一些内核操作函数

最新推荐文章于 2022-10-14 13:15:37 发布
最新推荐文章于 2022-10-14 13:15:37 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sqzxwq/article/details/48197183
版权 
#ifdef __cplusplus
extern "C" {
#endif

#define DELAY_ONE_MICRO (-10)
#define DELAY_ONE_MILLI (DELAY_ONE_MICRO*1000)
#include <ntifs.h>
#include <stdlib.h>
	NTSTATUS DriverEntry(IN PDRIVER_OBJECT  objDriver,IN PUNICODE_STRING strRegPath);

	HANDLE KernelCreateFile(IN PUNICODE_STRING pstrFile,IN BOOLEAN bIsDir);

	ULONG64 KernelGetFileSize(IN HANDLE hFile);

	ULONG64 KernelReadFile(IN HANDLE hFile,IN PLARGE_INTEGER Offset,IN ULONG ulLength,OUT PVOID pBuffer);
	ULONG64 KernelWriteFile(IN HANDLE hFile,IN PLARGE_INTEGER Offset,IN ULONG ulLength,OUT PVOID pBuffer);
	NTSTATUS KernelDeleteFile(IN PUNICODE_STRING pstrFile);

	void KernelKillProcess(UINT32 PiD);

	PEPROCESS LookupProcess(HANDLE hPid);
	NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS pEProcess);
	NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS pEProcess);
	VOID EnumProcess();

	PFILE_BOTH_DIR_INFORMATION KernelFindFirstFile(IN HANDLE hFile,IN ULONG ulLen,OUT PFILE_BOTH_DIR_INFORMATION pDir);
	NTSTATUS KernelFindNextFile(IN OUT PFILE_BOTH_DIR_INFORMATION* pDir);
	void Traversal();

	NTKERNELAPI NTSTATUS PsSuspendProcess(PEPROCESS pEProcess);
	NTKERNELAPI NTSTATUS PsResumeProcess(PEPROCESS pEProcess);

	UINT32 PauseProcess(PEPROCESS pEProcess);
	UINT32 ResumeProcess(PEPROCESS pEProcess);

	typedef NTSTATUS (__stdcall *PSSUSPENDTHREAD)(IN PETHREAD pEThread,OUT PULONG PreviousSuspendCount);
	typedef NTSTATUS (__stdcall *PSRESUMETHREAD)(IN PETHREAD pEThread,OUT PULONG PreviousCount);
	PSSUSPENDTHREAD PsSuspendThread = (PSSUSPENDTHREAD)0x842de1bb;
	PSRESUMETHREAD PsResumeThread = (PSRESUMETHREAD)0x84235cd6;

	UINT32 PauseThread(PETHREAD pEThread);
	UINT32 ResumeThread(PETHREAD pEThread);

	KEVENT g_kEvent;
	
	VOID t_funThread(IN PVOID StartContext);
	VOID Test_CreateThread();

	typedef NTSTATUS (__fastcall *ZWTERMINATETHREAD)(HANDLE hThread,ULONG uExitCode);
	ZWTERMINATETHREAD ZwTerminateThread = (ZWTERMINATETHREAD)0x8407fad4;
	void KernelKillThread(UINT32 TiD);
	NTSTATUS ZwOpenThread(OUT PHANDLE ThreadHandle,IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId OPTIONAL);
	VOID EnumThread(PEPROCESS pEProcess);

	VOID KernelSleepA(LONG MicroSeconds);
	VOID KernelSleepB(LONG MicroSeconds);

	ULONG KernelGetVersion();

