EXE和SYS基于事件同步消息通知

最新推荐文章于 2024-05-15 21:14:55 发布
原创 最新推荐文章于 2024-05-15 21:14:55 发布 · 715 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个Windows内核驱动程序的设计与实现,该驱动通过创建同步事件对象来通知用户空间的应用程序有关进程创建的信息。此外,还实现了设备控制例程以处理来自用户空间的请求,如启动、停止通知及获取数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#ifndef _HEADER_HEAD_FILE
#define _HEADER_HEAD_FILE
#pragma once
#include <ntifs.h>
#include <ntddk.h>

#ifndef MAX_PATH
#define MAX_PATH	260
#endif



NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);



//驱动控制代码
#define IOCTL_START CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_STOP CTL_CODE(FILE_DEVICE_UNKNOWN, 0x811,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_GET_DATA CTL_CODE(FILE_DEVICE_UNKNOWN, 0x812,METHOD_BUFFERED, FILE_ANY_ACCESS)

#endif


#include "Header.h"





//同步事件对象
PRKEVENT g_pEventObject = NULL;
//句柄信息
OBJECT_HANDLE_INFORMATION g_ObjectHandleInfo;

char g_szOutBuf[MAX_PATH] = { 0 };



//获取进程名
PCHAR GetProcessName16ByProcessId(HANDLE ProcessId)
{
	//定义变量
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	PEPROCESS ProcessObj = NULL;
	PUCHAR ProcessName = NULL;

	//进程ID和返回一个引用指针的过程EPROCESS结构
	status = PsLookupProcessByProcessId(ProcessId, &ProcessObj);
	if (NT_SUCCESS(status))
	{
		// ImageFileName    : [16]  "SogouExplorer.e"
		//使用这个函数,只能获取进程名称是16的长度,后面的被截取了。。。
		ProcessName = PsGetProcessImageFileName(ProcessObj);
		ObfDereferenceObject(ProcessObj);
	}

	return ProcessName;
}



VOID CreateProcessNotifyFunction(IN HANDLE  ParentId, IN HANDLE  ProcessId, IN BOOLEAN  Create)
{
	if (Create)
	{
		char* pName=GetProcessName16ByProcessId(ProcessId);
		if (pName)
		{
			RtlZeroMemory(g_szOutBuf, sizeof(g_szOutBuf));
			RtlCopyMemory(g_szOutBuf, pName, strlen(pName)+1);

			//设置事件为有信号,通知应用层
			KeSetEvent(g_pEventObject, 0, FALSE);
		}

	}

	return;
}


VOID DriverUnload(DRIVER_OBJECT *DriverObject)
{
	PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, TRUE);
	UNICODE_STRING Win32Device;
	RtlInitUnicodeString(&Win32Device, L"\\DosDevices\\KernelHandle");
	IoDeleteSymbolicLink(&Win32Device);
	IoDeleteDevice(DriverObject->DeviceObject);
	return;
}

NTSTATUS KernelHandleCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	Irp->IoStatus.Status = STATUS_SUCCESS;
	Irp->IoStatus.Information = 0;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}

NTSTATUS KernelHandleClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;
	Irp->IoStatus.Information = 0;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	return Irp->IoStatus.Status;
}

NTSTATUS KernelHandleDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	NTSTATUS status = STATUS_SUCCESS;
	ULONG ulReturn = 0;
	PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(Irp);
	ULONG ulCtrlCode = stack->Parameters.DeviceIoControl.IoControlCode;
	PVOID InputBuffer = (PVOID)Irp->AssociatedIrp.SystemBuffer;
	PVOID OutputBuffer = (PVOID)Irp->AssociatedIrp.SystemBuffer;
	ULONG ulInputBufferSize = stack->Parameters.DeviceIoControl.InputBufferLength;
	ULONG ulOutputBufferSize = stack->Parameters.DeviceIoControl.OutputBufferLength;

	switch (ulCtrlCode)
	{
	case IOCTL_START:
	{
		//设置同步事件
		if (InputBuffer == NULL || ulInputBufferSize < sizeof(HANDLE))
		{
			KdPrint(("Set Event Error~!\n"));
			break;
		}

