-
-
[原创]扫盲贴,HOOK SSDT 短文一篇。
-
发表于: 2008-12-6 23:01
-
//author:梧桐
//转载请注明出处
------------------------很不华丽的分割线------------------------------------------------------
本文章仅供那些在驱动开发门外徘徊的程序爱好者参考和学习,大牛就绕过吧,
如有错误的地方,还请多多指出,不胜感激。
------------------------很不华丽的分割线------------------------------------------------------
对于Driver 一词儿,我想大家都不陌生,它是工作在ring0下的,正是因为如此,它不不能够快速上手的,更多的时候你要熟悉它的技术资料和接口,还要熟悉底层工作的原理,一不小心搞个BSOD,那是会非常郁闷的。
好了,现在让我们步入正题,首先确认你已经安装好了DDK(学习驱动开发,推荐WINXP DDK 2600、 Windows XP, VS2003),配置好了你的开发环境(DDK Wizard),在VS20003里添加WINDDK路径。
打开VS2003,Tools选项,选取 Options(如下图):
然后,我们找到 Projects(工程),选取VC++ Directories,添加WINDDK路径:
配置好这些环境以后,我们开始与驱动的亲密接触吧。
先来建立一个驱动的工程:
那些默认的选项,全部取消掉:
接着点 Finish ,删除 Header Files、Resource Files,此时,DDK Wizard 已经为我们建立了一套Driver模板了,但细看,是不是感觉非常非常的乱?
OK,我们把它K掉,现在我们自己来打造一个简单的入口点。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | #include "ntddk.h"//UnloadVOID UnLoad(IN PDRIVER_OBJECT DriverObject){ DbgPrint("UnLoad Driver.\n");}//EntryPoint.NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath){ DriverObject->DriverUnload = UnLoad; //TODO return STATUS_SUCCESS;} |
1 2 3 4 5 6 7 | typedef struct ServiceDescriptorEntry{ unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase; //Used only in checked build unsigned int NumberOfServices; unsigned char *ParamTableBase;} SSDTEntry; |
1 2 3 4 | ZwTerminateProcess( IN HANDLE ProcessHandle OPTIONAL, IN NTSTATUS ExitStatus ); |
1 2 3 4 | typedef NTSTATUS(*_ZwTerminateProcess)( IN HANDLE ProcessHandle OPTIONAL, IN NTSTATUS ExitStatus ); |
1 | #define GetSystemFunc(FuncName) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)FuncName+1)]; |
1 | PMDL MDLSystemCall; |
1 | PVOID *MappedSCT; |
|
|
|---|---|
|
|
|
|
|
不太懂收藏了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
LZ在线的吧...我需要和你联系...极需要的那种...可否请你查看一下...邮件...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 感觉这篇好像发错地方了。。
|
|
|
|
|
|
|
|
|
 收藏了,好东西,谢谢LZ!
|
|
|
|
|
|
这么好的文章,为什么才发现哦~~`
太失败了~~~ 
|
|
|
|
|
|
google搜索一下,还是比较多的。
|
|
|
|
|
|
|
