IoCreateDevice简单分析

最新推荐文章于 2022-06-03 18:10:11 发布
最新推荐文章于 2022-06-03 18:10:11 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: reverse 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a13235463799/article/details/122424402
版权

IoCreateDevice简单分析

介绍

最近重新入坑驱动,感觉对于一些常用api还是有必要知道其内部具体做了什么的,所以简单分析一下

大体流程

1.判断设备属性组
2.设备属性为0调用IopCreateDefaultDeviceSecurityDescriptor
3.判断设备类型
4.ObCreateObject
5.判断设备类型
6.FILE_DEVICE_UNKNOWN类型调用IopCreateVpb和KeInitializeEvent
7.KeInitializeDeviceQueue
8.ObInsertObjectEx

存储参数

在这里插入图片描述
首先进来后,会先提升堆栈,然后将参数存储到指定缓冲区内.

扩展大小计算

在这里插入图片描述
这里会根据传进来的设备扩展大小与7进行与操作,然后存到指定变量中,后期会用到

设备属性组计算

在这里插入图片描述
这里会根据传进来的设备属性组与0x80进行与操作,然后存到指定变量中,后期会用到

判断设备属性组

在这里插入图片描述
然后判断计算后的设备属性组是否为0,是的话则跳转,到下方
再调用IopCreateDefaultDeviceSecurityDescriptor

判断设备类型

在这里插入图片描述
创建完默认设备安全描述符后悔判断设备类型,由于我传递的是FILE_DEVICE_UNKNOWN,因此会执行到下方的jmp中,从而跳转到下方箭头处

一些其他计算

在这里插入图片描述
这里会进行一些判断计算,最终会调转到下一步

创建对象

在这里插入图片描述
上一步具体没有分析,有点麻烦,但是最终会到这一步来,调用ObCreateObject,然后清空新的对象

申请内存

在这里插入图片描述
之后会再次判断设备类型,由于传递的是FILE_DEVICE_UNKNOWN,因此会调用IoCreateVpb来申请一块内存,然后调用KeInitializeEvent来初始化事件

初始化设备队列

在这里插入图片描述
初始完事件后再经过一系列的判断,会调用KeInitializeDeviceQueue来初始化设备队列

插入对象

在这里插入图片描述
然后跳转到下方,调用ObInsertObjectEx插入对象

大致流程就是这样,没有具体分析。

传入模板

status = IoCreateDevice(DriverObject, 0, &DeviceName, FILE_DEVICE_UNKNOWN, 0, TRUE, &DeviceObject);

