本文最后更新于 370 天前,其中的信息可能已经有所发展或是发生改变。
内容目录
目标:
- 用户一键使用: 驱动加载(将驱动的安装、启动、停止、卸载的服务放到R3程序中来实现,作为可发布程序使用)
- 通过驱动的control回调函数和控制码来实现通讯
0x01 项目管理
环境整理:
创建一个空白项目,主要是为了用空白项目的解决方案
把Ring3和驱动加入到解决方案,环境里删掉刚创建的空白项目即可,就不用频繁的切换环境
把Ring3和驱动的输出都放到bin目录下(两个都需要设置),便于实验
整理后的效果
0x02 实验验证: 创建服务
2.1 验证过程
Ring3.cpp
#include <stdio.h>
#include <windows.h>
/*
如果没有R3得程序怎么加载呢?
微软有个inf文件,这个东西可以安装,在微软的官方文档中有说明inf内容怎么写;
OS会解析inf这个配置文件,帮助动态加载驱动
例: 如果硬件需要开机启动加载,微软再开机时会自动加载inf文件
驱动加载的方式:
1. inf文件来加载
2. 动态加载(服务)
创建服务就是安装驱动(很多软件都可以使用打印机,那么就可调用打印机的驱动,驱动的角色是服务),也就是需要4个api就可以完成这些工作;
创建服务
启动服务
停止服务
卸载服务
*/
void showErr(const char *name)
{
LPVOID lpMsgBuf;
FormatMessage(
FORMAT_MESSAGE_ALLOCATE_BUFFER |
FORMAT_MESSAGE_FROM_SYSTEM |
FORMAT_MESSAGE_IGNORE_INSERTS,
NULL,
GetLastError(),
MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language
(LPTSTR)&lpMsgBuf,
0,
NULL
);
printf("[%s] Error %s", name, (LPCTSTR)lpMsgBuf);
LocalFree(lpMsgBuf);
}
int LoadDriver(const char *pszPath, const char *pszServiceName)
{
SC_HANDLE hSCM = NULL;
SC_HANDLE hService = NULL;
int iRet = -1;
hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hSCM == NULL)
{
showErr("OpenSCManager");
return 0;
}
printf("[%s] OpenSCManager Ok hSCM:%p \n", __FUNCTION__,hSCM);
hService = CreateService(hSCM, pszServiceName, pszServiceName, SERVICE_ALL_ACCESS, SERVICE_KERNEL_DRIVER,
SERVICE_DEMAND_START, SERVICE_ERROR_NORMAL, pszPath, NULL, NULL, NULL, NULL, NULL);
if (hService == NULL)
{
showErr("CreateService");
goto SAFE_EXIT; /* 使用了goto之后,使用局部变量,必须先定义后使用 */
}
printf("[%s] CreateService Ok hService:%p \n", __FUNCTION__, hService);
/* CreateService 使用分析
SC_HANDLE CreateService(
SC_HANDLE hSCManager, // handle to SCM database 服务是由服务管理器来管理,这里拿到服务管理器;SCM(service control manager) ,因为是本地,前两个为NULL,最后一个是权限,如果选择所有权限,就是既能创建又能删除
LPCTSTR lpServiceName, // name of service to start
LPCTSTR lpDisplayName, // display name
DWORD dwDesiredAccess, // type of access to service
DWORD dwServiceType, // type of service
DWORD dwStartType, // when to start service 五种启动方式,选第3个,重启系统后就不再加载
DWORD dwErrorControl, // severity of service failure
LPCTSTR lpBinaryPathName, // name of binary file
LPCTSTR lpLoadOrderGroup, // name of load ordering group
LPDWORD lpdwTagId, // tag identifier
LPCTSTR lpDependencies, // array of dependency names
LPCTSTR lpServiceStartName, // account name
LPCTSTR lpPassword // account password);
*/
iRet = 0;
SAFE_EXIT:
if (CloseServiceHandle(hSCM) == 0)
{
showErr("CloseServiceHandle");
}
return iRet;
}
int UnLoadDriver(const char *name)
{
return 0;
}
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
if (LoadDriver("sample2.sys", "51asmMark") < 0)
return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
if (UnLoadDriver("51asmMark") < 0)
return 0;
#if 0
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
printf("hFile:%p err:%p\n", hFile, GetLastError());
// 读写设备
char acBuf[60] = { 0 };
printf("acBuf:%p\n", acBuf); /* 驱动要输出R3的缓存地址,这里作为对照 */
DWORD dwBytes = 0;
BOOL bRet = ReadFile(hFile, acBuf, sizeof(acBuf), &dwBytes, NULL);
printf("bRet:%d dwBytes:%d acBuf:%s\n", bRet, dwBytes, acBuf);
// 控制设备
// 关闭设备
#endif
system("pause");
return 0;
}
2.2 问题分析
期间遇到一个问题,折腾老半天,无效,如下图:
解决: 拒绝访问,是权限不足,关闭vs2019,用管理员的权限运行(感谢前辈的博客);
2.3 结果分析
服务创建成功了
2.4 原理分析
那么问题来了, creatServer 这个api做了什么?
其实在OS中记录下驱动的信息,regedit 注册表中看一下,注册表的每一个表象,都是创建的服务creatServer的参数,因此开机时,OS遍历注册表 就可以遍历驱动
也就是可以通过这个目录遍历所有系统安装的驱动
0x03 启动服务
3.1 出现问题1
问题1: 第二次创建时,提示服务已经存在了???
因为此时在创建服务失败后并没有判断服务是否已经存在了,那么就需要根据错误码判断服务是否存在,如果服务存在,那就直接打开服务就行; 下图中左侧打印出错误码,dwErr;
Ring.cpp 中的一个函数,解决这个问题
int LoadDriver(const char *pszPath, const char *pszServiceName)
{
SC_HANDLE hSCM = NULL;
SC_HANDLE hService = NULL;
int iRet = -1;
hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hSCM == NULL)
{
showErr("OpenSCManager");
return 0;
}
printf("[%s] OpenSCManager Ok hSCM:%p \n", __FUNCTION__,hSCM);
hService = CreateService(hSCM, pszServiceName, pszServiceName, SERVICE_ALL_ACCESS, SERVICE_KERNEL_DRIVER,
SERVICE_DEMAND_START, SERVICE_ERROR_NORMAL, pszPath, NULL, NULL, NULL, NULL, NULL);
if (hService == NULL)
{
//if (GetLastError() == 1073) // 当前服务已经存在,那就直接打开用
if (GetLastError() == ERROR_SERVICE_EXISTS)
{
hService = OpenService(hSCM, pszServiceName, SERVICE_ALL_ACCESS);
if (hService == NULL)
{
showErr("OpenService");
goto SAFE_EXIT;
}
printf("[%s] OpenService Ok hService:%p \n", __FUNCTION__, hService);
}
else
{
showErr("CreateService");
goto SAFE_EXIT;
}
}
printf("[%s] CreateService Ok hService:%p \n", __FUNCTION__, hService);
/* CreateService 使用分析
SC_HANDLE CreateService(
SC_HANDLE hSCManager, // handle to SCM database 服务是由服务管理器来管理,这里拿到服务管理器;SCM(service control manager) ,因为是本地,前两个为NULL,最后一个是权限,如果选择所有权限,就是既能创建又能删除
LPCTSTR lpServiceName, // name of service to start
LPCTSTR lpDisplayName, // display name
DWORD dwDesiredAccess, // type of access to service
DWORD dwServiceType, // type of service
DWORD dwStartType, // when to start service 五种启动方式,选第3个,重启系统后就不再加载
DWORD dwErrorControl, // severity of service failure
LPCTSTR lpBinaryPathName, // name of binary file
LPCTSTR lpLoadOrderGroup, // name of load ordering group
LPDWORD lpdwTagId, // tag identifier
LPCTSTR lpDependencies, // array of dependency names
LPCTSTR lpServiceStartName, // account name
LPCTSTR lpPassword // account password);
*/
if (!StartService(hService, NULL, NULL)) /* 后两个参数,因为是驱动的服务,所以三环这里给NULL */
{
showErr("StartService");
goto SAFE_EXIT;
}
iRet = 0;
SAFE_EXIT:
if (hService != NULL)
{
if (CloseServiceHandle(hService) == 0)
{
showErr("CloseServiceHandle");
}
}
if (hSCM != NULL)
{
if (CloseServiceHandle(hSCM) == 0)
{
showErr("CloseServiceHandle");
}
}
