wdf框架之WdfVersionBind函数分析(1)

最新推荐文章于 2023-10-10 19:31:15 发布
原创 最新推荐文章于 2023-10-10 19:31:15 发布 · 3.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#框架 #windows #内核

本文解析了WdfVersionBind函数的实现,并分析了其在加载WDF驱动时的角色。重点介绍了函数如何处理WDF_BIND_INFO结构体以及如何通过调用不同回调函数完成驱动初始化。

最近学习了一下IDA的使用,正好拿WdfLdr.sys练个手。结合windbg的调试输出,逆向了其中的WdfVersionBind函数。我在文章的结尾部分给出了对应的idb文件的网盘链接(用优快云上传资源的成功率太低了,我只能放弃了...)。

以下是我逆向得到的WdfVersionBind函数实现的伪代码。整个函数中指针变量v5 v9对应的结构体未知,无法逆向出来,比较遗憾,不过应该不影响把握函数主体~

NTSTATUS __stdcall WdfVersionBind(_in DRIVER_OBJECT* a3, _in UNICODE_STRING* a4, _inout WDF_BIND_INFO* a5, _inout WDF_DRIVER_GLOBALS** a6)
{
  __int32 v4; // edi@6
  int v5; // ecx@9
  NTSTATUS result; // eax@13
  int v7; // [sp+0h] [bp-14h]@1
  int UniStr_DrvRegPath_loc; // [sp+4h] [bp-10h]@1
  int v9; // [sp+8h] [bp-Ch]@3
  int WDFLDR_LIBRARY_MODULE_Ptr; // [sp+Ch] [bp-8h]@1
  int *Client_Info_Ptr; // [sp+10h] [bp-4h]@1

  Client_Info_Ptr = 0;
  WDFLDR_LIBRARY_MODULE_Ptr = 0;
  v7 = 8;
  UniStr_DrvRegPath_loc = 0;
  if ( WdfLdrDiags & 1 )
  {
    _DbgPrint("WdfLdr: WdfVersionBind - ", v7, UniStr_DrvRegPath_loc);
    _DbgPrint("WdfLdr: WdfVersionBind: enter\n");
  }
  v9 = 0;
  if ( a6 && a5 && *(_DWORD *)(a5 + offsetof(_WDF_BIND_INFO, funcTable)) )
  {
    v4 = ReferenceVersion(a5, &WDFLDR_LIBRARY_MODULE_Ptr);
    if ( v4 < 0 )
      goto LABEL_24;
    v4 = LibraryLinkInClient(*(void **)(a5 + offsetof(_WDF_BIND_INFO, wdfModule)), a5, (int)Client_Info_Ptr, &v9);
    if ( v4 < 0 )
    {
      if ( WdfLdrDiags & 1 )
      {
        _DbgPrint("WdfLdr: WdfVersionBind - ");
        _DbgPrint("WdfLdr: DereferenceVersion: LibraryLinkInClient failed %X\n", v4);
      }
    }
    else
    {
      UniStr_DrvRegPath_loc = a4;
      Client_Info_Ptr = &v7;
      v4 = (*(int (__stdcall **)(int, _DWORD *, int **))(*(_DWORD *)(WDFLDR_LIBRARY_MODULE_Ptr
                                                                   + offsetof(WDFLDR_LIBRARY_MODULE, LibraryInfo))
                                                       + offsetof(_WDF_LIBRARY_INFO, LibraryRegisterClient)))(
             a5,
             a6,
             &Client_Info_Ptr);
      if ( v4 < 0 )
      {
        if ( WdfLdrDiags & 1 )
        {
          _DbgPrint("WdfLdr: WdfVersionBind - ");
          _DbgPrint("WdfLdr: libraryRegisterClient: LibraryLinkInClient failed %X\n", v4);
        }
      }
      else
      {
        v5 = v9;
        *(_DWORD *)(v9 + 8) = *a6;
        *(_DWORD *)(v5 + 12) = Client_Info_Ptr;
      }
    }
    if ( v4 < 0 )
    {
LABEL_24:
      if ( WDFLDR_LIBRARY_MODULE_Ptr )
        WdfVersionUnbind(a4, a5, *a6);
    }
    if ( WdfLdrDiags & 1 )
    {
      _DbgPrint("WdfLdr: WdfVersionBind - ");
      _DbgPrint("Returning with Status 0x%x\n", v4);
    }
    result = v4;
  }
  else
  {
    result = -1073741811;
  }
  return result;
}
在前面的博文中,我以wdfsimple.sys为例,粗略的分析了wdf框架的入口。本文中我会继续基于wdfsimple.sys进行分析,以保持行文的连续性。
WdfVersionBind被FxDriverEntryWorker调用时,参数_DRIVER_OBJECT*和_UNICODE_STRING*已经初始化完毕,这和wdm驱动的流程一致。至于参数_WDF_BIND_INFO和WDF_DRIVER_GLOBALS,这是wdfsimple.sys定义的全局变量,在链接阶段已经完成初始化。当然,这不是我的臆测,而是根据以下2个结果,确定它们是由sys文件定义而不是OS定义的全局变量:

