寒江独钓-Windows内核安全编程笔记-第3章代码和笔记

最新推荐文章于 2022-01-16 15:39:06 发布
最新推荐文章于 2022-01-16 15:39:06 发布
阅读量844 收藏 1
点赞数
分类专栏: MFC
本文链接:https://blog.csdn.net/defaultbyzt/article/details/46829553
版权
MFC 同时被 2 个专栏收录
77 篇文章 5 订阅
订阅专栏
驱动
3 篇文章 1 订阅
订阅专栏

第3章代码 

// #include 
   
   
    
    
#include 
    
    
     
     
#define NTSTRSAFE_LIB
#include 
     
     
      
      

#define  CPP_MAX_COM_ID 32
#define     DELAY_ONE_MICROSECOND (-10)
#define     DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
#define     DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)
static PDEVICE_OBJECT s_fltobj[CPP_MAX_COM_ID] = {0};
static PDEVICE_OBJECT s_nextobj[CPP_MAX_COM_ID] = {0};


NTSTATUS ccpAttachDevice(
    PDRIVER_OBJECT driver
    , PDEVICE_OBJECT oldobj
    , PDEVICE_OBJECT *fltobj
    , PDEVICE_OBJECT *next)
{
    NTSTATUS status;
    PDEVICE_OBJECT topdev = NULL;
    // IoCreateDevice 创建设备对象
    // driver 驱动程序对象 , oldobj->DeviceType设备的类型
    // fltobj指向接收DEVICE_OBJECT结构体的指针
    status = IoCreateDevice (driver, 0, NULL, oldobj->DeviceType, 0, FALSE, fltobj);
    if (status != STATUS_SUCCESS)
    {
        return status;
    }

    if (oldobj -> Flags & DO_BUFFERED_IO)
    {
        (*fltobj)->Flags |= DO_BUFFERED_IO;
    }
    if (oldobj->Flags & DO_DIRECT_IO)
    {
        (*fltobj)->Flags |= DO_DIRECT_IO;
    }
    if (oldobj->Flags & FILE_DEVICE_SECURE_OPEN)
    {
        (*fltobj)->Characteristics |= FILE_DEVICE_SECURE_OPEN;
    }
    (*fltobj)->Flags |= DO_POWER_PAGABLE;
    // 将调用方的设备对象附加到设备对象链中的最高层,并返回之前在设备对象链中最高的设备对象。
    // fltobj需要附着的源设备对象, oldobj附着到的目标设备对象
    // 把fltobj放到oldobj所在的链的顶端
    topdev = IoAttachDeviceToDeviceStack (*fltobj, oldobj);
    if (NULL == topdev)
    {
        // 从系统中删除一个设备对象fltobj
        // VOID IoDeleteDevice(
        //     _In_ PDEVICE_OBJECT DeviceObject
        //     );
        //     DeviceObject 要删除的设备对象指针
        IoDeleteDevice (*fltobj);
        *fltobj = NULL;
        status = STATUS_UNSUCCESSFUL;
        return status;
    }
    *next = topdev;

    (*fltobj)->Flags = (*fltobj)->Flags & ~DO_DEVICE_INITIALIZING;
    return STATUS_SUCCESS;
}

PDEVICE_OBJECT cppOpenCom(ULONG id, NTSTATUS *status)
{
    UNICODE_STRING name_str;
    static WCHAR name[32] = {0};
    PFILE_OBJECT fileobj = NULL;
    PDEVICE_OBJECT devobj = NULL;
    memset (name, 0, sizeof(WCHAR)*32);
    RtlStringCchPrintfW(name, 32, L"\\Device\\Serial%d", id);
    RtlInitUnicodeString (&name_str, name);
    // 获取命名对象
    // IoGetDeviceObjectPointer返回一个指向命名对象设备堆栈顶部的对象指针和
    // 相应的文件对象指针
    // The IoGetDeviceObjectPointer routine returns a pointer to the top object 
    // in the named device object's stack and a pointer to the corresponding file object, 
    // if the requested access to the objects can be granted.
    *status = IoGetDeviceObjectPointer(&name_str, FILE_ALL_ACCESS, &fileobj, &devobj);
    if (*status == STATUS_SUCCESS)
    {
        // 解除引用。
        // ObDereferenceObject检查给定对象的引用计
        // The ObDereferenceObject routine decrements the given object's reference count
        // and performs retention checks.
        ObDereferenceObject(fileobj);
    }
    return devobj;
}