	VOID Test_GetCurrentTime();
#ifdef __cplusplus
}
#endif

HANDLE KernelCreateFile(IN PUNICODE_STRING pstrFile,IN BOOLEAN bIsDir)
{
	HANDLE hFile = NULL;
	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	IO_STATUS_BLOCK StatusBlock = {0};
	ULONG ulShareAccess = FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE;
	ULONG ulCreateOpt = FILE_SYNCHRONOUS_IO_NONALE
最低0.47元/天 解锁文章
关于PsGetProcessImageFileName获取结果不全的问题
Think88666的博客
09-21 2230
最近在使用该例程时发现一个问题,其返回值并不完整,返回名称是残缺不全的15字节,
一些内核函数
YL_WH的专栏
09-06 3138
内核模式下的字符串操作 KdPrint();  // 类似于C中的printf(); 字符串结构体 typedef struct _STRING {  USHORT Length;     // 字符的长度  USHORT MaximumLength;   // 整个字符缓冲区的最大长度  PCHAR Buffer;     // 缓冲区的指针 }STRING; typede
驱动遍历进程的方法
qq_41071646的博客
10-27 1527
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
ZwQueryDirectoryFile获取文件信息
angliu9837的博客
06-28 572
// tt.cpp : This file contains the 'main' function. Program execution begins and ends there. // #include "pch.h" #include <windows.h> #include <stdio.h> typedef LONG NTSTAT...
内核编程 warning C4273: 'PsGetProcessId' : inconsistent dll linkage
07-14 206
内核使用C++方式编程时声明PsGetProcessId出现这个问题(WDK8.1) 解决方法是在前边加上NTKERNELAPI这个宏,如下: //我是在C++边,C不用加上extern "C" extern "C" NTKERNELAPI HANDLE PsGetProcessId( __in PEPROCESS Process); 转载于:https://ww...
驱动关闭进程
qq_41071646的博客
10-28 975
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
parasolid内核函数(库和头文件)
10-25
本节将详细介绍Parasolid内核函数、库和头文件,以及如何在UG(Unigraphics Solutions)环境中进行二次开发。 首先,Parasolid内核函数库主要由一系列C语言接口组成,这些接口允许开发者调用内核的几何建模功能...
LiteOS内核函数解析-RTOS内核原理.zip_liteos与rtos_liteos内核函数_rtos_rtos lite
07-14
《LiteOS内核函数解析-RTOS内核原理》这一资料主要涵盖了华为的物联网(IoT)操作系统 LiteOS 的内核函数及其在实时操作系统(RTOS)中的应用原理。本文将详细解析这些关键知识点,帮助开发者深入理解 LiteOS 的内核机制...
linux内核函数文档.pdf
09-19
Linux 内核函数文档是 Linux 操作系统的核心组件之一,它提供了一个详细的 API 文档,帮助开发者更好地理解和使用 Linux 内核函数。本文档中包含了 Linux 内核函数的详细信息,包括驱动程序的基本概念、原子操作、...
Linux0.11内核main函数那些事
06-14
本课程介绍Linux0.11版本内核如何人工设置第一个任务(task 0)以及任务0从内核态切换到用户态的详细过程。包括全局描述符表中的TSS0描述符和LDT0描述符的创建过程。与引导过程中全局描述符表及局部描述符表的创建过程...
Linux内核函数调用关系的验证方法.pdf
09-06
Linux内核是开源操作系统的核心,其功能强大且复杂,被广泛应用于各种领域。理解内核的工作机制对于系统开发和优化至关重要。目前,学习Linux内核的主要方式包括阅读教科书、参与社区讨论和研究源代码。然而,这些...
驱动开发:内核中枚举进线程与模块
优快云
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
驱动层进程和线程操作
qq_41490873的博客
08-25 2040
枚举进程 //根据进程结构获得进程名指针 需要自己申明一下。 NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID EnumProcess() { ULONG i = 0; for (i; i < 20000; i += 4) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Eprocess; status = PsLookupProces
驱动层文件高级操作
qq_41490873的博客
08-25 682
文件复制 wsSrcFileName 要复制的源文件名 已存在的文件 wsDesFileName 复制到的目标文件 需要程序创建的文件 NTSTATUS CopyFile(PCWSTR wsDesFileName, PCWSTR wsSrcFileName ) { NTSTATUS status=STATUS_SUCCESS; //打开文件 HANDLE hSrcFile; OBJECT_ATTRIBUTES oa; UNICODE_STRING usSrcFileName; RtlIni
php 获取当前进程id,GetThreadProcessId() 是 获取目标进程ID 可是PsGetThreadProcessId() 也相同功能吗?...
weixin_42356844的博客
03-17 483
{2020年12月05日}论证2021上半年全球大崩盘的见底点位{2020卝年12月05曰}论证2021上半年全球大崩卝盘的见底点位作者: 崽糟躬赫时间 : 2020卝年12月05曰 星期六 农历十月廿一上证综指 3444.58点 道指 30218.26点创历卝史新高恒指 26835.92点 囯际志愿人员曰1901年(辛丑年)——...
functionWithControlPoints的参数
github_26248951的专栏
03-01 709
Discussion The end points of the Bézier curve are automatically set to (0.0,0.0) and (1.0,1.0). The control points defining the Bézier curve are: [(0.0,0.0), (c1x,c1y), (c2x,c2y), (1.0,1.0)].
内核中对进程的操作
qq_41071646的博客
01-13 359
也是参考了看雪论坛分享的 这 我找不到那个分享的网址了  比较尴尬 什么时候找到了  把分享 教程的网址放出来 。。。  本来是看 windows黑客编程技术详解 这本书 看的很起劲 但是 发现  emmm 比较可惜    那个irp 发现也不是那么的神奇  于是 直接看 内核进程的操作了  就是简单的枚举pid #include &lt;ntddk.h&gt; #includ...
驱动中获取进程名的正确方法
求索
04-29 7124
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值