1).windbg的符号输出,查找所有WdfBindInfo和符号,windbg告诉我该符号包含在wdfsimple模块中

kd> x *!WdfBindInfo
a7fe3014 wdfsimple!WdfBindInfo = struct _WDF_BIND_INFO
kd> x wdfsimple!WdfDriverGlobals
a7fe3070 wdfsimple!WdfDriverGlobals = 0x00000000

2).ida中进入wdfsimple.sys!data段,可以看到WdfBindInfo结构体变量(注意,是结构体变量,不是指针)和WdfDriverGlobals指针变量(注意,是指针变量)的定义:



上面扯的有点远了,赶紧收回来。我继续分析函数WdfVersionBind最后两个参数的作用。先说_WDF_BIND_INFO,进入FxDriverEntry时,各成员变量并未全部初始化完毕,直到调用ReferenceVersion后。

;这部分输出源自调用ReferenceVersion前 WDF_BIND_INFO各域值
kd> bp WDFLDR!WdfVersionBind
kd> g
Breakpoint 0 hit
WDFLDR!WdfVersionBind:
8793a270 8bff            mov     edi,edi
kd> kb 1 ;在WDFLDR!WdfVersionBind入口下断点,断下后查看堆栈
ChildEBP RetAddr  Args to Child              
8ca8b58c a7fc1312 a92e81b0 a7fc3064 a7fc3014 WDFLDR!WdfVersionBind
kd> dd esp L5 ;查看FxDriverEntry传递给WdfVersionBind的参数
8ca8b590  a7fc1312 a92e81b0 a7fc3064 a7fc3014<-wdfsimple!WDF_BIND_INFO类型的指针
8ca8b5a0  a7fc3070<-wdfsimple!WDF_DRIVER_GLOBALS类型的二级指针
kd> dt WDF_BIND_INFO poi(esp+c) ;输出wdfsimple!WDF_BIND_INFO的各成员
wdfsimple!WDF_BIND_INFO
   +0x000 Size             : 0x20
   +0x004 Component        : 0xa7fc204c  "KmdfLibrary"
   +0x008 Version          : _WDF_VERSION
   +0x014 FuncCount        : 0x1bc
   +0x018 FuncTable        : 0xa7fc3074  -> (null) 
   +0x01c Module           : (null)
==================================================================== 