void cppAttachAllCom(PDRIVER_OBJECT driver)
{
    ULONG i;
    PDEVICE_OBJECT com_ob;
    NTSTATUS status;
    for (i = 0; i < CPP_MAX_COM_ID; ++i)
    {
        com_ob = cppOpenCom (i, &status);
        if (NULL == com_ob)
        {
            continue;
        }
        ccpAttachDevice(driver, com_ob, &s_fltobj[i], &s_nextobj[i]);
    }
}

NTSTATUS ccpDispatch(PDEVICE_OBJECT device, PIRP irp)
{
    PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation (irp);
    NTSTATUS status;
    ULONG i, j;
    for (i = 0; i < CPP_MAX_COM_ID; ++i)
    {
        if (device == s_fltobj[i])
        {
            if (irpsp->MajorFunction == IRP_MJ_POWER)
            {
                // The PoStartNextPowerIrp routine signals the power manager that 
                // the driver is ready to handle the next power IRP.
                // (Windows Server 2003, Windows XP, and Windows 2000 only.)
                PoStartNextPowerIrp (irp);
                // The IoSkipCurrentIrpStackLocation macro modifies the system's
                // IO_STACK_LOCATION array pointer, so that when the current
                // driver calls the next-lower driver, that driver receives
                // the same IO_STACK_LOCATION structure that
                // the current driver received.
                IoSkipCurrentIrpStackLocation (irp);
                // The PoCallDriver routine passes a power IRP to the next-lower 
                // driver in the device stack. 
                // (Windows Server 2003, Windows XP, and Windows 2000 only.)
                return PoCallDriver (s_nextobj[i], irp);
            }
            if (irpsp->MajorFunction == IRP_MJ_WRITE)
            {
                ULONG len = (irpsp->Parameters.Write.Length);
                PUCHAR buf = NULL;
                if (irp->MdlAddress != NULL)
                {
                    // The MmGetSystemAddressForMdlSafe macro returns a 
                    // nonpaged system-space virtual address for the buffer that
                    // the specified MDL describes.
                    buf = (PUCHAR)MmGetSystemAddressForMdlSafe(
                        irp->MdlAddress, NormalPagePriority);
                }
                else
                {
                    buf = (PUCHAR)irp->UserBuffer;
                }
                if (NULL == buf)
                {
                    buf = (PUCHAR)irp->AssociatedIrp.SystemBuffer;
                }

                for (j = 0; j < len; ++j)
                {
                    DbgPrint("comcap: Send Data: %2x\r\n", buf[j]);
                }
            }

            IoSkipCurrentIrpStackLocation (irp);
            // The IoCallDriver routine sends an IRP to the driver associated with
            // a specified device object.
            // 发送irp给s_nextobj[i]
            return IoCallDriver (s_nextobj[i], irp);
        }
    }
    irp->IoStatus.Information = 0;
    irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
    // The IoCompleteRequest routine indicates that the caller has completed all processing
    // for a given I/O request and is returning the given IRP to the I/O manager.
    // 调用者已完成所有处理对于一个给定的I / O请求和返回给定的irp到I / O管理器。
    IoCompleteRequest(irp, IO_NO_INCREMENT);
    return STATUS_SUCCESS;
}


