久久精品国产69国产精品亚洲,欧美午夜理伦三级在线观看,亚洲精品久久久久久一区二区

叶子 — Tue, 08 Apr 2008 03:17:00 GMT

05�q�的老文章了,今天才看�?一直想做而没有做出来的东�?差距�?..
修正原文一些翻译不恰当的地�?br>
原英文地址:
http://www.codeproject.com/KB/system/soviet_protector.aspx

Download source files - 10.8 Kb
Download demo project - 12.1 Kb

一�?��?

　　最�q�，我了解到一个叫做Sanctuary的相当有��的安全产品。它能够��L��M��E�序的运�?�q�些�E�序没有昄��在��Y件列表中-该表中的�E�序被允许在一个特定的机器上运行。结果，PC用户得到保护而免于各�U�插仉��谍��Y件、蠕虫和�Ҏ��伊木马的侵袭-��q��能够�q�入�?她的计算机，它们也没有机会执行，�q�因此没有机会对该机器造成��M��损害。当�Ӟ��我觉得这个特征相当有��；�q�且�Q�在�E�作思考以后，我就有了一个自��q��实现。因此，本文��描�q�如何通过钩住本机API的方式来实现监控一个进�E�的创徏�q�在�pȝ��U�上对之�q�行控制�?/p>

　　本文大胆假设�Q�目标进�E�是以一�U�用��h��?外壳函数�Q�CreateProcess()�Q�用一�p�d��的本机API调用的手工的�q�程创徏�Q�等�{?创徏的。尽��从理论上，一个进�E�能够以内核方式启动�Q�不�q�从实际来看�Q�如此的可能性是可以忽略不计的，因此我们不必为此担心。�ؓ什么？请逻辑地思考一�?��Z��以内核方式启动一个进�E�，用户必须装蝲一个驱动程序，该驱动程序反�q�来首先要暗�C�某�U�用��h��式代码的执行。因此，��Z��防止未被授权�E�序的执行，我们可以安全地在�pȝ��U�上以用��h��式限制我们自己控制的�q�程的创建�?/p>

　　二�?定义�{�略

　　首先让我们明��，之所以这样做的目的是��Z��在系�l��上监视和控制�q�程创徏�?/p>

　　�q�程创徏是一件相当复杂的事情-它包含相当多的工�?如果你不�怿�我，可以反汇�~�CreateProcess()�Q�这样你��׃��亲眼看到�q�点)。�ؓ了启动一个进�E�，可以使用下列步骤�Q?/p>

　　1.可执行文件必��被以FILE_EXECUTE存取方式打开�?/p>

　　2.可执行映像必��被装蝲�q�RAM�?/p>

　　3.必须建立�q�程执行对象(EPROCESS�Q�KPROCESS和PEB�l�构)�?/p>

　　4.必须为新��E�分配地址�I�间�?/p>

　　5.必须建立�q�程的主�U�程的线�E�执行对�?ETHREAD�Q�KTHREAD和TEBstructures)�?/p>

　　6.必须��Z��U�程分配堆栈�?/p>

　　7.必须建立�q�程的主�U�程的执行上下文�?/p>

　　8.必须通知Win32子系�l�有兌��新进�E�的创徏情况�?/p>

　　为确保这些步骤中的�Q何一步的成功�Q�所有其前面的步骤必��L��成功执行�?你不能够在没有一个可执行区句柄的情况下徏立一个可执行�q�程对象�Q�没有文件句柄的情况下你无法映射一个可执行区，�{�等)。因此，如果我们军_��退��Z�Q何这些步骤，所有后面的步骤也会��p�|�Q�以至于整个�q�程创徏会失败。上面所有的步骤都可以通过调用某些本机API函数的方式来实现�Q�这是可以理解的。因此，��Z��监视和控制进�E�创建，我们所有要做的��是钩住�q�些API函数-它们无法旁�\掉要创徏一新进�E�所要执行的代码�?/p>

　　我们应该钩住哪些本机API函数�?��管NtCreateProcess()��g��是问题的最昄��的答案，但是�Q�这个答案是错误�?有可能不需要调用这个函��C��可以创徏一个新的进�E�。例如，CreateProcess()可以在不调用NtCreateProcess()的情况下创徏与进�E�相关的内核模式�l�构.因此�Q�这样以来钩住NtCreateProcess()�Ҏ��们毫无帮助�?/p>

　　��Z��监视�q�程的创建，我们必须钩住NtCreateFile()和NtOpenFile()�Q�或者NtCreateSection()之中的一�?-不经调用�q�些API是绝�Ҏ��法运行�Q何可执行文�g的。如果我们决定监视对NtCreateFile()和NtOpenFile()的调用，那么我们必须区别开�q�程创徏和常规的文�gIO操作。这��Q务�ƈ不��L��那么�Ҏ��。例如，如果一些可执行文�g正在被以FILE_ALL_ACCESS存取方式打开�Q�我们该怎么办？�q�仅是一个IO操作�q�是一个进�E�创建的一部分�Q�在�q�点上，是很隑ֈ�断的-我们需要了解调用线�E�下一步要�q�什么。因此，钩住NtCreateFile()和NtOpenFile()可能不是最好的选择�?/p>

　　钩住NtCreateSection()是更为合理的-如果我们在发生把可执行文件映��ؓ映像(SEC_IMAGE 属�?的请求发生时拦截对NtCreateSection()的调�?�l�合允许执行��面保护的请求；那么�Q�我们可以确信该�q�程��要被启动。在�q�一点上�Q�我们是能够作出军_��Q�如果我们不惌��q�程被创建，可以让NtCreateSection()�q�回STATUS_ACCESS_DENIED。因此，��Z��完全控制目标机器上的�q�程创徏�Q�所有我们要做的是在�pȝ��U�上钩住NtCreateSection()�?/p>