		//取得句柄对象
		HANDLE hEvent = *(HANDLE*)InputBuffer;
		status = ObReferenceObjectByHandle(hEvent, GENERIC_ALL, NULL, KernelMode, (PVOID*)&g_pEventObject, &g_ObjectHandleInfo);
		PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, FALSE);
		break;
	}
	case IOCTL_STOP:
	{
	
		//移除进程创建通知函数
		PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, TRUE);
		//释放对象引用
		if (g_pEventObject != NULL)
		{
			ObDereferenceObject(g_pEventObject);
			g_pEventObject = NULL;
		}

		break;
	}
	case IOCTL_GET_DATA:
	{
		int nLength = strlen(g_szOutBuf)+1;
		if (OutputBuffer == NULL && ulOutputBufferSize < nLength)
		{
			KdPrint(("OutputBufferSize is too small ~!\n"));
			break;
		}

		//复制进程到输出缓冲区
		RtlCopyBytes((PCHAR)OutputBuffer, g_szOutBuf, nLength);

		break;
	}
	default:
		break;
	}


	Irp->IoStatus.Status = STATUS_SUCCESS;
	Irp->IoStatus.Information = ulOutputBufferSize;
	IoCompleteRequest(Irp, IO_NO_INCREMENT);
	return Irp->IoStatus.Status;
}

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	PDEVICE_OBJECT DeviceObject = NULL;
	UNICODE_STRING DeviceName;
	UNICODE_STRING Win32Device;

	KdBreakPoint();
	DriverObject->DriverUnload = DriverUnload;
	RtlInitUnicodeString(&DeviceName, L"\\Device\\KernelHandle");
	RtlInitUnicodeString(&Win32Device, L"\\DosDevices\\KernelHandle");

	DriverObject->MajorFunction[IRP_MJ_CREATE] = KernelHandleCreate;
	DriverObject->MajorFunction[IRP_MJ_CLOSE] = KernelHandleClose;
	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KernelHandleDefaultHandler;



	status = IoCreateDevice(DriverObject,0,&DeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,&DeviceObject);
	if (!NT_SUCCESS(status))
		return status;
	if (!DeviceObject)
		return STATUS_UNEXPECTED_IO_ERROR;
	DeviceObject->Flags |= DO_DIRECT_IO;
	DeviceObject->AlignmentRequirement = FILE_WORD_ALIGNMENT;
	status = IoCreateSymbolicLink(&Win32Device, &DeviceName);
	DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	return STATUS_SUCCESS;
}






#include <windows.h>
#include <tchar.h>
#include <stdio.h>


HANDLE hDevice;
HANDLE g_hKernelEvent = NULL;

//驱动控制代码
#define IOCTL_START CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_STOP CTL_CODE(FILE_DEVICE_UNKNOWN, 0x811,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_GET_DATA CTL_CODE(FILE_DEVICE_UNKNOWN, 0x812,METHOD_BUFFERED, FILE_ANY_ACCESS)


DWORD WINAPI ThreadProc(LPVOID lpParameter)
{
	printf("线程开始运行\n");

	DWORD dwRet;
	char szBuffer[MAX_PATH] = { 0 };

	while (WaitForSingleObject(g_hKernelEvent, INFINITE) == WAIT_OBJECT_0)
	{
		printf("收到状态\n");

		//等待完成,向驱动发送请求
		DeviceIoControl(hDevice,IOCTL_GET_DATA, NULL, 0, szBuffer, MAX_PATH, &dwRet,NULL);

		printf("从内核发来的信息是:%s\n", szBuffer);

		//设置同步事件为无信号,等待下一次通知
		ResetEvent(g_hKernelEvent);
	}

	printf("线程结束\n");
	return 0;
}





int main(void)
{

	//创建手动重置的事件
	g_hKernelEvent = CreateEvent(NULL, TRUE, FALSE, NULL);


	//打开驱动的符号链接
	hDevice = CreateFile(L"\\\\.\\KernelHandle", GENERIC_READ | GENERIC_WRITE, 0,NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	if (INVALID_HANDLE_VALUE == hDevice)
	{
		printf("CreateFile fail!\n");
		getchar();
		getchar();
		return FALSE;
	}
	DWORD dwRet;
	DeviceIoControl(hDevice, IOCTL_START, &g_hKernelEvent, sizeof(g_hKernelEvent), NULL, NULL, &dwRet, NULL);


