-
-
[原创]编写软件动态加载NT式驱动
-
发表于: 2013-7-24 23:19
-
NT式设备驱动程序的动态加载主要是由服务控制管理程序(Service Control Manager,即SCM)系统组件来完成的。
Windwos服务可以在系统启动时加载,用户也可以按需在服务控制平台开启或者关闭服务。程序员可以通过Windows提供的相关服务函数进行加载或者卸载该服务等。服务程序更是可以在用户还没有登录系统的时候,就载入系统并且被执行。
加载NT驱动一般分为4个步骤:
1. 调用OpenSCManager打开SCM管理器;
2. 调用CreateService创建服务;如果存在则调用OpenService打开服务(可根据GetLastError判断);
3. 调用StartService开启服务;
4. 关闭句柄。
卸载NT驱动一般分为5个步骤:
1. 调用OpenSCManager打开SCM管理器;
2. 调用OpenService打开此项服务;
3. 调用ControlService传递SERVICE_CONTROL_STOP来停止服务
4. 调用DeleteService卸载此项服务;
5. 关闭句柄。
注意:DeleteService只是标记一下该项服务需要删除,只有停止了服务并且关闭了打开服务的句柄,改服务才会被正式卸载。
打开SCM管理器函数
SC_HANDLE WINAPI OpenSCManager(
__in LPCTSTR lpMachineName, //计算机名称
__in LPCTSTR lpDatabaseName, //SCM数据库名称
__in DWORD dwDesiredAccess //使用权限
);
说明
函数建立了一个连接到服务控制管理器,并打开指定的数据库。
参数
lpMachineName
指向零终止字符串,命名为目标计算机。如果该指针为NULL ,或者如果它指向一个空字符串,函数连接到服务控制管理器在本地计算机上。
lpDatabaseName
指向零终止字符串,名称的服务控制管理数据库,以开放。此字符串应指定ServicesActive 。如果该指针为NULL ,该ServicesActive数据库默认情况下打开。
dwDesiredAccess
指定服务的访问控制管理。才准予进入的要求,系统会检查访问令牌的调用进程对任意访问控制列表的安全描述符与服务控制管理器对象。访问类型的SC_MANAGER_CONNECT是含蓄地指明调用这个函数。此外,任何或所有下列服务控制管理器对象的访问类型可以指定:
SC_MANAGER_ALL_ACCESS
包括STANDARD_RIGHTS_REQUIRED ,除了所有类型的访问此表中列出。
SC_MANAGER_CONNECT
可以连接到服务控制管理器。
SC_MANAGER_CREATE_SERVICE
使要求的CreateService函数创建一个服务对象,并将其添加到数据库中。
SC_MANAGER_ENUMERATE_SERVICE
使要求的EnumServicesStatus功能清单的服务,这是在数据库中。
SC_MANAGER_LOCK
使要求的LockServiceDatabase功能获得锁定数据库。
SC_MANAGER_QUERY_LOCK_STATUS
使要求的QueryServiceLockStatus检索功能锁定状态信息的数据库。
返回值
如果函数成功,返回值是一个句柄指定的服务控制管理器数据库。如果函数失败,返回值为NULL 。要获得扩展错误信息,请使用GetLastError 获得错误代码。
关闭服务句柄
BOOL WINAPI CloseHandle(
__in HANDLE hObject //要关闭的句柄
);
hObjece
对象句柄,即使用OpenSCManager或者CreateService、OpenService返回的句柄。
创建服务
创建一个服务对象并且把它加入到服务管理数据库中。
[cpp] view plaincopy
SC_HANDLE WINAPI CreateService(
__in SC_HANDLE hSCManager, //SCM管理器的句柄
__in LPCTSTR lpServiceName, //服务名称
__in LPCTSTR lpDisplayName, //服务显示名称
__in DWORD dwDesiredAccess, //访问权限
__in DWORD dwServiceType, //服务类型
__in DWORD dwStartType, //启动类型
__in DWORD dwErrorControl, //关于错误处理的代码
__in LPCTSTR lpBinaryPathName, //二进制文件的代码
__in LPCTSTR lpLoadOrderGroup, //在加载顺序此服务所属的组的名称
__out LPDWORD lpdwTagId, //输出验证标签
__in LPCTSTR lpDependencies, //所依赖的服务名称
__in LPCTSTR lpServiceStartName, //用户账号名称
__in LPCTSTR lpPassword //用户口令
);
参数
hSCManager
服务控制管理器数据库的句柄。 此句柄由OpenSCManager函数返回,并且必须具有SC_MANAGER_CREATE_SERVICE 的访问权限。
lpServiceName
要安装该服务的名称。 最大字符串长度为 256 个字符。 服务控制管理器数据库将保留字符的大小写,但是服务名称比较总是区分大小写。 正斜杠和一个反斜线不是有效的服务名称字符。
lpDisplayName
对被用户界面程序用来识别服务的显示名称。 此字符串具有最大长度为 256 个字符。 服务控制管理器中的情况下保留名称。 显示名称比较总是不区分大小写。
dwDesiredAccess