return iRet;
}
3.2 出现问题2
问题2:找不到指定文件
1、 不能再win10上运行
2、 驱动一直没有卸载过,卸载函数没写过
3.3 卸载实验验证
Ring3.cpp的UnLoadDriver函数
int UnLoadDriver(const char * pszServiceName)
{
SC_HANDLE hSCM = NULL;
SC_HANDLE hService = NULL;
int iRet = -1;
SERVICE_STATUS oldState = { 0 };
hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hSCM == NULL)
{
showErr("OpenSCManager");
return 0;
}
printf("[%s] OpenSCManager Ok hSCM:%p \n", __FUNCTION__, hSCM);
hService = OpenService(hSCM, pszServiceName, SERVICE_ALL_ACCESS);
if (hService == NULL)
{
showErr("OpenService");
goto SAFE_EXIT;
}
printf("[%s] OpenService Ok hService:%p \n", __FUNCTION__, hService);
/*
1. DeleteService之前,如果服务正在运行怎么办? 那就是先暂停服务
2 .OS 的peding状态:向硬件发送的请求还没有完成,此时驱动卸不掉,停不掉(如果驱动中的派遣函数没有IoCompleteRequest完成请求,就会有这种情况)
*/
if (!ControlService(hService, SERVICE_CONTROL_STOP, &oldState))
{
if (GetLastError() == ERROR_SERVICE_NOT_ACTIVE) // 服务没有启动的时候 判断错误码1062,那就启动服务;
{
printf("[%s] ControlService not active hService:%p \n", __FUNCTION__, hService);
}
else if (GetLastError() == ERROR_DEPENDENT_SERVICES_RUNNING) // peding 状态
{
printf("[%s] Please reboot system hService:%p \n", __FUNCTION__, hService);
goto SAFE_EXIT;
}
else
{
showErr("ControlService");
goto SAFE_EXIT;
}
}
printf("[%s] ControlService stop service Ok hService:%p \n", __FUNCTION__, hService);
if (!DeleteService(hService))
{
showErr("DeleteService");
goto SAFE_EXIT;
}
printf("[%s] DeleteService Ok hService:%p \n", __FUNCTION__, hService);
iRet = 0;
SAFE_EXIT:
if (hService != NULL)
{
if (CloseServiceHandle(hService) == 0)
{
showErr("CloseServiceHandle");
}
}
if (hSCM != NULL)
{
if (CloseServiceHandle(hSCM) == 0)
{
showErr("CloseServiceHandle");
}
}
return iRet;
}
3.4 卸载结果分析
卸载成功,但是创建找不到指定文件
3.5 极端情况(加载器不会考虑这种情况)
3.5.1
极端情况分析: 有可能停掉驱动,但是驱动的回调函数还没有完成 IoCompleteRequest,这时的线程被挂起,服务停不掉,也会报错;
NTSTATUS DispatchRead(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
UNREFERENCED_PARAMETER(Irp);
/* 验证这里是R3的缓存地址,输出一下 */
DbgPrint("51[asm][%s:%d] Irp->UserBuffer:%p", __FUNCTION__, __LINE__, Irp->UserBuffer);
RtlCopyMemory(Irp->UserBuffer,g_zMsg,sizeof(g_zMsg));
Irp->IoStatus.Status = STATUS_SUCCESS; /* 告诉R3返回的状态 */
Irp->IoStatus.Information = sizeof(g_zMsg); /* 告诉R3读取的字节数 */
IoCompleteRequest(Irp, IO_NO_INCREMENT); /* 如果驱动中的派遣函数没有IoCompleteRequest完成请求,R3就会有这peding状态的情况 */
return STATUS_SUCCESS; /* R3的ReadFile的返回值 */
}
3.5.2
OS 的peding状态:向硬件发送的请求还没有完成,此时驱动卸不掉,停不掉
3.6 实验验证:加载卸载
Ring3.cpp
#include <stdio.h>
#include <windows.h>
/*
如果没有R3得程序怎么加载呢?
微软有个inf文件,这个东西可以安装,在微软的官方文档中有说明inf内容怎么写;
OS会解析inf这个配置文件,帮助动态加载驱动
例: 如果硬件需要开机启动加载,微软再开机时会自动加载inf文件
驱动加载的方式:
1. inf文件来加载
2. 动态加载(服务)
创建服务就是安装驱动(很多软件都可以使用打阴界,那么就可调用打印机的驱动,驱动的角色是服务),也就是需要4个api就可以完成这些工作;
创建服务
启动服务
停止服务
卸载服务
*/
void showErr(const char *name)
{
LPVOID lpMsgBuf;
DWORD dwErr = GetLastError();
FormatMessage(
FORMAT_MESSAGE_ALLOCATE_BUFFER |
FORMAT_MESSAGE_FROM_SYSTEM |
FORMAT_MESSAGE_IGNORE_INSERTS,
NULL,
dwErr,
MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language
(LPTSTR)&lpMsgBuf,
0,
NULL
);
printf("[%s] Error Code:%d Msg:%s", name, dwErr, (LPCTSTR)lpMsgBuf);
//MessageBox(NULL, (LPCTSTR)lpMsgBuf, "Error", MB_OK | MB_ICONINFORMATION);
// Free the buffer.
LocalFree(lpMsgBuf);
}
int LoadDriver(const char *pszPath, const char *pszServiceName)
{
SC_HANDLE hSCM = NULL;
SC_HANDLE hService = NULL;
int iRet = -1;
hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hSCM == NULL)
{
showErr("OpenSCManager");
return 0;
}
printf("[%s] OpenSCManager Ok hSCM:%p \n", __FUNCTION__,hSCM);
hService = CreateService(hSCM, pszServiceName, pszServiceName, SERVICE_ALL_ACCESS, SERVICE_KERNEL_DRIVER,
SERVICE_DEMAND_START, SERVICE_ERROR_NORMAL, pszPath, NULL, NULL, NULL, NULL, NULL);
if (hService == NULL)
{
//if (GetLastError() == 1073) // 当前服务已经存在,那就直接打开用
if (GetLastError() == ERROR_SERVICE_EXISTS)
{
hService = OpenService(hSCM, pszServiceName, SERVICE_ALL_ACCESS);
if (hService == NULL)
{
showErr("OpenService");
goto SAFE_EXIT;
}
printf("[%s] OpenService Ok hService:%p \n", __FUNCTION__, hService);
}
else
{
showErr("CreateService");
goto SAFE_EXIT;
}
}
printf("[%s] CreateService Ok hService:%p \n", __FUNCTION__, hService);
/* CreateService 使用分析
SC_HANDLE CreateService(
SC_HANDLE hSCManager, // handle to SCM database 服务是由服务管理器来管理,这里拿到服务管理器;SCM(service control manager) ,因为是本地,前两个为NULL,最后一个是权限,如果选择所有权限,就是既能创建又能删除
LPCTSTR lpServiceName, // name of service to start
LPCTSTR lpDisplayName, // display name
DWORD dwDesiredAccess, // type of access to service
DWORD dwServiceType, // type of service
DWORD dwStartType, // when to start service 五种启动方式,选第3个,重启系统后就不再加载
DWORD dwErrorControl, // severity of service failure
LPCTSTR lpBinaryPathName, // name of binary file
LPCTSTR lpLoadOrderGroup, // name of load ordering group
LPDWORD lpdwTagId, // tag identifier
LPCTSTR lpDependencies, // array of dependency names
LPCTSTR lpServiceStartName, // account name
LPCTSTR lpPassword // account password);
*/
if (!StartService(hService, NULL, NULL)) /* 后两个参数,因为是驱动的服务,所以三环这里给NULL */
{
showErr("StartService");
goto SAFE_EXIT;
}
iRet = 0;
SAFE_EXIT:
if (hService != NULL)
{
if (CloseServiceHandle(hService) == 0)
{
showErr("CloseServiceHandle");
}
}
if (hSCM != NULL)
{
if (CloseServiceHandle(hSCM) == 0)
{
showErr("CloseServiceHandle");
}
}
return iRet;
}
int UnLoadDriver(const char * pszServiceName)
{
SC_HANDLE hSCM = NULL;
SC_HANDLE hService = NULL;
int iRet = -1;
SERVICE_STATUS oldState = { 0 };
hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hSCM == NULL)
{
showErr("OpenSCManager");
return 0;
}
printf("[%s] OpenSCManager Ok hSCM:%p \n", __FUNCTION__, hSCM);
