遍历驱动类型

最新推荐文章于 2024-10-28 14:09:58 发布
转载 最新推荐文章于 2024-10-28 14:09:58 发布 · 418 阅读 · 1 


#include"ntifs.h"
typedef VOID(__stdcall FUNCT_00A4_0EDA_DumpProcedure) (VOID*, struct _OBJECT_DUMP_CONTROL*);
typedef LONG32(__stdcall FUNCT_000F_0EE2_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, struct _EPROCESS*, VOID*, ULONG32*, ULONG32);
typedef VOID(__stdcall FUNCT_00A4_0EF0_CloseProcedure) (struct _EPROCESS*, VOID*, ULONG32, ULONG32);
typedef VOID(__stdcall FUNCT_00A4_0665_Free_InterfaceReference_InterfaceDereference_DeleteProcedure_WorkerRoutine_Callback_ReleaseFromLazyWrite_ReleaseFromReadAhead) (VOID*);
typedef LONG32(__stdcall FUNCT_000F_0EF6_ParseProcedure) (VOID*, VOID*, struct _ACCESS_STATE*, CHAR, ULONG32, struct _UNICODE_STRING*, struct _UNICODE_STRING*, VOID*, struct _SECURITY_QUALITY_OF_SERVICE*, VOID**);
typedef LONG32(__stdcall FUNCT_000F_0F02_SecurityProcedure) (VOID*, enum _SECURITY_OPERATION_CODE, ULONG32*, VOID*, ULONG32*, VOID**, enum _POOL_TYPE, struct _GENERIC_MAPPING*, CHAR);
typedef LONG32(__stdcall FUNCT_000F_0F13_QueryNameProcedure) (VOID*, UINT8, struct _OBJECT_NAME_INFORMATION*, ULONG32, ULONG32*, CHAR);
typedef UINT8(__stdcall FUNCT_0067_0F1B_OkayToCloseProcedure) (struct _EPROCESS*, VOID*, VOID*, CHAR);

typedef struct _OBJECT_TYPE_INITIALIZER                                                                                                                             // 25 elements, 0x50 bytes (sizeof) 
{
	/*0x000*/     UINT16       Length;
	union                                                                                                                                                           // 2 elements, 0x1 bytes (sizeof)   
	{
		/*0x002*/         UINT8        ObjectTypeFlags;
		struct                                                                                                                                                      // 7 elements, 0x1 bytes (sizeof)   
		{
			/*0x002*/             UINT8        CaseInsensitive : 1;                                                                                                                       // 0 BitPosition                    
			/*0x002*/             UINT8        UnnamedObjectsOnly : 1;                                                                                                                    // 1 BitPosition                    
			/*0x002*/             UINT8        UseDefaultObject : 1;                                                                                                                      // 2 BitPosition                    
			/*0x002*/             UINT8        SecurityRequired : 1;                                                                                                                      // 3 BitPosition                    
			/*0x002*/             UINT8        MaintainHandleCount : 1;                                                                                                                   // 4 BitPosition                    
			/*0x002*/             UINT8        MaintainTypeList : 1;                                                                                                                      // 5 BitPosition                    
			/*0x002*/             UINT8        SupportsObjectCallbacks : 1;                                                                                                               // 6 BitPosition                    
		};
	};
	/*0x004*/     ULONG32      ObjectTypeCode;
	/*0x008*/     ULONG32      InvalidAttributes;
	/*0x00C*/     struct _GENERIC_MAPPING GenericMapping;                                                                                                                         // 4 elements, 0x10 bytes (sizeof)  
	/*0x01C*/     ULONG32      ValidAccessMask;
	/*0x020*/     ULONG32      RetainAccess;
	/*0x024*/     enum _POOL_TYPE PoolType;
	/*0x028*/     ULONG32      DefaultPagedPoolCharge;
	/*0x02C*/     ULONG32      DefaultNonPagedPoolCharge;
	/*0x030*/     FUNCT_00A4_0EDA_DumpProcedure* DumpProcedure;
	/*0x034*/     FUNCT_000F_0EE2_OpenProcedure* OpenProcedure;
	/*0x038*/     FUNCT_00A4_0EF0_CloseProcedure* CloseProcedure;
	/*0x03C*/     FUNCT_00A4_0665_Free_InterfaceReference_InterfaceDereference_DeleteProcedure_WorkerRoutine_Callback_ReleaseFromLazyWrite_ReleaseFromReadAhead* DeleteProcedure;
	/*0x040*/     FUNCT_000F_0EF6_ParseProcedure* ParseProcedure;
	/*0x044*/     FUNCT_000F_0F02_SecurityProcedure* SecurityProcedure;
	/*0x048*/     FUNCT_000F_0F13_QueryNameProcedure* QueryNameProcedure;
	/*0x04C*/     FUNCT_0067_0F1B_OkayToCloseProcedure* OkayToCloseProcedure;
}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;                                                                                                                    // 2 elements, 0x1 bytes (sizeof)   


