无Device的驱动如何通信(有机会实践一把)
2012-07-26 22:34
190 查看
标准的驱动与ring3的通信过程是这样的:
驱动中创建设备,并为设备创建符号链接,ring3用CreateFile打开符号链接得到设备句柄,然后DeviceIoControl发送ControlCode
DeviceIoControl的内容被封装成IRP到达Device,Device其所属Driver的对应派遣例程对IRP进行处理,处理完后IoCompleteRequest完成该IRP最后返回到ring3.
如果有必要的话,还得用Event进行一下同步~
如果没有Device(甚至还可能没有DriverObject),这一切该如何进行?
道理其实是很简单的,我们不要拘泥于某些固定的东西不变,来好好想一想。
先扯点通信的东西。通信,就是把信息从发信者传送到收信者的过程,信息传输的通道就是信道。
我们的目标是把信息从ring3传递到驱动中去,上面的标准通信过程,其实只不过是相当于我们自己建立了一个标准信道
没有Device,只是说不能用标准信道来通信了,但是还可以有别的通信方法,只要我们能把信息从ring3传递给驱动,任何方法都可以~~
我来随便说几种吧:
一、共享内存+Event
ring3用CreateFileMapping创建一块命名的共享内存,还有一个事件对象,ring0中获取相应的对象,共享内存中的内容事先定好格式,比如哪里是ControlCode,哪里是InputLength,哪里是OutputLength,哪里是InputBuffer,哪里是OutputBuffer,构成一个简单的协议包,这其实相当于一个变形的IRP结构~~当需要通信的时候,ring3将相应的内容写入共享内存,然后设置Event通知驱动,驱动收到后就可以从共享内存中取到ControlCode,InputLen,InputBuffer等等信息,进行相应处理就可以了,处理完后再以Event通知ring3,ring3就可以从OutputBuffer中获取处理结果了,不过这里没有考虑异步模式,一般自己的驱动也很少用异步~
二、Hook IopXxxControlFile
NtDeviceIoControlFile直接调用IopXxxControlFile进行处理,很容易Hook(Call替换方式hook最好,安全),也没有SSDT Hook那么扎眼。Hook该函数最大的好处是你仍然可以使用标准的DeviceIoControl来发送ControlCode和驱动通信.Hook成功后,可以打开任意一个Device,比如Beep,,然后就可以用DeviceIoControl发送ControlCode了,当然ControlCode得有点特殊标记(比如某个特殊标志位),总之你得能认出来这是你的ring3
App发来的ControlCode就行,然后Hook函数中如果是自己的ControlCode就进行相应处理,否则调用原始函数让系统处理去吧。或者自己使用一个特殊的无效句柄(但是要保证能通过检查到达ring0)来发DeviceIoControl,驱动中检查此句柄是否是某特殊值,是则认为是自已人发的ControlCode,进行处理就OK了。
稍微变形一点,直接Hook掉Beep的IRP_MJ_DEVICE_CONTROL派遣例程,然后ring3直接打开Beep用DeviceIoControl发ControlCode就行了~~
三、Hook NativeAPI
先举两个例子:
HideToolz没有Device,是使用ZwTerminateProcess来通信的~
某游戏的驱动用ZwQueryVirtualMemory来通信~~
不需要说什么了吧?NativeAPI都要经过syscall进入ring0,然后可能继续到达某些XX位置,只要在适当的位置拦截一下取走自己的信息就行了~
其实只要能把信息传递给驱动,很多API都可以(当然纯ring3实现的API不行哦)
方法还有好多好多,标准方法就那么一两种,但是非标准的方法有多少种?尽情发挥想像吧~~
驱动中创建设备,并为设备创建符号链接,ring3用CreateFile打开符号链接得到设备句柄,然后DeviceIoControl发送ControlCode
DeviceIoControl的内容被封装成IRP到达Device,Device其所属Driver的对应派遣例程对IRP进行处理,处理完后IoCompleteRequest完成该IRP最后返回到ring3.
如果有必要的话,还得用Event进行一下同步~
如果没有Device(甚至还可能没有DriverObject),这一切该如何进行?
