寒江独钓-Windows内核安全编程总结

最新推荐文章于 2024-10-28 10:07:31 发布
原创 最新推荐文章于 2024-10-28 10:07:31 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#object #attributes #winapi #string #filter #access

本文总结了Windows内核安全编程,涉及内核编程工具的安装和调试,如WDK和WinDbg。讲解了设备绑定API如IoAttachDevice,以及创建设备、获取设备对象的方法。还探讨了键盘输入的处理流程和如何过滤键盘操作,包括通过过滤驱动、Hook技术以及修改中断处理。最后提到了文件访问的驱动结构和通信端口的创建与使用。

内核编程工具集安装:
1:下载安装WDK
2:编写程序(DrvierEntry必选),编译
3:利用srvinstw.exe等工具安装服务,用net start启动服务
4:使用WinDbg,利用串口和虚拟机通信,将目标系统设置为调试模式启动,这样就可以调试系统了。需要设置WinDbg的内核符号表路径,这样可以实现源码级内核调试。

 

特殊宏:
IN,OUT:输入输出
__in_bcount(Length):输入,并且长度为Length
#pragma alloc_text(INIT, DriverEntry):指定代码位置

 

设备绑定API:
NTSTATUS IoAttachDevice(
 IN PDEVICE_OBJECT SourceDevice,
 IN PUNICODE_STRING TargetDevice,
 OUT PDEVICE_OBJECT *AttachedDevice
);
NTSTATUS IoAttachDeviceToDeviceStackSafe(
 IN PDEVICE_OBJECT SourceDevice,
 IN PDEVICE_OBJECT TargetDevice,
 IN OUT PDEVICE_OBJECT *AttachedToDeviceObject
);
PDEVICE_OBJECT IoAttachDeviceToDeviceStack(
 IN PDEVICE_OBJECT SourceDevice,
 IN PDEVICE_OBJECT TargetDevice
);

 

