《寒江独钓---Windows内核安全编程》串口过滤详解(未完全)

最新推荐文章于 2021-10-22 15:03:14 发布
最新推荐文章于 2021-10-22 15:03:14 发布
阅读量458 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows内核安全编程 文章标签: Windows 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40890756/article/details/88737965
本文详细介绍了Windows内核安全编程中关于串口过滤的概念和实现方式。作者通过学习《寒江独钓—Windows内核安全编程》,分享了如何在不修改上层软件或底层驱动的情况下,通过添加新的内核层实现功能增强。过滤过程包括对上层读写请求的预处理,然后将处理后的数据传递给实际驱动。文中还探讨了设备栈的结构和设备绑定的API,如IoAttachDeviceToDeviceStack,并提供了设备绑定的代码示例。

0x0 感慨

好久没写正规的博客了 学习《寒江独钓—Windows内核安全编程》已有两周有余,写此篇仅以录入本人觉得重要的知识点及串口过滤的完整代码详解。

0x1 过滤概念

书上是这么说的,过滤是在不影响上层和下层的接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。

这句话我理解的大概是这样的,即我们写的驱动过滤程序实际上是像一层滤网一样,对上层的读写请求先进行"过滤",对数据进行一定的处理,然后下发给下面真实的驱动程序进行处理。

0x2 怎么进行过滤

那么问题来了 如何进行过滤呢 ?根据过滤第定义,我们知道我们过滤是针对某一特定驱动的,所以过滤就需要绑定到某一设备上进行处理。
有以下API可供我们绑定:
IoAttachDevice原型SourceDevice指你生成的虚拟设备,TargetDevice值你要绑定的真实设备,最后一个OUT 的参数是返回的被绑定的设备指针。

或者是用
IoAttachDeviceToDeviceStack这里返回的是未调用这个函数前最上层的设备指针,这里就要说明下设备栈的问题。设备栈的产生源于可能有不止一个设备绑定到真实设备上,而他们处理数据的先后顺序是按照栈的结构来的,即最后一个绑定的先过滤。

例如我们之前有B->A B绑定到A上
然后IoAttachDeviceToDeviceStack函数调用时 我们的SourceDevice是C,那么
绑定完后其栈是这个样子的C->B->A。并且调用完后返回B,而不是A!!!

其他的还有IoAttachDeviceToDeviceStackSafe等等函数,这里我们不用这些函数。

设备绑定的代码详解

#define MAX_SERIAL_NUM 32 //假设最大串口数量为32

NTSTATUS AttachToSpecificDevice(PDRIVER_OBJECT driver, PDEVICE_OBJECT bindedDev, PDEVICE_OBJECT *filtDev, PDEVICE_OBJECT *realDev)
{
   
   
	NTSTATUS status;
	PDEVICE_OBJECT topDevice = NULL;
	

	status = IoCreateDevice(driver, 0, NULL, bindedDev->Type, 0, FALSE,
最低0.47元/天 解锁文章