　　象来自于ntdll.dll中的��M��其它代理一��P��NtCreateSection()用服务烦引加载EAX�Q��EDX指向函数参数�Q��ƈ且把执行权传递到KiDispatchService()内核模式例程(�q�是通过Windows NT/2000中的INT 0x2E指��o或者Windows XP下的SYSENTER指��o实现�?。在校验完函数参��C��后，KiDispatchService()把执行权传递到服务的实际实现部�?它的地址可用于服务描�q�表(指向�q�个表的指针由ntoskrnl.exe作�ؓKeServiceDescriptorTable变量所输出�Q�所以它对于内核模式驱动�E�序是可用的)中。服务描�q�表通过下列�l�构所描述�Q?br>

　　struct SYS_SERVICE_TABLE {

　　void **ServiceTable;

　　unsigned long CounterTable;

　　unsigned long ServiceLimit;

　　void **ArgumentsTable;

　　};

　　�q�个�l�构中的ServiceTable字段指向一个数�l?它拥有所有实现系�l�服务的函数的地址。因此，��Z��在系�l��上钩住�Q何本机API函数�Q�所有我们必��d��的是把我们的代理函数的地址写入被KeServiceDescriptorTable的ServiceTable字段所指向的数�l�的�W�i个入�?i是服务烦�?�?/p>

　　��x��Q�看��h��我们已了解了在系�l��上监视和控制�q�程创徏的一切。现在让我们开始实际的工作�?/p> 三�?控制�q�程创徏

　　我们的解��x��案由一个内核模式驱动程序和一个用��h��式应用程序组成。�ؓ了开始监视进�E�创建，我们的应用程序要把服务烦引（相应于NtCreateSection()�Q�以及交换缓冲区的地址传递到我们的驱动程序。这是由下列代码所完成的：

//打开讑֤�
device=CreateFile("\\.\PROTECTOR",GENERIC_READ|GENERIC_WRITE,
0,0,OPEN_EXISTING, FILE_ATTRIBUTE_SYSTEM,0);
//得到NtCreateSection的烦引�ƈ把它�q�同输出�~�冲区的地址传递给讑֤�
DWORD * addr=(DWORD *)
(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateSection"));
ZeroMemory(outputbuff,256);
controlbuff[0]=addr[0];
controlbuff[1]=(DWORD)&outputbuff[0];
DeviceIoControl(device,1000,controlbuff,256,controlbuff,256,&dw,0);

　　此代码是昄��?唯一需要注意的是我们得到服务烦引的方式。所有来自于ntdll.dll的代理都从一行代码MOV EAX,ServiceIndex开�?它可以适用于�Q何版本和风味的Windows NT。这是一�?字节长的指��o�Q�以MOV EAX操作码作�W�一字节�Q�服务烦引作为留下的4字节。因此，��Z��得到相应于一些特别的本机API函数的服务烦引，所有你要做的是从该地址��d��4个字节，-位于从这个代理开�?字节距离的地斏V�?br>
　　现在让我们看一下我们的驱动�E�序做什么，当它收到来自我们的应用程序的IOCTL�Ӟ��

NTSTATUS DrvDispatch(IN PDEVICE_OBJECT device,IN PIRP Irp)
{
　UCHAR*buff=0; ULONG a,base;
　PIO_STACK_LOCATION loc=IoGetCurrentIrpStackLocation(Irp);
　if(loc->Parameters.DeviceIoControl.IoControlCode==1000)
　{
　　buff=(UCHAR*)Irp->AssociatedIrp.SystemBuffer;
　　//钩住服务调度�?br>　　memmove(&Index,buff,4);
　　a=4*Index+(ULONG)KeServiceDescriptorTable->ServiceTable;
　　base=(ULONG)MmMapIoSpace(MmGetPhysicalAddress((void*)a),4,0);
　　a=(ULONG)&Proxy;
　　_asm
　　{
　　　mov eax,base
　　　mov ebx,dword ptr[eax]
　　　mov RealCallee,ebx
　　　mov ebx,a
　　　mov dword ptr[eax],ebx
　　}
　　MmUnmapIoSpace(base,4);
　　memmove(&a,&buff[4],4);
　　output=(char*)MmMapIoSpace(MmGetPhysicalAddress((void*)a),256,0);
　}
　Irp->IoStatus.Status=0;
　IoCompleteRequest(Irp,IO_NO_INCREMENT);
　return 0;
}

　　正如你所见，�q�里没有什么特别的-我们只是通过MmMapIoSpace()来把交换�~�冲区映��到内核中，另外把我们的代理函数的地址写到服务�?当然�Q�我们这是在把实际的服务执行的地址保存到全局变量RealCallee以后�q�样做的)。�ؓ了改写服务表的适当入口�Q�我们通过MmMapIoSpace()来映��目标地址。�ؓ什么我们要�q�样做？不管怎么��_��我们已经可以存取服务表了�Q�不是吗�Q�问题是�Q�服务表可能�ȝ��在一�D�只��d��存中。因此，我们必须��查一下是否我们有对目标空间写的权限，而如果我们没有这个权限，那么在改写服务表之前�Q�我们必��L��变页面保护。你不认��样以来工作太多了吗？因此�Q�我们仅用MmMapIoSpace()来映��我们的目标地址�Q�这样以来，我们��׃��必担心�Q何的��面保护问题�?从现在开始，我们假定已有到目标页面写的权限了。现在让我们看一下我们的代理函数:

