Masimaro的专栏

Minfilter过滤框架优势与传统的Sfilter过滤驱动相比，有这样几个优势 1. Minfilter加载顺序更易控制，Sfilter加载是随意的，也就是说它在IO设备栈上的顺序是根据其创建的顺序决定的，越晚创建的，越排在设备栈的顶部，而Minfilter根据它的一个全局变量——altitude规定了它在设备栈上的顺序 2. 具有可卸载能力，一般的hook或者过滤框架在卸载时可能仍然有程序在

上一篇博文中主要说明了驱动开发中基本的数据类型，认识这些数据类型算是驱动开发中的入门吧，这次主要说明驱动开发中最基本的模型——NTModel。介绍这个模型首先要了解R3层是如何通过应用层API进入到内核，内核又是如何将信息返回给R3，另外会介绍R3是如何直接向R0层下命令。API调用的基本流程一般在某些平台上进行程序开发，都需要使用系统提供的统一接口，linux平台直接提供系统调用，而windows

我自己在看《寒江独钓》这本书的时候，书中除了给出了利用过滤的方式来拦截键盘数据之外，也提到了另外一种方法，就是hook键盘分发函数，将它替换成我们自己的，然后再自己的分发函数中获取这个数据的方式，但是书中并没有明确给出代码，我结合书中所说的一些知识加上网上找到的相关资料，自己编写了相关代码，并且试验成功了，现在给出详细的方法和代码。 用这种方式时首先根据ObReferenceObjectByNam

驱动程序的主要功能是用来处理IO请求，而大部分的IO请求是在派遣函数中完成的，用户模式下所有的IO请求都会被IO管理器封装为一个IRP结构，类似于Windows窗口程序中的消息，不同的IRP被发送到不同的派遣函数中处理IRP与派遣函数IRPIRP（I/O Request Package）输入输出请求包，IRP的两个最基本的结构是MajorFunction和MinorFunction，分别记录IRP的

遍历系统中加载的驱动以及通过设备对象指针获取设备对象名称

这篇文章会持续更新，由于在驱动中，有许多常用的操作代码几乎不变，而我自己有时候长时间不用经常忘记，所以希望在这把一些常用的操作记录下来，当自己遗忘的时候，有个参考创建设备对象创建设备对象使用函数IoCreateDevice，它的参数如下：NTSTATUS IoCreateDevice( IN PDRIVER_OBJECT DriverObject, IN ULONG Dev

应用层对设备的同步与异步操作以WriteFile为例，一般的同步操作是调用WriteFile完成后，并不会返回，应用程序会在此处暂停，一直等到函数将数据写入文件中并正常返回，而异步操作则是调用WriteFile后会马上返回，但是操作系统有另一线程在继续执行写的操作，这段时间并不影响应用程序的代码往下执行，一般异步操作都有一个事件用来通知应用程序，异步操作的完成，以下图分别来表示同步和异步操作:

使用IO定时器IO定时器每隔1s就会触发一次，从而进入到定时器例程中，如果某个操作是每n秒执行一次（n为正整数）可以考虑在定时器例程中记录一个计数器大小就为n，每次进入定时器例程中时将计数器减一，当计数器为0时，表示到达n秒，这个时候可以执行操作。IO定时器只适合处理整数秒的情况 在使用IO定时器之前需要对定时器进行初始化，初始化函数为IoInitializeTimer，定义如下：NTSTATUS

驱动程序运行在系统的内核地址空间，而所有进程共享这2GB的虚拟地址空间，所以绝大多数驱动程序是运行在多线程环境中，有的时候需要对程序进行同步处理，使某些操作是严格串行化的，这就要用到同步的相关内容。 异步是指两个线程各自运行互不干扰，而当某个线程运行取决与另一个线程，也就是要在线程之间进行串行化处理时就需要同步机制。中断请求级别在进行I/O操作时会产生中断，以便告知CPU当前I/O操作已完成，此时

最近在学习驱动编程方面的内容，在这将自己的一些心得分享出来，供大家参考，与大家共同进步，本人学习驱动主要是通过两本书——《独钓寒江 windows安全编程》 和 《windows驱动开发技术详解》。 驱动开发过程中，主要使用的C语言，虽说C中定义了许多数据类型，但是一般来说在编码上还是习惯与使用WDK的规范，虽说这个不是必须的，比如有这样一句unsigned long ul = 0;这个数据的大小

最近在学WFP驱动框架，在使用VS2013写代码调用WFP的函数时会包含fwpmu.h这个头，但是在包含这个头的时候会报错，就像下面这个图这样： 我百度了一下，然后在这个网站上面找到了解决方案： https://social.msdn.microsoft.com/Forums/windowsdesktop/en-US/8fd93a3d-a794-4233-9ff7-09b89eed6b1f/

内存管理的要点内核内存是在虚拟地址空间的高2GB位置，且由所有进程所共享，进程进行切换时改变的只是进程的用户分区的内存驱动程序就像一个特殊的DLL，这个DLL被加载到内核的地址空间中，DriverEntry和AddDevice例程在系统的system进程中运行，派遣函数会运行在应用程序的进程上下文中所能访问的地址空间是这个进程的虚拟地址空间利用_EPROCESS结构可以查看该进程的相关信息当程

一般在写Windows内核程序的时候，经常会出现蓝屏的问题，这个时候一般是采用记录下dump文件然后用windbg查看得方式，具体的过程就不说了，网上一大堆的内容。现在我主要记录自己当初按照网上的方案出现windbg的open crashdump项呈现灰色的情况。就像下面这样 这个问题曾今百思不得其解，曾今一度以为是自己的win10不能很好的兼容这个，后来发现自己想多了 ( ^_^ )，现在

就像题目上说的，今天在写一个例子代码时遇到了这个问题，下面是当时驱动层和应用层的代码：#include <ntddk.h>#define BASE_CODE 0x800#define CREATE_THREAD_COMMAND CTL_CODE(FILE_DEVICE_UNKNOWN, BASE_CODE + 1, METHOD_BUFFERED, FILE_ANY_ACCESS)#defin

字符串处理在驱动中一般使用的是ANSI字符串和宽字节字符串，在驱动中我们仍然可以使用C中提供的字符串操作函数，但是在DDK中不提倡这样做，由于C函数容易导致缓冲区溢出漏洞，针对字符串的操作它提供了一组函数分别用来处理ANSI字符串和UNICODE字符串。 针对两种字符串，首先定义了它们的结构体typedef struct _STRING { USHORT Length;//字符串的长度

缓冲区溢出的根本原因是冯洛伊曼体系的计算机并不严格的区分代码段和数据段，只是简单的根据eip的指向来决定哪些是代码，所以缓冲区溢出攻击都会通过某种方式修改eip的值，让其指向恶意代码。缓冲区溢出攻击一般分为堆缓冲区溢出攻击和栈缓冲区溢出攻击栈缓冲区溢出攻击栈缓冲区溢出攻击的一般是传入一个超长的带有shellcode的字符缓冲，覆盖栈中的EIP值，这样当函数执行完成返回后就会返回到有shellcode

在编写驱动程序的时候，常用的一个结构是NTSTATUS，它来表示操作是否成功，但是对于失败的情况它的返回码过多，不可能记住所有的情况，应用层有一个GetLastError函数，根据这个函数的返回值可以通过错误查看器来查看具体的错误原因，但是内核中就没有这么方便了，我之前在网上找资料的时候发现很多人都是把错误码和它的具体原因都列举出来，然后人工进行对照查找，这样很不方便，有没有类似于应用层上错误码查看