新学期VIP享超值加赠
<寒江>Windows内核安全编程__传统键盘过滤程序
The New Old Things
10-13 4778
技术原理 1.预备知识 何为符号链接?符号链接其实就是设备的一个“别名”。在应用程序中想要访问设备一般要通过符号链接来完成,而不是设备名本身。 ZwCreateFile是很重要的函数。同名的函数有两个:一个在内核(ntknos.exe),一个在应用层(ntdll.dll)
寒江-Windows内核安全编程完整版(内附源码)
01-25
完整的零基础学习windows下驱动编程(内附源码)。内核编程环境配置;串口过滤、键盘过滤;磁盘虚拟;磁盘过滤;文件系统过滤与监控;文件系统透明加密;文件系统微过滤;网络传输层过滤;NDIS协议驱动;NDIS小端口驱动;NDIS中间层驱动
寒江——Windows内核安全编程
博文视点(北京)官方博客
04-10 9704
 《寒江——Windows内核安全编程》书评看到本书的书名,我立即就想起了柳宗元的诗句:千山鸟飞绝,万径人踪灭。孤舟蓑笠翁,寒江雪。寒江中那位孤寂寞,又抗寒傲雪,毅然垂的渔翁,是诗人自己的写照,虽然环境恶劣,但他一直不屈不挠保持镇定自若的态度,坚持自己的理想。本书取名为:寒江,则表明了Windows内核安全编程这个领域的寒冷与寂寥,研究这个方向的人很少,市面上也没有类似的书,做这个
寒江-Windows内核安全编程(完整版)--源码
02-23
寒江-Windows内核安全编程(完整版)--源码 寒江-Windows内核安全编程(完整版)--源码
寒江-串口过滤
weixin_30802273的博客
12-05 128
直接上源码 注释什么的都在源码上: 因为没有 打印机 实现 下载程序 超级终端 可以看到 http://download.youkuaiyun.com/download/yfly13/863785 #include <ntddk.h> #define NTSTRSAFE_LIB #include <ntstrsafe.h> #ifndef SetFl...
寒江Windows内核安全编程
05-05
编写Windows内核程序,就意味着这个程序可以执行任意指令,可以访问计算机所有的软件、硬件资源。因此,稍有不慎就有可能将系统变得不稳定。Windows的设计者设计了各种驱动模型或者框架,如NT式内核驱动模型、WDM框架和新推出的WDF框架。在这些模型框架下编程,就使内核编程变得简单,同样也降低了内核程序崩溃的机会。其实,Windows驱动程序员和黑客都在写内核程序,唯一不同的是驱动程序员按照微软设计的模型写程序,而黑客可以不按照这些框架写。Windows设计的这些框架,可以将操作系统的原理隐藏起来,只暴露一些接口,驱动程序员只要把这些接口写好就可以了。从这个角度看,驱动开发并不难,尤其是读完本书后,更会觉得不难了。但是想完成一些特殊的功能,如内核级隐藏进程等,Windows的这些框架就没什么用处了,程序员就需要对Windows内核有全面的了解,通过直接修改Windows内核来实现这些目的。往往黑客对这种技术乐此不疲,通过修改Windows内核,你会发现你的程序几乎无所不能。   编写内核程序是一件很痛苦的事情,回想起这些年学习内核程序开发的经历,真是感慨万千。就如同谭文所说:编写内核程序的人从某种程度讲是孤的。当一个经验并不丰富的小程序员面对庞大复杂的并且不开源的Windows框架时,那是一种怎样的无助感啊!谭文是我比较钦佩的程序员之一,他对技术非常执着,并且精力充沛。内核程序的知识涉及面非常广,不同类别的内核程序差别也特别大,他几乎都有所涉猎。相信读者在读完这本书后,能对Windows内核开发有比较详细的了解,同时也能结合书中的实例写出很优秀的内核程序了 本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000一直到目前最新的Windows 7 Beta版。  本书则基本上介绍的是正统的内核编程技术,是微软在内核编程中给信息安全软件开发者提供的相关接口的大集合,是名门正派的技术,不沾邪气。一个好的内核程序员,“正邪兼修”是有必要的。   本书既适合于有志于成为软件程序员的学生使用,也适合于希望加强自己的技术实力的Windows程序员阅读,同时更适合于从事信息安全行业的Windows软件的开发者作为手头参考。
寒江--windows内核安全编程光盘源码_寒江windows内核安全编程_
09-30
寒江--Windows内核安全编程》是一份深入探讨Windows操作系统内核安全编程的珍贵资源,由知名技术专家“寒江”编著。这份资料包含了丰富的Windows内核驱动开发实例,覆盖了从磁盘驱动、文件系统驱动到网络...
寒江-Windows内核安全编程 和 随书光盘
10-22
寒江-Windows内核安全编程》是一本深入探讨Windows内核安全编程的专业书籍。书中涵盖了驱动开发的关键技术和安全实践,旨在帮助读者理解如何在Windows操作系统内核层面上进行安全、高效的程序设计。这一领域的...
寒江-Windows内核安全编程》电子书及源码.rar
最新发布
03-29
寒江-Windows内核安全编程》是一本深入探讨Windows操作系统内核安全的专著,涵盖了编程语言、软件安全以及系统插件等多个领域的知识。本书旨在帮助读者理解和掌握如何在Windows内核环境中进行安全编程实践,...
寒江:Windows内核安全编程 高清 电子版文
01-14
