打开内存写保护的代码
wing的专栏
03-20 5192
 关闭内存写保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存写保护的
Windows 64位驱动 关闭内存保护
whatday的专栏
07-27 4291
包含头文件#include 关闭内存写保护的代码: KIRQL WPOFFx64() { KIRQL irql=KeRaiseIrqlToDpcLevel(); UINT64 cr0=__readcr0(); cr0 &= 0xfffffffffffeffff; __writecr0(cr0); _disable(); return irql; }
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
天使也掉毛
03-26 5095
Ring0InLineHook和UnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
x64驱动 关闭&开启 写时保护
墨鱼菜鸡
07-06 267
背景 在内核里想要写入“别人的”内存(一般指 NTOS 等系统模块的内存空间),需要遵守一个规则 : IRQL和内存保护。 IRQL称为中断请求级别,从0~31 共32个级别内存保护可以打开和关闭,如果在内存处于保护状...
通过修改CR0取消内存写保护
qq_33215865的博客
10-14 3633
在x86_64进行补丁系统的原地址指令更改时,会因为x86的内存保护,使得对原地址的写操作引起内核panic,报oops。可以通过修改CR0寄存器的第16位暂时关闭写保护。 1、CR0     CR0 是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。     CR0的第16位是写保护未即WP位(486系列之后),只要将这一位置0就可以禁用写保护,置1...
Win64 驱动内核编程-20.UnHook SSDT
天使也掉毛
03-23 1615
UNHOOK SSDT     要恢复 SSDT,首先要获得 SSDT 各个函数的原始地址,而 SSDT 各个函数的原始地址,自然是存储在内核文件里的。于是,有了以下思路: 1.获得内核里 KiServiceTable 的地址(变量名称:KiServiceTable) 2.获得内核文件在内核里的加载地址(变量名称:NtosBase) 3.获得内核文件在 PE32+结构体里的映像基址(变量名
linux驱动学习路线
最新发布
10-10
3. 熟悉设备驱动模型:了解设备驱动的概念、分类和工作原理。学习 Linux 设备模型和驱动模型,掌握设备树和设备驱动绑定的相关知识。 4. 学习 Linux 驱动框架:了解 Linux 内核提供的驱动框架,例如字符设备驱动、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值