;这部分输出源自调用ReferenceVersion后 WDF_BIND_INFO各域值
kd> bp ReferenceVersion
kd> g
Breakpoint 1 hit
WDFLDR!ReferenceVersion:
879323e0 8bff            mov     edi,edi
kd> gu ;执行到ReferenceVersion函数返回
WDFLDR!WdfVersionBind+0x65:
8793a2d5 8bf8            mov     edi,eax
kd> dt WDF_BIND_INFO a7fe3014 ;a7fe3014是WdfVersionBind的第三个参数
Wdf01000!WDF_BIND_INFO
   +0x000 Size             : 0x20
   +0x004 Component        : 0xa7fe204c  "KmdfLibrary"
   +0x008 Version          : _WDF_VERSION
   +0x014 FuncCount        : 0x1bc
   +0x018 FuncTable        : 0xa7fe3074  -> (null) 
   +0x01c Module           : 0x8b2aceb0 _LIBRARY_MODULE 
kd> dt _LIBRARY_MODULE 0x8b2aceb0 
WDFLDR!_LIBRARY_MODULE
   +0x000 LibraryRefCount  : 0n1
   +0x004 LibraryListEntry : _LIST_ENTRY [ 0x879391cc - 0x879391cc ]
   +0x00c ClientRefCount   : 0n21 ;个人认为,所有使用WDF框架的驱动,都被称作Client,这个域记录这些Client的数量,同时,也是包含WdfDriverGlobals变量的数量
   +0x010 IsBootDriver     : 0x1 ''
   +0x011 ImplicitlyLoaded : 0x1 ''
   +0x014 Service          : _UNICODE_STRING "\Registry\Machine\System\CurrentControlSet\Services\Wdf01000"
   +0x01c ImageName        : _UNICODE_STRING "Wdf01000.sys"
   +0x024 ImageAddress     : 0x87880000 Void
   +0x028 ImageSize        : 0xa6000
   +0x02c LibraryFileObject : 0x8b2ace28 _FILE_OBJECT ;指向\Driver\Wdf01000
   +0x030 LibraryDriverObject : 0x86ba5378 _DRIVER_OBJECT ;指向\Driver\Wdf01000
   +0x034 LibraryInfo      : 0x879128c8 _WDF_LIBRARY_INFO ;Wdf01000.sys注册的用于创建WdfDriverGlobal结构的回调函数,见后面的输出信息
   +0x038 ClientsListHead  : _LIST_ENTRY [ 0xa201d4b0 - 0x86bfd178 ] ;用于将WDF Client通过_LIBRARY_MODULE!_LIST_ENTRY加入双链表
   +0x040 ClientsListLock  : _ERESOURCE
   +0x078 Version          : _WDF_VERSION ;wdf01000.sys的版本号,具体数值见后面的输出信息
   +0x084 LoaderEvent      : _KEVENT
   +0x094 LoaderThread     : (null) 
   +0x098 ClassListHead    : _LIST_ENTRY [ 0x8dfb1618 - 0x86b07888 ]
kd> dt _WDF_LIBRARY_INFO 0x879128c8 ;Wdf01000.sys注册的用于创建WdfDriverGlobal结构的回调函数
Wdf01000!_WDF_LIBRARY_INFO
   +0x000 Size             : 0x20
   +0x004 LibraryCommission : 0x87896840     long  Wdf01000!LibraryCommission+0
   +0x008 LibraryDecommission : 0x878d1bf4     long  Wdf01000!LibraryDecommission+0
   +0x00c LibraryRegisterClient : 0x878a5110     long  Wdf01000!LibraryRegisterClient+0
   +0x010 LibraryUnregisterClient : 0x878a8da8     long  Wdf01000!LibraryUnregisterClient+0
   +0x014 Version          : _WDF_VERSION

kd> dt _WDF_VERSION 0x8b2aceb0+0x78 ;windbg得到的wdf01000.sys的版本号
Wdf01000!_WDF_VERSION
   +0x000 Major            : 1
   +0x004 Minor            : 0xf 0xf对应十进制的15
   +0x008 Build            : 0
实际wdf01000.sys的版本号:


结合ReferenceVersion函数执行前后的输出,可以大概猜出这个函数的作用无外乎根据Wdf01000.sys的内容更新WDF_BIND_INFO!Module域。

这些域中最重要的当属WDF_BIND_INFO!Module!_WDF_LIBRARY_INFO结构,因为WdfVersionBind要调用结构中的各个回调函数,完成最终的初始化,包括后面要提到的WdfDriverGlobal变量

附:idb文件链接及密码:6abo 

OS环境:win10 x86 RS2 RTM:

kd> vertarget
Windows 7 Kernel Version 10240 MP (1 procs) Free x86 compatible
Built by: 10240.16384.x86fre.th1.150709-1700
Machine Name:
Kernel base = 0x81868000 PsLoadedModuleList = 0x81aa9a38
Debug session time: Mon Dec 25 22:34:40.472 2017 (UTC + 8:00)
System Uptime: 0 days 0:10:36.174


