在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。
在Windows NT中,存在三种Device Driver:
1.“Virtual device Driver” (VDD)。通过VDD,16位应用程序,如DOS 和Win16应用程序可以访问特定的I/O端口(注意,不是直接访问,而是要通过VDD来实现访问)。
2.“GDI Driver”,提供显示和打印所需的GDI函数。
3.“Kernel Mode Driver”,实现对特定硬件的操作,比如说CreateFile, CloseHandle (对于文件对象而言), ReadFile, WriteFile, DeviceIoControl 等操作。“Kernel Mode Driver”还是Windows NT中唯一可以对硬件中断和DMA进行操作的Driver。SCSI 小端口驱动和 网卡NDIS 驱动都是Kernel Mode Driver的一种特殊形式。
Visual studio2012与Windows8带来格外不同的新体验
1.启动Vs2012
2.看见满目的驱动开发模板
3.选择一个驱动模式,有内核模式与用户模式两种的驱动
4.创建一个驱动程序,KMDF DriverMVP
5.我们选择的是内核模式的驱动程序,下面是创建成功后的界面,分别是驱动程序本身,与驱动安装包
6.按下F5,选择驱动编译,
插入下列代码实现内核的进程创建
- #include "ProcMon.h"
- #include "../inc/ioctls.h"
- //
- //////////////////////////////////////////////////////////////////////////
- //////////////////////////////////////////////////////////////////////////
- //
- // 全局变量
- //
- PDEVICE_OBJECT g_pDeviceObject;
- //
- //////////////////////////////////////////////////////////////////////////
- //////////////////////////////////////////////////////////////////////////
- //
- // 函数实现
- //
- NTSTATUS
- DriverEntry(
- IN PDRIVER_OBJECT DriverObject,
- IN PUNICODE_STRING RegistryPath
- )
- {
- NTSTATUS Status = STATUS_SUCCESS;
- UNICODE_STRING ntDeviceName;
- UNICODE_STRING dosDeviceName;
- UNICODE_STRING ProcessEventString;
- PDEVICE_EXTENSION deviceExtension;
- PDEVICE_OBJECT deviceObject = NULL;
- KdPrint(("[ProcMon] DriverEntry: %wZ\n", RegistryPath));
- //
- // 创建设备对象
- //
- RtlInitUnicodeString(&ntDeviceName, PROCMON_DEVICE_NAME_W);
- Status = IoCreateDevice(
- DriverObject,
- sizeof(DEVICE_EXTENSION), // DeviceExtensionSize
- &ntDeviceName, // DeviceName
- FILE_DEVICE_PROCMON, // DeviceType
- 0, // DeviceCharacteristics
- TRUE, // Exclusive
- &deviceObject // [OUT]
- );
- if(!NT_SUCCESS(Status))
- {
- KdPrint(("[ProcMon] IoCreateDevice Error Code = 0x%X\n", Status));
- return Status;
- }
- //
- // 设置扩展结构
- //
- deviceExtension = (PDEVICE_EXTENSION)deviceObject->DeviceExtension;
- //
- // Set up synchronization objects, state info,, etc.