道理其实是很简单的,我们不要拘泥于某些固定的东西不变,来好好想一想。
先扯点通信的东西。通信,就是把信息从发信者传送到收信者的过程,信息传输的通道就是信道。
我们的目标是把信息从ring3传递到驱动中去,上面的标准通信过程,其实只不过是相当于我们自己建立了一个标准信道
没有Device,只是说不能用标准信道来通信了,但是还可以有别的通信方法,只要我们能把信息从ring3传递给驱动,任何方法都可以~~
我来随便说几种吧:
一、共享内存+Event
ring3用CreateFileMapping创建一块命名的共享内存,还有一个事件对象,ring0中获取相应的对象,共享内存中的内容事先定好格式,比如哪里是ControlCode,哪里是InputLength,哪里是OutputLength,哪里是InputBuffer,哪里是OutputBuffer,构成一个简单的协议包,这其实相当于一个变形的IRP结构~~当需要通信的时候,ring3将相应的内容写入共享内存,然后设置Event通知驱动,驱动收到后就可以从共享内存中取到ControlCode,InputLen,InputBuffer等等信息,进行相应处理就可以了,处理完后再以Event通知ring3,ring3就可以从OutputBuffer中获取处理结果了,不过这里没有考虑异步模式,一般自己的驱动也很少用异步~
二、Hook IopXxxControlFile
NtDeviceIoControlFile直接调用IopXxxControlFile进行处理,很容易Hook(Call替换方式hook最好,安全),也没有SSDT Hook那么扎眼。Hook该函数最大的好处是你仍然可以使用标准的DeviceIoControl来发送ControlCode和驱动通信.Hook成功后,可以打开任意一个Device,比如Beep,,然后就可以用DeviceIoControl发送ControlCode了,当然ControlCode得有点特殊标记(比如某个特殊标志位),总之你得能认出来这是你的ring3
App发来的ControlCode就行,然后Hook函数中如果是自己的ControlCode就进行相应处理,否则调用原始函数让系统处理去吧。或者自己使用一个特殊的无效句柄(但是要保证能通过检查到达ring0)来发DeviceIoControl,驱动中检查此句柄是否是某特殊值,是则认为是自已人发的ControlCode,进行处理就OK了。
稍微变形一点,直接Hook掉Beep的IRP_MJ_DEVICE_CONTROL派遣例程,然后ring3直接打开Beep用DeviceIoControl发ControlCode就行了~~
三、Hook NativeAPI
先举两个例子:
HideToolz没有Device,是使用ZwTerminateProcess来通信的~
某游戏的驱动用ZwQueryVirtualMemory来通信~~
不需要说什么了吧?NativeAPI都要经过syscall进入ring0,然后可能继续到达某些XX位置,只要在适当的位置拦截一下取走自己的信息就行了~
其实只要能把信息传递给驱动,很多API都可以(当然纯ring3实现的API不行哦)
方法还有好多好多,标准方法就那么一两种,但是非标准的方法有多少种?尽情发挥想像吧~~
相关文章推荐
- 无Device的驱动如何通信
- 实践SOA 银行如何在重用服务上找机会
- 路由器配置实践 教你如何在Linux中三台主机两个网段互相通信
- 领域驱动开发实践之路:我们是如何从领域驱动开发当中获益的
- (DT系列四)驱动加载中, 如何取得device tree中的属性
- DDD领域驱动设计实践篇之如何提取模型
- (DT系列四)驱动加载中, 如何取得device tree中的属性
- 使用 JET 在 Eclipse 中创建更多更好的代码,如何掌握专家的最佳实践并提高您的模型驱动开发进度
- 网络驱动和网卡如何通信
- How to load our device drivers 如何装载我们的设备驱动
- (转)eCos驱动分析 之 device安装实例化以及lookup等操作 和 nios uart安装与lookup特别分析实践
- 如何领域驱动设计?-实践感悟&总结分享
- DT系列四)驱动加载中, 如何取得device tree中的属性
- (DT系列四)驱动加载中, 如何取得device tree中的属性
- (DT系列四)驱动加载中, 如何取得device tree中的属性
- (DT系列四)驱动加载中, 如何取得device tree中的属性
- (DT系列四)驱动加载中, 如何取得device tree中的属性
- 【转】(DT系列四)驱动加载中, 如何取得device tree中的属性
- (DT系列四)驱动加载中, 如何取得device tree中的属性
- 如何编写nand flash 驱动