windows驅(qū)動
介紹Windows驅(qū)動及其開發(fā)方面的知識
IRP中I/O堆棧Parameters.Create參數(shù)
摘要: IRP中I/O堆棧Parameters.Create參數(shù)
在IO_STACK_LOCATION結(jié)構(gòu)體中,Parameters這個union其中有個Create結(jié)構(gòu)體,對應(yīng)IRP_MJ_CREATE,此IRP的分發(fā)函數(shù)處理應(yīng)用層的CreateFile函數(shù),
CreateFile函數(shù)進入內(nèi)核后是調(diào)用ZwCreateFile
在ZwCreateFile中設(shè)置的一些參數(shù),在Parameters.Create中可以獲取到。
閱讀全文
posted @
2011-09-01 15:27 水 閱讀(3724) |
評論 (0) 編輯
UNICODE_STRING使用小提示
摘要: 使用UNICODE_STRING 時,一定要手動設(shè)置UNICODE_STRING 的Length和MaximumLength 成員,不要想當(dāng)然的認為設(shè)置了Buffer后,Length和MaximumLength 成員就會根據(jù)Buffer被自動設(shè)置。由其是當(dāng)自己寫的函數(shù)用UNICODE_STRING作為參數(shù)返回時,一定要設(shè)置Length和 MaximumLength 成員,不然很可能得到非預(yù)期結(jié)果。
閱讀全文
如何編譯TrueCrypt 7.0a源碼
摘要: 如何編譯TrueCrypt 7.0a源碼。TrueCrypt是一款開源的虛擬加密磁盤工具,目前最新版本是7.0a,本文以該版本源代碼為基礎(chǔ),介紹了如何在VC2008下進行編譯。
閱讀全文
通過向設(shè)備對象\Device\Tcp發(fā)送IOCTL Code枚舉通信端口
摘要: 在應(yīng)用層,枚舉進程及其通信端口一般可以用iphlpapi.dll中提供的函數(shù)來獲取。如獲取Tcp連接,則調(diào)用GetTcpTable或者AllocateAndGetTcpTableFromStack來查詢。這些API都是通過調(diào)用NtDeviceIoControlFile這個NativeAPI來進入內(nèi)核查詢信息的,如果在內(nèi)核用SSDT Hook來掛鉤此函數(shù),從而隱藏特定的IP、端口信息的話,那么在應(yīng)用層,常規(guī)的查詢方法就查不到隱藏的端口了。
本文通過直接向設(shè)備對象\Device\Tcp發(fā)送IOCTL Code=IOCTL_TCP_QUERY_INFORMATION_EX的命令,直接獲取進程,端口信息。本文也同時實現(xiàn)了UDP端口的查詢。
具體請參考下面的代碼,使用WinDDK 6001.18001編譯。
閱讀全文
posted @
2010-07-09 18:28 水 閱讀(6060) |
評論 (3) 編輯
用ZwQueryVirtualMemory枚舉進程模塊
摘要: 枚舉進程模塊通常可以使用諸如:CreateToolhelp32Snapshot,Module32First,Module32Next 等"Tool Help Functions"接口來實現(xiàn), 并且這也是最通用的方法(從Win95就開始支持了), 但是今天我們要介紹的是ntdll.dll導(dǎo)出的未文檔化接口ZwQueryVirtualMemory,。相比前面所介紹的方法,該方法可以檢測出隱藏的模塊(類似IceSword)。
閱讀全文
posted @
2010-07-05 16:32 水 閱讀(9617) |
評論 (3) 編輯
Windows內(nèi)核驅(qū)動中操作文件
摘要: 在Windows執(zhí)行體中,通過文件對象來代表文件,該文件對象是一種由對象管理器管理的執(zhí)行體對象。例如:目錄也是由文件對象代表的。
內(nèi)核組件通過對象名來引用文件,即在文件的全路徑前面加\DosDevices。(在Windows 2000及后續(xù)操作系統(tǒng)中,\??等同于\DosDevices)。例如,文件C:\WINDOWS\example.txt的對象名為\DosDevices\C:\WINDOWS\example.txt。你需要用對象名來打開文件以獲取句柄。
閱讀全文
posted @
2009-12-31 15:27 水 閱讀(10352) |
評論 (1) 編輯
詳解IRP之?dāng)?shù)據(jù)傳輸?shù)臋C制
摘要: Windows 操作系統(tǒng)家族支持三種數(shù)據(jù)傳輸機制
閱讀全文
posted @
2009-09-27 13:50 水 閱讀(1594) |
評論 (0) 編輯
中斷請求級(轉(zhuǎn))
摘要: Windows NT為每個硬件中斷和少數(shù)軟件事件賦予了一個優(yōu)先級,即中斷請求級(interrupt request level - IRQL)。IRQL為單CPU上的活動提供了同步方法,它基于下面規(guī)則:
一旦某CPU執(zhí)行在高于PASSIVE_LEVEL的IRQL上時,該CPU上的活動僅能被擁有更高IRQL的活動搶先。
閱讀全文
posted @
2009-08-13 11:34 水 閱讀(1169) |
評論 (0) 編輯
【轉(zhuǎn)】驅(qū)動和應(yīng)用層的三種通信方式
摘要: 驅(qū)動程序和客戶應(yīng)用程序經(jīng)常需要進行數(shù)據(jù)交換,但我們知道驅(qū)動程序和客戶應(yīng)用程序可能不在同一個地址空間,因此操作系統(tǒng)必須解決兩者之間的數(shù)據(jù)交換。
驅(qū)動層和應(yīng)用層通信,主要是靠DeviceIoControl函數(shù)
閱讀全文
posted @
2009-03-30 16:31 水 閱讀(4396) |
評論 (0) 編輯
NDIS網(wǎng)絡(luò)驅(qū)動程序編程要點
摘要: 編寫Windows 2000的任何網(wǎng)絡(luò)驅(qū)動程序時通常都需要考慮的幾點問題
1 可移植性
2 多處理器支持
3 IRQLs
4 同步和指示
5 包結(jié)構(gòu)
6 使用共享內(nèi)存
7 異步I/O和完成函數(shù)
閱讀全文
posted @
2009-02-22 22:43 水 閱讀(4064) |
評論 (0) 編輯
驅(qū)動編程中使用結(jié)構(gòu)化異常處理(SEH)
摘要: 摘自《Windows驅(qū)動開發(fā)技術(shù)詳解》
結(jié)構(gòu)化異常處理(SHE, Structured Exception Handling)是微軟編譯器提供的獨特處理機制,這種處理方式能在一定程度上在出現(xiàn)錯誤的情況下,避免程序崩潰。先說明兩個概念。
閱讀全文
posted @
2009-02-16 10:36 水 閱讀(3355) |
評論 (0) 編輯
使用Prefast測試驅(qū)動問題
摘要: Prefast是MS開發(fā)的一個測試驅(qū)動代碼的小工具,
它的作用是盡早找出代碼中常的BUG.
