驱动开发:探索DRIVER_OBJECT驱动对象

老婆出轨  金牌会员 | 2023-4-4 14:37:51 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 890|帖子 890|积分 2670

本章将探索驱动程序开发的基础部分,了解驱动对象DRIVER_OBJECT结构体的定义,一般来说驱动程序DriverEntry入口处都会存在这样一个驱动对象,该对象内所包含的就是当前所加载驱动自身的一些详细参数,例如驱动大小,驱动标志,驱动名,驱动节等等,每一个驱动程序都会存在这样的一个结构。
首先来看一下微软对其的定义,此处我已将重要字段进行了备注。
  1. typedef struct _DRIVER_OBJECT {
  2.     CSHORT Type;                                // 驱动类型
  3.     CSHORT Size;                                // 驱动大小
  4.     PDEVICE_OBJECT DeviceObject;                // 驱动对象
  5.     ULONG Flags;                                // 驱动的标志
  6.     PVOID DriverStart;                          // 驱动的起始位置
  7.     ULONG DriverSize;                           // 驱动的大小
  8.     PVOID DriverSection;                        // 指向驱动程序映像的内存区对象
  9.     PDRIVER_EXTENSION DriverExtension;          // 驱动的扩展空间
  10.     UNICODE_STRING DriverName;                  // 驱动名字
  11.     PUNICODE_STRING HardwareDatabase;
  12.     PFAST_IO_DISPATCH FastIoDispatch;
  13.     PDRIVER_INITIALIZE DriverInit;
  14.     PDRIVER_STARTIO DriverStartIo;
  15.     PDRIVER_UNLOAD DriverUnload;                 // 驱动对象的卸载地址
  16.     PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
  17. } DRIVER_OBJECT;
复制代码
DRIVER_OBJECT结构体是Windows操作系统内核中用于表示驱动程序的基本信息的结构体。它包含了一系列的字段,用于描述驱动程序的特定属性。
以下是DRIVER_OBJECT结构体中的一些重要字段:

  • Type:该字段标识该结构体的类型,始终设置为DRIVER_OBJECT_TYPE。
  • Size:该字段表示该结构体的大小,以字节为单位。
  • DeviceObject:该字段是一个指针,指向驱动程序所创建的设备对象链表的头部。每个设备对象代表着一个设备或者驱动程序创建的一种虚拟设备。
  • DriverStart:该字段是一个指针,指向驱动程序代码的入口点,也就是驱动程序的DriverEntry函数。该函数会在驱动程序被加载时被调用。
  • DriverSize:该字段表示驱动程序代码的大小,以字节为单位。
  • DriverName:该字段是一个UNICODE_STRING结构体,用于表示驱动程序的名称。
  • Flags:该字段是一个32位的位掩码,用于表示驱动程序的一些属性。例如,可以设置DO_BUFFERED_IO标志表示驱动程序支持缓冲I/O。
如果我们想要遍历出当前自身驱动的一些基本信息,我们只需要在驱动的头部解析_DRIVER_OBJECT即可得到全部的数据,这段代码可以写成如下样子,其中的IRP_MJ_这一系列则是微软的调用号,不同的RIP代表着不同的涵义,但一般驱动也就会用到如下这几种调用号。
  1. // 署名权
  2. // right to sign one's name on a piece of work
  3. // PowerBy: LyShark
  4. // Email: me@lyshark.com
  6. #include <ntifs.h>
  8. VOID UnDriver(PDRIVER_OBJECT driver)
  9. {
  10.         DbgPrint(("Uninstall Driver Is OK \n"));
  11. }
  13. NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
  14. {
  15.         DbgPrint("hello lyshark \n");
  17.         Driver->DriverUnload = UnDriver;
  19.         DbgPrint("驱动名字 = %wZ \n", Driver->DriverName);
  20.         DbgPrint("驱动起始地址 = %p | 大小 = %x | 结束地址 %p \n",Driver->DriverStart,Driver->DriverSize,(ULONG64)Driver->DriverStart + Driver->DriverSize);
  22.         DbgPrint("卸载地址 = %p\n", Driver->DriverUnload);
  23.         DbgPrint("IRP_MJ_READ地址 = %p\n", Driver->MajorFunction[IRP_MJ_READ]);
  24.         DbgPrint("IRP_MJ_WRITE地址 = %p\n", Driver->MajorFunction[IRP_MJ_WRITE]);
  25.         DbgPrint("IRP_MJ_CREATE地址 = %p\n", Driver->MajorFunction[IRP_MJ_CREATE]);
  26.         DbgPrint("IRP_MJ_CLOSE地址 = %p\n", Driver->MajorFunction[IRP_MJ_CLOSE]);
  27.         DbgPrint("IRP_MJ_DEVICE_CONTROL地址 = %p\n", Driver->MajorFunction[IRP_MJ_DEVICE_CONTROL]);
  29.         // 输出完整的调用号
  30.         for (auto i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
  31.         {
  32.                 DbgPrint("IRP_MJ调用号 = %d | 函数地址 = %p \r\n", i, Driver->MajorFunction[i]);
  33.         }
  35.         Driver->DriverUnload = UnDriver;
  36.         return STATUS_SUCCESS;
  37. }
复制代码
编译这段程序,签名并运行,我们即可看到如下输出信息,此时当前自身驱动的详细参数都可以被输出;