//�q�个函数用来��定是否我们应该允许NtCreateSection()调用成功
ULONG __stdcall check(PULONG arg)
{
　HANDLE hand=0;PFILE_OBJECT file=0;
　POBJECT_HANDLE_INFORMATION info;ULONG a;char*buff;
　ANSI_STRING str; LARGE_INTEGER li;li.QuadPart=-10000;
　//��查标志。如果所要求的存取方式不是PAGE_EXECUTE,
　//�q��ƈ不要�?br>　if((arg[4]&0xf0)==0)return 1;
　if((arg[5]&0x01000000)==0)return 1;
　//�l�由文�g句柄得到文�g�?br>　hand=(HANDLE)arg[6];
　ObReferenceObjectByHandle(hand,0,0,KernelMode,&file,&info);
　if(!file)return 1;
　　RtlUnicodeStringToAnsiString(&str,&file->FileName,1);
　　a=str.Length;buff=str.Buffer;
　　while(1)
　　{
　　　if(buff[a]=='.'){a++;break;}
　　　a--;
　　}
　　ObDereferenceObject(file);
　　//如果它是不可执行�?�q�也不要�?br>　　//�q�回1
　　if(_stricmp(&buff[a],"exe")){RtlFreeAnsiString(&str);return 1;}
　　　//现在�Q�我们要询问用户的选择�?br>　　　//把文件名写入�~�冲区，�q�等待直到用��h��C�响�?br>　　　//(�W�一个DWORD�?意味着我们可以�l�箋)
　　　//同步存取该缓冲区
　　　KeWaitForSingleObject(&event,Executive,KernelMode,0,0);
　　　//把缓冲区的前两个DWORD�|��ؓ0�Q?br>　　　//把字�W�串复制到该�~�冲��Z��Q��ƈ循环下去�Q�直到用��h��每一�?br>　　　//DWORD�|��ؓ1.
　　　//�W�二个DWORD的值指明用��L��响应
　　strcpy(&output[8],buff);
　　RtlFreeAnsiString(&str);
　　a=1;
　　memmove(&output[0],&a,4);
　　while(1)
　　{
　　　KeDelayExecutionThread(KernelMode,0,&li);
　　　memmove(&a,&output[0],4);
　　　if(!a)break;
　　}
　　memmove(&a,&output[4],4);
　　KeSetEvent(&event,0,0);
　　return a;
　}
　//仅保存执行上下文�q�调用check()
　_declspec(naked) Proxy()
　{
　　_asm{
　　　//保存执行上下文�ƈ调用check()
　　　//-后面的依赖于check()所�q�回的�?br>　　　// 如果�q�回值是1�Q��l�实际的调用�?br>　　　//否则�Q�返回STATUS_ACCESS_DENIED
　　　pushfd
　　　pushad
　　　mov ebx,esp
　　　add ebx,40
　　　push ebx
　　　call check
　　　cmp eax,1
　　　jne block
　　　//�l�箋实际的调�?br>　　　popad
　　　popfd
　　　jmp RealCallee
　　　//�q�回STATUS_ACCESS_DENIED
　　　block:popad
　　　mov ebx, dword ptr[esp+8]
　　　mov dword ptr[ebx],0
　　　mov eax,0xC0000022L
　　　popfd
　　　ret 32
　　}
　}

　　Proxy()保存寄存器和标志�Q�把一个指向服务参数的指针压入栈中�q�调用check()。其它的依赖于check()所�q�回的倹{��如果check()�q�回TRUE(也就是，我们惌��l�箋��h��)�Q�那么，Proxy()��恢复寄存器和标志，�q�且把控制权交给服务实现部分。否则，Proxy()��把STATUS_ACCESS_DENIED写入EAX�Q�恢复ESP�q�返�?从调用者的观点来看�Q�这��p��对NtCreateSection()的调用失败一�?以错误状态STATUS_ACCESS_DENIED�q�回�?br> check()函数是怎样做出军_��的？一旦它收到一个指向服务参数的指针参数�Q�它��可以检查这些参数。首先，它检查标志和属�?如果有一部分没有被要求作��Z��个可执行映像映射�Q�或如果要求的页面保护不允许执行�Q�那么我们可以确定NtCreateSection()调用与进�E�创建毫无关�p�R��在�q�种情况下，check()直接�q�回TRUE。否则，它将��查该潜在文�g的扩�?毕竟�Q�SEC_IMAGE属性和允许执行的页面保护可能被要求来映��某个DLL文�g。如果该潜在文�g不是一�?exe文�g�Q�那么，check()��返回TRUE。否则，它给用户模式代码一个作出决定的��Z��。因此，它仅把文件名和�\径写��C��换缓冲区�Q��ƈ且对它��@环查询，直到它得到响应�ؓ止�?br>
　　在打开我们的驱动程序前�Q�我们的应用�E�序创徏一个运行下面函数的�U�程�Q?br>

void thread()
{
　DWORD a,x; char msgbuff[512];
　while(1)
　{
　　memmove(&a,&outputbuff[0],4);
　　//如果什么也没有�Q�Sleep() 10毫秒�q�再��?br>　　if(!a){Sleep(10);continue;}
　　//看�v来象我们的权限被询问�?
　　//如果被怀疑的文�g已经存在于空白列表中�Q?br>　　// 则给��Z��个积极的响应�?br>　　char*name=(char*)&outputbuff[8];
　　for(x=0;x　　{
　　　if(!stricmp(name,strings[x])){a=1;goto skip;}
　　}
　　//要求用户允许�q�行该程�?br>　　strcpy(msgbuff, "Do you want to run ");
　　strcat(msgbuff,&outputbuff[8]);
　　//如果用户的答复是�U�极的，那么把这个程序添加到�I�白列表�?
　　if(IDYES==MessageBox(0, msgbuff,"WARNING",MB_YESNO|MB_ICONQUESTION|0x00200000L))
　　　{a=1; strings[stringcount]=_strdup(name);stringcount++;}
　　else a=0;
　　// 把响应写入缓冲区中，而由驱动�E�序之后取回�?br>　　skip:memmove(&outputbuff[4],&a,4);
　　//告诉驱动�E�序�l�箋
　　a=0;
　　memmove(&outputbuff[0],&a,4);
　}
}