- //
- deviceObject->Flags |= DO_BUFFERED_IO;
- //
- // 创建符号链接
- //
- RtlInitUnicodeString(&dosDeviceName, PROCMON_DOS_DEVICE_NAME_W);
- Status = IoCreateSymbolicLink(&dosDeviceName, &ntDeviceName);
- if(!NT_SUCCESS(Status))
- {
- KdPrint(("[ProcMon] IoCreateSymbolicLink Error Code = 0x%X\n", Status));
- IoDeleteDevice(deviceObject);
- return Status;
- }
- //
- // 分发IRP
- //
- DriverObject->MajorFunction[IRP_MJ_CREATE] = ProcmonDispatchCreate;
- DriverObject->MajorFunction[IRP_MJ_CLOSE] = ProcmonDispatchClose;
- DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = ProcmonDispatchDeviceControl;
- DriverObject->DriverUnload = ProcmonUnload;
- //
- // 保存设备对象指针
- //
- g_pDeviceObject = deviceObject;
- //
- // 创建事件对象与应用层通信
- //
- RtlInitUnicodeString(&ProcessEventString, EVENT_NAME);
- deviceExtension->ProcessEvent = IoCreateNotificationEvent(&ProcessEventString, &deviceExtension->hProcessHandle);
- KeClearEvent(deviceExtension->ProcessEvent); // 非受信状态
- //
- // 设置回调例程
- //
- Status = PsSetCreateProcessNotifyRoutine(ProcessCallback, FALSE);
- return Status;
- }
- NTSTATUS
- ProcmonDispatchCreate(
- IN PDEVICE_OBJECT DeviceObject,
- IN PIRP Irp
- )
- {
- NTSTATUS Status = STATUS_SUCCESS;
- Irp->IoStatus.Information = 0;
- KdPrint(("[ProcMon] IRP_MJ_CREATE\n"));
- Irp->IoStatus.Status = Status;
- IoCompleteRequest(Irp, IO_NO_INCREMENT);
- return Status;
- }
- NTSTATUS
- ProcmonDispatchClose(
- IN PDEVICE_OBJECT DeviceObject,
- IN PIRP Irp
- )
- {
- NTSTATUS Status = STATUS_SUCCESS;
- Irp->IoStatus.Information = 0;
- KdPrint(("[ProcMon] IRP_MJ_CLOSE\n"));
- Irp->IoStatus.Status = Status;
- IoCompleteRequest(Irp, IO_NO_INCREMENT);
- return Status;
- }
- NTSTATUS
- ProcmonDispatchDeviceControl(
- IN PDEVICE_OBJECT DeviceObject,
- IN PIRP Irp
- )
- {
- NTSTATUS Status = STATUS_SUCCESS;
- PIO_STACK_LOCATION irpStack;
- PDEVICE_EXTENSION deviceExtension;
- ULONG inBufLength, outBufLength;
- ULONG ioControlCode;
- PCALLBACK_INFO pCallbackInfo;
- // 获取当前设备栈
- irpStack = IoGetCurrentIrpStackLocation(Irp);
- deviceExtension = (PDEVICE_EXTENSION)DeviceObject->DeviceExtension;
- // 提取信息
- pCallbackInfo = Irp->AssociatedIrp.SystemBuffer;
- inBufLength = irpStack->Parameters.DeviceIoControl.InputBufferLength;
- outBufLength = irpStack->Parameters.DeviceIoControl.OutputBufferLength;
- ioControlCode = irpStack->Parameters.DeviceIoControl.IoControlCode;
- // 处理不同的IOCTL
- switch (ioControlCode)
- {
- case IOCTL_PROC_MON:
- {
- KdPrint(("[ProcMon] IOCTL: 0x%X", ioControlCode));
- if (outBufLength >= sizeof(PCALLBACK_INFO))
- {
- pCallbackInfo->hParentId = deviceExtension->hParentId;
- pCallbackInfo->hProcessId = deviceExtension->hProcessId;
- pCallbackInfo->bCreate = deviceExtension->bCreate;
- Irp->IoStatus.Information = outBufLength;
- }
- break;
- }
- default:
- {
- Status = STATUS_INVALID_PARAMETER;
- Irp->IoStatus.Information = 0;
- KdPrint(("[ProcMon] Unknown IOCTL: 0x%X (%04X,%04X)", \
