驱动对象初识

已于 2022-07-09 23:05:07 修改
阅读量245 收藏
点赞数
分类专栏: Windows内核 文章标签: 系统安全 安全 windows
于 2022-07-09 16:55:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45678798/article/details/125695404
版权

介绍:

驱动程序:就是一个.sys模块,
驱动对象:则是.sys被加载到内核中的实例化出来的对象, 用于表示这个驱动模块.

ntdll!_DRIVER_OBJECT
   +0x000 Type             : 0n4
   +0x002 Size             : 0n168
   +0x004 DeviceObject     : (null) 
   +0x008 Flags            : 0x12
   +0x00c D      : 0xf794d000 Void
   +0x010 DriverSize       : 0x6000
   +0x014 DriverSection    : 0x8619bcb8 Void
   +0x018 DriverExtension  : 0x86127460 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING "\Driver\MyDriver1"
   +0x024 HardwareDatabase : 0x80671ae0 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x028 FastIoDispatch   : (null) 
   +0x02c DriverInit       : 0xf7951000     long  MyDriver1!GsDriverEntry+0
   +0x030 DriverStartIo    : (null) 
   +0x034 DriverUnload     : 0xf794e030     void  MyDriver1!DriverUnload+0
   +0x038 MajorFunction    : [28] 0x804f454a     long  nt!IopInvalidDeviceRequest+0

type:驱动对象类型
Size:驱动对象大小
DeviceObject:设备对象
DriverStart:驱动加载的位置
DriverSize:模块大小
DriverSection:一个结构体,未导出文档 _LDR_DATA_TABLE_ENTRY
DriverExtension:驱动扩展对象,一个结构体
DriverName:驱动名
HardwareDatabase:驱动注册表路径
DriverInit:驱动入口点
DriverUnload:驱动卸载函数地址
MajorFunction:回调函数列表
驱动前两个字段是固定的,可以通过特征找到系统中所以驱动,替换MajorFunction拦截消息

kd> dt _DRIVER_EXTENSION
ntdll!_DRIVER_EXTENSION
   +0x000 DriverObject     : Ptr32 _DRIVER_OBJECT //指向当前驱动对象首地址。
   +0x004 AddDevice        : Ptr32     long 
   +0x008 Count            : Uint4B
   +0x00c ServiceKeyName   : _UNICODE_STRING //驱动服务注册表文件夹名。
   +0x014 ClientDriverExtension : Ptr32 _IO_CLIENT_EXTENSION
   +0x018 FsFilterCallbacks : Ptr32 _FS_FILTER_CALLBACKS

kd> dt _LDR_DATA_TABLE_ENTRY
ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY //双向链表,加载的模块
   +0x008 InMemoryOrderLinks : _LIST_ENTRY
   +0x010 InInitializationOrderLinks : _LIST_ENTRY
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING //驱动对象全路径
   +0x02c BaseDllName      : _UNICODE_STRING //驱动名字
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B //校验和
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 Void
   +0x04c PatchInformation : Ptr32 Void

驱动断链隐藏

#include<ntddk.h>
#pragma warning( disable : 4100)
void DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("卸载!");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)//类似main
{
	PLIST_ENTRY Section;
	Section = pDriver->DriverSection;;
	DbgPrint("%wZ Hello world %X!", pReg, pDriver);//输出驱动安装位置&驱动所在地址
	DbgBreakPoint();
	Section->Blink->Flink = Section->Flink;
	Section->Flink->Blink = Section->Blink;
	DbgBreakPoint();
	pDriver->DriverUnload = DriverUnload;//驱动程序必须含有卸载函数
	return STATUS_SUCCESS;
}

写拷贝:

是指如果在当前写的地址是写拷贝属性的,会报一个异常,然后会把你写的地址所有内容复制到另一个新的地址中去,在新的地址中进行写操作。并不会影响原内容

kd> dt _EPROCESS 85ef90f8  
ntdll!_EPROCESS
...
   +0x0c4 ObjectTable      : 0xe1499c18 _HANDLE_TABLE
   +0x0c8 Token            : _EX_FAST_REF
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : 0x1a687
   +0x0f0 AddressCreationLock : _FAST_MUTEX
   +0x110 HyperSpaceLock   : 0
   +0x114 ForkInProgress   : (null) 
   +0x118 HardwareTrigger  : 0
   +0x11c VadRoot          : 0x85fc7378 Void        //线性地址管理的基址
   +0x120 VadHint          : 0x85ec6978 Void
   +0x124 CloneRoot        : (null) 
   +0x128 NumberOfPrivatePages : 0x217
   +0x12c NumberOfLockedPages : 0
   +0x130 Win32Process     : 0xe10a4300 Void
...