此次分析建立在以上代码调用IoCreateDevice情况下

USB转串口驱动代码分析
技术联盟
06-10 4292
1、USB插入时,创建设备[plain] view plaincopyDriverObject->DriverExtension->AddDevice = USB2COM_PnPAddDevice;  步一、调用USB2COM_CreateDeviceObject创建功能设备对象(FDO)(1) IoCreateDevice系统API的原理为:[plain] view plaincopyNTKER
BMW Trojan 样本分析
zirconsdu的专栏
11-06 3665
仅用于链接已经删却但是需要方便查阅的原文http://blog.youkuaiyun.com/zirconsdu/article/details/7997470 转载请注明出处http://blog.youkuaiyun.com/zirconsdu/article/details/8153813。 一些具体数据结构和具体路径隐去。   BMW木马样本分析 摘要 2011年底和某Hunter的谈话涉及到当时新检
IoCreateDevice
09-23 1875
 调用IoCreateDevice函数创建设备对象,例如:PDEVICE_OBJECT fdo;NTSTATUS status = IoCreateDevice(DriverObject, sizeof(DEVICE_EXTENSION), NULL, FILE_DEVICE_UNKNOWN, FILE_DEVICE_
12、Windows驱动开发技术详解笔记(8) 基本语法回顾
weixin_34418883的博客
10-20 219
 8、加裁驱动,驱动与设备 1)前面我们主要通过Driver Studio和KmdManager。现在了解一下程序加裁。 Windows NT式驱动是基于服务方式加载的,可以通过修改注册表内容完成,也可以通过服务相关API完成。设备驱动程序的动态加载主要由服务控制管理程序(Service Control Manager, SCM)系统组件完成,该组件可以启动、停止和控制服务等。 具体加裁...
转:驱动开发函数IoCreateDevice /IoCreateSymbolicLink / IoDeleteDevice
spiderlily的专栏
01-18 7068
转自:http://hi.baidu.com/alalmn/item/f02d5c866fc2d6eae496e089 IoCreateDevice 为驱动创建一个设备对象 格式如下: NTSTATUS   IoCreateDevice(    IN  PDRIVER_OBJECT  DriverObject,    IN  ULONG  DeviceExtensionSize,
【驱动开发案例研究】:深入分析Windows Driver Foundation的成功案例与经验
[【驱动开发案例研究】:深入分析Windows Driver Foundation的成功案例与经验](https://www.jengal.com/blog/wp-content/uploads/2022/08/examples-of-device-drivers.jpg) # 摘要 本文全面介绍了Windows Driver ...
一个简单USB驱动测试实例
01-05
在DDK中,开发者可以利用诸如IoCreateDevice、IoRegisterDeviceInterface等API创建和注册设备接口,使用IoQueueWorkItem实现异步操作,以及使用KeSynchronizeExecution调度执行代码等功能。对于VC6.0,开发者编写...
一个简单的WDM驱动例子
11-21
**Windows驱动开发技术详解——基于WDM驱动的简单示例** 在Windows操作系统中,WDM(Windows Driver Model)驱动程序是一种广泛使用的驱动...通过分析和修改这个例子,你可以逐渐掌握驱动程序设计的关键概念和技术。
WDM驱动多个设备对象
12-14
WDM驱动,AddDevice里面多次调用IoCreateDevice创建多个设备对象。遍历整个设备链。
RtlInitUnicodeString、IoCreateDevice、IoCreateSymbolicLink、IoDeleteDevice 四个 API 驱动函数的使用...
weixin_30763397的博客
11-19 546
要解释“驱动对象”,就得先从 DriverEntry() 说起: 做过C语言开发的都知道程序是从 main() 函数开始执行。在进行 Windows 驱动程序开发的时候没有 main() 函数作为函数入口,取而代之的是 DriverEntry(). DriverEntry() 的原型如下: extern "C" NTSTATUS DriverEntry...
ReacOS源代码阅读之驱动--IoCreateDevice
faithzzf的专栏
01-09 880
ReacOS源代码阅读之驱动--IoCreateDevice的实现。
DO_DEVICE_INITIALIZING 创建设备 iocreatedevice windows内核开发
baund的专栏
12-04 2291
deviceobject->flag &= ~DO_DEVICE_INITIALIZING; 当设置DO_DEVICE_INITIALIZING标志时,I/O管理器将拒绝所有打开该设备句柄的请求以及向该设备对象上附着其他设备对象。 故驱动程序完成初始化后,须清除该标志。 在IoCreateDevice创建设备完成后,默认devieobject->flags==0xc0,是包含DO_D
创建设备对象,用IoCreatDevice
autumn20080101的专栏
12-05 867
创建设备对象,用IoCreatDevice(                                              IN PDRIVER_OBJECT  DriverObject,//系统创建的驱动对象                                              IN ULONG DeviceExtensionSize,//程序员自己定
AddDevice例程
bluesun777的专栏
03-05 5772
   AddDevice例程在前一节中,我讲述了当WDM驱动程序被第一次装入时如何初始化。通常,一个驱动程序可以被多个设备利用。WDM驱动程序有一个特殊的AddDevice函数,PnP管理器为每个设备实例调用该函数。该函数的原型如下:NTSTATUS AddDevice(PDRIVER_OBJECT DriverObject, PDEVICE_OBJECT pdo)
IoCreateSymbolicLink函数的作用以及符号链接、设备名称之间的关系
zfs2008zfs的博客
04-14 5155
符号链接、设备名称之间的关系
Windows 驱动开发笔记(三)
bigbat的专栏
05-01 1460
Windows 驱动开发笔记(三) 一个驱动程序在加载之后第一个调用初始化例程。初始化例程负责向系统注册各种服务例程。这之后,各种服务例程就等待系统的调用了。用户不直接的调用对应的服务例程。而是通过系统的管理例程调用服务例程。用户的调用是被包装过的。那么,写一个驱动大概需要哪些例程呢?下面就简单的介绍一下: 驱动程序的组成:初始化例程、增加-设备例程、I/O处理例程组、启动I/O例程、中断服务例程
对象创建(ObCreateObject)和对象删除(ObDereferenceObject、ObpRemoveObjectRoutine)
qq492927689的博客
06-03 876
转载来源:https://blog.youkuaiyun.com/wzsy/article/details/6188554为对象分配内存看完了, 这次我们看一个比较高层的函数。 ObCreateObject, 这是内核的导出函数, 所有模块都可以使用(虽然它没有被文档化…) 它的作用是创建指定类型(OBJECT_TYPE)的对象示例。(注意ObAllocateObject只是分配了空间, 这里可以看到后续的操作) 这个函数的参数还真多啊。微软函数的参数一直都和火车一样。我们只能淡定。。。 NTSTATUS ObCrea
IoCreateDevice创建FILE_DEVICE_VIDEO
06-09
例如,以下是一个简单的示例: ``` NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS status; PDEVICE_OBJECT deviceObject; UNICODE_STRING deviceName; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值