hService = OpenService(hSCM, pszServiceName, SERVICE_ALL_ACCESS);
if (hService == NULL)
{
showErr("OpenService");
goto SAFE_EXIT;
}
printf("[%s] OpenService Ok hService:%p \n", __FUNCTION__, hService);
/*
1. DeleteService之前,如果服务正在运行怎么办? 那就是先暂停服务
2 .OS 的peding状态:向硬件发送的请求还没有完成,此时驱动卸不掉,停不掉(如果驱动中的派遣函数没有IoCompleteRequest完成请求,就会有这种情况)
*/
if (!ControlService(hService, SERVICE_CONTROL_STOP, &oldState))
{
if (GetLastError() == ERROR_SERVICE_NOT_ACTIVE) // 服务没有启动的时候 判断错误码1062
{
printf("[%s] ControlService not active hService:%p \n", __FUNCTION__, hService);
}
else if (GetLastError() == ERROR_DEPENDENT_SERVICES_RUNNING) // peding 状态
{
printf("[%s] Please reboot system hService:%p \n", __FUNCTION__, hService);
goto SAFE_EXIT;
}
else
{
showErr("ControlService");
goto SAFE_EXIT;
}
}
printf("[%s] ControlService stop service Ok hService:%p \n", __FUNCTION__, hService);
if (!DeleteService(hService))
{
showErr("DeleteService");
goto SAFE_EXIT;
}
printf("[%s] DeleteService Ok hService:%p \n", __FUNCTION__, hService);
iRet = 0;
SAFE_EXIT:
if (hService != NULL)
{
if (CloseServiceHandle(hService) == 0)
{
showErr("CloseServiceHandle");
}
}
if (hSCM != NULL)
{
if (CloseServiceHandle(hSCM) == 0)
{
showErr("CloseServiceHandle");
}
}
return iRet;
}
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
LoadDriver("sample2.sys", "51asmMark");
//if (LoadDriver("sample2.sys", "51asmMark") < 0)
// return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
#if 1
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
printf("hFile:%p err:%p\n", hFile, GetLastError());
// 读写设备
char acBuf[60] = { 0 };
printf("acBuf:%p\n", acBuf); /* 驱动要输出R3的缓存地址,这里作为对照 */
DWORD dwBytes = 0;
BOOL bRet = ReadFile(hFile, acBuf, sizeof(acBuf), &dwBytes, NULL);
printf("bRet:%d dwBytes:%d acBuf:%s\n", bRet, dwBytes, acBuf);
// 控制设备
// 关闭设备
#endif
UnLoadDriver("51asmMark");
printf("[%s] UnLoadDriver Driver Ok \n", __FUNCTION__);
system("pause");
return 0;
}
3.7 实验结果分析
启动服务的时候,系统路径找不到,验证有误,驱动路径有问题,修改为绝对路径试试;
3.8 实验验证:路径修改为绝对路径
修改为绝对路径(虚拟机中驱动的绝对路径)
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
LoadDriver("C:\\Documents and Settings\\cobb\\桌面\\sample2.sys", "51asmMark");
//if (LoadDriver("sample2.sys", "51asmMark") < 0)
// return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
showErr("CreateFile");
}
else
{
printf("hFile:%p \n", hFile);
// 读写设备
char acBuf[60] = { 0 };
printf("acBuf:%p\n", acBuf); /* 驱动要输出R3的缓存地址,这里作为对照 */
DWORD dwBytes = 0;
BOOL bRet = ReadFile(hFile, acBuf, sizeof(acBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("ReadFile");
}
else
{
printf("bRet:%d dwBytes:%d acBuf:%s\n", bRet, dwBytes, acBuf);
}
// 控制设备
// 关闭设备
CloseHandle(hFile);
}
UnLoadDriver("51asmMark");
printf("[%s] UnLoadDriver Driver Ok \n", __FUNCTION__);
system("pause");
return 0;
}
3.9 结果分析
成功获取到hello,成功加载和卸载;
加载工具的实现已完成;
0x04 通过control来通讯
控制码: 驱动的DispatchRead被调用了,用户发来了请求,那么驱动怎么才能知道用户想要干嘛? 是遍历文件?遍历进程? …. 于是需要用控制码来标注一下,R3想要让驱动具体做什么,就发送对应的控制码;
R3和R0要分开,驱动中不直接访问三环的内存地址,而是在内核中申请一段内存,请求完成时,把内存拷贝给R3
问题: 读了数据又想写数据怎么办?
假如说R3写数据的请求是关闭某个进程,那么需要传给驱动一个pid, 同时R3需要一个结果,判断这个进程有没有关闭成功。
readfile+缓冲区,writefile+缓冲区,这就需要两个缓冲区来做交互,并且这两个回调一般是给硬件设备用的;
如果使用控制,那可以一次传两个缓冲区,可以同时读写数据,相对更加方便;
4.1 实验验证:能否调用驱动control函数
Ring3.cpp 中的main函数
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
LoadDriver("C:\\Documents and Settings\\cobb\\桌面\\sample2.sys", "51asmMark");
//if (LoadDriver("sample2.sys", "51asmMark") < 0)
// return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
showErr("CreateFile");
}
else
{
printf("hFile:%p \n", hFile);
#if 0
// 读写设备
char acBuf[60] = { 0 };
printf("acBuf:%p\n", acBuf); /* 驱动要输出R3的缓存地址,这里作为对照 */
DWORD dwBytes = 0;
BOOL bRet = ReadFile(hFile, acBuf, sizeof(acBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("ReadFile");
}
else
{
printf("bRet:%d dwBytes:%d acBuf:%s\n", bRet, dwBytes, acBuf);
}
#endif
char szInBuf[MAXBYTE] = { 0 };
char szOutBuf[MAXBYTE] = { 0 };
DWORD dwBytes = 0; /* 缓冲区写进去的数据个数 */
BOOL bRet = DeviceIoControl(hFile, 100, szInBuf, sizeof(szInBuf), szOutBuf, sizeof(szOutBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("DeviceIoControl");
}
else
{
// 显示结果
printf("bRet:%d dwBytes:%d szOutBuf:%s\n", bRet, dwBytes, szOutBuf);
}
// 控制设备
// 关闭设备
CloseHandle(hFile);
}
UnLoadDriver("51asmMark");
printf("[%s] UnLoadDriver Driver Ok \n", __FUNCTION__);
system("pause");
return 0;
}
4.2 结果分析
调用了control,
4.2.1
NT框架的设计问题:irp里没有R3的控制码
系统采用分层驱动的方式,例如:键盘是两个驱动加载组成的;
例: 有线键盘 不同usb接口键盘 逻辑大量重复
那就: 一个负责接口驱动,一个负责键盘逻辑驱动
4.3 实验验证:驱动中获取R3地址
Ring3.cpp 的main函数
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
LoadDriver("C:\\Documents and Settings\\cobb\\桌面\\sample2.sys", "51asmMark");
//if (LoadDriver("sample2.sys", "51asmMark") < 0)
// return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
showErr("CreateFile");
}
else
{
printf("hFile:%p \n", hFile);
char szInBuf[MAXBYTE] = { 0 };
char szOutBuf[MAXBYTE] = { 0 };
printf("szInBuf:%p szOutBuf:%p size:%d\n", szInBuf, szOutBuf, MAXBYTE); /* 驱动要输出R3的缓存地址,这里作为对照验证 */
DWORD dwBytes = 0; /* 缓冲区写进去的数据个数 */
BOOL bRet = DeviceIoControl(hFile, 100, szInBuf, sizeof(szInBuf), szOutBuf, sizeof(szOutBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("DeviceIoControl");
}
else
{
// 显示结果
printf("bRet:%d dwBytes:%d szOutBuf:%s\n", bRet, dwBytes, szOutBuf);
}
// 控制设备
// 关闭设备
CloseHandle(hFile);
}
UnLoadDriver("51asmMark");
printf("[%s] UnLoadDriver Driver Ok \n", __FUNCTION__);
system("pause");
return 0;
}sample.cpp 的DispatchControl函数
NTSTATUS DispatchControl(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
/*
类似函数调用,要给下一层驱动传参数,参数:有的分开,有的共用;
共用参数放到了IRP里了;
不共用的参数,都会有自己的内存空间==》"IRP堆栈" ( 缓冲区大小 控制码......)