　　�q�段代码是显然的-我们的线�E�每10毫秒查询交换�~�冲区。如果它发现我们的驱动程序已�l�把它的��h��寄到了该�~�冲��Z��Q�它��检查被允许在本��Z��q�行的程序列表中的文件的文�g名和路径。如果发现匹配，它直接给��Z��个OK响应。否则，它显�C�Z��个消息窗口，询问用户是否允许有问题的�E�序执行。如果响应是�U�极的，我们��把有问题的�E�序��d��到允许在本机上运行的软�g列表中。最后，我们把用户响应写入缓冲区�Q�也��是��_��把它传递到我们的驱动程序。因此，该用户就能完全控制它的PC上的�q�程的创�?只要我们的程序运行，在没有用��h��l�予权限的情况下�Q�绝�Ҏ��有办法来启动该PC上的��M��q�程�?br>
　　正如你所见，我们让内核方式代码等待用户反应。这是否是一�U�聪明的举措呢？��Z��回答�q�个问题�Q�你必须问你自己你是否正在堵住�Q何关键的�pȝ��资源-一切都依赖于具体的情况。在我们的情况下�Q�一切发生在IRQLPASSIVE_LEVEL�U�上�Q��ƈ没有包含对IRPs的处理，�q�且必须�{�待用户响应的线�E��ƈ不十分重要。因此，在我们的情况下，一切工作正常。然而，本例仅�ؓ演示之目的而编写。�ؓ了实际地使用它，以一个自动启动的服务的方式来重写我们的应用程序是很重要的。在�q�种情况下，我徏议我们解除LocalSystem帐户�Q��ƈ且，在NtCreateSection()被用LocalSystem帐户�Ҏ��在一个线�E�的上下文中调用的情况下�Q�可以��l�实际的服务实现而不施行��M��?不管怎么��_��LocalSystem帐户仅运行那些在注册表中指定的可执行�E�序。因此，�q�样的一�U�解除不会是与我们的安全相妥协的�?br>
　　四�?�l�论

　　最后，我必��L��出，钩住本机API很明显是现已存在的最强有力的�~�程技术之一。本文通过一个例子向你展�C�通过钩住本机API可以实现的能�?正如你所见，我们已设法防止未被授权的�E�序的执�?�q�可以通过钩住单一的本机API函数来实现。你可以�q�一步扩展这个方法，�q�且获得对硬件设备、文件IO操作、网�l�流量等�{�的完全控制。然而，我们现在的解��x��案�ƈ不是准备为内核模式API调用者所�?一旦内核模式代码被允许直接调用ntoskrnl.exe的输出，则这些调用就不需要经��q��l�服务发送者进行了�?br>
　　本文源码在运行Windows XP SP2的若�q�机器上成功地测试过。尽��我�q�没在�Q何另外的环境下面��试它，我相信它应该到处工作正常-不管怎么��_��它从未��用�Q何系�l�特定的�l�构。�ؓ了运行这个示例，所有你要做的是攄��protector.exe和protector.sys到相同的目录下，�q�且�q�行protector.exe。直到protector.exe的应用程序窗口被关闭为止�Q�否则，每次你都会被提示你试图运行�Q何可执行�E�序�?

叶子 2008-04-08 11:17 发表评论

驱动�E�序安装-INF

叶子 — Mon, 17 Mar 2008 02:00:00 GMT

当用户刚插上讑֤�或启动引��|��Boot�Q�时�Q�设备是刚刚物理存在于机器上�Ӟ��ȝ��驱动应自动地�Q�动态的��，识别��g的变化。这�Ӟ��p��有一个识别设备，安装驱动�?span>INF文�g�?/span>

所谓文件是指用一个共同的�W�号名称作�ؓ代表�Q�若�q�个逻辑记录构成的信息集合或目的�Q��Ş式和内容的表�C�Z��彼此�怼�的一些信息项的集合。简单的��_��是��h��一定名�U�的一�l�相��x��据的集合�?/span>

所�?span>INF文�g�Q�就是以INF为扩展名的文本文�Ӟ��他控制与驱动安装�E�序有关的大多数�z�d��?/span>

因�ؓ�q�个INF文�g抽象了设备的上层建筑�Q�含有安装驱动所有的必需的信息，所以它要由驱动开发�h员随驱动一��h��供，来告诉操作系�l�那些文仉��要复制到用户的硬盘上�Q�应��d��或修改哪个注册表�{�。简单的��_��INF文�g��是机器的参考文�Ӟ��Information File�Q��?/span>

INF文本文�g�?span>Windows 3�?span>X�?span>INI文�g很类��|��INF文�g分�ؓ几节�Q�每节包括一��Ҏ��几项。每节与安装�q�程中的某一步相养I��比如��_��某一节是关于文�g拯��的。某一节是关于如何��d��注册表项�{�等。作��Z��个开发者，你可以通过��M��文本�~�辑器创建生�?span>INF文�g�?span>Microsoft�q�在DDK中提供了INFEDIT工具�Q��拥护可以很方便的�~�辑INF 文�g�Q�如果实例用INFEDIT�Q�请参阅DDK�Q��?/span>

INF文�g可以支持很复杂的安装脚本�Q�但是大多数的开发者只愿意使用处理一些最基本的脚本。一个基本的安装脚本应该包括�Q?/span>

1鉴定��g讑֤�

2把驱动程序从安装盘上拯��到系�l�盘上去

3鉴定��g讑֤�资源的需�?/span>

4当硬件设备被仿真是，��在注册表中加上DevLoader一��?/span>

INF文�g通常与磁盘或光盘上的��g驱动�E�序一��h��供�?span>INF文�g的结构和内容由驱动程序创作者决�?/span>

1. 举例说明

下面举例说明有关INF的基本特征和内容�Q�以便更好的理解�?/span>

[Version]

Singnature=$windowsNT$ //选择版本

Class=Unknown //�pȝ��定义用户指定的类�?/span>

Provider=%ABCD% //提供�?/span>

DirverVer=11/15/2001 //

CatelogFile[.Ntetc] //包含WHQL数字�{�֐�的目录说明文件�?/span>

[Strings]

