原文发表于百度空间，2009-07-14
==========================================================================

标准的驱动与ring3的通信过程是这样的：
驱动中创建设备，并为设备创建符号链接，ring3用CreateFile打开符号链接得到设备句柄，然后DeviceIoControl发送ControlCode
DeviceIoControl的内容被封装成IRP到达Device，Device其所属Driver的对应派遣例程对IRP进行处理，处理完后IoCompleteRequest完成该IRP最后返回到ring3.
如果有必要的话，还得用Event进行一下同步~

如果没有Device(甚至还可能没有DriverObject)，这一切该如何进行？
道理其实是很简单的，我们不要拘泥于某些固定的东西不变，来好好想一想。
先扯点通信的东西。通信，就是把信息从发信者传送到收信者的过程，信息传输的通道就是信道。
我们的目标是把信息从ring3传递到驱动中去,上面的标准通信过程，其实只不过是相当于我们自己建立了一个标准信道
没有Device，只是说不能用标准信道来通信了，但是还可以有别的通信方法，只要我们能把信息从ring3传递给驱动，任何方法都可以~~
我来随便说几种吧：

一、共享内存+Event
ring3用CreateFileMapping创建一块命名的共享内存,还有一个事件对象，ring0中获取相应的对象，共享内存中的内容事先定好格式，比如哪里是ControlCode，哪里是InputLength,哪里是OutputLength，哪里是InputBuffer，哪里是OutputBuffer，构成一个简单的协议包，这其实相当于一个变形的IRP结构~~当需要通信的时候，ring3将相应的内容写入共享内存，然后设置Event通知驱动，驱动收到后就可以从共享内存中取到ControlCode,InputLen,InputBuffer等等信息，进行相应处理就可以了，处理完后再以Event通知ring3，ring3就可以从OutputBuffer中获取处理结果了，不过这里没有考虑异步模式，一般自己的驱动也很少用异步~

二、Hook IopXxxControlFile
NtDeviceIoControlFile直接调用IopXxxControlFile进行处理，很容易Hook(Call替换方式hook最好，安全)，也没有SSDT Hook那么扎眼。Hook该函数最大的好处是你仍然可以使用标准的DeviceIoControl来发送ControlCode和驱动通信.Hook成功后，可以打开任意一个Device，比如Beep，，然后就可以用DeviceIoControl发送ControlCode了，当然ControlCode得有点特殊标记(比如某个特殊标志位)，总之你得能认出来这是你的ring3 App发来的ControlCode就行,然后Hook函数中如果是自己的ControlCode就进行相应处理，否则调用原始函数让系统处理去吧。或者自己使用一个特殊的无效句柄(但是要保证能通过检查到达ring0)来发DeviceIoControl，驱动中检查此句柄是否是某特殊值，是则认为是自已人发的ControlCode，进行处理就OK了。

稍微变形一点，直接Hook掉Beep的IRP_MJ_DEVICE_CONTROL派遣例程，然后ring3直接打开Beep用DeviceIoControl发ControlCode就行了~~

三、Hook NativeAPI
先举两个例子:
HideToolz没有Device,是使用ZwTerminateProcess来通信的~
某游戏的驱动用ZwQueryVirtualMemory来通信~~
不需要说什么了吧？NativeAPI都要经过syscall进入ring0，然后可能继续到达某些XX位置，只要在适当的位置拦截一下取走自己的信息就行了~
其实只要能把信息传递给驱动，很多API都可以(当然纯ring3实现的API不行哦)

方法还有好多好多，标准方法就那么一两种，但是非标准的方法有多少种？尽情发挥想像吧~~