[讨论]驱动加入code_seg("INIT")出现蓝屏,问题出自《windows驱动开发技术详解》-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]驱动加入code_seg("INIT")出现蓝屏,问题出自《windows驱动开发技术详解》

发表于: 2010-5-13 01:55 14098

[讨论]驱动加入code_seg("INIT")出现蓝屏,问题出自《windows驱动开发技术详解》

chaohuang

2010-5-13 01:55

14098

DeviceExtension:
8207fea8 8207fdf0 00280026 f8a77150 001a0018
8207feb8 f8a77130 00000000 0000000d 8207fdf0

DriverEntry结束后8207feb8空间被释放,驱动卸载时调用IoDeleteSymbolicLink函数蓝屏,如果将code_seg("INIT")去掉可正常,启动/停止。

驱动源码来自《windows驱动开发技术详解》,诧异的是在网上查询没找到该问题的答案然道都能正常运行?

源码如下:

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

/************************************************************************
* 文件名称:Driver.cpp                                                 
* 作    者:张帆
* 完成日期:2007-11-1
*************************************************************************/
 
#include "Driver.h"
 
/************************************************************************
* 函数名称:DriverEntry
* 功能描述:初始化驱动程序，定位和申请硬件资源，创建内核对象
* 参数列表:
      pDriverObject:从I/O管理器中传进来的驱动对象
      pRegistryPath:驱动程序在注册表的中的路径
* 返回 值:返回初始化驱动状态
*************************************************************************/
#pragma INITCODE
extern "C" NTSTATUS DriverEntry (
            IN PDRIVER_OBJECT pDriverObject,
            IN PUNICODE_STRING pRegistryPath    ) 
{
    NTSTATUS status;
    KdPrint(("Enter DriverEntry\n"));
 
    //注册其他驱动调用函数入口
    pDriverObject->DriverUnload = HelloDDKUnload;
    pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
    pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine;
    pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine;
    pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKDispatchRoutine;
     
    //创建驱动设备对象
    status = CreateDevice(pDriverObject);
 
    KdPrint(("DriverEntry end\n"));
    return status;
}
 
/************************************************************************
* 函数名称:CreateDevice
* 功能描述:初始化设备对象
* 参数列表:
      pDriverObject:从I/O管理器中传进来的驱动对象
* 返回 值:返回初始化状态
*************************************************************************/
#pragma INITCODE
extern "C" NTSTATUS CreateDevice (
        IN PDRIVER_OBJECT   pDriverObject) 
{
    NTSTATUS status;
    PDEVICE_OBJECT pDevObj;
    PDEVICE_EXTENSION pDevExt;
     
    //创建设备名称
    UNICODE_STRING devName;
    RtlInitUnicodeString(&devName,L"\\Device\\MyDDKDevice");
     
    //创建设备
    status = IoCreateDevice( pDriverObject,
                        sizeof(DEVICE_EXTENSION),
                        &(UNICODE_STRING)devName,
                        FILE_DEVICE_UNKNOWN,
                        0, TRUE,
                        &pDevObj );
    if (!NT_SUCCESS(status))
        return status;
 
    pDevObj->Flags |= DO_BUFFERED_IO;
    pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
    pDevExt->pDevice = pDevObj;
    pDevExt->ustrDeviceName = devName;
    //创建符号链接
    UNICODE_STRING symLinkName;
    RtlInitUnicodeString(&symLinkName,L"\\??\\HelloDDK");
    pDevExt->ustrSymLinkName = symLinkName;
    status = IoCreateSymbolicLink( &symLinkName,&devName );
    if (!NT_SUCCESS(status)) 
    {
        IoDeleteDevice( pDevObj );
        return status;
    }
    return STATUS_SUCCESS;
}
 
/************************************************************************
* 函数名称:HelloDDKUnload
* 功能描述:负责驱动程序的卸载操作
* 参数列表:
      pDriverObject:驱动对象
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject) 
{
    PDEVICE_OBJECT  pNextObj;
    KdPrint(("Enter DriverUnload\n"));
    pNextObj = pDriverObject->DeviceObject;
    while (pNextObj != NULL) 
    {
        PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)
            pNextObj->DeviceExtension;
 
        //删除符号链接
        UNICODE_STRING pLinkName = pDevExt->ustrSymLinkName;
        IoDeleteSymbolicLink(&pLinkName);
        pNextObj = pNextObj->NextDevice;
        IoDeleteDevice( pDevExt->pDevice );
    }
}
 