- ioControlCode, DEVICE_TYPE_FROM_CTL_CODE(ioControlCode), \
- IoGetFunctionCodeFromCtlCode(ioControlCode)));
- break;
- }
- }
- Irp->IoStatus.Status = Status;
- IoCompleteRequest(Irp, IO_NO_INCREMENT);
- return Status;
- }
- VOID
- ProcmonUnload(
- IN PDRIVER_OBJECT DriverObject
- )
- {
- UNICODE_STRING dosDeviceName;
- //
- // Free any resources
- //
- // 卸载回调例程
- PsSetCreateProcessNotifyRoutine(ProcessCallback, TRUE);
- //
- // Delete the symbolic link
- //
- RtlInitUnicodeString(&dosDeviceName, PROCMON_DOS_DEVICE_NAME_W);
- IoDeleteSymbolicLink(&dosDeviceName);
- //
- // Delete the device object
- //
- IoDeleteDevice(DriverObject->DeviceObject);
- KdPrint(("[ProcMon] Unloaded"));
- }
- VOID
- ProcessCallback(
- IN HANDLE ParentId, // 父进程ID
- IN HANDLE ProcessId, // 发生事件的进程ID
- IN BOOLEAN Create // 进程是创建还是终止
- )
- {
- PDEVICE_EXTENSION deviceExtension = (PDEVICE_EXTENSION)g_pDeviceObject->DeviceExtension;
- deviceExtension->hParentId = ParentId;
- deviceExtension->hProcessId = ProcessId;
- deviceExtension->bCreate = Create;
- // 触发事件,通知应用程序
- KeSetEvent(deviceExtension->ProcessEvent, 0, FALSE);
- KeClearEvent(deviceExtension->ProcessEvent);
- }
- //
- //////////////////////////////////////////////////////////////////////////
ring3实现应用层的调用,搞定进程创建的监视
- #include "windows.h"
- #include "winioctl.h"
- #include "stdio.h"
- #include "../inc/ioctls.h"
- #define SYMBOL_LINK "\\\\.\\ProcMon"
- //#define SYMBOL_LINK "\\\\.\\slNTProcDrv"
- int main()
- {
- CALLBACK_INFO cbkinfo, cbktemp = {0};
- // 打开驱动设备对象
- HANDLE hDriver = ::CreateFile(
- SYMBOL_LINK,
- GENERIC_READ | GENERIC_WRITE,
- 0,
- NULL,
- OPEN_EXISTING,
- FILE_ATTRIBUTE_NORMAL,
- NULL);
- if (hDriver == INVALID_HANDLE_VALUE)
- {
- printf("打开驱动设备对象失败!\n");
- return -1;
- }
- // 打开内核事件对象
- HANDLE hProcessEvent = ::OpenEventW(SYNCHRONIZE, FALSE, EVENT_NAME);
- while (::WaitForSingleObject(hProcessEvent, INFINITE))
- {
- DWORD dwRet;
- BOOL bRet;
- bRet = ::DeviceIoControl(
- hDriver,
- IOCTL_PROC_MON,
- NULL,
- 0,
- &cbkinfo,
- sizeof(cbkinfo),
- &dwRet,
- NULL);
- if (bRet)
- {
- if (cbkinfo.hParentId != cbktemp.hParentId || \
- cbkinfo.hProcessId != cbktemp.hProcessId || \
- cbkinfo.bCreate != cbktemp.bCreate)
- {
- if (cbkinfo.bCreate)
- {
- printf("有进程被创建,PID = %d\n", cbkinfo.hProcessId);
- }
- else
- {
- printf("有进程被终止,PID = %d\n", cbkinfo.hProcessId);
- }
- cbktemp = cbkinfo;
- }
- }
- else
- {
- printf("\n获取进程信息失败!\n");
- break;
- }
- }
- ::CloseHandle(hDriver);
- return 0;
- }
用Visual studio2012在Windows8上开发内核驱动监视进程创建的更多相关文章
-
用Visual studio2012在Windows8上开发内核驱动监视线程创建
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...
-
用Visual studio11在Windows8上开发驱动实现注册表监控和过滤
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...
-
linux内核学习之六 进程创建过程学习
一 关于linux进程概念的补充 关于进程的基本概念这里不多说,把自己的学习所得作一些补充: 1. 在linux内核中,系统最多可以有64个进程同时存在. 2.linux进程包含的关键要素:一段可执行 ...
-
反汇编调试内核驱动 Oops提示【转】
以下部分内容转自:https://blog.csdn.net/jiatingqiang/article/details/7481497 反汇编调试内核驱动 arm-none-linux-gnueabi ...