然后要向IO管理器获取到IRP堆栈(要的是这层驱动的irp堆栈地址),参数给irp,因为IRP堆栈就放在IRP后面;
IoGetCurrentIrpStackLocation(Irp); 传参是irp,因为irp堆栈放到irp后面;
但是不知道拿到那一层,自己不能去拿到这个地址,这是系统来拿,R3的其他参数都在这里main
不同的回调函数会有不同的行为,IoGetCurrentIrpStackLocation返回值里是共用体;
*/
PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(Irp);
PVOID pUserBuffer = Irp->UserBuffer;
PVOID pType3InputBuffer = pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
ULONG uInputBufferLength = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
ULONG uOutputBufferLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pUserBuffer:%p pType3InputBuffer:%p", __FUNCTION__, __LINE__, uIoControlCode, pUserBuffer, pType3InputBuffer);
DbgPrint("51[asm][%s:%d] uInputBufferLength:%d uOutputBufferLength:%d", __FUNCTION__, __LINE__, uInputBufferLength, uOutputBufferLength);
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = 0;
/*
1. 这个函数表示 请求是否结束
2. 第一个参数:Irp(I/O Request Packet) 把所有的请求参数封装到这个结构体了
3. 第二个参数,让挂起的线程快速恢复,把线程的优先级往上提;
4. 当前IO_NO_INCREMENT: 不要提升优先级,什时候唤醒就什么时候结束
5. 除了入口函数和卸载函数外,其他全部函数都是一样的,要这样处理;
*/
IoCompleteRequest(Irp,IO_NO_INCREMENT);
return STATUS_SUCCESS;
//return IoCallDriver(Irp); // 分层驱动,这里进入下一层驱动来获取需要的值
}
4.4 现象分析:
这里只拿到一个缓冲区,另外一个缓冲区拿不到了,这就是为什么不要用R3的缓冲区,内核返回R3的缓冲区是有安全风险的
OS处理的原理:
R3输出缓冲区给驱动的过程:OS申请一个R0级别的内存,先把R3输出缓冲区的数据拷贝到OS里,驱动从R0申请的内存中再读数据; 驱动读取完数据之后要返回,路径相反;
而readfile参数是三环的,从内核里读数据,数据会被覆盖,无法读到数据,这是系统缓冲区;这就是为什么不能使用readfile
所以驱动中拿到这几个R3的数据没有意义的,是无效的参数;
4.5 实验验证: 内核读写数据的正确姿势
sample.cpp 的DispatchControl函数
NTSTATUS DispatchControl(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
/*
类似函数调用,要给下一层驱动传参数,参数:有的分开,有的共用;
共用参数放到了IRP里了;
不共用的参数,都会有自己的内存空间==》"IRP堆栈" ( 缓冲区大小 控制码......)
然后要向IO管理器获取到IRP堆栈(要的是我这层驱动的irp堆栈地址),参数给irp,因为IRP堆栈就放在IRP后面;
IoGetCurrentIrpStackLocation(Irp); 传参是irp,因为irp堆栈放到irp后面;
但是不知道拿到那一层,自己不能去拿到这个地址,这是系统来拿,R3的其他参数都在这里main
不同的回调函数会有不同的行为,IoGetCurrentIrpStackLocation返回值里是共用体;
*/
PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(Irp);
//PVOID pUserBuffer = Irp->UserBuffer;
//PVOID pType3InputBuffer = pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
//ULONG uInputBufferLength = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
//ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
//ULONG uOutputBufferLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
//DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pUserBuffer:%p pType3InputBuffer:%p", __FUNCTION__, __LINE__, uIoControlCode, pUserBuffer, pType3InputBuffer);
//DbgPrint("51[asm][%s:%d] uInputBufferLength:%d uOutputBufferLength:%d", __FUNCTION__, __LINE__, uInputBufferLength, uOutputBufferLength);
/*
内核中读写数据:
获取输出缓冲区的大小(地址在高2G),
数据的读写都是在这里进行
系统会让这里的缓冲区大小和R3输出缓冲区一样大
*/
PVOID pSystemBuffer = Irp->AssociatedIrp.SystemBuffer;
ULONG uLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
DbgPrint("51[asm][%s:%d] pSystemBuffer:%p uLength:%d", __FUNCTION__, __LINE__, pSystemBuffer, uLength);
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = 0;
/*
1. 这个函数表示 请求是否结束
2. 第一个参数:Irp(I/O Request Packet) 把所有的请求参数疯转到这个结构体了
3. 第二个参数,让挂起的线程快速恢复,把线程的优先级往上提;
4. 当前IO_NO_INCREMENT: 不要提升优先级,什时候唤醒就什么时候结束
5. 除了入口函数和卸载函数外,其他全部函数都是一样的,要这样处理;
*/
IoCompleteRequest(Irp,IO_NO_INCREMENT);
return STATUS_SUCCESS;
//return IoCallDriver(Irp); // 分层驱动,这里进入下一层驱动来获取需要的值
}
4.6 结果分析
输出了高2G的地址
4.7 尝试读写内核数据
R3传给驱动"hello",驱动回复"word".
Ring3.cpp 的main函数
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
LoadDriver("C:\\Documents and Settings\\cobb\\桌面\\sample2.sys", "51asmMark");
//if (LoadDriver("sample2.sys", "51asmMark") < 0)
// return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
showErr("CreateFile");
}
else
{
printf("hFile:%p \n", hFile);
char szInBuf[MAXBYTE] = { 0 };
char szOutBuf[MAXBYTE] = { "hello" };
printf("szInBuf:%p szOutBuf:%p size:%d\n", szInBuf, szOutBuf, MAXBYTE); /* 驱动要输出R3的缓存地址,这里作为对照验证 */
DWORD dwBytes = 0; /* 缓冲区写进去的数据个数 */
BOOL bRet = DeviceIoControl(hFile, 100, szInBuf, sizeof(szInBuf), szOutBuf, sizeof(szOutBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("DeviceIoControl");
}
else
{
// 显示结果
printf("bRet:%d dwBytes:%d szInBuf:%s\n", bRet, dwBytes, szInBuf);
}
// 控制设备
// 关闭设备
CloseHandle(hFile);
}
UnLoadDriver("51asmMark");
printf("[%s] UnLoadDriver Driver Ok \n", __FUNCTION__);
system("pause");
return 0;
}sample.cpp 的DispatchControl函数
NTSTATUS DispatchControl(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
/*
类似函数调用,要给下一层驱动传参数,参数:有的分开,有的共用;
共用参数放到了IRP里了;
不共用的参数,都会有自己的内存空间==》"IRP堆栈" ( 缓冲区大小 控制码......)