kd> !vad 0x85fc7378 
VAD   Level     Start       End Commit
...
861a7f00  7      18b0      1aaf     89 Private      READWRITE          
85ec6978  2     50000     50147      8 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\DEVSHL.DLL
85ec6f30  5     50300     5035d      4 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\DEVPRJ.PKG
85e74f30  6     50400     50578     21 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVRES.PKG
86192a10  4     50800     508bc     15 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\DEVEDIT.PKG
86181f30  6     50c00     50c93      7 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVDBG.PKG
...
level :层级
start :开始地址 单位是页
end : 结束地址
commit : 属性   EXECUTE_WRITECOPY -写拷贝

绕过方法:
申请一个新的线性地址,新的pte 。和要hook的地方指向同一个物理页
直接修改pte的属性为可读可写,就不会触发异常,也就不会触发写拷贝了。

路灯下的花盆
关注
专栏目录
理解驱动对象DriverObject
听风的雨滴
03-30 3926
每个驱动程序都会有唯一一个驱动对象表示,驱动对象是对驱动程序的实例化。她由Ring0层的执行体组件中的IO管理器负责加载,并且每个驱动只加载一个实例。在wdm.h头文件中。DriverObject结构如下: typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; // // The following
驱动对象 设备对象 设备栈 乱杂谈
jiurl的专栏
12-15 5687
驱动对象 设备对象 设备栈 乱杂谈作者: JIURL                 主页: http://jiurl.yeah.net         用有限的几句话就舒舒服服的建立起对驱动对象和设备对象的概念是不可能的。刚开始是一片模糊,了解的多了,慢慢就清楚。下面的内容会使你对
驱动对象(Driver Object)
autumn20080101的专栏
05-18 848
驱动对象(Driver Object) 1.在操作系统首次装载一个驱动程序之后,它会创建一个数据结构用来记录该驱动,该数据结构我们称为驱动对象(Driver Object)。 2.驱动对象记录与驱动程序本身相关的信息,它主要包含了除了DriverEntry之外的其它驱动程序入口函数的入口地址。(驱动程序是一种具有多个入口函数的程序) 3.驱动对象是由操作系统创建,然后作为Driv
驱动对象和设备对象
qq_41490873的博客
07-21 482
驱动对象 驱动对象,本质就是内核中一块描述驱动信息的内存 kd> dt _DRIVER_OBJECT 8988fe20 +0x000 Type : 4 //NT式驱动的类型为4 +0x002 Size : 168 //该结构体的大小 +0x004 DeviceObject : (null) //自己创建的设备对象驱动中所有的设备对象会组成一个链表。 +0x008 Flags : 0x12 +0x00c Dr
驱动对象(DRIVER_OBJECT)
YL_WH的专栏
09-06 1088
驱动对象(DRIVER_OBJECT)  每个驱动程序对象代表了一个加载了的内核模式驱动程序映像.这个驱动对象就是以 DRIVER_OBJECT结构体的形式存在的.这个驱动对象的指针从驱动程序的DriverEntry函数 或AddDevice函数的参数传入的. typedef struct {     PDEVICE_OBJECT DeviceObject;     // 设备对
Windows驱动中的驱动对象
Z18_28_19的专栏
08-26 1571
Windows中的驱动对象,顾名思义,就代码驱动程序本身。下面给出WDM中的驱动对象的数据结构的定义。                 这里我们只介绍几个数据成员,其它的成员以后再介绍。         DeviceObject,代表驱动程序支持的第一个设备,再通过设备对象的水平结构,也及时DeviceOjbect中的NextDevice,我们可以把所有这个驱动程序支持的一组设备,通过设备