typedef struct _OBJECT_TYPE                   // 12 elements, 0x88 bytes (sizeof) 
{
	/*0x000*/     struct _LIST_ENTRY TypeList;              // 2 elements, 0x8 bytes (sizeof)   
	/*0x008*/     struct _UNICODE_STRING Name;              // 3 elements, 0x8 bytes (sizeof)   
	/*0x010*/     VOID*        DefaultObject;
	/*0x014*/     UINT8        Index;
	/*0x015*/     UINT8        _PADDING0_[0x3];
	/*0x018*/     ULONG32      TotalNumberOfObjects;
	/*0x01C*/     ULONG32      TotalNumberOfHandles;
	/*0x020*/     ULONG32      HighWaterNumberOfObjects;
	/*0x024*/     ULONG32      HighWaterNumberOfHandles;
	/*0x028*/     struct _OBJECT_TYPE_INITIALIZER TypeInfo; // 25 elements, 0x50 bytes (sizeof) 
	/*0x078*/      EX_PUSH_LOCK TypeLock;            // 7 elements, 0x4 bytes (sizeof)   
	/*0x07C*/     ULONG32      Key;
	/*0x080*/     struct _LIST_ENTRY CallbackList;          // 2 elements, 0x8 bytes (sizeof)   
}OBJECT_TYPE, *POBJECT_TYPE;
POBJECT_TYPE shuchu_OBJECT_TYPE;

VOID xiezai1(PDRIVER_OBJECT qudongduixiang)
{
	ExFreePool(shuchu_OBJECT_TYPE);
	KdPrint(("驱动卸载"));
}

NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao)
{
	KdPrint(("驱动开始"));

	UNICODE_STRING mingzi;
	UNICODE_STRING mingzi_linshi;
	PVOID m_obgetobjecttype;
	ULONG *ObTypeIndexTable;
	ULONG i = 2;

	shuchu_OBJECT_TYPE = ExAllocatePool(NonPagedPool, sizeof(OBJECT_TYPE));
	RtlInitUnicodeString(&mingzi, L"ObGetObjectType");
	RtlInitUnicodeString(&mingzi_linshi, L"process");
	
	m_obgetobjecttype = MmGetSystemRoutineAddress(&mingzi);
	if (MmIsAddressValid(m_obgetobjecttype))
	{
		KdPrint(("m_obgetobjecttype %x", m_obgetobjecttype));
		ObTypeIndexTable = *(ULONG**)((ULONG)m_obgetobjecttype + 15);
		while (ObTypeIndexTable[i])
		{
			RtlCopyMemory(shuchu_OBJECT_TYPE, (POBJECT_TYPE)ObTypeIndexTable[i], sizeof(OBJECT_TYPE));
			KdPrint(("ObTypeIndexTable[%d %x]:%wZ  __%wZ", i, i, ObTypeIndexTable[i] + 8, &shuchu_OBJECT_TYPE->Name));
			if (RtlCompareUnicodeString(&shuchu_OBJECT_TYPE->Name, &mingzi_linshi,TRUE)==0)
			{
				KdPrint(("OpenProcedure%x", shuchu_OBJECT_TYPE->TypeInfo.OpenProcedure));
				KdPrint(("CloseProcedure%x", shuchu_OBJECT_TYPE->TypeInfo.CloseProcedure));
				KdPrint(("DeleteProcedure%x", shuchu_OBJECT_TYPE->TypeInfo.DeleteProcedure));
			}
			i++;
		}
	}
	//实体对象 根据 对象头 能查找标号 进而得到名字
	qudongduixiang->DriverUnload = xiezai1;
	return STATUS_SUCCESS;

}

 