ABCD=”me, the writer” //定义�?/span>

[SourceDisksNames] //源代码盘或发行盘的描�q�ͼ�目录和打包文�?strong>

L=”Ggdriver directory”…obj\i386\

[SourceDisksFiles] //和打包文�?strong>

Ggdriver.sys=l,obj\i386\some\

[DestinationDirs] //复制�~�省文�g�?span>Filelist节中的文�Ӟ��

//指定目录和子目录�?span>ID �q�指定文件的标准位置�?/span>

Ggdiver.Files.Driver=10,System32\Drivers

Ggdiver.Files.Driver=10, System32\Drivers

[Manufacturer] //指定生��厂商�?span>models节中相应的名�U?strong>

%ABCD%=Ggdriver

[models] //最新的��gID号先出现

%USBDevice_V2%=V2Install,USB\VID_ABCD%PID_EFOL&REV_DO02

%USBDevice_V1%=V2Install,USB\VID_ABCD%PID_EFOL

[install] //指向��d��的设备接口列�?strong>

Copyfiles=Ggdriver.Files.Driver

AddReg=Ggdriver.AddReg

LogConfig=logconfig

DirverVer=19/10/2001

ProfileItems=AB\cd

[filelist]

[addreg]

[logconfig]

[install.AddService]

ServiceTypy=l

StartType=start-code

ErrorControl=error-control-level

ServiceBinary=path-tc-driver

INF文�g是一个文本文�Ӟ��׃��同的节组成，每一个节从括在方括号中的节名�U�开始，后面是节的内宏V��这些节也是分层的，其先后顺序与本样例基本保持一致�?/span>

在上面的样例中：

�?strong>[Verson ]节中�Q?strong>Signature��只能在$WindowsNT$,$Winfows95$以及$WindowsNT$中选一�Q?/span>

Provider��Ҏ��INF文�g的创造者，通常是设备的生��商；

Class��Ҏ��pȝ��定义用户指定的类名；

CatalogFile[.NTetc]则是必须包含的驱动程序包�?span>WHQL数字�{�֐�的目录说明文件�?/span>

�?strong>[Strings ]节中定义代替字符串的宏：

如例中：ABCD=“me,the writer”��x��?span>%ABCD%的意思是me,the writer。而在使用�Ӟ��也用“me�Q?span>the writer”代替ABCD。�ؓ了适应不同的语�a�上下文，可以�?span>String 的后面附加（�?span>Winnt�?span>H`中定义的�Q?span>LangID�?span>SubLangID�Q��Ş成新�?span>Strings节�?span>LangID�?span>SubLangID都是两位敎ͼ�它们合作指定某语�a�上下文�?/span>

如定义一个英国英语（0902�Q�的flour:

[Strings]

ABC=”Flor”

[Strings.0902]

ABC=”Flour”

[SourceDisksName]�?strong>[SourceDisksFiles]节分别是指源代码盘或发行盘的描述�Q�目录和打包文�g。如果所有文仉��在根目录中，[SourceDisksFiles]节可以是在空�?/span>

�?strong>[DestinationDirs]节中�Q�复制缺省文件和Filelist节中的文�Ӟ��指定目录和子目录�?span>ID �q�指定文件的标准位置�?/span>

[Manufacture]节指定生产厂商和models节中相应的名�U�ͼ�

[install]节则指向��d��的设备接口列表，接口键的注册表，其中�Q?/span>

Copyfiles=filename|filelist��，指定要复制的文�g或后面列出文件的列表节的名称�?/span>

AddReg=addreg��，指定后面遗留讑֤�节的名称�?/span>

LogConfig=logconfig��，指定后面遗留讑֤�节的名称�?/span>

ProfileItems��，指定��d��到计��机界面“开�?#8221;菜单中的文�g名称��V�?/span>

[filelist]指定要安装的文�g列表�?/span>

[addreg]节，指定新的键和倹{�?/span>

[logconfig]节，指定遗留讑֤��?span>I/O地址�Q?span>IRQ�{�配�|�的详细信息�?/span>

[install�?span>AddService]节，只针�?span>Windows2000的驱动程序，指定驱动�E�序的详�l�信息�?/span>

下面我们具体介绍一�?span>INF文�g�l�构�?/span>

1.1INF文�g�l�构

一�?span>INF文�g是一个被划分��Q?span>Section�Q�的��单的文本文�g�Q�每节由�Ҏ��P��[]�Q�内的标�C�符表示。某些节名字是必��ȝ��Q�而另一些是驱动�E�序专用的。每节下面的各项控制某些安装操作�Q�或者连接或列�D其它节�?/span>

文�g中各节出��的��序�q�不重要�Q�因为每节都被命名和链接了。一节内容在遇到另一节或者遇到文件结��之前��l�执行。规定节的唯一的名字是区分大小写的�Q��ƈ且在长度上必��限制在28个字�W�以内，以保持与Windows 98 的兼�Ҏ��。节的名字可以包括空��|��但是只有在整个名字应用时。允�怸�划线和点字符�?/span>

节中各项的基本格式如下：

entry=value[�Q?span>value….]