/************************************************************************
* 函数名称:HelloDDKDispatchRoutine
* 功能描述:对读IRP进行处理
* 参数列表:
      pDevObj:功能设备对象
      pIrp:从IO请求包
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
                                 IN PIRP pIrp) 
{
    KdPrint(("Enter HelloDDKDispatchRoutine\n"));
    NTSTATUS status = STATUS_SUCCESS;
    // 完成IRP
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0;  // bytes xfered
    IoCompleteRequest( pIrp, IO_NO_INCREMENT );
    KdPrint(("Leave HelloDDKDispatchRoutine\n"));
    return status;
}

/************************************************************************
* 文件名称:Driver.h                                                 
* 作    者:张帆
* 完成日期:2007-11-1
*************************************************************************/
#pragma once
 
#ifdef __cplusplus
extern "C"
{
#endif
#include <NTDDK.h>
#ifdef __cplusplus
}
#endif 
 
#define PAGEDCODE code_seg("PAGE")
#define LOCKEDCODE code_seg()
#define INITCODE code_seg("INIT")
 
#define PAGEDDATA data_seg("PAGE")
#define LOCKEDDATA data_seg()
#define INITDATA data_seg("INIT")
 
#define arraysize(p) (sizeof(p)/sizeof((p)[0]))
 
typedef struct _DEVICE_EXTENSION {
    PDEVICE_OBJECT pDevice;
    UNICODE_STRING ustrDeviceName;  //设备名称
    UNICODE_STRING ustrSymLinkName; //符号链接名
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;
 
// 函数声明
 
extern "C" NTSTATUS CreateDevice (IN PDRIVER_OBJECT pDriverObject);
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject);
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
                                 IN PIRP pIrp);

[注意]看雪招聘，专注安全领域的专业人才平台！

#系统底层

收藏・4

免费

支持

最新回复 (6)
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2 楼呵呵，我早就遇到过了，原因好像是字符串放在INIT节中，卸载时却被换出内存了。不过现在好像无法重现了。 2010-5-13 10:30 0
金罡雪币： 3313 活跃值： (2083) 能力值： ( LV10，RANK：170 ) 在线值：发帖 15 回帖 374 粉丝 217 关注私信	金罡 3 3 楼我也正在学习《windows驱动开发技术详解》,驱动卸载时会蓝。。搞得我莫明其妙 2010-5-17 09:38 0
gmay 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	gmay 4 楼的确是这样，要把CreateDevice函数的#pragma INITCODE改为#pragma PAGEDCODE，我问过作者，也没有给明确的答复。 2010-6-18 16:36 0
gotiger 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 54 粉丝 0 关注私信	gotiger 5 楼看代码应该是驱动向导生成的。有的东西可以直接删去。 2010-6-18 18:16 0
njxxdx 雪币： 133 活跃值： (622) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 6 楼字符串编译在INIT节中看下PE文件就知道了 2010-6-20 13:10 0
bitcof 雪币： 220 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	bitcof 7 楼我在Virtual PC 2007 SP1 + Win2000ProSP4 环境下试了一下加载和卸载没有任何问题啊，我是直接用DDK提供的编译环境编译的HelloDDK.sys 不知楼主的测试环境是怎么样的，是不是跟操作系统版本有关？ 2010-6-20 15:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chaohuang

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2 楼呵呵，我早就遇到过了，原因好像是字符串放在INIT节中，卸载时却被换出内存了。不过现在好像无法重现了。 2010-5-13 10:30 0
金罡雪币： 3313 活跃值： (2083) 能力值： ( LV10，RANK：170 ) 在线值：发帖 15 回帖 374 粉丝 217 关注私信	金罡 3 3 楼我也正在学习《windows驱动开发技术详解》,驱动卸载时会蓝。。搞得我莫明其妙 2010-5-17 09:38 0
gmay 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	gmay 4 楼的确是这样，要把CreateDevice函数的#pragma INITCODE改为#pragma PAGEDCODE，我问过作者，也没有给明确的答复。 2010-6-18 16:36 0
gotiger 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 54 粉丝 0 关注私信	gotiger 5 楼看代码应该是驱动向导生成的。有的东西可以直接删去。 2010-6-18 18:16 0
njxxdx 雪币： 133 活跃值： (622) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 6 楼字符串编译在INIT节中看下PE文件就知道了 2010-6-20 13:10 0
bitcof 雪币： 220 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	bitcof 7 楼我在Virtual PC 2007 SP1 + Win2000ProSP4 环境下试了一下加载和卸载没有任何问题啊，我是直接用DDK提供的编译环境编译的HelloDDK.sys 不知楼主的测试环境是怎么样的，是不是跟操作系统版本有关？ 2010-6-20 15:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]驱动加入code_seg("INIT")出现蓝屏,问题出自《windows驱动开发技术详解》

账号登录 验证码登录

账号登录

验证码登录