	HANDLE hThread =CreateThread(NULL, NULL, ThreadProc, NULL, NULL, NULL);
	CloseHandle(hThread);


	getchar();
	getchar();

	DeviceIoControl(hDevice, IOCTL_STOP, NULL, 0, NULL, NULL, &dwRet, NULL);
	CloseHandle(hDevice);
	return 0;
}


LwIP 之三 详解 sys_arch 操作系统隔离层的实现
技术干货
05-04 8223
LwIP 为了适应不同的操作系统,在代码中没有使用某一个操作系统相关的系统调用数据结构。而是在LwIP操作系统之间增加了一个操作系统封装层。操作系统封装层为操作系统服务(定时,进程同步,消息传递)提供了一个统一的接口。
关于PsGetProcessImageFileName获取结果不全的问题
Think88666的博客
09-21 2323
最近在使用该例程时发现一个问题,其返回值并不完整,返回名称是残缺不全的15字节,
普通exesys驱动文件结构上有什么不同?
weixin_33815613的博客
08-22 287
2019独角兽企业重金招聘Python工程师标准>>> ...
minifilter 向应用层发送信息fltSendMessage
未来
11-01 3114
驱动层发送接受时候的buf不包含header。应用层向minifilter发送没什么问题。应用层接收的时候需要添加header。
miniFilter 内核层与应用程序通信
Hansong0706的博客
03-15 622
重点说下FltSendMessage() FilterGetMessage() FilterReplyMessage() 这三个函数 首先:内核层的结构体 // Defines the commands between the utility and the filter typedef enum _NPMINI_COMMAND { ENUM_PASS = 0,...
【原创】FltSendMessage蓝屏分析
weixin_30500663的博客
07-05 562
INVALID_PROCESS_DETACH_ATTEMPT (6)Arguments:Arg1: 00000000Arg2: 00000000Arg3: 00000000Arg4: 00000000 Debugging Details:------------------ CUSTOMER_CRASH_COUNT: 2 DEFAULT_BUCKET_ID: DRIVER_FAULT ...
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1635
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
sys_time_5.rar_日历系统_时间同步
09-24
在"sys_time_5"系统中,时间同步功能确保用户无论身处何地,都能查看到与世界标准时间(UTC)同步的日期时间,提高了信息交流的准确性,特别是对于需要精确时间记录的业务活动,如金融交易、航空调度等。...
【rsync与inotify实时同步】:基于事件的文件同步技术
[【rsync与inotify实时同步】:基于事件的文件同步技术](https://ask.qcloudimg.com/http-save/4821640/241584483615580f234e03c2e2d608f1.png) # 摘要 rsyncinotify是两种在文件同步监控领域中广泛使用的工具...
Linux内核-I/O多路复用[select]I/O事件就绪通知源码分析
weixin_38597669的博客
02-13 1038
本文通过对select源码的探索,引出了socket创建,I/O事件就绪通知,时钟中断、tcp接收远端数据等机制的源码分析。
rsync,nfs,sersync实现用户数据实时同步配置定时同步
05-15 789
2.2.4)如果nfs服务器挂掉,由于nfs的数据已经实时备份到backup服务器上,所以需要在backup服务器上安装nfs,并启动nfs,web卸载31nfs地址,重新挂载41nfs地址。********************各服务器配置/etc/备份********************方案二: 实现web上传视频文件,实则是写入NFS存储,当NFS存在新的数据则会实时的复制到备份服务器。********************web数据备份********************
Windows驱动编程视频教程 SysExe文件的通讯A
08-19
Windows驱动编程视频教程 详尽的讲解 里面还有屏幕录制的录像
通过GetProcessImageFileName函数获取进程路径
热门推荐
陌路缘
04-24 2万+
由于函数GetModuleFileName() 函数GetModuleFileNameEx()都是通过PE文件头信息获取进程文件路径,所以它们只能工作于与调用进程相同位数的进程,比如:调用进程32位时,这两个函数只对32位进程有效,64位同理。所以在64位进程与32位进程并存的64位机器中,只能通过GetProcessImageFileName()函数获取进程的DOS文件路径
EXESYS通信MiniFilter基于事件方式