在編譯時參與進來查找BUG.
閱讀全文
posted @
2009-01-21 11:52 水 閱讀(1647) |
評論 (0) 編輯
構(gòu)建Windows驅(qū)動開發(fā)環(huán)境
摘要: 詳細介紹了三種構(gòu)造驅(qū)動開發(fā)環(huán)境的方法
閱讀全文
posted @
2009-01-20 15:07 水 閱讀(9342) |
評論 (2) 編輯
驅(qū)動調(diào)試的一般性技巧
摘要: 一般性調(diào)試技巧包括打印調(diào)試信息、查看dump文件等。這些方法在調(diào)試驅(qū)動中比較常見,使用也比較簡單。
閱讀全文
posted @
2009-01-15 15:31 水 閱讀(3705) |
評論 (2) 編輯
驅(qū)動調(diào)試的幾個細節(jié)問題IRQL_NOT_LESS_OR_EQUAL
摘要: 今天在調(diào)試驅(qū)動的時候,發(fā)現(xiàn)一個開始覺得很奇怪的問題,就是調(diào)用RtlStringCbPrintfW函數(shù)來格式化WCHAR字符串時,一定藍屏,提示
IRQL_NOT_LESS_OR_EQUAL,并且比較郁悶的是,在虛擬機上有時不會出現(xiàn),有時會出現(xiàn),但在真正的主機上一定會出現(xiàn)(Windows xp sp2)。
一般出現(xiàn)IRQL_NOT_LESS_OR_EQUAL,是IRQL在級別高的地方調(diào)用了分頁內(nèi)存,所以,我就想到把當(dāng)前的IRQL打出來看看,發(fā)現(xiàn)在進入函數(shù)
的時候,當(dāng)前的IRQL是0(PASSIVE_LEVEL),而在執(zhí)行這段代碼的地方,IRQL是2(DISPATCH_LEVEL),是什么原因使得IRQL發(fā)生了變化呢?
仔細查看代碼后,發(fā)現(xiàn)了原因,因為在執(zhí)行這段代碼之前,通過NdisAcquireSpinLock獲取旋轉(zhuǎn)鎖,而在旋轉(zhuǎn)鎖釋放之前,其中的代碼是跑在
IRQL=2的,另外,RtlStringCbPrintfW需要處理分頁內(nèi)存(PagedPool),但在IRQL=2的情況下,是只能處理非分頁內(nèi)存的(NonpagedPool),所以,
閱讀全文
posted @
2009-01-14 17:05 水 閱讀(5046) |
評論 (0) 編輯
NDIS 中間層驅(qū)動(IM Driver)的安裝與卸載過程
摘要: 中間層驅(qū)動對上層來說,扮演一個Miniport Driver的角色,它在上邊沿向NDIS注冊一組Miniportxxx函數(shù);對于下層Miniport Driver來說,中間層驅(qū)動扮演一個Protocol Driver的角色,因此它在下邊沿向NDIS注冊一組Protocolxxx函數(shù)。Miniport Driver通過調(diào)用NdisMRegisterMiniport向NDIS注冊一組MiniportXxx函數(shù);Protocol Driver 通過調(diào)用 NdisRegisterProtocol向NDIS注冊一組ProtocolXxx函數(shù)。
閱讀全文
posted @
2009-01-12 15:35 水 閱讀(5453) |
評論 (3) 編輯
使用WinDbg和VMware調(diào)試NDIS中間層驅(qū)動程序
摘要: 我這里將一步一步的介紹,是從新手的角度來講的,所以對高手來說,可能有些啰嗦。如果你看完這篇文章還不知道如何設(shè)置,那么原因可能有兩個:1. 我沒講好;2. 你需要稍微認真看下并實踐下,并實現(xiàn)對相關(guān)基本概念要有所了解。
閱讀全文
posted @
2009-01-04 16:36 水 閱讀(5830) |
評論 (4) 編輯