windows驅(qū)動(dòng)
介紹Windows驅(qū)動(dòng)及其開(kāi)發(fā)方面的知識(shí)
IRP中I/O堆棧Parameters.Create參數(shù)
摘要: IRP中I/O堆棧Parameters.Create參數(shù)
在IO_STACK_LOCATION結(jié)構(gòu)體中,Parameters這個(gè)union其中有個(gè)Create結(jié)構(gòu)體,對(duì)應(yīng)IRP_MJ_CREATE,此IRP的分發(fā)函數(shù)處理應(yīng)用層的CreateFile函數(shù),
CreateFile函數(shù)進(jìn)入內(nèi)核后是調(diào)用ZwCreateFile
在ZwCreateFile中設(shè)置的一些參數(shù),在Parameters.Create中可以獲取到。
閱讀全文
UNICODE_STRING使用小提示
摘要: 使用UNICODE_STRING 時(shí),一定要手動(dòng)設(shè)置UNICODE_STRING 的Length和MaximumLength 成員,不要想當(dāng)然的認(rèn)為設(shè)置了Buffer后,Length和MaximumLength 成員就會(huì)根據(jù)Buffer被自動(dòng)設(shè)置。由其是當(dāng)自己寫(xiě)的函數(shù)用UNICODE_STRING作為參數(shù)返回時(shí),一定要設(shè)置Length和 MaximumLength 成員,不然很可能得到非預(yù)期結(jié)果。
閱讀全文
如何編譯TrueCrypt 7.0a源碼
摘要: 如何編譯TrueCrypt 7.0a源碼。TrueCrypt是一款開(kāi)源的虛擬加密磁盤(pán)工具,目前最新版本是7.0a,本文以該版本源代碼為基礎(chǔ),介紹了如何在VC2008下進(jìn)行編譯。
閱讀全文
通過(guò)向設(shè)備對(duì)象\Device\Tcp發(fā)送IOCTL Code枚舉通信端口
摘要: 在應(yīng)用層,枚舉進(jìn)程及其通信端口一般可以用iphlpapi.dll中提供的函數(shù)來(lái)獲取。如獲取Tcp連接,則調(diào)用GetTcpTable或者AllocateAndGetTcpTableFromStack來(lái)查詢。這些API都是通過(guò)調(diào)用NtDeviceIoControlFile這個(gè)NativeAPI來(lái)進(jìn)入內(nèi)核查詢信息的,如果在內(nèi)核用SSDT Hook來(lái)掛鉤此函數(shù),從而隱藏特定的IP、端口信息的話,那么在應(yīng)用層,常規(guī)的查詢方法就查不到隱藏的端口了。
本文通過(guò)直接向設(shè)備對(duì)象\Device\Tcp發(fā)送IOCTL Code=IOCTL_TCP_QUERY_INFORMATION_EX的命令,直接獲取進(jìn)程,端口信息。本文也同時(shí)實(shí)現(xiàn)了UDP端口的查詢。
具體請(qǐng)參考下面的代碼,使用WinDDK 6001.18001編譯。
閱讀全文
用ZwQueryVirtualMemory枚舉進(jìn)程模塊
摘要: 枚舉進(jìn)程模塊通常可以使用諸如:CreateToolhelp32Snapshot,Module32First,Module32Next 等"Tool Help Functions"接口來(lái)實(shí)現(xiàn), 并且這也是最通用的方法(從Win95就開(kāi)始支持了), 但是今天我們要介紹的是ntdll.dll導(dǎo)出的未文檔化接口ZwQueryVirtualMemory,。相比前面所介紹的方法,該方法可以檢測(cè)出隱藏的模塊(類似IceSword)。
閱讀全文
Windows內(nèi)核驅(qū)動(dòng)中操作文件
摘要: 在Windows執(zhí)行體中,通過(guò)文件對(duì)象來(lái)代表文件,該文件對(duì)象是一種由對(duì)象管理器管理的執(zhí)行體對(duì)象。例如:目錄也是由文件對(duì)象代表的。
內(nèi)核組件通過(guò)對(duì)象名來(lái)引用文件,即在文件的全路徑前面加\DosDevices。(在Windows 2000及后續(xù)操作系統(tǒng)中,\??等同于\DosDevices)。例如,文件C:\WINDOWS\example.txt的對(duì)象名為\DosDevices\C:\WINDOWS\example.txt。你需要用對(duì)象名來(lái)打開(kāi)文件以獲取句柄。
閱讀全文
詳解IRP之?dāng)?shù)據(jù)傳輸?shù)臋C(jī)制
摘要: Windows 操作系統(tǒng)家族支持三種數(shù)據(jù)傳輸機(jī)制
閱讀全文
中斷請(qǐng)求級(jí)(轉(zhuǎn))
摘要: Windows NT為每個(gè)硬件中斷和少數(shù)軟件事件賦予了一個(gè)優(yōu)先級(jí),即中斷請(qǐng)求級(jí)(interrupt request level - IRQL)。IRQL為單CPU上的活動(dòng)提供了同步方法,它基于下面規(guī)則:
一旦某CPU執(zhí)行在高于PASSIVE_LEVEL的IRQL上時(shí),該CPU上的活動(dòng)僅能被擁有更高IRQL的活動(dòng)搶先。
閱讀全文
【轉(zhuǎn)】驅(qū)動(dòng)和應(yīng)用層的三種通信方式
摘要: 驅(qū)動(dòng)程序和客戶應(yīng)用程序經(jīng)常需要進(jìn)行數(shù)據(jù)交換,但我們知道驅(qū)動(dòng)程序和客戶應(yīng)用程序可能不在同一個(gè)地址空間,因此操作系統(tǒng)必須解決兩者之間的數(shù)據(jù)交換。
驅(qū)動(dòng)層和應(yīng)用層通信,主要是靠DeviceIoControl函數(shù)
閱讀全文
NDIS網(wǎng)絡(luò)驅(qū)動(dòng)程序編程要點(diǎn)
摘要: 編寫(xiě)Windows 2000的任何網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)通常都需要考慮的幾點(diǎn)問(wèn)題
1 可移植性
2 多處理器支持
3 IRQLs
4 同步和指示
5 包結(jié)構(gòu)
6 使用共享內(nèi)存
7 異步I/O和完成函數(shù)
閱讀全文
驅(qū)動(dòng)編程中使用結(jié)構(gòu)化異常處理(SEH)
摘要: 摘自《Windows驅(qū)動(dòng)開(kāi)發(fā)技術(shù)詳解》
結(jié)構(gòu)化異常處理(SHE, Structured Exception Handling)是微軟編譯器提供的獨(dú)特處理機(jī)制,這種處理方式能在一定程度上在出現(xiàn)錯(cuò)誤的情況下,避免程序崩潰。先說(shuō)明兩個(gè)概念。
閱讀全文
使用Prefast測(cè)試驅(qū)動(dòng)問(wèn)題
摘要: Prefast是MS開(kāi)發(fā)的一個(gè)測(cè)試驅(qū)動(dòng)代碼的小工具,
它的作用是盡早找出代碼中常的BUG.
