Windows驱动开发学习笔记（三）—

Windows驱动开发学习笔记（三）—— 内核空间&内核模块

内核空间
- 实验
- - 第一步：编译如下代码
  - 第二步：将 .sys 文件拷贝到虚拟机中
  - 第三步：部署 .sys 文件并运行
  - 第四步：创建一个任意进程
  - 第五步：在 WinDbg 中查看新进程的高2G内存
内核模块
驱动对象
- DRIVER_OBJECT
- LDR_DATA_TABLE_ENTRY
- 实验
- - 第一步：编译如下代码
  - 第二步：将 .sys 文件拷贝到虚拟机中
  - 第三步：部署 .sys 文件并运行
  - 第四步：在 WinDbg 中查看驱动对象
  - 第五步：通过双向链表查看其它模块的信息
总结

内核空间

描述：两个进程在低2G内存空间中所对应的物理页是不同的，但是在高2G内存空间中所对应的物理页几乎是相同的（所有的进程共享同一个内核空间）

实验

第一步：编译如下代码

#include "ntddk.h"//卸载函数
VOID DriverUnload(PDRIVER_OBJECT driver)
{DbgPrint("驱动程序已停止.\r\n");
}ULONG x = 0x12345678;//驱动程序入口函数，相当于控制台的main函数
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{DbgPrint("驱动程序已运行.\r\n");DbgPrint("%x . \r\n", &x);//设置一个卸载函数  便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS;
}

第二步：将 .sys 文件拷贝到虚拟机中

第三步：部署 .sys 文件并运行

第四步：创建一个任意进程

本实验采用飞鸽传书（ipmsg.exe）

第五步：在 WinDbg 中查看新进程的高2G内存

内核模块

描述：

硬件的种类繁多，不可能做一个兼容所有硬件的内核，因此，微软提供规定的接口格式，让硬件驱动人员按照规定的格式编写“驱动程序”
这些驱动程序每一个都是一个模块，称为“内核模块”，可以加载到内核中，并遵守PE结构。但本质上讲，任意一个.sys文件与内核文件没有区别
不管是我们自己编写的 .sys 文件，还是 Windows 自带的内核文件（如 ntoskrnl.exe），它们在内核中的地位是相同的，都是内核模块中的其中一个

驱动对象

DRIVER_OBJECT

在WinDbg中查看：

DriverStart：驱动模块在内核中的地址
DriverSize：驱动模块在内核中的大小
DriverName：驱动模块在内核中的名字
DriverSection：指向 _LDR_DATA_TABLE_ENTRY 结构体

LDR_DATA_TABLE_ENTRY

描述：包含了当前内核模块的具体信息，以及其它内核模块的双向链表

在WinDbg中查看：

InLoadOrderLinks：双向链表，包含所有内核模块
DllBase：当前内核模块起始地址
SizeOfImage：当前内核模块的大小
FullDllName：当前内核模块的完整路径
BaseDllName：当前内核模块的模块名

实验

第一步：编译如下代码

#include "ntddk.h"//卸载函数
VOID DriverUnload(PDRIVER_OBJECT driver)
{DbgPrint("驱动程序已停止.\r\n");
}//驱动程序入口函数，相当于控制台的main函数
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{DbgPrint("驱动程序已运行.\r\n");DbgPrint("%x . \r\n", DriverObject);//设置一个卸载函数  便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS;
}

第二步：将 .sys 文件拷贝到虚拟机中

第三步：部署 .sys 文件并运行

第四步：在 WinDbg 中查看驱动对象

第五步：通过双向链表查看其它模块的信息

注意：遇到NULL则跳过

直到找到一个有效的内核模块

总结

内核空间中，每个进程低2G各不相同，高2G相同，在高2G中做任何事情影响的是所有进程
在高2G中，并不是只有一个内核模块为所有进程提供服务，而是由许多个模块组成，每个模块在高2G中都有属于自己独立的内存地址和大小
若想了解每个内核模块的具体信息，可以通过 _DRIVER_OBJECT 这个结构体，它存储了当前内核模块的具体信息
任意加载一个驱动，便可通过 _LDR_DATA_TABLE_ENTRY 这个结构体中的双向链表得到所有内核模块的信息

Windows驱动开发学习笔记（三）—— 内核空间内核模块相关推荐

Windows驱动开发学习笔记（七）—— 多核同步内核重载
Windows驱动开发学习笔记(七)-- 多核同步基础知识并发与同步分析 InterlockedIncrement 原子操作相关API 内核文件多核同步临界区示例一:错误的临界区示例二: ...
Windows驱动开发学习笔记（二）—— 驱动调试内核编程基础
Windows驱动开发学习笔记(二)-- 驱动调试&内核编程基础基础知识驱动调试 PDB(Program Debug Database) WinDbg 加载 PDB 实验:调试 .sys ...
Windows驱动开发学习笔记（五）—— SSDT HOOK
Windows驱动开发学习笔记(五)-- SSDT HOOK 系统服务表系统服务描述符表实验一:通过代码获取SSDT表地址通过页表基址修改页属性方法1:修改页属性方法2:修改CR0寄存器实 ...
Windows驱动开发学习笔记（六）—— Inline HOOK
Windows驱动开发学习笔记(六)-- Inline HOOK SSDT HOOK Inline Hook 挂钩执行流程脱钩实验一:3环 Inline Hook 实验二:0环 Inline H ...
Windows驱动开发学习笔记（四）—— 3环与0环通信（常规方式）
Windows驱动开发学习笔记(四)-- 3环与0环通信(常规方式) 设备对象创建设备对象设置数据交互方式创建符号链接 IRP与派遣函数 IRP的类型其它类型的IRP 派遣函数派遣函数注册位 ...
Windows驱动开发学习笔记（一）—— 环境配置第一个驱动程序
Windows驱动开发学习笔记(一)-- 环境配置&第一个驱动程序环境配置第一个驱动程序环境配置安装VS2010:https://pan.baidu.com/s/1uZWWxCtB60 ...
Android深度探索(卷1)HAL与驱动开发学习笔记（8）
Android深度探索(卷1)HAL与驱动开发学习笔记(8) 第八章蜂鸣器驱动 L i n u x驱动的代码重用有很多种方法.可以采用标准C程序的方式.将要重用的代码放在其他的文件(在头文件中声 ...
Polyworks脚本开发学习笔记(三)-TREEVIEW进阶操作
Polyworks脚本开发学习笔记(三)-TREEVIEW进阶操作移动/交换对象的顺序移动对象的顺序 TREEVIEW FEATURE MOVE ( 1,2 ) 将索引号为1和2的特征交换位置 T ...
windows驱动开发学习
序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都以英文为主,这样让很多驱动初学者很头疼.本人从事驱动开发时间不长也不短, ...

Windows驱动开发学习笔记（三）—— 内核空间内核模块

Windows驱动开发学习笔记（三）—— 内核空间&内核模块

内核空间

实验

第一步：编译如下代码

第二步：将 .sys 文件拷贝到虚拟机中

第三步：部署 .sys 文件并运行

第四步：创建一个任意进程

第五步：在 WinDbg 中查看新进程的高2G内存

内核模块

驱动对象

DRIVER_OBJECT

LDR_DATA_TABLE_ENTRY

实验

第一步：编译如下代码

第二步：将 .sys 文件拷贝到虚拟机中

第三步：部署 .sys 文件并运行

第四步：在 WinDbg 中查看驱动对象

第五步：通过双向链表查看其它模块的信息

总结

Windows驱动开发学习笔记（三）—— 内核空间内核模块相关推荐

最新文章

热门文章