然后要向IO管理器获取到IRP堆栈(要的是我这层驱动的irp堆栈地址),参数给irp,因为IRP堆栈就放在IRP后面;
IoGetCurrentIrpStackLocation(Irp); 传参是irp,因为irp堆栈放到irp后面;
但是不知道拿到那一层,自己不能去拿到这个地址,这是系统来拿,R3的其他参数都在这里main
不同的回调函数会有不同的行为,IoGetCurrentIrpStackLocation返回值里是共用体;
*/
PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(Irp);
//PVOID pUserBuffer = Irp->UserBuffer;
//PVOID pType3InputBuffer = pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
//ULONG uInputBufferLength = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
//ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
//ULONG uOutputBufferLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
//DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pUserBuffer:%p pType3InputBuffer:%p", __FUNCTION__, __LINE__, uIoControlCode, pUserBuffer, pType3InputBuffer);
//DbgPrint("51[asm][%s:%d] uInputBufferLength:%d uOutputBufferLength:%d", __FUNCTION__, __LINE__, uInputBufferLength, uOutputBufferLength);
/*
内核中读写数据:
获取输出缓冲区的大小(地址在高2G),
数据的读写都是在这里进行
系统会让这里的缓冲区大小和R3输出缓冲区一样大
不要在Ring0下访问Ring3地址,会产生安全问题
*/
PVOID pSystemBuffer = Irp->AssociatedIrp.SystemBuffer;
ULONG uLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pSystemBuffer:%p uLength:%d", __FUNCTION__, __LINE__,
uIoControlCode, pSystemBuffer, uLength);
switch (uIoControlCode)
{
case 100:
DbgPrint("51[asm][%s:%d] Enum Process pid:%s", __FUNCTION__, __LINE__, pSystemBuffer);
RtlStringCchCopyA((LPSTR)pSystemBuffer, uLength, "word"); //如果要向R3写数据,也是写入这个缓存中
break;
case 200:
break;
default:
break;
}
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = uLength; // 返回值的长度要返回去
/*
1. 这个函数表示 请求是否结束
2. 第一个参数:Irp(I/O Request Packet) 把所有的请求参数疯转到这个结构体了
3. 第二个参数,让挂起的线程快速恢复,把线程的优先级往上提;
4. 当前IO_NO_INCREMENT: 不要提升优先级,什时候唤醒就什么时候结束
5. 除了入口函数和卸载函数外,其他全部函数都是一样的,要这样处理;
*/
IoCompleteRequest(Irp,IO_NO_INCREMENT);
return STATUS_SUCCESS;
//return IoCallDriver(Irp); // 分层驱动,这里进入下一层驱动来获取需要的值
}
4.8 结果分析
数据没有读到,也没有返回回去,这是因为控制码的原因,控制码的定义是有规范的
微软定义一个宏 CTL_CODE ,来表示控制码,可查看文档;
4.9 控制码讲解
编写控制函数的第一步就是要定义控制码(也就是定义一套自己的控制码)
控制码从3环的API可以看出它是一个整型;而且控制码是有规范的,不能胡乱定义.
这么定义控制码是很麻烦的,所以微软提供了一个宏来完成控制码的定义
示例:
#define IOCTL_GET_REG1 CTL_CODE(DeviceType, Function, Method, Access) 只需要填写上这四个参数就行了
DeviceType:(DeviceType)设备类型;内核驱动就写FILE_DEVICE_UNKNOWN就行了
Function:(FunctionCode)控制码;可以定义自己的控制码,但是要大于0x800;(0x800以下被微软保留使用了)
Method:(TransferType);通信方式
Access:(RequiredAccess)访问权限;就是读写的权限,一般给所有权限FILE_ANY_ACCESS;
定义好以后就是这样
#define IOCTL_GET_REG1 CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_NEITHER,FILE_ANY_ACCESS)
#define IOCTL_GET_REG2 CTL_CODE(FILE_DEVICE_UNKNOWN,0x801,METHOD_NEITHER,FILE_ANY_ACCESS)
控制码会越来越多,所以一般我们还会再套一个宏,方便后期的修改.
#define MY_CTL_CODE(code) CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_NEITHER,FILE_ANY_ACCESS)
#define IOCTL_GET_REG1 MY_CTL_CODE(0x801)
#define IOCTL_GET_REG2 MY_CTL_CODE(0x802)
或者再多加一个宏
#define MY_CODE_BASE 0x800
#define MY_CTL_CODE(code) CTL_CODE(FILE_DEVICE_UNKNOWN,MY_CODE_BASE + code,METHOD_NEITHER,FILE_ANY_ACCESS)
#define IOCTL_GET_REG1 MY_CTL_CODE(0)
#define IOCTL_GET_REG2 MY_CTL_CODE(1)控制码不按格式定义的话,驱动可能收不到,或者收到后直接系统蓝屏
4.10 实验验证:通过控制码的数据读写
Ring3.cpp 的main函数和添加的宏
#include <stdio.h>
#include <windows.h>
#include <WinIoCtl.h> /* use CTL_CODE */
// 参数2:Values of less than 0x800 are reserved for Microsoft
// 参数3:METHOD_BUFFERED表示操作系统来创建缓冲区
#define IOCTL_ENUM_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED , FILE_ANY_ACCESS)
#define IOCTL_KILL_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED , FILE_ANY_ACCESS)
// 中间部分省略 ...
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
LoadDriver("C:\\Documents and Settings\\cobb\\桌面\\sample2.sys", "51asmMark");
//if (LoadDriver("sample2.sys", "51asmMark") < 0)
// return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
showErr("CreateFile");
}
else
{
printf("hFile:%p \n", hFile);
char szInBuf[MAXBYTE] = { 0 };
char szOutBuf[MAXBYTE] = { "hello" };
printf("szInBuf:%p szOutBuf:%p size:%d\n", szInBuf, szOutBuf, MAXBYTE); /* 驱动要输出R3的缓存地址,这里作为对照验证 */
DWORD dwBytes = 0; /* 缓冲区写进去的数据个数 */
BOOL bRet = DeviceIoControl(hFile, IOCTL_ENUM_PROCESS, szInBuf, sizeof(szInBuf), szOutBuf, sizeof(szOutBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("DeviceIoControl");
}
else
{
// 显示结果
printf("bRet:%d dwBytes:%d szInBuf:%s szOutBuf:%s\n", bRet, dwBytes, szInBuf, szOutBuf);
}
// 控制设备
// 关闭设备
CloseHandle(hFile);
}
UnLoadDriver("51asmMark");
printf("[%s] UnLoadDriver Driver Ok \n", __FUNCTION__);
system("pause");
return 0;
}sample.h
#pragma once
#include <ntddk.h>
#include <Wdm.h>
#include <Ntstrsafe.h>
#define DEVICE_NAME L"\\Device\\51asmMark"
#define SYMBOL_NAME L"\\DosDevices\\51asmMark"
//#define SYMBOL_NAME L"\\??\\51asmMark"
// 参数2:Values of less than 0x800 are reserved for Microsoft
// 参数3:METHOD_BUFFERED表示操作系统来创建缓冲区
#define IOCTL_ENUM_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED , FILE_ANY_ACCESS)
#define IOCTL_KILL_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED , FILE_ANY_ACCESS)
VOID Unload(__in struct _DRIVER_OBJECT* DriverObject);
extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath);
NTSTATUS DispatchCreat(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchClose(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchRead(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchWrite(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchControl(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);sample.cpp 的DispatchControl函数
NTSTATUS DispatchControl(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
/*
类似函数调用,要给下一层驱动传参数,参数:有的分开,有的共用;
共用参数放到了IRP里了;
不共用的参数,都会有自己的内存空间==》"IRP堆栈" ( 缓冲区大小 控制码......)
