The Blog of Monoceros406

Windows驱动开发入门-文件系统透明加密这一节的内容就是讲讲知识点，没法做作品，本节的例子针对Windows XP和FAT32文件系统，且透明加密仅针对记事本软件进程。 区分进程找到进程名字位置进程名字保存在EPROCESS结构中，但每个Windows版本都不一样。又已知当前驱动进程名一定为“System”，所以在EPROCESS结构中搜索“System”字样即可。 1234567891011121314// 这个函数必须在DriverEntry中调用，否则cfCurProcName将不起作用。static size_t s_cf_proc_name_offset = 0; //要寻找的偏移位置VOID cfCurProcNameInit(VOID){ ULONG i; PEPROCESS curproc; curproc = PsGetCurrentProcess(); // 搜索EPROCESS结构，在其中找到字符串 for (i = 0; i < 3 * 4 * 1024; i++) if (!strncmp(&q ...

Windows驱动开发入门-sfilter源代码sfilter这玩意儿因为过时了，微软官方WDK已经不再包含sfilter的实例源码模板了，所以这里放出。 sfilter.c12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697989910010110210310410510610710810911011111211311411511611711811912012112212312412512612712812913013113213313413513613713813914014114214314414514614714814915015115215315415515615715815916016116216316416516616716816917017117217317 ...

Windows驱动开发入门-文件系统过滤与监控碎碎念sfilter貌似已经过时，建议使用Minifilter写文件系统过滤。 当要求区分目录、涉及文件系统的要求时，存储设备驱动很难解决问题，需要使用文件系统过滤。FAT32的驱动为fastfat.sys，NTFS的驱动叫ntfs.sys，这俩都在Windows的drivers目录下。像这样的FS文件系统生成两类设备，一类CDO控制对象，用来修改这个驱动内部配置，一个文件系统只对应一个CDO；另一类文件系统卷设备，一个卷对应一个逻辑盘。例如逻辑盘“C:”只是个符号链接，真正的设备名叫“\Device\HarddiskVolume1”。卷设备时卷管理器生成的，没名字，不能直接绑定，要不绑定的不是系统生成的卷设备而是真正的卷设备。对文件的读写IRP都发送到卷设备，不论卷文件系统是什么，一个卷一个卷设备。绑定卷设备前先绑定文件系统控制设备。 在文件过滤中，按照国际惯例应该把控制设备生成到“\FileSystem\Filters”下，但有些早期Windows系统没这个路径，所以直接生成到“\FileSystem”下。 这节代码太复杂了，不打算格式 ...

Windows驱动开发入门-磁盘过滤驱动碎碎念这个驱动属于boot类型，这类驱动程序是启动最早的驱动程序，系统引导时必须加载完毕。需要在注册表HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services下驱动服务的start值需要指定为0。 驱动分析驱动入口DriverEntry1234567891011121314151617181920NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { int i; for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++) //初始化这个驱动所有的分发函数，默认值是初始化为DPDispatchAny DriverObject->MajorFunction[i] = DPDispatchAny; //下面将我们特殊关注的分发函数重新赋值为我们自己的处理函数 DriverObject->MajorFunction[IR ...

Windows驱动开发入门-磁盘虚拟KMDF开发入门项目建立建立后可能报错找不到driver.tmh文件，但能正常编译，剩下的问题同普通WDM驱动的编写。 入口函数123456789101112131415161718NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) { WDF_DRIVER_CONFIG config; NTSTATUS status; WDF_OBJECT_ATTRIBUTES attributes; //WPP_INIT_TRACING(DriverObject, RegistryPath); //TraceEvents(TRACE_LEVEL_INFORMATION, TRACE_DRIVER, "%!FUNC! Entry"); WDF_OBJECT_ATTRIBUTES_INIT(&attributes); attributes.EvtCleanup ...