驱动对象DRIVER_OBJECT
BpLife
12-03 921
每个驱动程序会有唯一的DRIVER_OBJECT驱动对象与之对应,并且这个DRIVER_OBJECT是在驱动加载时候,被内核中的对象管理器所创建。它作为驱动一个实例被内核加载,并且内核对一个驱动只加载一个实例。确切的说,是由内核的I/O管理器负责加载的。驱动程序需要在DriveEntry中初始化。 typedef struct _DRIVER_OBJECT { CSHORT Type;
Struts2之模型驱动及分层架构初识案例struts004
11-22
本案例“Struts2之模型驱动及分层架构初识”将深入探讨Struts2中的模型驱动模式和分层架构的概念及其应用。通过实践案例struts004,我们可以更直观地理解这些关键概念。 首先,让我们来了解**模型驱动**。在Struts2...
头歌初识redis答案
最新发布
06-06
- **发布/订阅模式**:通过发布/订阅模式,Redis可以实现消息队列的功能,支持事件驱动的应用程序。 - **Lua脚本**:利用Lua脚本可以执行更复杂的逻辑,减少网络往返次数,提高效率。 综上所述,Redis不仅提供了...
【编程理念】初识TDD(测试驱动开发)思想
不同地方的猴子的博客
01-01 931
-------------------------------------------------------START---------------------------------------------------------------------- 今天是2020年元旦,先祝大家新的一年工作顺利;只争朝夕,不负韶华! 好久没更新了,今天分享的主题为:测试驱动开发,简称TDD。 T...
驱动对象与设备对象的区别
03-17
驱动程序对象有一个DeviceObject域指向一个设备对象链表,每个设备对象代表一个设备。
初识libevent:事件驱动编程的基础概念
而libevent作为一个优秀的事件驱动库,在网络编程和服务器开发中发挥着关键作用。libevent最初由Niels Provos开发,旨在提供一个轻量级但高效的事件通知库,用于开发高性能和可扩展的网络应用程序。 ## 1.2 ...
初识Windows内核驱动编程:概述与基本概念
Windows内核驱动编程基础概念简介 ## 1.1 Windows内核驱动编程的定义与概述 在Windows操作系统中,内核驱动程序是一种特殊类型的软件,用于与硬件设备进行通信和控制。内核驱动程序在操作系统内核空间执行,具有...
驱动对象DRIVER_OBJECT)
门没锁的专栏
05-14 5706
每一个驱动对象代表着一个已经装载的内核模式下的驱动, 指向驱动对象的指针是驱动程序中以下例程的输入参数之一: DriverEntry, AddDevice, Reinitialize(可选例程),Unload(可选例程)。 驱动对象是一个半透明对象驱动编写者必须熟悉它的某些成员对象,以实现驱动的初始化功能和卸载功能(如果该驱动能够卸载)。以下列出的是驱动对象中能被驱动访问的成员:   可访
对象驱动和模型驱动
qq_35232663的博客
04-27 1120
对象驱动 是通过声明对象属性来接收参数,比如private Student s;set get方法前台传来sid,对象驱动是接收不到得,必须传s.sid模型驱动可以接收
驱动文件管理之文件对象和磁盘对象
苞米地里捉小鸡的博客
10-20 356
1.首先获取磁盘文件对象 status = ObReferenceObjectByHandle(hRootFile, FILE_READ_ACCESS, *IoFileObjectType, KernelMode, &pRootFileObject, NULL); 2.获取磁盘设备对象 // 获取磁盘根目录设备对象 RootDeviceObject = pRootFileObject->Vpb->DeviceObject; RootRealDevice = pRootFi...
驱动开发:探索DRIVER_OBJECT驱动对象
CSDN
04-03 7068
本章将探索驱动程序开发的基础部分,了解驱动对象`DRIVER_OBJECT`结构体的定义,一般来说驱动程序`DriverEntry`入口处都会存在这样一个驱动对象,该对象内所包含的就是当前所加载驱动自身的一些详细参数,例如驱动大小,驱动标志,驱动名,驱动节等等,每一个驱动程序都会存在这样的一个结构。
SOA:软件架构与业务转型的核心驱动
3. 编程角度:虽然有人认为SOA可能是继面向对象编程后的一种新编程范式,但SOA本身并非全新的编程方法,而是基于面向对象编程的一种实践,它强调服务之间的松耦合,允许开发者更容易地复用和组合服务。 4. 发展历程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值