�q�里�?span>entry是一个指令，关键字或者文件名�Q��?span>value是应用于entry的属性�?/span>

下图表示了节名字链接�?/span>

Entry�?span>value名字可以规定��Z��个字�W�串记号�Q?span>string token�Q�，它是一个由癑ֈ��?span>%包围的替换字节串�Q�一个独立的INF�?span>——[Strings]�Q�给指定的语�a�ID提供了字�W�串记号倹{�?/span>

下面我们看一�?span>INF文�g的各个小节及��节的基本内容：�Q�表1�Q�表2�Q?/span>

下面我们详细每一节的内容�Q?/span>

1.2 Version�?/span>

一个有效的INF文�g以一�?span>[Version]节开始，它担当整�?span>INF文�g的头部和�{�֐��?span>[Version]节中允许的和要求的项都列在了下表-3

1.3 Manufacturers�?/span>

另一个必��ȝ��节是[Manufacturers]��V��该节中的每个项列出INF文�g安装的设备和他们的驱动程序。每个项的格式如下：

manufacturer=model

�q�里�?span>manufacturer列出要被安装的一个或多个��g型号的制造商�?span>INF文�g中的唯一名字�?span>Model值指向另一�?span>INF节名字，�q�一步列出硬件型号驱动程序安装的方向�?/span>

1.4 Models�?/span>

对于列在[Manfacturers]节中的每个型��P��必须有一个相应的节作为由model指定的节出现。每�?span>model��的形式为：

device-description=install-section-name�Q?span>hw-id[�Q?span>compatible-id…]

�q�里�?span>device-description表示人可以理解的讑֤�型号列表和一个简单的描述。在一些安装过�E�中此字�W�串在一个对话框中提交给用户�Q�因此有必要提供多种语言作�ؓ字符串记受��?/span>

install-section-name值引�?strong>[DDInstall]节，表示��D��一步安装的另一�?span>INF节，hw-id值是��g讑֤��?span>PNP兼容的�ȝ��上声明时�q�回�?span>PnP标示�W�。例如�?span>USB \ VID_045E&PID_OOB 标示USB上的Microsoft HID�Q?span>Human Input Device�Q�键盘设备。能够增加�Q意数量的compatlible-id��|��表示相同的安装脚本可以用于列表中包含的�Q何设备�?/span>

1.5 DDInstall�?/span>

�?span>INF节名字链表的低部附近�Q�但�q��最低部�Q�是[DDInstall]节，它从[Models]节中为每个制造商的每个型可��定一个唯一的名字�?strong>[DDInstall]节中允许的和要求的项目见下面�?.

虽然在语法上只有AddReg��Ҏ��必需的，但是CopyFiles��Ҏ��[DDInstall]节的一个基本指令。它采取如下形式�Q?/span>

CopyFiles = file – list – section [�Q?span>file – list – section….]或�?/span>

CopyFile = @filename

前一�U��Ş式更加常用，因�ؓ它允�怸�个间接指针指向包含被安装的文件列表的其他节。然而，对于��单的驱动开发程序安装，采取直接文�g名方法就行了。在下面两个��节中将�?span>AddReg�?span>CopyFiles指��o做进一步解释�?/span>

1.6 CopyFiles�?/span>

INF文�g�?strong>[CopyFiles]节有一个唯一的名字，�q�从[DDInstall]节的CopyFiles指��o引用它。该节中的每个项采用如下形式�Q?/span>

destination – filename[�Q?span>source- filename�Q?span>temp-filename�Q?span>flag]

�q�里�?strong>destiantion-filename是最重要复制的目标文件名。如果源文�g名不相同�Q�必��规�?strong>source – filename�?span>Temp-filename��g��再适用�Q�虽�?span> Windows 98仍然要求�Q�，它在�pȝ��再次引导之前规定新文件的临时文�g名。对�?span>Windows 2000�Q�忽略此倹{�?/span>

Falg ��D��定对新目标文件的处理�Q�其描述见表5。可以对falg��g��的各个�ؓ�q�行“�?#8221;�q�算�Q�以使多个操作�v作用。几�U�操作是互斥的（例如�Q?span>WARN_IF_SKIP�?span>NOSKIP�Q?span>,有疑问时应当查阅有关文档�?/span>

因�ؓ[CopyFiles]节的��的语法没有包含一个可选项来规定源文�g的磁盘或路径�Q�必��M��用其�?span>INF节—�?strong>[SourceDisksNames]�?strong>[SourceDisksFiles]。然�?strong>[CopyFiles]节中各项复制的文件由另一�?span>INF节—�?strong>[DestiantionDirs]节指定�?/span>

1.7 AddReg�?/span>

一�?span>INF文�g�?strong>[AddReg]节被唯一命名�Q��ƈ�?strong>[DDInstall]节中�?strong>AddReg指��o引用它。此节的目的是提供增加或者修改目标系�l�注册表中的��目。本节中每个��目采取如下形式�Q?/span>

reg-root[�Q?span>subkey�Q?span>value- name�Q?span>flags �Q?span>value]

�q�里�?span>reg- root是注册表库（hive�Q�之一的羃写，见表6所列。��D��C��被修改的注册表库�?strong>Subbkey��D��C�库底下的键名，在层�ơ结构中子键用反斜线�Q?span>\�Q�字�W�隔开。例如，software\W2KdriverBook\Driver\Seting �?span>HKCU或�?span>HKLM库的一个有效子键�?/span>

Value-name指定要增加或修改的注册表倹{��每个注册表键包含一个或多个��|��保存不同�c�d��的数据。注册表�~�辑器（Registy Editor�Q�在双��面板中列出子键的倹{��值名和值数据同时在该面板中出现�Q�左辚w��板只列出子键。图3说明了注册表术语之间的关�p�R�?/span>

Flags指定数据保存的类型，flages可能的位�|�见�?span>7所�?