当然运用_DRIVER_OBJECT对象中的DriverSection字段我们完全可以遍历输出当前系统下所有的驱动程序的具体信息,DriverSection结构指向了一个_LDR_DATA_TABLE_ENTRY结构,结构的微软定义如下;
  1. typedef struct _LDR_DATA_TABLE_ENTRY {
  2.         LIST_ENTRY InLoadOrderLinks;
  3.         LIST_ENTRY InMemoryOrderLinks;
  4.         LIST_ENTRY InInitializationOrderLinks;
  5.         PVOID DllBase;
  6.         PVOID EntryPoint;
  7.         ULONG SizeOfImage;
  8.         UNICODE_STRING FullDllName;
  9.         UNICODE_STRING BaseDllName;
  10.         ULONG Flags;
  11.         USHORT LoadCount;
  12.         USHORT TlsIndex;
  13.         union {
  14.                 LIST_ENTRY HashLinks;
  15.                 struct {
  16.                         PVOID SectionPointer;
  17.                         ULONG CheckSum;
  18.                 };
  19.         };
  20.         union {
  21.                 struct {
  22.                         ULONG TimeDateStamp;
  23.                 };
  24.                 struct {
  25.                         PVOID LoadedImports;
  26.                 };
  27.         };
  28. }LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
复制代码
为了能够遍历出所有的系统驱动,我们需要得到pLdr结构,该结构可通过Driver->DriverSection的方式获取到,获取到之后通过pLdr->InLoadOrderLinks.Flink得到当前驱动的入口地址,而每一次调用pListEntry->Flink都将会指向下一个驱动对象,通过不断地循环CONTAINING_RECORD解析,即可输出当前系统内所有驱动的详细信息。这段程序的写法可以如下所示;
  1. // 署名权// right to sign one's name on a piece of work// PowerBy: LyShark// Email: me@lyshark.com#include typedef struct _LDR_DATA_TABLE_ENTRY {
  2.         LIST_ENTRY InLoadOrderLinks;
  3.         LIST_ENTRY InMemoryOrderLinks;
  4.         LIST_ENTRY InInitializationOrderLinks;
  5.         PVOID DllBase;
  6.         PVOID EntryPoint;
  7.         ULONG SizeOfImage;
  8.         UNICODE_STRING FullDllName;
  9.         UNICODE_STRING BaseDllName;
  10.         ULONG Flags;
  11.         USHORT LoadCount;
  12.         USHORT TlsIndex;
  13.         union {
  14.                 LIST_ENTRY HashLinks;
  15.                 struct {
  16.                         PVOID SectionPointer;
  17.                         ULONG CheckSum;
  18.                 };
  19.         };
  20.         union {
  21.                 struct {
  22.                         ULONG TimeDateStamp;
  23.                 };
  24.                 struct {
  25.                         PVOID LoadedImports;
  26.                 };
  27.         };
  28. }LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;VOID UnDriver(PDRIVER_OBJECT driver){        DbgPrint(("Uninstall Driver Is OK \n"));}NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath){        DbgPrint("hello lyshark \n");        Driver->DriverUnload = UnDriver;        PLDR_DATA_TABLE_ENTRY pLdr = NULL;        PLIST_ENTRY pListEntry = NULL;        PLIST_ENTRY pCurrentListEntry = NULL;        PLDR_DATA_TABLE_ENTRY pCurrentModule = NULL;        pLdr = (PLDR_DATA_TABLE_ENTRY)Driver->DriverSection;        pListEntry = pLdr->InLoadOrderLinks.Flink;        pCurrentListEntry = pListEntry->Flink;        // 判断是否结束        while (pCurrentListEntry != pListEntry)        {                // 获取LDR_DATA_TABLE_ENTRY结构                pCurrentModule = CONTAINING_RECORD(pCurrentListEntry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);                if (pCurrentModule->BaseDllName.Buffer != 0)                {                        DbgPrint("模块名 = %wZ | 模块基址 = %p | 模块入口 = %p | 模块时间戳 = %d \n",                                pCurrentModule->BaseDllName,                                pCurrentModule->DllBase,                                pCurrentModule->EntryPoint,                                pCurrentModule->TimeDateStamp);                }                pCurrentListEntry = pCurrentListEntry->Flink;        }        Driver->DriverUnload = UnDriver;        return STATUS_SUCCESS;}
复制代码
编译这段程序,签名并运行,我们即可看到如下输出信息,此时当前自身驱动的详细参数都可以被输出;