对服务的访问权限。请求的访问之前,系统将检查调用进程的访问令牌。如果没有特殊要求,一般设置为SERVICE_ALL_ACCESS (0xF01FF)
dwServiceType
服务类型。一般选择以下两种:
SERVICE_FILE_SYSTEM_DRIVER
0x00000002
文件系统的驱动
SERVICE_KERNEL_DRIVER
0x00000001
普通程序的驱动,一般使用此项。
dwStartType
服务启动选项,亦即打开服务的时间,有以下几种选择:
SERVICE_AUTO_START
0x00000002
系统启动时由服务控制管理器自动启动该服务程序。
SERVICE_BOOT_START
0x00000000
用于由系统加载器创建的设备驱动程序。
只能用于驱动服务程序。
SERVICE_DEMAND_START
0x00000003
由服务控制管理器(SCM)启动的服务,即手动启动。
SERVICE_DISABLED
0x00000004
表示该服务不可启动。
SERVICE_SYSTEM_START
0x00000001
用于由IoInitSystem函数创建的设备驱动程序。
dwErrorControl
当该启动服务失败时产生错误的严重程度以及采取的保护措施。此参数可以是下列值之一:
SERVICE_ERROR_CRITICAL
0x00000003
服务启动程序将把该错误记录到事件日志中
SERVICE_ERROR_IGNORE
0x00000000
服务启动程序将忽略该错误并返回继续执行
SERVICE_ERROR_NORMAL
0x00000001
服务启动程序将把该错误记录到事件日志中并返回继续执行
SERVICE_ERROR_SEVERE
0x00000002
服务启动程序将把该错误记录到事件日志中。
否则将返回继续执行。
lpBinaryPathName
服务所用的二进制文件,也就是编译后的驱动程序。 如果路径中包含空格它必须被引用,以便它正确的解析。
例如"d:\myshare\myservice.exe"应指定为""d:\myshare\myservice.exe""。该路径也可以包含一个自动启动服务的参数。
例如"d:\myshare\myservice.exearg1 arg2"。 这些参数被传递给服务的入口点通常主要作用。
打开服务
此函数针对已经创建过的服务,再次打开此项服务。
SC_HANDLE WINAPI OpenService(
__in SC_HANDLE hSCManager, //SCM管理器的句柄
__in LPCTSTR lpServiceName, //服务名称
__in DWORD dwDesiredAccess //访问权限
hSCManager
SCM管理器的句柄,即OpenSCManager打开的句柄。
lpSeviceName
已经创建的服务名称。
dwDesiredAccess
访问权限。如果没有特殊情况,一般使用SERVICE_ALL_ACCESS(0xF01FF)
控制服务
发送一个控制码去指定的服务,根据不同的控制码操作服务。
BOOL WINAPI ControlService(
__in SC_HANDLE hService, //服务的句柄
__in DWORD dwControl, //发送的控制码
__out LPSERVICE_STATUS lpServiceStatus //接收之前的服务状态信息
);
hService
服务的句柄,即用CreateService创建或者使用OpenService打开的句柄。
dwControl
发送给服务的控制码,常用的有以下几种:
SERVICE_CONTROL_CONTINUE
0x00000003
针对暂停的服务发出继续运行的指令。
SERVICE_CONTROL_PAUSE
0x00000002
暂停正在运行中的服务。
SERVICE_CONTROL_STOP
0x00000001
停止正在运行的服务。
lpServiceStatus
用于接收之前的服务状态信息。
删除服务
标记删除一个指定的服务。
BOOL WINAPI DeleteService(
__in SC_HANDLE hService //服务句柄
);
注意:必须停止服务并且关闭服务句柄后,服务才会被删除。
完整代码
// LoadNtDriver.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include <Windows.h>
#include "string.h"
#include "locale.h"
BOOL LoadNTDriver(TCHAR * lpszDriverName,TCHAR * lpszDriverPath)
{
TCHAR szDriverPath[256] = {0};
_tprintf(_T("加载驱动...\n"));
//获取完整的驱动路径
GetFullPathName(lpszDriverPath,sizeof(szDriverPath)/sizeof(szDriverPath[0]),szDriverPath,NULL);
// _tprintf(szDriverPath);
SC_HANDLE hSCM = NULL;
SC_HANDLE hServie = NULL;
hSCM = OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);
if (!hSCM)
{
_tprintf(_T("OpenSCManger 失败!,错误代码:%d\n"),GetLastError());
return FALSE;
}
else
{
_tprintf(_T("OpenSCManger 成功!\n"));
hServie = CreateService(hSCM,
lpszDriverName, //服务的名称
lpszDriverName, //显示的名称DisplayName
SERVICE_ALL_ACCESS, //访问所有权