Windows驱动开发框架WDF源码,来自微软Github
12-18
Windows驱动开发框架Windows Driver Framework,简称WDF)是微软推出的一种现代化的驱动程序开发模型,旨在简化驱动程序的编写,提高驱动程序的稳定性和安全性。这个框架建立在Windows Driver Model(WDM)的基础...
WDF文件打包,非常好用的
08-19
标题中的“WDF文件打包”指的是Windows Driver Framework(WDF),这是一个由Microsoft开发的驱动程序框架,用于简化和标准化Windows操作系统上的驱动程序开发。WDF提供了面向对象的编程模型,帮助开发者更高效、...
wdf框架WdfVersionBind函数分析(2)
lixiangminghate的专栏
12-27 1393
接前篇,这篇一起来看下WdfVersionBind函数的第4个参数:WdfDriverGlobals。 经过前面一番波折,WdfVersionBind总算找到了Wdf01000.sys!_WDF_LIBRARY_INFO结构。接下去,它要调用_WDF_LIBRARY_INFO!LibraryCommission函数,为WdfDriverGlobals分配空间并初始化。因为_WDF_LIBRARY
WDF驱动开发之DriverEntry原理
xsinlink的博客
10-10 1270
从上分析,基本可以发现WDF框架应该是对WMD编程的一种封装,微软在编译WDF框架的驱动的时候,使用了lib库取代代码的入口函数,在lib库中的入口函数先初始化完成框架,然后在调用开发者编写代码的入口。卸载时候的调用栈01 WDFLDR!02 WDFLDR!03 nonpnp!04 nonpnp!05 nt!06 nt!07 nt!08 nt!
第三十六篇:WinUSB调试实例
01-08 8016
有人问我,前面列出x 0: kd> lm vm winusb start             end                 module name fffff800`caab5000 fffff800`caace000   WinUSB     (pdb symbols)          c:\e\symcache\winusb.pdb\661781CAB404408
DNS服务器搭建-Bind服务器 Version-- RedHat CentOs
Lynn_Blog
04-16 1552
本文实在RedHat 7 的虚拟机服务器上测试,测试用例支持RedHat7的之前版本和centos系统。1.安装bind 软件 yum install bind-chroot2.配置文件Ø 主配置文件(/etc/named.conf):只有58行,而且在去除注释信息和空行之后,实际有效的参数仅有30行左右,这些参数用来定义bind服务程序的运行。Ø 区域配置文件(/etc/named.rfc191...
如何查看和隐藏 BIND 的版本信息
热门推荐
szss2a的专栏
01-21 1万+
CMD下 nslookup -q=txt -class=CHAOS version.bind. 192.168.0.10为自己DNS 服务地址 Server:  Unknow Address:  192.168.0.10 version.bind    text =         "9.2.4" 或者使用dig dig @192.168.0.10  version.bind  t
wdf框架
最新发布
03-19
根据引用[1],WDF是一个框架,提供规范和工具,帮助开发者编写可靠驱动。引用[3]提到WDF是半开源的,源代码在Git上,但不应修改系统框架。引用[2]和[4]都给出了项目地址和目录结构,可能需要介绍安装和使用步骤。 ...
WDF框架 RIFFA
12-31
### WDF框架与RIFFA简介 WDF (Windows Driver Frameworks) 是一种用于开发 Windows 设备驱动程序的软件库集合,简化了编写、测试和维护设备驱动程序的过程[^1]。 RIFFA (Rapid IO FPGA Fabric Adapter) 是一种硬件...
Windows驱动开发系列之三:WDF驱动开发入门
06-30
1WDF编程框架:面向对象和事件机制 2)WDF重要对象:驱动对象、设备对象、IO队列、IO请求、等 3)事件回调函数:从派遣函数到事件回调函数的原理流程解析 4)WDF过滤驱动:掌握WDF对IRP的处理,以及过滤驱动的应用...