生成设备:
NTSTATUS IoCreateDevice(
 IN PDRIVER_OBJECT DriverObject,
 IN ULONG D

最低0.47元/天 解锁文章
<寒江>Windows内核安全编程__Ramdisk源码解读
The New Old Things
10-20 4891
这篇文章来介绍一下WDK中提供的一个案例源码--Ramdisk虚拟磁盘。这个例子实现了一个非分页内存做的磁盘储存空间,并将其以一个立磁盘的形式暴露给用户,用户可以将它格式化成一个Windows能够使用卷,并且像操作一般的磁盘卷一样对它进行操作。由于使用了内存作为虚拟的存储介质,使这个磁盘具有一个显著的特,性能的提高。这个例子所使用的微软WDF驱动框架。 入口函数 1.入口函数的定义 任何
<寒江>Windows内核安全编程__传统键盘过滤程序
The New Old Things
10-13 4801
技术原理 1.预备知识 何为符号链接?符号链接其实就是设备的一个“别名”。在应用程序中想要访问设备一般要通过符号链接来完成,而不是设备名本身。 ZwCreateFile是很重要的函数。同名的函数有两个:一个在内核中(ntknos.exe),一个在应用层(ntdll.dll)
寒江-Windows内核安全编程完整版(内附源码)
01-25
完整的零基础学习windows下驱动编程(内附源码)。内核编程环境配置;串口过滤、键盘过滤;磁盘虚拟;磁盘过滤;文件系统过滤与监控;文件系统透明加密;文件系统微过滤;网络传输层过滤;NDIS协议驱动;NDIS小端口驱动;NDIS中间层驱动
寒江Windows内核安全编程
05-05
编写Windows内核程序,就意味着这个程序可以执行任意指令,可以访问计算机所有的软件、硬件资源。因此,稍有不慎就有可能将系统变得不稳定。Windows的设计者设计了各种驱动模型或者框架,如NT式内核驱动模型、WDM框架和新推出的WDF框架。在这些模型框架下编程,就使内核编程变得简单,同样也降低了内核程序崩溃的机会。其实,Windows驱动程序员和黑客都在写内核程序,唯一不同的是驱动程序员按照微软设计的模型写程序,而黑客可以不按照这些框架写。Windows设计的这些框架,可以将操作系统的原理隐藏起来,只暴露一些接口,驱动程序员只要把这些接口写好就可以了。从这个角度看,驱动开发并不难,尤其是读完本书后,更会觉得不难了。但是想完成一些特殊的功能,如内核级隐藏进程等,Windows的这些框架就没什么用处了,程序员就需要对Windows内核有全面的了解,通过直接修改Windows内核来实现这些目的。往往黑客对这种技术乐此不疲,通过修改Windows内核,你会发现你的程序几乎无所不能。   编写内核程序是一件很痛苦的事情,回想起这些年学习内核程序开发的经历,真是感慨万千。就如同谭文所说:编写内核程序的人从某种程度讲是孤的。当一个经验并不丰富的小程序员面对庞大复杂的并且不开源的Windows框架时,那是一种怎样的无助感啊!谭文是我比较钦佩的程序员之一,他对技术非常执着,并且精力充沛。内核程序的知识涉及面非常广,不同类别的内核程序差别也特别大,他几乎都有所涉猎。相信读者在读完这本书后,能对Windows内核开发有比较详细的了解,同时也能结合书中的实例写出很优秀的内核程序了 本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000一直到目前最新的Windows 7 Beta版。  本书则基本上介绍的是正统的内核编程技术,是微软在内核编程中给信息安全软件开发者提供的相关接口的大集合,是名门正派的技术,不沾邪气。一个好的内核程序员,“正邪兼修”是有必要的。   本书既适合于有志于成为软件程序员的学生使用,也适合于希望加强自己的技术实力的Windows程序员阅读,同时更适合于从事信息安全行业的Windows软件的开发者作为手头参考。
寒江-Windows内核安全编程(完整版)--源码
02-23
寒江-Windows内核安全编程(完整版)--源码 寒江-Windows内核安全编程(完整版)--源码
寒江——Windows内核安全编程
博文视点(北京)官方博客
04-10 9718
 《寒江——Windows内核安全编程》书评看到本书的书名,我立即就想起了柳宗元的诗句:千山鸟飞绝,万径人踪灭。孤舟蓑笠翁,寒江雪。寒江中那位孤寂寞,又抗寒傲雪,毅然垂的渔翁,是诗人自己的写照,虽然环境恶劣,但他一直不屈不挠保持镇定自若的态度,坚持自己的理想。本书取名为:寒江,则表明了Windows内核安全编程这个领域的寒冷与寂寥,研究这个方向的人很少,市面上也没有类似的书,做这个
寒江Windows内核安全编程 书及源码
11-11
寒江Windows内核安全编程 书及源码,希望对你有帮助。
【亲测免费】 寒江-Windows内核安全编程完整版(内附源码)
最新发布
gitblog_09759的博客
10-28 559
寒江-Windows内核安全编程完整版(内附源码) 【下载地址】寒江-Windows内核安全编程完整版内附源码 本仓库提供了一份完整的Windows内核安全编程学习资源,标题为“寒江-Windows内核安全编程完整版(内附源码)”。该资源适合零基础学习者,内容涵盖了Windows下驱动编程的各个方面,并附带了...
寒江--windows内核安全编程光盘源码_寒江windows内核安全编程_
09-30
总之,《寒江--Windows内核安全编程光盘源码》提供了丰富的实践案例,是你深入理解Windows内核编程、提升安全编程能力的宝贵资料。通过仔细研究和实践其中的代码,你可以逐步提升自己的技术水平,为构建更安全、...
寒江-Windows内核安全编程 和 随书光盘