125096
12-30 1643
#ifndef _HEADER_HEAD_FILE #define _HEADER_HEAD_FILE #pragma once #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 260 #endif NTKERNELAPI UCHAR * PsGetProcessImageFileN
06文件操作
weixin_30954607的博客
08-30 331
文件操作文件操作函数在内容中使用的ZwXXXX系列,下面是函数一览表函数名功能ZwCreateFile打开文件ZwReadFile读取文件内容ZwWriteFile将数据写入文件ZwQueryInformationFile查询文件信息ZwDeleteFile删除文件ZwClose关闭文件打开/创建文件在内核中打开文件比较繁琐, 该函数使用了比较多的API:要打开的文件路径必须设置在OBJ...
GetProcessImageFileName获取进程路径
weixin_33751566的博客
10-08 1503
HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,pe.th32ProcessID);if ( GetProcessImageFileName(hProcess,szFilePath,MAX_PATH)!=0 ){ mystring strFilePath = CCommon::DosDevicePath2Logi...
windows 内核下获取进程路径
10-09 777
windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
Windows驱动学习笔记之三 驱动枚举进程(WIN64)
iceamber2012的专栏
05-08 2296
WIN64 驱动下枚举
C语言事件消息
最新发布
03-26
### C语言中事件消息处理机制的实现 在C语言中,可以通过多种方法来实现事件消息处理机制。其中一种常见的方式是基于 **消息队列** 的设计模式[^1]。这种机制允许不同进程之间通过共享的消息缓冲区传递数据或通知特定事件的发生。 以下是使用系统V IPC API 创建并管理消息队列的一个简单示例: #### 示例代码:创建操作消息队列 ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/ipc.h> #include <sys/msg.h> #define MAX_TEXT 256 // 定义消息结构体 struct msg_buffer { long msg_type; // 消息类型 char msg_text[MAX_TEXT]; // 消息内容 }; int main() { key_t key; int msgid; // 使用ftok生成唯一的key值 key = ftok("msgq", 'A'); // 创建消息队列 msgid = msgget(key, 0666 | IPC_CREAT); if (msgid == -1) { perror("msgget failed"); exit(EXIT_FAILURE); } struct msg_buffer message; printf("Enter the message to send: "); fgets(message.msg_text, MAX_TEXT, stdin); // 设置消息类型为1 message.msg_type = 1; // 发送消息到队列 msgsnd(msgid, &message, strlen(message.msg_text) + 1, 0); printf("Message sent.\n"); // 接收消息 msgrcv(msgid, &message, sizeof(message), 1, 0); printf("Received Message: %s\n", message.msg_text); // 删除消息队列 msgctl(msgid, IPC_RMID, NULL); return EXIT_SUCCESS; } ``` 上述代码展示了如何使用 `msgget` 函数创建一个消息队列,并通过 `msgsnd` `msgrcv` 进行消息的发送与接收。此过程非常适合于需要异步通信的应用场景。 --- #### 关键点解析 - **消息队列的作用** 消息队列提供了一种可靠的机制,在多个进程中同步或异步地交换信息。它特别适合用于事件驱动型应用程序,例如监控系统、日志记录器或其他实时响应需求较高的环境。 - **消息结构定义** 需要自定义一个包含至少两个字段的数据结构:一个是固定类型的标志位(通常是一个整数),另一个则是实际存储的信息部分。这里我们采用的是标准 POSIX 结构形式。 - **错误处理的重要性** 虽然上面的例子省略了一些细节上的考虑,但在真实项目开发过程中应当加入充分的健壮性检测逻辑,比如检查函数返回值是否成功以及资源释放等问题。 --- #### 动态内容支持扩展 如果希望进一步增强功能以适应更加复杂的业务需求,则可以参考 HTTP 协议里的分块传输编码思路[^2]。尽管两者应用场景有所不同,但核心理念相似——即按需分割大数据流成若干小片段逐一传送至目标端再重新组装还原原始形态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值