wdfldr.sys文件25kb的,适合解决E71套件问题或其他问题
01-08
3、在c:\windows\system32\drivers目录下找到一个文件:wdfldr.sys(WDFLDR.SYS) 看一下这个文件的大小,出现不能连接,找不到驱动的的关键就是这个文件,这个文件一般大小是26KB,如果文件是26KB,那就一定会连接不上,需要更换成同名的35kb大小的文件。
wdfldr.sys
01-08
这个问题的终极解 决方法,通过对多台这类问题的机器进行处理,都已能很好的和电脑连接:现在就有关的处理方法介绍下: 1、选用适合你手机型号的最新PC套件,安装好PC套件,启动套件和你的手机连接(选PC套件连接)。 2、进入电脑的设备管理界面(右键点我的电脑选属性--硬件-设备管理器),将有问号的驱动卸载(右键点击有问号的那一行,选卸载) 3、在c:\windows\system32\drivers目录下找到一个文件:wdfldr.sys(WDFLDR.SYS) 看一下这个文件的大小,出现不能连接,找不到驱动的的关键就是这个文件,这个文件一般大小是26KB,如果文件是26KB,那就一定会连接不上,需要更换成同名的35kb大小的文件。 4.更换文件以后,将数据线从电脑上拔出,稍后再插入电脑,电脑就会自动去找驱动安装,整个的驱动安装过程全部自动进行。
WasSee2_梦幻西游人物资源染色工具
05-18
梦幻西游资源提取之后染色用,详细请查询百度梦幻西游染色工具WasSee。
如何隐藏bind的版本信息
cnbird's blog
02-25 4265
在互联网上做dns解释大部分都是使用linux的BIND,但bind的漏洞很多,如何查看和隐藏bind的版本信息。c:>nslookup -q=txt -class=CHAOS version.bind. 222.106.236.22Server:  ns1.abc.comAddress:  222.106.236.22version.bind    text =        "9.
WDF驱动的编译、调试、安装
weixin_34365417的博客
01-09 841
编译和调试使用WDK编译,源代码应包括wdf.h,ntddk.h以及KMDF_VERSION=1,编译使用/GS。KMDF包括以下库:1). WdfDriverEntry.lib(编译时绑定):驱动入口,调用驱动的DriverEntry。2). WdfMM000.sys:DDI库,安装驱动时候,由co-installer来完成该sys的安装,驱动运行时动...
WDF驱动入门
qq_41490873的博客
08-14 1480
一个简单的WDF驱动 要让XP支持WDF驱动需要安装一个插件 链接: https://pan.baidu.com/s/1eL-5EVfNJZeatIBkRTrvBw 提取码: kwvw 复制这段内容后打开百度网盘手机App,操作更方便哦 #include <ntddk.h> #include <wdf.h> VOID EvtDriverUnload(WDFDRIVER Driver) { KdPrint(("卸载成功\n")); } NTSTATUS DriverEntry(PD
Wdf框架WdfDriverGlobals对象的创建
lixiangminghate的专栏
11-21 1806
前面写过一篇,反响一般,不过这不会成为阻挡我继续写下去的绊脚石~本篇我们继续来分析Wdf框架。     WdfDriverGlobals对象的身影活跃在wdf框架的各个角落,几乎每个DDI接口内部都会使用它: _Must_inspect_result_ __drv_maxIRQL(PASSIVE_LEVEL) NTSTATUS WDFEXPORT(WdfDriverCreate)( P
Wdf框架:FxDriverEntry----驱动程序的入口函数
lixiangminghate的专栏
11-27 2262
在前面的文章中简单的提到过WdfVersionBind函数的作用,但是没有来得及分析这个函数的调用处。今天得空,借这篇文章写下WdfVersionBind函数的调用者:FxDriverEntry。     在写这篇文章前,我被WdfLdr.sys的名字误导,以为这个sys文件是内核的加载器,用于加载整个内核启动(Ldr是Loader的缩写)。所以,当时我很粗浅的认为这个驱动只在系统引导阶段才被调
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值