[原创]汇编写驱动——光速入门-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

[原创]汇编写驱动——光速入门

发表于: 2011-3-18 16:51 20833

[原创]汇编写驱动——光速入门

yangbostar 活跃值

2011-3-18 16:51

20833

用汇编写windows驱动非常简单，只要有汇编基础和用C写驱动的能力即可。有了这两样基础，我们距离用汇编写驱动，只剩下一层窗户纸，一戳就破。

一、准备软件：Radasm
为了快速入门，好的IDE是降低入门难度的有效手段。Radasm是我最为钟爱的一款软件，第一次使用过它，我就果断地将masm32删除了。
RadASM是一款著名的WIN32汇编编辑器，精通win32汇编的人对它应该不会陌生。支持MASM、TASM等多种汇编编译器，提供优秀的IDE，自带一个资源编辑器和一个调试器（OD）。拥有较强的工程管理功能，加之众多插件的支持，使得它用汇编语言编写Windows软件变得得心应手。

二、认识KmdKit
之所以能用Radasm编写驱动，就是因为它整合了KmdKit，它是由俄国人开发的，KmdKit的全称是Kernel Mode Driver development Kit for assembly language programmers，即内核模式驱动程序汇编开发包，KmdKit中包括了用宏汇编编译器开发驱动程序需要用到的所有东西。你也可以从49bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6S2M7$3#2Q4x3X3g2J5N6g2)9J5c8W2!0q4y4W2)9^5z5q4)9&6y4W2!0q4z5q4)9^5x3q4)9^5y4h3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3M7X3g2W2N6$3g2T1M7#2)9J5k6h3y4G2L8g2)9J5c8X3k6G2N6i4u0Q4x3X3c8X3i4K6u0r3i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1$3i4K6W2o6i4K6R3H3i4@1f1$3i4K6V1$3i4@1t1H3i4@1f1%4i4K6R3&6i4K6R3^5i4@1f1$3i4K6W2o6i4@1q4o6i4@1f1%4i4K6W2m8i4K6R3@1d9$3#2V1d9$3W2@1i4@1f1K6i4K6R3H3i4K6R3J5

三、汇编写驱动的基本框架

.386
.model flat, stdcall
option casemap:none

.data

.code
;;;DriverEntry这个入口函数还是老样子
DriverEntry proc pDriverObject:PDRIVER_OBJECT,pusRegistryPath:PUNICODE_STRING

      ret

DriverEntry endp

end DriverEntry  ;;;这里和用户模式有点不同

四、可供使用的系统调用库
KmdKit开发包提供的inc和lib库文件都分别保存在“w2k”“wnet”和“wxp”三个的文件夹里，其大部分内容都在w2K里。对应的，Radasm也在masm32文件夹中的Include和Lib文件夹里，也分别保存了这三个文件夹。

另外，有一个特别值得注意的问题，当Radasm引用以上三个文件夹里lib文件时，要使用绝对路径，为什么必须要这样我也不清楚，如果有明白这个问题的朋友，也请你告诉我。
五、示例
.386
.model flat, stdcall
option casemap:none

include w2k\ntddk.inc
include w2k\ntoskrnl.inc
includelib D:\RadASM\masm32\lib\w2k\ntoskrnl.lib ;;请填写自己的绝对路径
.data
Hello_Str db 'Hello,world',0
Unload_Str db "Driver has been unloaded",0
.code

DriverEntry proc pDriverObject:PDRIVER_OBJECT,pusRegistryPath:PUNICODE_STRING
push offset Hello_Str
call DbgPrint
add  esp,4

mov  eax,pDriverObject
mov [eax+34H],offset DriverUnloadProc ;;xp里pDriverObject.DriverUnload
mov eax,STATUS_SUCCESS
ret

DriverEntry endp

DriverUnloadProc proc  DriverObject:PDRIVER_OBJECT
push offset Unload_Str
call DbgPrint
add  esp,4
ret
DriverUnloadProc endp
end DriverEntry