-
linux 用户态和内核态以及进程上下文、中断上下文 内核空间用户空间理解
1.特权级 Intel x86架构的cpu一共有0-4四个特权级,0级最高,3级最低,ARM架构也有不同的特权级,硬件上在执行每条指令时都会对指令所具有的特权级做相应的检查.硬件已经提 ...
-
在Visual Studio上开发Node.js程序(2)——远程调试及发布到Azure
[题外话] 上次介绍了VS上开发Node.js的插件Node.js Tools for Visual Studio(NTVS),其提供了非常方便的开发和调试功能,当然很多情况下由于平台限制等原因需要在 ...
-
在Visual Studio上开发Node.js程序
[题外话] 最近准备用Node.js做些东西,于是找找看能否有Visual Studio上的插件以方便开发.结果还真找到了一个,来自微软的Node.js Tools for Visual Studio ...
-
Smobiler 4.4 更新预告 Part 2(Smobiler能让你在Visual Studio上开发APP)
Hello Everybody,在Smobiler 4.4中,也为大家带来了新增功能和插件(重点,敲黑板). 新增功能: 1, 企业认证用户可设置路由(即客户端可根据不同的IP地址访问不同的服务器组) ...
-
Smobiler 4.4 更新预告 Part 1(Smobiler能让你在Visual Studio上开发APP)
在4.4版本中,大家对产品优化的一些建议和意见进行了相应的优化和修复,同时,还新增了一些令人激动的功能和插件. 下面先为大家介绍4.4版本中Smobiler的优化和修复: 优化 1, PageView ...
随机推荐
-
Maven_根据不同个环境打包, 获取不同的配置文件等等
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 3 ...
-
HTML+CSS学习笔记(5)- 与浏览者交互,表单标签
HTML+CSS学习笔记(5)- 与浏览者交互,表单标签 1.使用表单标签,与用户交互 网站怎样与用户进行交互?答案是使用HTML表单(form).表单是可以把浏览者输入的数据传送到服务器端,这样服务 ...
-
Tomcat下log4j设置文件路径和temp目录
转自:http://www.cnblogs.com/dkblog/archive/2007/07/27/1980873.html 在Web应用中的如何设置日志文件的路径呢?最笨的方法是写绝对路径,但很 ...
-
BZOJ_1895_Pku3580 supermemo_Splay
BZOJ_1895_Pku3580 supermemo_Splay Description 给出一个初始序列fA1;A2;:::Ang,要求你编写程序支持如下操作: 1. ADDxyD:给子序列fAx ...
-
图片懒加载、selenium和PhantomJS
1.图片懒加载 1.1 概念及实现原理 图片懒加载是一种网页优化技术.图片作为一种网络资源,在被请求时也与普通静态资源一样,将占用网络资源,而一次性将整个页面的所有图片加载完, 将大大增加页面的首屏加 ...
-
centos7 lnmp环境部署
搭建版本 版本组合 php5.6+apache/2.4.6(centos7)+mysql5.7.24 因为新系统不能确认哪些指令已经搭建 所以安装前需要确认下是否拥有 检测是否已经安装过Vim rp ...
-
python函数(二)
python函数(二) 变量的作用域 1.局部变量与全局变量 在函数内创建的变量被称为局部变量,这类变量的生命周期与函数相同,当函数执行完毕时,变量也就随之消失. 此类变量只能在函数内部调用,函数外不 ...
-
C# 指定http请求使用Tls1.2
转载于 https://blog.csdn.net/yanghaitian/article/details/77498872 客户端语言 版本 类库 是否支持 兼容方案 Java 1.6.115之 ...
-
poj 1163 The Triangle 搜索 难度:0
The Triangle Time Limit: 1000MS Memory Limit: 10000K Total Submissions: 37931 Accepted: 22779 De ...
-
DB2 Metadata
http://www.devart.com/dotconnect/db2/docs/MetaData.html Instead of specifying the metadata collectio ...