在編譯時(shí)參與進(jìn)來(lái)查找BUG.
閱讀全文
構(gòu)建Windows驅(qū)動(dòng)開(kāi)發(fā)環(huán)境
摘要: 詳細(xì)介紹了三種構(gòu)造驅(qū)動(dòng)開(kāi)發(fā)環(huán)境的方法
閱讀全文
驅(qū)動(dòng)調(diào)試的一般性技巧
摘要: 一般性調(diào)試技巧包括打印調(diào)試信息、查看dump文件等。這些方法在調(diào)試驅(qū)動(dòng)中比較常見(jiàn),使用也比較簡(jiǎn)單。
閱讀全文
驅(qū)動(dòng)調(diào)試的幾個(gè)細(xì)節(jié)問(wèn)題IRQL_NOT_LESS_OR_EQUAL
摘要: 今天在調(diào)試驅(qū)動(dòng)的時(shí)候,發(fā)現(xiàn)一個(gè)開(kāi)始覺(jué)得很奇怪的問(wèn)題,就是調(diào)用RtlStringCbPrintfW函數(shù)來(lái)格式化WCHAR字符串時(shí),一定藍(lán)屏,提示
IRQL_NOT_LESS_OR_EQUAL,并且比較郁悶的是,在虛擬機(jī)上有時(shí)不會(huì)出現(xiàn),有時(shí)會(huì)出現(xiàn),但在真正的主機(jī)上一定會(huì)出現(xiàn)(Windows xp sp2)。
一般出現(xiàn)IRQL_NOT_LESS_OR_EQUAL,是IRQL在級(jí)別高的地方調(diào)用了分頁(yè)內(nèi)存,所以,我就想到把當(dāng)前的IRQL打出來(lái)看看,發(fā)現(xiàn)在進(jìn)入函數(shù)
的時(shí)候,當(dāng)前的IRQL是0(PASSIVE_LEVEL),而在執(zhí)行這段代碼的地方,IRQL是2(DISPATCH_LEVEL),是什么原因使得IRQL發(fā)生了變化呢?
仔細(xì)查看代碼后,發(fā)現(xiàn)了原因,因?yàn)樵趫?zhí)行這段代碼之前,通過(guò)NdisAcquireSpinLock獲取旋轉(zhuǎn)鎖,而在旋轉(zhuǎn)鎖釋放之前,其中的代碼是跑在
IRQL=2的,另外,RtlStringCbPrintfW需要處理分頁(yè)內(nèi)存(PagedPool),但在IRQL=2的情況下,是只能處理非分頁(yè)內(nèi)存的(NonpagedPool),所以,
閱讀全文
NDIS 中間層驅(qū)動(dòng)(IM Driver)的安裝與卸載過(guò)程
摘要: 中間層驅(qū)動(dòng)對(duì)上層來(lái)說(shuō),扮演一個(gè)Miniport Driver的角色,它在上邊沿向NDIS注冊(cè)一組Miniportxxx函數(shù);對(duì)于下層Miniport Driver來(lái)說(shuō),中間層驅(qū)動(dòng)扮演一個(gè)Protocol Driver的角色,因此它在下邊沿向NDIS注冊(cè)一組Protocolxxx函數(shù)。Miniport Driver通過(guò)調(diào)用NdisMRegisterMiniport向NDIS注冊(cè)一組MiniportXxx函數(shù);Protocol Driver 通過(guò)調(diào)用 NdisRegisterProtocol向NDIS注冊(cè)一組ProtocolXxx函數(shù)。
閱讀全文
使用WinDbg和VMware調(diào)試NDIS中間層驅(qū)動(dòng)程序
摘要: 我這里將一步一步的介紹,是從新手的角度來(lái)講的,所以對(duì)高手來(lái)說(shuō),可能有些啰嗦。如果你看完這篇文章還不知道如何設(shè)置,那么原因可能有兩個(gè):1. 我沒(méi)講好;2. 你需要稍微認(rèn)真看下并實(shí)踐下,并實(shí)現(xiàn)對(duì)相關(guān)基本概念要有所了解。
閱讀全文