void ccpUnload(PDRIVER_OBJECT drv)
{
    ULONG i;
    LARGE_INTEGER interval;
    for (i = 0; i < CPP_MAX_COM_ID; ++i)
    {
        if (NULL != s_nextobj[i])
        {
            // The IoDetachDevice routine releases an attachment between the caller's 
            // device object and a lower driver's device object.
            // 从设备链上删除 s_nextobj[i]
            // s_nextobj[i] 下层堆栈上的设备对象  
            IoDetachDevice (s_nextobj[i]);
        }
    }
    interval.QuadPart = 5*1000*DELAY_ONE_MILLISECOND;
    // The KeDelayExecutionThread routine puts the current thread into an alertable or
    // nonalertable wait state for a specified interval.
    // 延时
    KeDelayExecutionThread (KernelMode, FALSE, &interval);
    for (i = 0; i < CPP_MAX_COM_ID; ++i)
    {
        if (NULL != s_fltobj[i])
        {
            IoDeleteDevice (s_fltobj[i]);
        }
    }
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
    size_t i;
#if DBG
    _asm int 3;
#endif
    for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; ++i)
    {             
        driver->MajorFunction[i] = ccpDispatch;
    }

    driver->DriverUnload = ccpUnload ;
    cppAttachAllCom (driver);
    return STATUS_SUCCESS;
}