SERVICE_KERNEL_DRIVER, //表示加载的服务是驱动程序
SERVICE_DEMAND_START, //启动类型为手动启动
SERVICE_ERROR_IGNORE, //忽略错误
szDriverPath, //驱动文件名(保护路径),注册表中的ImagePath值
NULL,
NULL,
NULL,
NULL,
NULL);
if (!hServie)
{
_tprintf(_T("CreateService 失败!,错误代码:%d,尝试使用OpenService\n"),GetLastError());
hServie = OpenService(hSCM,lpszDriverName,SERVICE_ALL_ACCESS);
if (!hServie)
{
_tprintf(_T("OpenService 失败!,错误代码:%d\n"),GetLastError());
//清理
CloseServiceHandle(hSCM);
return FALSE;
}
else
{
_tprintf(_T("OpenService 成功!\n"));
}
}
else
_tprintf(_T("CreateService 成功!\n"));
//打开或创建服务成功后,开启服务
BOOL bRet = StartService(hServie,NULL,NULL);
if (!bRet)
{
_tprintf(_T("StartService 失败!,错误代码:%d\n"),GetLastError());
bRet = FALSE;
}
else
{
bRet = TRUE;
_tprintf(_T("加载驱动...成功!\n"));
}
//先关掉服务句柄,再关掉服务管理器句柄
if (hServie)
{
CloseServiceHandle(hServie);
}
if (hSCM)
{
CloseServiceHandle(hSCM);
}
return bRet;
} // hSCM
}
BOOL UnloadNTDriver(TCHAR * szSvrName)
{
SC_HANDLE hSCM = NULL; //SCManger
SC_HANDLE hService = NULL;
_tprintf(_T("卸载驱动...\n"));
hSCM = OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);
if (!hSCM) //打开失败
{
_tprintf(_T("OpenSCManger 失败!,错误代码:%d\n"),GetLastError());
return FALSE;
}
else
{
_tprintf(_T("OpenSCManager 成功!\n"));
hService = OpenService(hSCM,szSvrName,SERVICE_ALL_ACCESS);
if (!hService) //打开服务失败
{
_tprintf(_T("OpenService 失败,错误代码:%d\n"),GetLastError());
CloseServiceHandle(hSCM);
return FALSE;
}
else
{
_tprintf(_T("OpenService 成功!\n"));
SERVICE_STATUS SvrSta = {0};
//停止服务。停止服务后,服务才能完成卸载。
if (!ControlService(hService,SERVICE_CONTROL_STOP,&SvrSta))
{
_tprintf(_T("停止服务 失败,错误代码:%d\n"),GetLastError());
}
else
{
_tprintf(_T("停止服务 成功!\n"));
}
BOOL bRet = FALSE;
//动态卸载服务
bRet = DeleteService(hService);
if (!bRet)
{
//卸载失败
_tprintf(_T("DeleteService 失败,错误代码:%d\n"),GetLastError());
}
else
{
//卸载成功
_tprintf(_T("DeleteService 成功!\n"));
_tprintf(_T("卸载驱动...成功!\n"));
}
//清理
if (hService)
{
CloseServiceHandle(hService);
}
if (hSCM)
{
CloseServiceHandle(hSCM);
}
return bRet;
} // hService
}
}
int _tmain(int argc, _TCHAR* argv[])
{
TCHAR szDriverPath[256];
TCHAR szDriverName[25];
setlocale(LC_ALL, "chs");//需要实现本地化,以实现中文正常输出
_tcscpy_s(szDriverPath,sizeof(szDriverPath)/sizeof(szDriverPath[0]),_T("Driver.sys"));
_tcscpy_s(szDriverName,sizeof(szDriverPath)/sizeof(szDriverPath[0]),_T("TestDDK"));
BOOL bRet = LoadNTDriver(szDriverName,szDriverPath);
if (bRet)
{
printf("输入任意键来卸载驱动程序.\n");
getchar();
UnloadNTDriver(szDriverName);
}
else
_tprintf(_T("加载驱动...失败!\n"));
getchar();
return 0;
}
【结果】
加载:
卸载:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