1.8 SourceDisksNames�?/span>

如果INF文�g控制的驱动程序文件的分布跨越多个��盘�Q��Y盘或光盘�Q�，�?span>INF文�g必须包含一�?strong>[SourceDisksNames]节。本节在分布集中为每个磁盘包含一��，��目采取如下形式�Q?/span>

Diskid=disk – descript[�Q?span>tagfile�Q?span>unused�Q?span>path]

�q�里�?span>diskid`是分布集内的一个一个唯一的编码。通常�Q�磁盘从1开始编码�?span>Disk – description 标签是一个供人阅�ȝ��文本�Ԍ��可以保证安装�q�程中拥护提供正��的��盘�Q�在安装�q�程�l�箋之前核对tagfile值是否在插入的煤体上。如�?span>tagfile文�g不存在，则提�C�用��h��入正��的��盘。如�?span>tagfile值包�?span>-CAB扩展�Q�则该文件被认�ؓ是磁盘上驱动�E�序源文件的压羃文�g集�?/span>

Path值是��盘上驱动程序源文�g的相对于根目录的��盘路径。与tagfile��g��P��path是可选的。如果忽略它�Q�则认�ؓ根目录是文�g的源�?/span>

1.9 SourceDisksFiles�?/span>

驱动�E�序INF文�g�q�必��d��含一个称�?strong>[SourceDisksFiles]的节。此节列出驱动程序安装期间��用的文�g名。每个文件对应于本节中的一个项�Q��ƈ采取如下形式�Q?/span>

Filename = diskid[�Q?span>sbdir�Q?span>size]

很自�Ӟ��diskid值在[SourceDisksNames]节中指定了找�?span>filename的一个磁盘，subdir值可选，它指定文件在��盘上的一个�\径�?span>Size值可选，指定文�g以字节�ؓ单位的未压羃大小。在开始文件复制前�Q�安装进�E�可以��用此大小��定源文件是否合适目标系�l��?/span>

1 DestinationDirs�?/span>

�q�是INF文�g中必需的节�Q�指定源文�g的目标目录。没有这部分内容�Q�安装程序或�q�程��没有用来拷贝文件的目标目录�?span>[DestinatonDirs]节中的项采取如下形式�Q?/span>

File – list – section = dirid[�Q?span>subdir]或�?/span>

DefaultDestDir = dirid[�Q?span>subdir]

�q�里file – list – section规定了在[CopyFiles]指��o中调出来的部分。它规定一个指令拷贝的所有文件安装到指定的目录。对于项�?span>DefaultDestDir�Q�上�q�规范适用于所�?span>[CopyFiles]指��o�Q�否则不会与[DestionationDirs]节中�?span>file- list – section��关联�?/span>

Dirid值根据表8规定了目标的一个列丑ր�{��如果提供了�?span>subdir�Q�它指定diid调处的目录下面的一个相对�\径�?/span>

2. DDInstall.Services�?/span>

��Z��真正的��复制的文件成为目标系�l�上的驱动程序，必须通知服务器管理程序（SCM�Q�。安装在Windows 2000下的每个驱动�E�序�?span>HKLM\System\Current-ControlSet\Services下的注册表中有一��V�?span>ServiceType��gؓ1表示一个内核模式设备驱动程序�?span>StartType指定在引��D��E�中的什么点上驱动程序装入（3表示按需或手动启动）。在驱动�E�序装入�q�程中遇到错误时�Q?span>ErrorControl值确定发生了什么情��c�?span>ServiceBinary值指向驱动程序文�Ӟ��?span>SYS文�g�Q�的位置�Q�但是，如果二进制��g��?span>%windir%\system32\drivers目录�Q��ƈ且与HKLM\…\Services下的子键有相同的名字�Q�则可以忽略ServiceBinary倹{�?/span>

DDInstall.Services节项目中包括一个�Ş式如下的��目�Q?/span>

AddService = ServiceName�Q?span>[flags]�Q?span>service – install – section[�Q?span>eventlog – install – section]

�q�里�?span>ServiceName表示讑֤�的名字，通常是驱动程序的名字�Q�没有�?span>SYS扩展名�?span>Flags值的描述见表9

Service – install – section和可选的eventlog- install – section��D��出控制服务值项目（诸如ServiceType�?span>StartType�Q�的新增�?span>INF节名字�?/span>

3. ServiceInstall �?/span>

[ServiceInstall]节名字实际上�?span>DDInstall.Services节中每个AddService��唯一规定�Q�它控制把驱动程序安装到服务控制��理�E�序�?span>[ServiceInstall]节允许的��见�?span>10所列�?/span>

4 .验证INF语法

DDK包含一个基本的工具CHKINF�Q�在DDK�?span>Tools目录中。它依赖�?span>Perl脚本引擎�Q�该引擎可以�?span>www.perl.com上下载。虽然工��h��有什么优点，但它在检查标�?span>Microsoft INF文�g时能报告许多错误。工具以HTML文�g形式输出�?/span>

DDK Tools目录�q�包括一个用语简�?span>INF文�g构造的实用�E�序CENINF�?span>EXE �?必须把该工具区分为基本工��P��它对入门者是有用的�?/span>

最后，DDK提供�?span>STAMPINF�?span>EXE�q�一��单工��P��它提供了快速增加或修改INF中版本信息的机制�?/span>

叶子 2008-03-17 10:00 发表评论

Hook API监视驱动的加�?

叶子 — Thu, 13 Dec 2007 03:37:00 GMT

				;**************************************************************************************************
;Author:dge/D�?br>;Date  :2006.7.20
;**************************************************************************************************
;f:\masm32\bin\ml /nologo /c /coff HookAPI.asm
;C:\>f:\masm32\bin\link /nologo /driver /base:0x10000 /align:32 /out:HookAPI.sys /subsystem:native HookAPI.obj