10-22
总的来说,《寒江-Windows内核安全编程》这本书全面介绍了Windows内核编程和驱动开发的相关知识,并强调了安全性的重要性。无论你是初涉此领域的新人,还是经验丰富的开发者,都能从中受益匪浅,提升自己的技术...
寒江-Windows内核安全编程》电子书及源码.rar
03-29
二、Windows内核编程 内核编程涉及直接操作硬件和系统资源,需要对Windows API有深入理解。这包括驱动程序开发、系统服务编写,以及如何使用IRP(I/O请求包)等技术。同时,要掌握调试工具如WinDbg,用于内核模式下...
寒江——windows内核安全编程》vs2019+wdk10开发xp驱动
qq_43689668的博客
10-22 550
1、Driver Settings->General: Target OS Version: Windows 7 Target Platform: Desktop 2、Inf2Cat Run InfCat:否 3、Driver Signing Sign Mode:Off 4、C++ Warning 忽略 警告等级:3 将警告视为错误:否。 5、链接器 Warning忽略 将链接器警告视为错误:否。 ...
寒江:Windows内核安全编程 高清 电子版文
01-14
版权声明 楚狂人Windows驱动编程基础教程 本书是免费电子书。作者保留一切权利。但在保证本书完整性(包括版权声明、前言、正文内容、后记、以及作者的信息),并不增删、改变其中任何文字内容的前提下,欢迎任何读者以任何形式(包括各种格式的文档)复制和转载本书。同时不限制利用此书赢利的行为(如收费注册下载,或者出售光盘或打印版本)。不满足此前提的任何转载、复制、赢利行为则是侵犯版权的行为。 发现本书的错漏之处,请联系作者。请不要修改本文中任何内容,不经过作者的同意发布修改后的版本。 前言 本书非常适合熟悉Windows应用编程的读者转向驱动开发。所有的内容都从最基础的编程方法入手。介绍相关的内核API,然后举出示范的例子。这本书只有不到70页,是一本非常精简的小册子。所以它并不直接指导读者开发某种特定类型的驱动程序。而是起到一个入门指导的作用。 即使都是使用C/C++语言的代码,在不同的应用环境中,常常看起来还是大相径庭。比如用TurboC++编写的DOS程序代码和用VC++编写的MFC应用程序的代码,看起来就几乎不像是同一种语言。这是由于它们所依赖的开发包不相同的缘故。 在任何情况下都以写出避免依赖的代码为最佳。这样可以避免重复劳动。但是我们在学习一种开发包的使用时,必须习惯这个环境的编码方式,以便获得充分利用这个开发包的能力。 本书的代码几乎都依赖于WDK(Windows Driver Kit)。但是不限WDK的版本。WDK还在不断的升级中。这个开发包是由微软公司免费提供的。读者可以在微软的网站上下载。 当然读者必须把WDK安装的计算机上并配置好开发环境。具体的安装和配置方法本书没有提供。因为网上已经有非常多的中文文档介绍它们。 读完这本书之后,读者一定可以更轻松的阅读其他专门的驱动程序开发的文档和相关书籍。而不至于看到大量无法理解的代码而中途放弃。如果有任何关于本书的内容的问题,读者可以随时发邮件到mfc_tan_wen@163.com或者walled_river@hotmail.com。能够回答的问题我一般都会答复。 写本书的时候,我和wowocock合作的一本名为《天书夜读》(在网上有一个大约20%内容的缩减电子版本)正在电子工业出版社编辑。预计还有不到一个月左右就会出版。这也是我自己所见的唯一一本中文原创的从汇编和反汇编角度来学习Windows内核编程和信息安全软件开发的书。希望读者多多支持。有想购买的读者请发邮件给我。我会在本书出版的第一时间,回复邮件告知购买的方法。 此外我正在写另一本关于Windows安全软件的驱动编程的书。但是题目还没有拟好。实际上,读者现在见到的免费版本的《Windows驱动编程基础教程》是从这本书的第一部分中节选出来的。这本书篇幅比较大,大约有600-800页。主要内容如下: 第一章驱动编程基础 第二章磁盘设备驱动 第三章磁盘还原与加密 第四章传统文件系统过滤 第五章小端口文件系统过滤 第六章文件系统保护与加密 第七章协议网络驱动 第八章物理网络驱动 第九章网络防火墙与安全连接 第十章打印机驱动与虚拟打印 第十一章视频驱动与过滤 附录A WDK的安装与驱动开发的环境配置 附录B 用WinDbg调试Windows驱动程序
寒江-Windows内核安全编程》完整清晰版
10-20
本书从Windows内核编程出发,全面介绍串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术的密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙的具体实现。 对于驱动编程模型的选择,本书同时兼顾WDM与WDF。 本书适合大专院校计算机系的学生、计算机编程爱好者、普通Windows程序员、Windows内核程序员、信息安全行业的程序员使用。阅读本书,需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。
寒江-Windows内核安全编程随书光盘
07-25
寒江-Windows内核安全编程随书光盘
寒江:Windows内核安全编程(光碟源码 )
07-30
寒江:Windows内核安全编程(光碟源码 ctrl2cap)
寒江-Windows内核安全编程(高清完整版).part1
01-04