然后要向IO管理器获取到IRP堆栈(要的是我这层驱动的irp堆栈地址),参数给irp,因为IRP堆栈就放在IRP后面;
IoGetCurrentIrpStackLocation(Irp); 传参是irp,因为irp堆栈放到irp后面;
但是不知道拿到那一层,自己不能去拿到这个地址,这是系统来拿,R3的其他参数都在这里main
不同的回调函数会有不同的行为,IoGetCurrentIrpStackLocation返回值里是共用体;
*/
PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(Irp);
//PVOID pUserBuffer = Irp->UserBuffer;
//PVOID pType3InputBuffer = pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
//ULONG uInputBufferLength = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
//ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
//ULONG uOutputBufferLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
//DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pUserBuffer:%p pType3InputBuffer:%p", __FUNCTION__, __LINE__, uIoControlCode, pUserBuffer, pType3InputBuffer);
//DbgPrint("51[asm][%s:%d] uInputBufferLength:%d uOutputBufferLength:%d", __FUNCTION__, __LINE__, uInputBufferLength, uOutputBufferLength);
/*
内核中读写数据:
获取输出缓冲区的大小(地址在高2G),
数据的读写都是在这里进行
系统会让这里的缓冲区大小和R3输出缓冲区一样大
不要在Ring0下访问Ring3地址,会产生安全问题
*/
PVOID pSystemBuffer = Irp->AssociatedIrp.SystemBuffer;
ULONG uLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pSystemBuffer:%p uLength:%d", __FUNCTION__, __LINE__,
uIoControlCode, pSystemBuffer, uLength);
switch (uIoControlCode)
{
case IOCTL_ENUM_PROCESS:
DbgPrint("51[asm][%s:%d] Enum Process pid:%p", __FUNCTION__, __LINE__, pSystemBuffer);
RtlStringCchCopyA((LPSTR)pSystemBuffer, uLength, "word"); //如果要向R3写数据,也是写入这个缓存中
break;
case IOCTL_KILL_PROCESS:
DbgPrint("51[asm][%s:%d] Kill Process pid:%p", __FUNCTION__, __LINE__, pSystemBuffer);
break;
default:
break;
}
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = uLength; // 返回值的长度要返回去
/*
1. 这个函数表示 请求是否结束
2. 第一个参数:Irp(I/O Request Packet) 把所有的请求参数疯转到这个结构体了
3. 第二个参数,让挂起的线程快速恢复,把线程的优先级往上提;
4. 当前IO_NO_INCREMENT: 不要提升优先级,什时候唤醒就什么时候结束
5. 除了入口函数和卸载函数外,其他全部函数都是一样的,要这样处理;
*/
IoCompleteRequest(Irp,IO_NO_INCREMENT);
return STATUS_SUCCESS;
//return IoCallDriver(Irp); // 分层驱动,这里进入下一层驱动来获取需要的值
}
4.11 结果分析
驱动没有操作R3的地址,缓冲区地址是高2G,并且成功输出"word"
Ring3.cpp 的main函数
也可以这么做,这个做法类似 管道 ,匿名管道;可进可出
int main()
{
// 部分省略 ....
char szBuf[MAXBYTE] = { "hello" };
printf("szBuf:%p size:%d\n", szBuf, MAXBYTE); /* 驱动要输出R3的缓存地址,这里作为对照验证 */
DWORD dwBytes = 0; /* 缓冲区写进去的数据个数 */
BOOL bRet = DeviceIoControl(hFile, IOCTL_ENUM_PROCESS, szBuf, sizeof(szBuf), szBuf, sizeof(szBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("DeviceIoControl");
}
else
{
// 显示结果
printf("bRet:%d dwBytes:%d szBuf:%s\n", bRet, dwBytes, szBuf);
}
// 部分省略 ....
return 0;
}
4.12 同步问题
- 在驱动里操作全局变量也是会有同步问题的
- 可以直接用临界区来搞定
- 必须上个同步,要不然有两个线程同时操作就完了
KeEnterCriticalRegion(); //进入临界区
// ... 这里就是操作全局变量,对象的代码
KeLeaveCriticalRegion(); //退出临界区
//可以获取一下进程ID,来测试一下
PsGetCurrentProcessId(); KeEnterCriticalRegion();
switch (uIoControlCode)
{
case IOCTL_ENUM_PROCESS:
DbgPrint("51[asm][%s:%d] Enum Process pid:%p", __FUNCTION__, __LINE__, pSystemBuffer);
RtlStringCchCopyA((LPSTR)pSystemBuffer, uLength, "word"); //如果要向R3写数据,也是写入这个缓存中
break;
case IOCTL_KILL_PROCESS:
DbgPrint("51[asm][%s:%d] Kill Process pid:%p", __FUNCTION__, __LINE__, pSystemBuffer);
break;
default:
break;
}
KeLeaveCriticalRegion();
0x05 完整代码记录
Ring3.cpp
#include <stdio.h>
#include <windows.h>
#include <WinIoCtl.h> /* use CTL_CODE */
// 参数2:Values of less than 0x800 are reserved for Microsoft
// 参数3:METHOD_BUFFERED表示操作系统来创建缓冲区
#define IOCTL_ENUM_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED , FILE_ANY_ACCESS)
#define IOCTL_KILL_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED , FILE_ANY_ACCESS)
struct ProcessInfo
{
int pid;
char name[256];
};
/*
如果没有R3得程序怎么加载呢?
微软有个inf文件,这个东西可以安装,在微软的官方文档中有说明inf内容怎么写;
OS会解析inf这个配置文件,帮助动态加载驱动
例: 如果硬件需要开机启动加载,微软再开机时会自动加载inf文件
驱动加载的方式:
1. inf文件来加载
2. 动态加载(服务)
创建服务就是安装驱动(很多软件都可以使用打阴界,那么就可调用打印机的驱动,驱动的角色是服务),也就是需要4个api就可以完成这些工作;
创建服务
启动服务
停止服务
卸载服务
*/
void showErr(const char *name)
{
LPVOID lpMsgBuf;
DWORD dwErr = GetLastError();
FormatMessage(
FORMAT_MESSAGE_ALLOCATE_BUFFER |
FORMAT_MESSAGE_FROM_SYSTEM |
FORMAT_MESSAGE_IGNORE_INSERTS,
NULL,
dwErr,
MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language
(LPTSTR)&lpMsgBuf,
0,
NULL
);
printf("[%s] Error Code:%d Msg:%s", name, dwErr, (LPCTSTR)lpMsgBuf);
//MessageBox(NULL, (LPCTSTR)lpMsgBuf, "Error", MB_OK | MB_ICONINFORMATION);
// Free the buffer.