通过使用上一篇文章《驱动开发:内核字符串拷贝与比较》中所介绍的的RtlCompareUnicodeString函数,还可用于对比与过滤特定结果,以此来实现通过驱动名返回驱动基址的功能。
  1. LONGLONG GetModuleBaseByName(PDRIVER_OBJECT pDriverObj, UNICODE_STRING ModuleName)
  2. {
  3.         PLDR_DATA_TABLE_ENTRY pLdr = NULL;
  4.         PLIST_ENTRY pListEntry = NULL;
  5.         PLIST_ENTRY pCurrentListEntry = NULL;
  7.         PLDR_DATA_TABLE_ENTRY pCurrentModule = NULL;
  8.         pLdr = (PLDR_DATA_TABLE_ENTRY)pDriverObj->DriverSection;
  9.         pListEntry = pLdr->InLoadOrderLinks.Flink;
  10.         pCurrentListEntry = pListEntry->Flink;
  12.         while (pCurrentListEntry != pListEntry)
  13.         {
  14.                 // 获取LDR_DATA_TABLE_ENTRY结构
  15.                 pCurrentModule = CONTAINING_RECORD(pCurrentListEntry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
  17.                 if (pCurrentModule->BaseDllName.Buffer != 0)
  18.                 {
  19.                         // 对比模块名
  20.                         if (RtlCompareUnicodeString(&pCurrentModule->BaseDllName, &ModuleName, TRUE) == 0)
  21.                         {
  22.                                 return (LONGLONG)pCurrentModule->DllBase;
  23.                         }
  24.                 }
  25.                 pCurrentListEntry = pCurrentListEntry->Flink;
  26.         }
  27.         return 0;
  28. }
复制代码
上这段代码的使用也非常简单,通过传入一个UNICODE_STRING类型的模块名,即可获取到模块基址并返回,至于如何初始化UNICODE_STRING则在《驱动开发:内核字符串转换方法》中有详细的介绍,此处你只需要这样来写。
  1. NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
  2. {
  3.         DbgPrint("hello lyshark \n");
  5.         UNICODE_STRING unicode;
  7.         // 获取WinDDK驱动基地址
  8.         RtlUnicodeStringInit(&unicode, L"WinDDK.sys");
  9.         LONGLONG winddk_address = GetModuleBaseByName(Driver, unicode);
  10.         DbgPrint("WinDDK模块基址 = %p \n", winddk_address);
  12.         // 获取ACPI驱动基地址
  13.         RtlUnicodeStringInit(&unicode, L"ACPI.sys");
  14.         LONGLONG acpi_address = GetModuleBaseByName(Driver, unicode);
  15.         DbgPrint("ACPI模块基址 = %p \n", acpi_address);
  17.         Driver->DriverUnload = UnDriver;
  18.         return STATUS_SUCCESS;
  19. }
复制代码
运行这段驱动程序,即可分别输出WinDDK.sys以及ACPI.sys两个驱动模块的基地址;


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

老婆出轨

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表