.386

.
model flat
,
 stdcall
option casemap
:
none

;**************************************************************************************************

include f:\masm32\include\w2k\ntstatus.inc
include f:\masm32\include\w2k\ntddk.inc
include f:\masm32\include\w2k\ntoskrnl.inc
includelib f:\masm32\lib\w2k\ntoskrnl.lib
include f:\masm32\Macros\Strings.mac
;**************************************************************************************************
.data
;保存地址
dwOldNtLoadDriver   dd            ?
dwAddr              dd            ?
dwDriverName        ANSI_STRING  
.const
CCOUNTED_UNICODE_STRING "\\Device\\devHookApi", g_usDeviceName, 4
CCOUNTED_UNICODE_STRING "\\??\\slHookApi", g_usSymbolicLinkName, 4
CCOUNTED_UNICODE_STRING "ZwLoadDriver", g_usRoutineAddr, 4
;**************************************************************************************************
.code
;让这个函数在NtLoadDriver的调用时被执行以实现监视
NewNtLoadDriver     proc  lpDriverName:PUNICODE_STRING
pushad
;      int 3
;                   invoke DbgPrint, $CTA0("\nEntry into NEW\n")
      invoke RtlUnicodeStringToAnsiString, addr dwDriverName, lpDriverName,TRUE
invoke DbgPrint, $CTA0("\nDriverName: %s.sys\n"), dwDriverName.Buffer
popad
;调用原函�?
      push   lpDriverName
call   dwOldNtLoadDriver
ret
NewNtLoadDriver     endp
;**************************************************************************************************
HookFunction        proc

                    pushad
;      int 3
;      invoke DbgPrint, $CTA0("\nEntry into hoookfunction\n")
;下面是用KeServiceDescriptorTabled导出�W�号获得数组的基地址�Q�这个数�l�中包含有NtXXXX函数的入口地址�?
      mov eax, KeServiceDescriptorTable
mov esi, [eax]
mov esi, [esi]
;用MmGetSystemRoutineAddress来获得函数ZwLoadDriver的地址。�ƈ从这个函数地址后面的第2个字节中取得服务受���从�?
;获得以服务号��Z��标的数组元素�?
             invoke MmGetSystemRoutineAddress,addr g_usRoutineAddr
inc eax
movzx ecx,byte ptr[eax]
sal ecx,2
      add esi,ecx
mov dwAddr,esi
      mov edi,dword ptr[esi]
;保存旧的函数地址�?
      mov dwOldNtLoadDriver,edi
mov edi,offset NewNtLoadDriver
;修改入口地址
      cli
      mov dword ptr[esi],edi
sti
popad
mov eax, STATUS_SUCCESS
ret
HookFunction     endp
;**************************************************************************************************
DispatchCreateClose proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP
mov eax, pIrp
assume eax:ptr _IRP
mov [eax].IoStatus.Status, STATUS_SUCCESS
and [eax].IoStatus.Information, 0
assume eax:nothing 

             invoke  IoCompleteRequest, pIrp, IO_NO_INCREMENT
mov eax, STATUS_SUCCESS
ret
DispatchCreateClose endp
;**************************************************************************************************
DriverUnload        proc pDriverObject:PDRIVER_OBJECT
;必须保存环境�Q�否则后果很严重。在�q�个函数中恢复被修改的地址�?

                   pushad
;             int 3
;                   invoke DbgPrint, $CTA0("\nEntry into DriverUnload \n")
                    mov esi,dwAddr
mov eax,dwOldNtLoadDriver
cli
mov dword ptr[esi],eax
sti
invoke IoDeleteSymbolicLink, addr g_usSymbolicLinkName
mov eax,pDriverObject
invoke IoDeleteDevice, (DRIVER_OBJECT PTR [eax]).DeviceObject
             popad

             ret
DriverUnload endp
;**************************************************************************************************
DriverEntry         proc pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING
local status:NTSTATUS
local pDeviceObject:PDEVICE_OBJECT
;                   int 3
;             invoke DbgPrint, $CTA0("\nEntry into DriverEntry\n")
             mov status, STATUS_DEVICE_CONFIGURATION_ERROR
invoke IoCreateDevice, pDriverObject, 0, addr g_usDeviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, addr pDeviceObject
.if eax == STATUS_SUCCESS
invoke IoCreateSymbolicLink, addr g_usSymbolicLinkName, addr g_usDeviceName
.if eax == STATUS_SUCCESS
mov eax, pDriverObject
assume eax:ptr DRIVER_OBJECT
mov [eax].DriverUnload,            offset DriverUnload
mov [eax].MajorFunction[IRP_MJ_CREATE*(sizeof PVOID)],        offset DispatchCreateClose
mov [eax].MajorFunction[IRP_MJ_CLOSE*(sizeof PVOID)],         offset DispatchCreateClose
assume eax:nothing
                                          invoke HookFunction
mov status, STATUS_SUCCESS
.else
invoke IoDeleteDevice, pDeviceObject
.endif
.endif
             mov eax, status
ret
DriverEntry         endp

end DriverEntry
;**************************************************************************************************

叶子 2007-12-13 11:37 发表评论

文�g�q��o驱动开发辅助工具集

叶子 — Tue, 31 Jul 2007 07:20:00 GMT

摘要: 阅读全文

叶子 2007-07-31 15:20 发表评论

叶子 — Mon, 07 May 2007 15:54:00 GMT

摘要: 阅读全文

叶子 2007-05-07 23:54 发表评论

叶子 — Mon, 07 May 2007 15:51:00 GMT

摘要: 阅读全文

叶子 2007-05-07 23:51 发表评论

Windows 文�g�q��o驱动�l�验�ȝ��

叶子 — Mon, 07 May 2007 15:48:00 GMT

摘要: 阅读全文

叶子 2007-05-07 23:48 发表评论

久久精品国产69国产精品亚洲,欧美午夜理伦三级在线观看,亚洲精品久久久久久一区二区

驱动�E�序安装-INF

1.1INF文�g�l�构

1.2 Version�?/span>

1.3 Manufacturers�?/span>

1.4 Models�?/span>

1.5 DDInstall�?/span>

1.6 CopyFiles�?/span>

1.7 AddReg�?/span>

1.8 SourceDisksNames�?/span>

1.9 SourceDisksFiles�?/span>

1 DestinationDirs�?/span>

2. DDInstall.Services�?/span>

3. ServiceInstall �?/span>

4 .验证INF语法

Hook API监视驱动的加�?

文�g�q���o驱动开发辅助工具集

Windows 文�g�q���o驱动�l�验�ȝ��

文�g�q��o驱动开发辅助工具集

Windows 文�g�q��o驱动�l�验�ȝ��