LocalFree(lpMsgBuf);
}
int LoadDriver(const char *pszPath, const char *pszServiceName)
{
SC_HANDLE hSCM = NULL;
SC_HANDLE hService = NULL;
int iRet = -1;
hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hSCM == NULL)
{
showErr("OpenSCManager");
return 0;
}
printf("[%s] OpenSCManager Ok hSCM:%p \n", __FUNCTION__,hSCM);
hService = CreateService(hSCM, pszServiceName, pszServiceName, SERVICE_ALL_ACCESS, SERVICE_KERNEL_DRIVER,
SERVICE_DEMAND_START, SERVICE_ERROR_NORMAL, pszPath, NULL, NULL, NULL, NULL, NULL);
if (hService == NULL)
{
//if (GetLastError() == 1073) // 当前服务已经存在,那就直接打开用
if (GetLastError() == ERROR_SERVICE_EXISTS)
{
hService = OpenService(hSCM, pszServiceName, SERVICE_ALL_ACCESS);
if (hService == NULL)
{
showErr("OpenService");
goto SAFE_EXIT;
}
printf("[%s] OpenService Ok hService:%p \n", __FUNCTION__, hService);
}
else
{
showErr("CreateService");
goto SAFE_EXIT;
}
}
printf("[%s] CreateService Ok hService:%p \n", __FUNCTION__, hService);
/* CreateService 使用分析
SC_HANDLE CreateService(
SC_HANDLE hSCManager, // handle to SCM database 服务是由服务管理器来管理,这里拿到服务管理器;SCM(service control manager) ,因为是本地,前两个为NULL,最后一个是权限,如果选择所有权限,就是既能创建又能删除
LPCTSTR lpServiceName, // name of service to start
LPCTSTR lpDisplayName, // display name
DWORD dwDesiredAccess, // type of access to service
DWORD dwServiceType, // type of service
DWORD dwStartType, // when to start service 五种启动方式,选第3个,重启系统后就不再加载
DWORD dwErrorControl, // severity of service failure
LPCTSTR lpBinaryPathName, // name of binary file
LPCTSTR lpLoadOrderGroup, // name of load ordering group
LPDWORD lpdwTagId, // tag identifier
LPCTSTR lpDependencies, // array of dependency names
LPCTSTR lpServiceStartName, // account name
LPCTSTR lpPassword // account password);
*/
if (!StartService(hService, NULL, NULL)) /* 后两个参数,因为是驱动的服务,所以三环这里给NULL */
{
showErr("StartService");
goto SAFE_EXIT;
}
iRet = 0;
SAFE_EXIT:
if (hService != NULL)
{
if (CloseServiceHandle(hService) == 0)
{
showErr("CloseServiceHandle");
}
}
if (hSCM != NULL)
{
if (CloseServiceHandle(hSCM) == 0)
{
showErr("CloseServiceHandle");
}
}
return iRet;
}
int UnLoadDriver(const char * pszServiceName)
{
SC_HANDLE hSCM = NULL;
SC_HANDLE hService = NULL;
int iRet = -1;
SERVICE_STATUS oldState = { 0 };
hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hSCM == NULL)
{
showErr("OpenSCManager");
return 0;
}
printf("[%s] OpenSCManager Ok hSCM:%p \n", __FUNCTION__, hSCM);
hService = OpenService(hSCM, pszServiceName, SERVICE_ALL_ACCESS);
if (hService == NULL)
{
showErr("OpenService");
goto SAFE_EXIT;
}
printf("[%s] OpenService Ok hService:%p \n", __FUNCTION__, hService);
/*
1. DeleteService之前,如果服务正在运行怎么办? 那就是先暂停服务
2 .OS 的peding状态:向硬件发送的请求还没有完成,此时驱动卸不掉,停不掉(如果驱动中的派遣函数没有IoCompleteRequest完成请求,就会有这种情况)
*/
if (!ControlService(hService, SERVICE_CONTROL_STOP, &oldState))
{
if (GetLastError() == ERROR_SERVICE_NOT_ACTIVE) // 服务没有启动的时候 判断错误码1062,那就启动服务;
{
printf("[%s] ControlService not active hService:%p \n", __FUNCTION__, hService);
}
else if (GetLastError() == ERROR_DEPENDENT_SERVICES_RUNNING) // peding 状态
{
printf("[%s] Please reboot system hService:%p \n", __FUNCTION__, hService);
goto SAFE_EXIT;
}
else
{
showErr("ControlService");
goto SAFE_EXIT;
}
}
printf("[%s] ControlService stop service Ok hService:%p \n", __FUNCTION__, hService);
if (!DeleteService(hService))
{
showErr("DeleteService");
goto SAFE_EXIT;
}
printf("[%s] DeleteService Ok hService:%p \n", __FUNCTION__, hService);
iRet = 0;
SAFE_EXIT:
if (hService != NULL)
{
if (CloseServiceHandle(hService) == 0)
{
showErr("CloseServiceHandle");
}
}
if (hSCM != NULL)
{
if (CloseServiceHandle(hSCM) == 0)
{
showErr("CloseServiceHandle");
}
}
return iRet;
}
int main()
{
printf("[%s] Install Driver ... \n", __FUNCTION__);
LoadDriver("C:\\Documents and Settings\\cobb\\桌面\\sample2.sys", "51asmMark");
//if (LoadDriver("sample2.sys", "51asmMark") < 0)
// return 0;
printf("[%s] Install Driver Ok \n", __FUNCTION__);
// 打开设备, 这里文件的路径就是在驱动中创建的设备名字
HANDLE hFile = CreateFile("\\\\.\\\\51asmMark", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
showErr("CreateFile");
}
else
{
printf("hFile:%p \n", hFile);
#if 0
// 读写设备
char acBuf[60] = { 0 };
printf("acBuf:%p\n", acBuf); /* 驱动要输出R3的缓存地址,这里作为对照 */
DWORD dwBytes = 0;
BOOL bRet = ReadFile(hFile, acBuf, sizeof(acBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("ReadFile");
}
else
{
printf("bRet:%d dwBytes:%d acBuf:%s\n", bRet, dwBytes, acBuf);
}
#endif
char szBuf[MAXBYTE] = { "hello" };
printf("szBuf:%p size:%d\n", szBuf, MAXBYTE); /* 驱动要输出R3的缓存地址,这里作为对照验证 */
DWORD dwBytes = 0; /* 缓冲区写进去的数据个数 */
BOOL bRet = DeviceIoControl(hFile, IOCTL_ENUM_PROCESS, szBuf, sizeof(szBuf), szBuf, sizeof(szBuf), &dwBytes, NULL);
if (!bRet)
{
showErr("DeviceIoControl");
}
else
{
// 显示结果
printf("bRet:%d dwBytes:%d szBuf:%s\n", bRet, dwBytes, szBuf);
}
// 控制设备
// 关闭设备
CloseHandle(hFile);
}
UnLoadDriver("51asmMark");
printf("[%s] UnLoadDriver Driver Ok \n", __FUNCTION__);
system("pause");
return 0;
}sample.h
#pragma once
#include <ntddk.h>
#include <Wdm.h>
#include <Ntstrsafe.h>
#define DEVICE_NAME L"\\Device\\51asmMark"
#define SYMBOL_NAME L"\\DosDevices\\51asmMark"
//#define SYMBOL_NAME L"\\??\\51asmMark"
// 参数2:Values of less than 0x800 are reserved for Microsoft
// 参数3:METHOD_BUFFERED表示操作系统来创建缓冲区
#define IOCTL_ENUM_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED , FILE_ANY_ACCESS)
#define IOCTL_KILL_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED , FILE_ANY_ACCESS)
VOID Unload(__in struct _DRIVER_OBJECT* DriverObject);
extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath);
NTSTATUS DispatchCreat(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchClose(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchRead(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchWrite(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
NTSTATUS DispatchControl(struct _DEVICE_OBJECT* DeviceObject, struct _IRP* Irp);
/*
IRP_MJ_DEVICE_CONTROL: 读写可以控制摄像头的打开关闭,控制则可以控制其他的,如:摄像头的旋转...[除了硬件厂商,其他人可不知道怎么让摄像头旋转]
是用来写不通用的功能; 读写的参数需要传一个缓冲区和一个长度,而control的参数,微软不知道传什么参数
control就是要传一些只有硬件厂家才能解析的数据
显卡(NVIDIA)的驱动安装之后,R3上有界面,设置显卡的一些特性,会调用DispatchControl这个函数,这里可以做一些硬件独有的功能;
有一种软件可以拿到硬件的各种信息:有没有可能把control的参数逆清楚,模仿参数发送数据,这样就可以拿到硬件的各种信息了
前几天在闲鱼买了太Macmini主机,最担心的就是有人通过这种方式来修改主机里的信息,如:8+256的主机刷成32+2t的,买家需要反复擦亮眼睛奥;
*/sample.cpp
#include "sample.h"
char g_zMsg[] = "hello"; // 代表OS的任何数据
VOID Unload(__in struct _DRIVER_OBJECT* DriverObject)
{
UNREFERENCED_PARAMETER(DriverObject);
/* 删除符号链接 */
UNICODE_STRING strDosDeviceName;
RtlInitUnicodeString(&strDosDeviceName, SYMBOL_NAME);