版权声明 楚狂人Windows驱动编程基础教程 本书是免费电子书。作者保留一切权利。但在保证本书完整性(包括版权声明、前言、正文内容、后记、以及作者的信息),并不增删、改变其中任何文字内容的前提下,欢迎任何读者以任何形式(包括各种格式的文档)复制和转载本书。同时不限制利用此书赢利的行为(如收费注册下载,或者出售光盘或打印版本)。不满足此前提的任何转载、复制、赢利行为则是侵犯版权的行为。 发现本书的错漏之处,请联系作者。请不要修改本文中任何内容,不经过作者的同意发布修改后的版本。 前言 本书非常适合熟悉Windows应用编程的读者转向驱动开发。所有的内容都从最基础的编程方法入手。介绍相关的内核API,然后举出示范的例子。这本书只有不到70页,是一本非常精简的小册子。所以它并不直接指导读者开发某种特定类型的驱动程序。而是起到一个入门指导的作用。 即使都是使用C/C++语言的代码,在不同的应用环境中,常常看起来还是大相径庭。比如用TurboC++编写的DOS程序代码和用VC++编写的MFC应用程序的代码,看起来就几乎不像是同一种语言。这是由于它们所依赖的开发包不相同的缘故。 在任何情况下都以写出避免依赖的代码为最佳。这样可以避免重复劳动。但是我们在学习一种开发包的使用时,必须习惯这个环境的编码方式,以便获得充分利用这个开发包的能力。 本书的代码几乎都依赖于WDK(Windows Driver Kit)。但是不限WDK的版本。WDK还在不断的升级中。这个开发包是由微软公司免费提供的。读者可以在微软的网站上下载。 当然读者必须把WDK安装的计算机上并配置好开发环境。具体的安装和配置方法本书没有提供。因为网上已经有非常多的中文文档介绍它们。 读完这本书之后,读者一定可以更轻松的阅读其他专门的驱动程序开发的文档和相关书籍。而不至于看到大量无法理解的代码而中途放弃。如果有任何关于本书的内容的问题,读者可以随时发邮件到mfc_tan_wen@163.com或者walled_river@hotmail.com。能够回答的问题我一般都会答复。 写本书的时候,我和wowocock合作的一本名为《天书夜读》(在网上有一个大约20%内容的缩减电子版本)正在电子工业出版社编辑。预计还有不到一个月左右就会出版。这也是我自己所见的唯一一本中文原创的从汇编和反汇编角度来学习Windows内核编程和信息安全软件开发的书。希望读者多多支持。有想购买的读者请发邮件给我。我会在本书出版的第一时间,回复邮件告知购买的方法。 此外我正在写另一本关于Windows安全软件的驱动编程的书。但是题目还没有拟好。实际上,读者现在见到的免费版本的《Windows驱动编程基础教程》是从这本书的第一部分中节选出来的。这本书篇幅比较大,大约有600-800页。主要内容如下: 第一章驱动编程基础 第二章磁盘设备驱动 第三章磁盘还原与加密 第四章传统文件系统过滤 第五章小端口文件系统过滤 第六章文件系统保护与加密 第七章协议网络驱动 第八章物理网络驱动 第九章网络防火墙与安全连接 第十章打印机驱动与虚拟打印 第十一章视频驱动与过滤 附录A WDK的安装与驱动开发的环境配置 附录B 用WinDbg调试Windows驱动程序
寒江Windows内核安全编程 书及源码
11-11
寒江Windows内核安全编程 书及源码,希望对你有帮助。
寒江:Windows内核安全编程(光碟源码 )
07-30
寒江:Windows内核安全编程(光碟源码 ctrl2cap)
寒江-Windows内核安全编程(高清完整版).part1
01-04
内容简介   本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及三类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000 一直到目前最新的Windows 7 Beta 版。   本书适合大专院校计算机系的学生、普通Windows程序员、Windows内核程序员、信息安全行业的程序员,以及希望了解Windows系统底层知识的计算机编程爱好者使用。阅读本书,需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。 目录: 封面 -25 扉页 -24 内容简介 -23 序 -22 关于本书作者和贡献者 -20 前言 -18 阅读注意 -16 目录 -12 正文 1 第1章 内核上机指导 1 1.1 下载和使用WDK 2 1.1.1 下载安装WDK 2 1.1.2 编写第一个C文件 3 1.1.3 编译一个工程 5 1.2 安装与运行 6 1.2.1 下载一个安装工具 6 1.2.2 运行与查看输出信息 7 1.2.3 在虚拟机中运行 9 1.3 调试内核模块 9 1.3.1 下载和安装WinDbg 9 1.3.2 设置Windows XP 调试执行 10 1.3.3 设置Vista调试执行 11 1.3.4 设置VMWare的管道虚拟串口 11 1.3.5 设置Windows内核符号表 13 1.3.6 实战调试first 14 练习题 16 第2章 内核编程环境及其特殊性 17 2.1 内核编程的环境 18 2.1.1 隔离的应用程序 18 2.1.2 共享的内核空间 19 2.1.3 无处不在的内核模块 20 2.2 数据类型 21 2.2.1 基本数据类型 21 2.2.2 返回状态 22 2.2.3 字符串 23 2.3 重要的数据结构 23 2.3.1 驱动对象 23 2.3.2 设备对象 25 2.3.3 请求 26 2.4 函数调用 28 2.4.1 查阅帮助 28 2.4.2 帮助中有的几类函数 30 2.4.3 帮助中没有的函数 32 2.5 Windows的驱动开发模型 32 2.6 WDK编程中的特殊点 33 2.6.1 内核编程的主要调用源 