遍历内核驱动模块
HXC_HUANG的博客
03-05 5681
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
x64驱动 遍历驱动模块
墨鱼菜鸡
07-02 250
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!...
遍历windows驱动
09-26 553
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名...
遍历驱动
cshcmqcsh的专栏
05-30 743
_driver_object成员DriverSection指向_ldr_data_table_entry,_ldr_data_table_entry储存了某一驱动的基址、文件名等信息。_ldr_data_table_entry 成员 InLoadOrderLinks 为一 _list_entry结构,储存了前、后_ldr_data_table_entry的地址,_ldr_data_table_entry通过此成员形成一双向链表。而系统所有已装入驱动都在这链表中有一结点。故遍历之,即可达到目的。
驱动-遍历驱动、隐藏驱动
chengtoreal的博客
03-05 831
//自定义消息 #define Ergodicdrivelist CTL_CODE( FILE_DEVICE_UNKNOWN, 0x801, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) #define Hidedriver CTL_CODE( FILE_DEVICE_UNKNOWN, 0x802, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) // 遍历驱动 void Ergodicdrivelistfun(PIRP Irp) { PIO_STACK_
驱动遍历驱动
Misaka10046的博客
04-08 257
X86 win7 平台。
驱动层获取文件大小、遍历文件夹、创建文件
03-26
例如,一个文件系统驱动可以拦截`IRP_MJ_DIRECTORY_CONTROL`类型的IRP,用于处理列举目录、查找文件等操作。当系统遍历文件夹时,驱动程序有机会在每次枚举到文件或子目录时进行干预,可以进行额外的检查、修改或...
驱动开发笔记5—驱动对象、设备对象、IRP和派遣函数
qq_42814021的博客
10-28 1753
驱动对象 每个驱动程序都会有唯一的驱动对象与之对应,并且这个驱动对象是在驱动加载的时候,被内核中的对象管理程序所创建的。 0: kd> dt _DRIVER_OBJECT nt!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0x004 DeviceObject : Ptr32 _DEVICE_OBJECT //驱动程序创建的第一个设备对象,通过它可以遍历驱动对象里
C#遍历操作系统下所有驱动器的方法
09-03
// 遍历驱动器数组 foreach (DriveInfo drive in drives) { // 输出驱动器名称 Console.WriteLine("Drive: {0}", drive.Name); // 输出驱动类型 Console.WriteLine("Type: {0}", drive.DriveType); // ...
遍历本地磁盘信息:驱动类型、容量及可用空间
- 遍历驱动器指的是在操作系统中检索并列举出所有的磁盘驱动器及其信息。该操作通常需要使用特定的编程语言和API来实现。 - 在Windows系统中,可以使用Win32 API中的函数,比如`GetDriveType`来获取磁盘的类型,`...
遍历windows驱动遍历对象目录的对象
03-05 2174
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
驱动——遍历
最新发布
weixin_48257887的博客
10-28 170
【代码】驱动——遍历
遍历系统中加载的驱动程序以及通过设备对象指针获取设备对象名称
Masimaro的专栏
03-01 2605
遍历系统中加载的驱动以及通过设备对象指针获取设备对象名称
SDK遍历驱动器并获取驱动属性
fsjaky的专栏
04-08 756
提示这里分成两个文件,一个是GetDriveInfo.h,另一个是APIFinfFirstVolume.cpp //APIFinfFirstVolume.cpp 代码如下 /* // 在这个程序里面。显示的驱动不是如C:\这样的 // 而是直接显示 物理驱动的唯一标示, // 每个都是不一样的请仔细看清楚了! //  这些都是 保存驱动器名称的内存缓存区 // \\?\Volume{
遍历驱动设备栈
ShadowAssassin的专栏
09-06 2813
参考 《windows 驱动开发技术详解》,部分关于对象的结构,请看上节
32位/64位WINDOWS驱动遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 875
遍历成功拿到了线程回调对象。
驱动开发:探索DRIVER_OBJECT驱动对象
优快云
04-03 8013
本章将探索驱动程序开发的基础部分,了解驱动对象`DRIVER_OBJECT`结构体的定义,一般来说驱动程序`DriverEntry`入口处都会存在这样一个驱动对象,该对象内所包含的就是当前所加载驱动自身的一些详细参数,例如驱动大小,驱动标志,驱动名,驱动节等等,每一个驱动程序都会存在这样的一个结构。
遍历所有驱动的名_根据本驱动对象的成员(DriverObject->DriverSection)_对应LDR_DATA_TABLE_ENTRY结构体_双向链表使用
01-27 3564
#include"ntddk.h" typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个 我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表 本驱动驱动对象就是一个节点 LIST_ENTRY InMemoryOrderL...
C/C++ 应用层遍历驱动列表
热门推荐
优快云
07-16 1万+
需要注意的是,这段代码使用了Windows特定的API函数,并使用了C的字符串操作函数。这段代码用于列举系统中加载的驱动程序并打印驱动程序的名称。函数获取system32文件夹的路径,需要确保目标缓冲区足够大来存储路径。,分别用于存储驱动程序的文件名、全路径和system32文件夹路径。函数获取system32文件夹的路径,并将结果存储在。使用循环遍历驱动程序地址列表,对于每个驱动程序,使用。函数获取驱动程序的全路径,并将结果存储在。函数获取驱动程序的名称,并将结果存储在。数组的大小,继续执行下面的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值