Windows驱动开发入门-键盘过滤驱动碎碎念PDO是设备栈最下面的那个物理设备对象。 csrss.exe的进程有个线程叫做win32!RawInputThread，它通过一个GUID叫GUID_CLASS_KEYBOARD获得键盘设备栈PDO符号链接名。应用程序不能通过设备名字打开设备，一般通过符号链接名来打开。win32k!RawInputThread执行到win32k!OpenDevice，一个参数能找到键盘设备栈的PDO符号链接名。win32!OpenDevice有个OBJECT_ATTRIBUTES结构局部变量，它自己初始化这个局部变量，用传入参数中的符号链接名赋值OBJECT_ATTRIBUTES+0x8处的PUNICODE_STRING ObjectName。然后调用ZwCreateFile打开设备得到句柄。 ZwCreateFile通过系统服务，调用内核NtCreateFile，执行到nt!IopParseDevice调用nt!IoGetAttachedDevice，通过PDO获得键盘设备栈最顶端的设备对象，该对象+30 char StackSize作为参数调用IoAl ...

Windows驱动开发入门-串口过滤驱动设备绑定IoAttachDevice把一个物理设备与一个设备对象绑定。 12345678NTSTATUS IoAttachDevice( IN PDEIVE_OBJECT SourceDevice, //用来过滤的虚拟设备 IN PUNICODE_STRING TargetDevice, //要绑定的目标设备 例如\Device\Serial0以此类推 OUT PDEVICE_OBJECT *AttachedDevice //返回被绑定的设备指针) IoAttachDeviceToDeviceStackSafe上面那个API没法绑定没名字的设备，这个根据设备对象指针绑定。 12345678NTSTATUS IoAttachDeviceToDeviceStackSafe( IN PDEVICE_OBJECT SourceDevice, //过滤设备 IN PDEVICE_OBJECT TargetDevice, //要被绑定的设备栈中设备 IN OUT PDEVICE_OBJECT ...

手把手教你手撕HIVE文件介绍HIVE文件在HKLM\SYSTEM\CurrentControlSet\Control\hivelist下键值给出，这里以C:\Windows\System32\config\SOFTWARE为例。 常用数据结构header总长度为$4096$字节，重要信息： 偏移量 长度（字节） 描述 0x00 4 签名“regf” 0x0C 8 最后一次写入数据时间戳 UTC1601-1-1至今100纳秒间隔数 0x14 4 主版本号 0x18 4 次版本号 0x24 4 RootCell偏移量 0x28 4 HIVE文件长度 不包含表头和结尾附加数据 0x30 HIVE文件名 Unicode字符串 hbin cellsheader后紧接着就是这个。重要信息： 偏移量 长度（字节） 描述 0x00 4 签名“hbin” 0x04 4 相对于第一个hbin偏移量 0x08 4 该hbin数据长度大小 node key(nk)重要信息： 偏移量 长度（字节） 描述 0x00 4 大小 负数已被 ...

Windows驱动开发入门-应用与内核通信内核部分生成CDOIoCreateDevice内核想要与应用通信时，必须生成控制设备对象CDO。 12345678910111213141516NTSTATUS IoCreateDevice( IN PDRIVER_OBJECT DriverObject, //从DriverEntry参数获得 IN ULONG DeviceExtensionSize, //设备扩展大小 后面讲 IN OPTIONAL PUNICODE_STRING DeviceName, //设备名 可空但别 IN DEVICE_TYPE DeviceType, //设备类型 IN ULONG DeviceCharacteristics, //设备属性 IN BOOLEAN Exclusive, //是否为独占设备 OUT PDEVICE_OBJECT* DeviceObject //返回生成设备对象指针) IoCreateDeviceSecure上面那个有默认安全属性，必须得管理员权限应用 ...

Windows驱动开发入门-时间与线程时间KeQueryTickCount返回自系统启动后经历的步进数，不同硬件环境不同。 123VOID KeQueryTickCount( OUT PLARGE_INTEGER TickCount) KeQueryTimeIncrement获取步进100纳秒数。 1ULONG KeQueryTimeIncrement() 例子获得系统启动后经历的毫秒数： 123456789VOID MyGetTickCount(PULONG msec) { LARGE_INTEGER tick_count = { 0 }; ULONG myinc = KeQueryTimeIncrement(); KeQueryTickCount(&tick_count); tick_count.QuadPart *= myinc; tick_count.QuadPart /= 10000; *msec = tick_count.LowPart; return;}; KeQuery ...