33 2.6.2 函数的多线程安全性 34 2.6.3 代码的中断级 36 2.6.4 WDK中出现的特殊代码 37 练习题 38 第3章 串口过滤 40 3.1 过滤的概念 41 3.1.1 设备绑定的内核API之一 41 3.1.2 设备绑定的内核API之二 43 3.1.3 生成过滤设备并绑定 43 3.1.4 从名字获得设备对象 45 3.1.5 绑定所有串口 46 3.2 获得实际数据 47 3.2.1 请求的区分 47 3.2.2 请求的结局 48 3.2.3 写请求的数据 49 3.3 完整的代码 50 3.3.1 完整的分发函数 50 3.3.2 如何动态卸载 52 3.3.3 完整的代码 53 本章的示例代码 53 练习题 54 第4章 键盘的过滤 56 4.1 技术原理 57 4.1.1 预备知识 57 4.1.2 Windows中从击键到内核 58 4.1.3 键盘硬件原理 60 4.2 键盘过滤的框架 61 4.2.1 找到所有的键盘设备 61 4.2.2 应用设备扩展 64 4.2.3 键盘过滤模块的DriverEntry 65 4.2.4 键盘过滤模块的动态加载 66 4.3 键盘过滤的请求处理 68 4.3.1 通常的处理 68 4.3.2 PNP的处理 69 4.3.3 读的处理 70 4.3.4 读完成的处理 71 4.4 从请求中打印出按键信息 72 4.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA 72 4.4.2 从KEYBOARD_INPUT_DATA中得到键 73 4.4.3 从MakeCode到实际字符 74 4.5 Hook分发函数 75 4.5.1 获得类驱动对象 76 4.5.2 修改类驱动的分发函数指针 77 4.5.3 类驱动之下的端口驱动 78 4.5.4 端口驱动和驱动之间的协作机制 79 4.5.5 找到关键的回调函数的条件 80 4.5.6 定义常数和数据结构
( 寒江_Windows内核安全编程.rar )
04-20
本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000一直到目前最新的Windows 7 Beta版。 本书适合大专院校计算机系的学生、普通Windows程序员、Windows内核程序员、信息安全行业的程序员,以及希望了解Windows系统底层知识的计算机编程爱好者使用。阅读本书,需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。
寒江windows内核安全编程
07-10
著名的寒江windows内核安全编程,详细讲解了C语言开发的门秘籍,是学习内核编程的绝佳好书。
寒江——windows内核安全编程》vs2019+wdk10开发xp驱动
qq_43689668的博客
10-22 528
1、Driver Settings->General: Target OS Version: Windows 7 Target Platform: Desktop 2、Inf2Cat Run InfCat:否 3、Driver Signing Sign Mode:Off 4、C++ Warning 忽略 警告等级:3 将警告视为错误:否。 5、链接器 Warning忽略 将链接器警告视为错误:否。 ...
寒江-Windows内核安全编程总结
Matrix_Designer的专栏
10-04 1543
<br />内核编程工具集安装:<br /> 1:下载安装WDK<br /> 2:编写程序(DrvierEntry必选),编译<br /> 3:利用srvinstw.exe等工具安装服务,用net start启动服务<br /> 4:使用WinDbg,利用串口和虚拟机通信,将目标系统设置为调试模式启动,这样就可以调试系统了。需要设置WinDbg的内核符号表路径,这样可以实现源码级内核调试。<br /><br />特殊宏:<br /> IN,OUT:输入输出<br /> __in_bcoun
寒江(2):串口过滤
weixin_34301307的博客
07-05 162
一、过滤的概念   “过滤”(filter)是极其重要的一个概念。过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而 不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。 二、绑定设备的内核Api之一   通过编程可以生成一个虚拟的设备对象,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则本来操作系统发送给真实设备 的请求,就会首先发送到...
寒江第3章——串口过滤
苞米地里捉小鸡的博客
05-25 402
一、过滤的概念:   过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真是驱动程序,就加入了新的功能。 1.1 设备绑定的内核API   进行过滤的最主要的方法是对一个设备对象(Device Object)进行绑定。通过编程可以生成一个虚拟设备对象,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则本来操作系统发送给真实设备的请求,就会首先发送到这个虚拟设备。   在WDK中,有多个内核API能实现绑定的功能。以下三个绑定API是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值