张拓1070410059
关注
专栏目录
寒江独钓代码寒江独钓随书光盘代码
06-25
寒江独钓新书源代码,请大家测试下载学习。。。。。。。。。。
寒江独钓-Windows内核安全编程(完整版)--源码
02-23
寒江独钓-Windows内核安全编程(完整版)--源码 寒江独钓-Windows内核安全编程(完整版)--源码
寒江独钓——Windows内核安全编程(光盘)
04-25
寒江独钓——Windows内核安全编程(光盘) 有很多值得学习的代码
寒江独钓-Windows内核安全编程(完整版).pdf
编程论坛
08-13 8603
寒江独钓-Windows内核安全编程(完整版).pdf 编写Windows内核程序,就意味着这个程序可以执行任意指令,可以访问计算机所有的软件、硬件资源。因此,稍有不慎就有可能将系统变得不稳定。Windows的设计者设计了各种驱动模型或者框架,如NT式内核驱动模型、WDM框架和新推出的WDF框架。在这些模型框架下编程,就使内核编程变得简单,同样也降低了内核程序崩溃的机会。其实,Windows驱动程...
寒江独钓 第三 串口的过滤
流星的专栏
11-24 604
3.1.1设备绑定API     根据设备的名字进行绑定: NTSTATUS IoAttachDevice{ IN PDEVICE_OBJECT SourceDevice, //用来过滤的虚拟设备 IN PUNICODE_STRING TargetDevice,//要被绑定的设备的名字 OUT PDEVICE_OBJECT *AttachedDevice //返回绑定
寒江独钓-windows内核安全编程-源代码
10-15
寒江独钓-windows内核安全编程一书的所有源码
寒江独钓-Windows内核安全编程完整版(内附源码)
01-25
完整的零基础学习windows下驱动编程(内附源码)。内核编程环境配置;串口过滤、键盘过滤;磁盘虚拟;磁盘过滤;文件系统过滤与监控;文件系统透明加密;文件系统微过滤;网络传输层过滤;NDIS协议驱动;NDIS小端口驱动;NDIS中间层驱动
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
寒江独钓--Windows内核安全编程》是一份深入探讨Windows操作系统内核安全编程的珍贵资源,由知名技术专家“寒江独钓”编著。这份资料包含了丰富的Windows内核驱动开发实例,覆盖了从磁盘驱动、文件系统驱动到网络...
寒江独钓-Windows内核安全编程》电子书及源码.rar
最新发布
03-29
总之,《寒江独钓-Windows内核安全编程》是一本全面的教程,不仅讲解了Windows内核的基础知识,还深入探讨了安全编程的技术与实践,是从事Windows系统开发和安全研究者的宝贵参考资料。通过阅读本书和研究提供的源码...
寒江独钓-Windows内核安全编程 和 随书光盘
10-22
寒江独钓-Windows内核安全编程》是一本深入探讨Windows内核安全编程的专业书籍。书中涵盖了驱动开发的关键技术和安全实践,旨在帮助读者理解如何在Windows操作系统内核层面上进行安全、高效的程序设计。这一领域的...
Windows内核源码详尽分析
05-28
本文结合《Windows内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows核心编程》、《寒江独钓-Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及ReactOS操作系统 (V0.3.12)源码,以《Windows内核情景分析》为蓝本,对Windows内核重要框架、函数、结构体进行解析 由于工程庞大,我能理解到的只是冰山一角,但本文力求做到让每个读者都能从整体上理解Windows内核的架构,并大量解释一些关键细节。
windows内核安全与驱动开发(pdf+源码).zip
01-04
windows内核安全与驱动开发(pdf+源码).zip
寒江独钓-Windows内核安全编程 光盘源代码 谭文
05-15
本书作者谭文,在此仅供学习交流之用,请勿用于商业用途
寒江独钓——Windows内核安全编程》配书源代码
07-11
寒江独钓——Windows内核安全编程》配书源代码 ----------------------------------------- 《寒江独钓——Windows内核安全编程》从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程
寒江独钓_Windows内核安全编程源码.rar
01-26
寒江独钓_Windows内核安全编程源码.rar 寒江独钓_Windows内核安全编程源码.rar
寒江独钓---Windows内核安全编程》串口过滤详解(未完全)
For Geek
03-22 405
0x0 感慨 好久没写正规的博客了 学习《寒江独钓Windows内核安全编程》已有两周有余,写此篇仅以录入本人觉得重要的知识点及串口过滤的完整代码详解。 0x1 过滤概念 书上是这么说的,过滤是在不影响上层和下层的接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。 这句话我理解的大概是这样的,即我们写的驱动过滤程序实际上是像一层...
【Python GUI 窗口句柄定位】——使用鼠标指针定位窗口句柄并获得对应的程序属性值,针对流氓软件绰绰有余
热门推荐
₰₯₮ 的博客
01-16 14万+
GUI窗口 使用鼠标指针进行定位程序,获得程序的窗口句柄、窗口类名、窗口标题、线程ID、进程ID、进程名称、进程路径、CPU用量、线程数、窗口定位及鼠标坐标,并附加五项可操作控件,强制置顶、取消置顶、显示顶部、前置终止、打开文件所在位置,可显示定位程序的图标。 点个赞留个关注吧!! 将红色框的指针拖到指定程序上,就会获得属性值 此程序使用要注意的事项: 使用须知: 1、在软件内有一个大的圆形图标,用鼠标左键进行拖拽到指定文件上会显示文件的所有属性 但不能左键一直拖动超过10秒,.
<寒江独钓>学习笔记 -- 第四 Hook分发函数 过滤键盘输入
lup7in的专栏
11-26 2137
转载请注明出处:http://blog.csdn.net/lup7in/article/details/7015497 最近在学习windows内核编程,下面是《寒江独钓》第四hook分发函数过滤键盘输入的源代码,书上没有提供完整的代码,经过调试完成了这部分代码,下面把代码分享出来,有不对的地方,希望大牛指教。 #include #include #define NTSTRSAFE
<寒江独钓>Windows内核安全编程__Ramdisk源码解读
The New Old Things
10-20 4738
这篇文来介绍一下WDK中提供的一个案例源码--Ramdisk虚拟磁盘。这个例子实现了一个非分页内存做的磁盘储存空间,并将其以一个独立磁盘的形式暴露给用户,用户可以将它格式化成一个Windows能够使用卷,并且像操作一般的磁盘卷一样对它进行操作。由于使用了内存作为虚拟的存储介质,使这个磁盘具有一个显著的特点,性能的提高。这个例子所使用的微软WDF驱动框架。 入口函数 1.入口函数的定义 任何
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值