登录后可查看完整内容

[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦！！！

收藏・27

免费・7

支持

最新回复 (14)
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2 楼跟着你学习。。。谢谢分享。 2011-3-18 16:54 0
lnheart 雪币： 777 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	lnheart 3 楼关注。我还在学8086汇编额。 2011-3-18 17:23 0
房有亮雪币： 773 活跃值： (447) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 24 关注私信	房有亮 3 4 楼 pop [eax+34H] ;;xp里pDriverObject.DriverUnload +0x034 DriverUnload : Ptr32 void pop 这个地址是什么意思，能说下不分析了下编写的驱动一般正常为mov dword ptr [eax+34h], offset DriverUnload 2011-3-18 19:42 0
dustno 雪币： 1233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	dustno 5 楼有关必须使用绝对地址的问题，应该是没有配置环境变量的缘故。以下是批处理设置环境变量： ------------------------------------------------------------------------------------- set include=d:\masm32\include set lib=d:\masm32\lib set path=d:\masm32\bin;%path% ------------------------------------------------------------------------------------- 2011-3-18 19:54 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼不错，学习：） 2011-3-18 20:15 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 7 楼谢谢，你的帮助。 2011-3-18 20:19 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 8 楼 [QUOTE=房有亮;937560]pop [eax+34H] ;;xp里pDriverObject.DriverUnload +0x034 DriverUnload : Ptr32 void pop 这个地址是什么意思，能说下不分析了下编写的驱动一般正常为mov dword ptr [eax+3...[/QUOTE] 惭愧，你说的对，这个确实是我代码书写习惯不好,我已经改正，谢谢 2011-3-18 20:21 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 9 楼一些收集的汇编驱动文档~希望有用罗云彬翻译的前7章(貌似从aogo站上收集回来的) 附件中的zip文件。第8章共享section通讯 bbs.pediy.com/upload/2005/10/files/kmdtut_8.rar KMDTut第9章共享内存, bbs.pediy.com/upload/2005/10/files/kmdtut_09.rar KMDTut第10章注册表: bbs.pediy.com/upload/2005/10/files/kmdtut_10.rar 上传的附件： kmdtutcn.zip （255.26kb，135次下载） 2011-3-18 23:50 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 10 楼感谢啊，我收着了。哎，现在汇编驱动的资料太少了。 2011-3-19 08:53 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 11 楼试了一下，貌似不好使 2011-3-22 21:50 0
hzmforce 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 143 粉丝 0 关注私信	hzmforce 12 楼学习了……谢谢 2011-3-23 08:13 0
driverox 雪币： 199 活跃值： (17) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 77 粉丝 2 关注私信	driverox 2 13 楼用汇编写东西，总有一种不同其它编程语言的成就感 2011-3-23 09:22 0
坏坏abc 雪币： 218 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	坏坏abc 1 14 楼没有别的意思，诚心想问一下为什么驱动不用c写，用汇编搞得这么纠结图啥？ 2011-3-25 12:27 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 15 楼汇编的优势在于，比C语言更适合做一些邪恶的事情，你懂的。 2011-3-25 12:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yangbostar

发帖

139

回帖

230

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2 楼跟着你学习。。。谢谢分享。 2011-3-18 16:54 0
lnheart 雪币： 777 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	lnheart 3 楼关注。我还在学8086汇编额。 2011-3-18 17:23 0
房有亮雪币： 773 活跃值： (447) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 24 关注私信	房有亮 3 4 楼 pop [eax+34H] ;;xp里pDriverObject.DriverUnload +0x034 DriverUnload : Ptr32 void pop 这个地址是什么意思，能说下不分析了下编写的驱动一般正常为mov dword ptr [eax+34h], offset DriverUnload 2011-3-18 19:42 0
dustno 雪币： 1233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	dustno 5 楼有关必须使用绝对地址的问题，应该是没有配置环境变量的缘故。以下是批处理设置环境变量： ------------------------------------------------------------------------------------- set include=d:\masm32\include set lib=d:\masm32\lib set path=d:\masm32\bin;%path% ------------------------------------------------------------------------------------- 2011-3-18 19:54 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼不错，学习：） 2011-3-18 20:15 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 7 楼谢谢，你的帮助。 2011-3-18 20:19 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 8 楼 [QUOTE=房有亮;937560]pop [eax+34H] ;;xp里pDriverObject.DriverUnload +0x034 DriverUnload : Ptr32 void pop 这个地址是什么意思，能说下不分析了下编写的驱动一般正常为mov dword ptr [eax+3...[/QUOTE] 惭愧，你说的对，这个确实是我代码书写习惯不好,我已经改正，谢谢 2011-3-18 20:21 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 9 楼一些收集的汇编驱动文档~希望有用罗云彬翻译的前7章(貌似从aogo站上收集回来的) 附件中的zip文件。第8章共享section通讯 bbs.pediy.com/upload/2005/10/files/kmdtut_8.rar KMDTut第9章共享内存, bbs.pediy.com/upload/2005/10/files/kmdtut_09.rar KMDTut第10章注册表: bbs.pediy.com/upload/2005/10/files/kmdtut_10.rar 上传的附件： kmdtutcn.zip （255.26kb，135次下载） 2011-3-18 23:50 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 10 楼感谢啊，我收着了。哎，现在汇编驱动的资料太少了。 2011-3-19 08:53 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 11 楼试了一下，貌似不好使 2011-3-22 21:50 0
hzmforce 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 143 粉丝 0 关注私信	hzmforce 12 楼学习了……谢谢 2011-3-23 08:13 0
driverox 雪币： 199 活跃值： (17) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 77 粉丝 2 关注私信	driverox 2 13 楼用汇编写东西，总有一种不同其它编程语言的成就感 2011-3-23 09:22 0
坏坏abc 雪币： 218 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	坏坏abc 1 14 楼没有别的意思，诚心想问一下为什么驱动不用c写，用汇编搞得这么纠结图啥？ 2011-3-25 12:27 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 13 关注私信	yangbostar 4 15 楼汇编的优势在于，比C语言更适合做一些邪恶的事情，你懂的。 2011-3-25 12:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复