内容简介   本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及三类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000 一直到目前最新的Windows 7 Beta 版。   本书适合大专院校计算机系的学生、普通Windows程序员、Windows内核程序员、信息安全行业的程序员,以及希望了解Windows系统底层知识的计算机编程爱好者使用。阅读本书,需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。 目录: 封面 -25 扉页 -24 内容简介 -23 序 -22 关于本书作者和贡献者 -20 前言 -18 阅读注意 -16 目录 -12 正文 1 第1章 内核上机指导 1 1.1 下载和使用WDK 2 1.1.1 下载安装WDK 2 1.1.2 编写第一个C文件 3 1.1.3 编译一个工程 5 1.2 安装与运行 6 1.2.1 下载一个安装工具 6 1.2.2 运行与查看输出信息 7 1.2.3 在虚拟机中运行 9 1.3 调试内核模块 9 1.3.1 下载和安装WinDbg 9 1.3.2 设置Windows XP 调试执行 10 1.3.3 设置Vista调试执行 11 1.3.4 设置VMWare的管道虚拟串口 11 1.3.5 设置Windows内核符号表 13 1.3.6 实战调试first 14 练习题 16 第2章 内核编程环境及其特殊性 17 2.1 内核编程的环境 18 2.1.1 隔离的应用程序 18 2.1.2 共享的内核空间 19 2.1.3 无处不在的内核模块 20 2.2 数据类型 21 2.2.1 基本数据类型 21 2.2.2 返回状态 22 2.2.3 字符串 23 2.3 重要的数据结构 23 2.3.1 驱动对象 23 2.3.2 设备对象 25 2.3.3 请求 26 2.4 函数调用 28 2.4.1 查阅帮助 28 2.4.2 帮助中有的几类函数 30 2.4.3 帮助中没有的函数 32 2.5 Windows的驱动开发模型 32 2.6 WDK编程中的特殊 33 2.6.1 内核编程的主要调用源 33 2.6.2 函数的多线程安全性 34 2.6.3 代码的中断级 36 2.6.4 WDK中出现的特殊代码 37 练习题 38 第3章 串口的过滤 40 3.1 过滤的概念 41 3.1.1 设备绑定的内核API之一 41 3.1.2 设备绑定的内核API之二 43 3.1.3 生成过滤设备并绑定 43 3.1.4 从名字获得设备对象 45 3.1.5 绑定所有串口 46 3.2 获得实际数据 47 3.2.1 请求的区分 47 3.2.2 请求的结局 48 3.2.3 写请求的数据 49 3.3 完整的代码 50 3.3.1 完整的分发函数 50 3.3.2 如何动态卸载 52 3.3.3 完整的代码 53 本章的示例代码 53 练习题 54 第4章 键盘的过滤 56 4.1 技术原理 57 4.1.1 预备知识 57 4.1.2 Windows中从击键到内核 58 4.1.3 键盘硬件原理 60 4.2 键盘过滤的框架 61 4.2.1 找到所有的键盘设备 61 4.2.2 应用设备扩展 64 4.2.3 键盘过滤模块的DriverEntry 65 4.2.4 键盘过滤模块的动态加载 66 4.3 键盘过滤的请求处理 68 4.3.1 通常的处理 68 4.3.2 PNP的处理 69 4.3.3 读的处理 70 4.3.4 读完成的处理 71 4.4 从请求中打印出按键信息 72 4.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA 72 4.4.2 从KEYBOARD_INPUT_DATA中得到键 73 4.4.3 从MakeCode到实际字符 74 4.5 Hook分发函数 75 4.5.1 获得类驱动对象 76 4.5.2 修改类驱动的分发函数指针 77 4.5.3 类驱动之下的端口驱动 78 4.5.4 端口驱动和驱动之间的协作机制 79 4.5.5 找到关键的回调函数的条件 80 4.5.6 定义常数和数据结构
寒江
touchmm
06-30 332
对专业技术人员来说,拿到一本书最关心的是书的实用性。市面上的技术书籍多如牛毛,《寒江——Windows内核安全编程》(下简称《寒江》)是否是我们所需要的书呢?其实我拿到本书的时候并没有感到任何意外。因为我一直都很关注《寒江》这本书。我认识本书的三位作者多年,他们都是安全行业从事 Windows驱动开发的顶尖高手,拥有Windows驱动开发有着丰富的经验和到见解。 从本书的目录就可以看出...
寒江---Windows内核安全编程》串口过滤详解(未完全)
For Geek
03-22 467
0x0 感慨 好久没写正规的博客了 学习《寒江Windows内核安全编程》已有两周有余,写此篇仅以录入本人觉得重要的知识及串口过滤的完整代码详解。 0x1 过滤概念 书上是这么说的,过滤是在不影响上层和下层的接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。 这句话我理解的大概是这样的,即我们写的驱动过滤程序实际上是像一层...
寒江-Windows内核安全编程源码解析
它将理论与实践相结合,深入浅出地讲解了Windows内核编程的核心技术,特别是过滤驱动的开发方法,为开发者提供了一条通往系统级安全防护的清晰路径。无论是希望深入研究操作系统底层机制的开发人员,还是致力于构建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值