IoDeleteSymbolicLink(&strDosDeviceName);
/* 驱动对象和设备对象绑定之后,设备对象会被记录到这里 DriverObject->DeviceObject; 需要判断对象是否绑定成功*/
if (DriverObject->DeviceObject != NULL)
{
IoDeleteDevice(DriverObject->DeviceObject);
DbgPrint("51[asm][%s:%d] IoDeleteDevice OK!",__FUNCTION__,__LINE__);
}
DbgPrint("51[asm][%s:%d] Unload", __FUNCTION__, __LINE__);
}
NTSTATUS DriverEntry(
PDRIVER_OBJECT DriverObject, /* PDRIVER_OBJECT 这个结构体保存了驱动的所有信息 */
PUNICODE_STRING RegistryPath)
{
UNREFERENCED_PARAMETER(DriverObject);
UNREFERENCED_PARAMETER(RegistryPath);
NTSTATUS Status = STATUS_SUCCESS;
/* 注册派遣函数 */
DriverObject->MajorFunction[IRP_MJ_CREATE] = DispatchCreat;
DriverObject->MajorFunction[IRP_MJ_CLOSE] = DispatchClose;
DriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead;
DriverObject->MajorFunction[IRP_MJ_WRITE] = DispatchWrite;
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchControl;
/* rtl: run time library C库(运行库) 微软重新做的C库,这个库更加安全; 这里做字符串使用的初始化 */
UNICODE_STRING userDevName;
RtlInitUnicodeString(&userDevName, DEVICE_NAME);
/* 绑定设备 */
PDEVICE_OBJECT pDeviceObj = NULL;
Status = IoCreateDevice(DriverObject, 0, &userDevName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN | FILE_READ_ONLY_DEVICE | FILE_WRITE_ONCE_MEDIA, FALSE, &pDeviceObj);
if (!NT_SUCCESS(Status)) /* 函数返回值统一是Status,这里安全性检查 */
{
DbgPrint("51[asm][%s:%d] IoCreateDevice err status:%p", __FUNCTION__, __LINE__, Status);
DriverObject->DriverUnload = Unload; /* 卸载函数中一定要删除设备,否则卸载后无法再次启动,提示设备名已存在 */
return Status;
}
/* IoCreateDevice 参数填写注意事项:
PDEVICE_OBJECT pDeviceObj = NULL; // 结构体里的 PVOID DeviceExtension; 可以申请空间大小
IoCreateDevice(
IN PDRIVER_OBJECT DriverObject, // 驱动对象
IN ULONG DeviceExtensionSize, // 设备扩展: 微软定义了一个结构体 PDEVICE_OBJECT,如果硬件希望在结构体中增加一些成员,这里需要写成员的大小,OS会申请一段内存空间,那就就可以无限的给这个结构体增加成员;这里是额外申请一些空间
IN PUNICODE_STRING DeviceName OPTIONAL, // 给设备名字是必须唯一的,注册的名字和其他的冲突了,会创建失败;可以给个NULL,微软会随机一个名字; 文档中说明设备名必须是有格式的: \Device\DeviceName
// 注意: PUNICODE_STRING 这里的字符串Unicode字符串,字符串需要经过处理
IN DEVICE_TYPE DeviceType, // 选择为止设备就行,但是一定得给,否则无法通讯 FILE_DEVICE_UNKNOWN
IN ULONG DeviceCharacteristics, // 权限
IN BOOLEAN Exclusive, // 关键参数,是否独占的方式, 独占: 只允许一个人打开这个设备 (杀毒软件会独占)
OUT PDEVICE_OBJECT * DeviceObject
);
*/
/* 创建符号链接 */
UNICODE_STRING strDosDeviceName;
RtlInitUnicodeString(&strDosDeviceName, SYMBOL_NAME);
Status = IoCreateSymbolicLink(&strDosDeviceName, &userDevName); /* R3使用的名字在文档中选:MS-DOS Device Names R0使用的名字在文档中选:NT Device Names */
if (!NT_SUCCESS(Status))
{
/* 驱动对象和设备对象绑定之后,设备对象会被记录到这里 DriverObject->DeviceObject; 需要判断对象是否绑定成功*/
if (DriverObject->DeviceObject != NULL)
{
/* 删除符号链接 */
IoDeleteSymbolicLink(&strDosDeviceName);
IoDeleteDevice(DriverObject->DeviceObject);
DbgPrint("51[asm][%s:%d] IoCreateSymbolicLink err!", __FUNCTION__, __LINE__);
}
return Status;
}
DriverObject->DriverUnload = Unload;
DbgPrint("51[asm][%s:%d] hello word! DriverEntry:%p,Unload:%p,&status:%p,pDeviceObj:%p", __FUNCTION__, __LINE__, DriverEntry, Unload, &Status,&pDeviceObj);
return Status;
}
NTSTATUS DispatchCreat(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
UNREFERENCED_PARAMETER(Irp);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
// 这样返回的数据才是完整的
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = 0;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}
NTSTATUS DispatchClose(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
UNREFERENCED_PARAMETER(Irp);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
// 这样返回的数据才是完整的
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = 0;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}
NTSTATUS DispatchRead(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
UNREFERENCED_PARAMETER(Irp);
/* 验证这里是R3的缓存地址,输出一下 */
DbgPrint("51[asm][%s:%d] Irp->UserBuffer:%p", __FUNCTION__, __LINE__, Irp->UserBuffer);
RtlCopyMemory(Irp->UserBuffer,g_zMsg,sizeof(g_zMsg));
Irp->IoStatus.Status = STATUS_SUCCESS; /* 告诉R3返回的状态 */
Irp->IoStatus.Information = sizeof(g_zMsg); /* 告诉R3读取的字节数 */
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS; /* R3的ReadFile的返回值 */
}
NTSTATUS DispatchWrite(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
UNREFERENCED_PARAMETER(Irp);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
// 这样返回的数据才是完整的
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = 0;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}
NTSTATUS DispatchControl(_DEVICE_OBJECT* DeviceObject, _IRP* Irp)
{
UNREFERENCED_PARAMETER(DeviceObject);
DbgPrint("51[asm][%s:%d]", __FUNCTION__, __LINE__);
/*
类似函数调用,要给下一层驱动传参数,参数:有的分开,有的共用;
共用参数放到了IRP里了;
不共用的参数,都会有自己的内存空间==》"IRP堆栈" ( 缓冲区大小 控制码......)
然后要向IO管理器获取到IRP堆栈(要的是我这层驱动的irp堆栈地址),参数给irp,因为IRP堆栈就放在IRP后面;
IoGetCurrentIrpStackLocation(Irp); 传参是irp,因为irp堆栈放到irp后面;
但是不知道拿到那一层,自己不能去拿到这个地址,这是系统来拿,R3的其他参数都在这里main
不同的回调函数会有不同的行为,IoGetCurrentIrpStackLocation返回值里是共用体;
*/
PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(Irp);
//PVOID pUserBuffer = Irp->UserBuffer;
//PVOID pType3InputBuffer = pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
//ULONG uInputBufferLength = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
//ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
//ULONG uOutputBufferLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
//DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pUserBuffer:%p pType3InputBuffer:%p", __FUNCTION__, __LINE__, uIoControlCode, pUserBuffer, pType3InputBuffer);
//DbgPrint("51[asm][%s:%d] uInputBufferLength:%d uOutputBufferLength:%d", __FUNCTION__, __LINE__, uInputBufferLength, uOutputBufferLength);
/*
内核中读写数据:
获取输出缓冲区的大小(地址在高2G),
数据的读写都是在这里进行
系统会让这里的缓冲区大小和R3输出缓冲区一样大
不要在Ring0下访问Ring3地址,会产生安全问题
*/
PVOID pSystemBuffer = Irp->AssociatedIrp.SystemBuffer;
ULONG uLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
DbgPrint("51[asm][%s:%d] uIoControlCode:%08x pSystemBuffer:%p uLength:%d", __FUNCTION__, __LINE__,
uIoControlCode, pSystemBuffer, uLength);
switch (uIoControlCode)
{
case IOCTL_ENUM_PROCESS:
DbgPrint("51[asm][%s:%d] Enum Process pid:%p", __FUNCTION__, __LINE__, pSystemBuffer);
RtlStringCchCopyA((LPSTR)pSystemBuffer, uLength, "word"); //如果要向R3写数据,也是写入这个缓存中
break;
case IOCTL_KILL_PROCESS:
DbgPrint("51[asm][%s:%d] Kill Process pid:%p", __FUNCTION__, __LINE__, pSystemBuffer);
break;
default:
break;
}
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = uLength; // 返回值的长度要返回去
/*
1. 这个函数表示 请求是否结束
2. 第一个参数:Irp(I/O Request Packet) 把所有的请求参数疯转到这个结构体了
3. 第二个参数,让挂起的线程快速恢复,把线程的优先级往上提;
4. 当前IO_NO_INCREMENT: 不要提升优先级,什时候唤醒就什么时候结束
5. 除了入口函数和卸载函数外,其他全部函数都是一样的,要这样处理;
*/
IoCompleteRequest(Irp,IO_NO_INCREMENT);
return STATUS_SUCCESS;
//return IoCallDriver(Irp); // 分层驱动,这里进入下一层驱动来获取需要的值
}