[求助]驱动通信-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼驱动那边可不可以使用s.pid 和s.name啊？我看是驱动和ring3下是公用内存空间，irp->AssociatedIrp.SystemBuffer取出来的是不是结构struct buffer s; 对通信不是很懂啊 2009-6-10 17:36 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼 struct buffer { ULONG addr; //进程对象指针,指向EPROCESS ULONG pid; //进程PID UCHAR name[16]; //进程名 UCHAR Path[256]; //进程全路径 ULONG flag; //进程隐藏标志，1表示隐藏，否则为0 }; r3定义下面的结构，r0往里面塞数据，然后发送出去这个buffer 谁给段参考代码，或者思路？ 2009-6-10 17:52 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 4 楼是结构，个人见解不一定对。《windows驱动开发技术详解》书上所说的三种通信方式也许对你有帮助 2009-6-10 18:24 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼困扰我好久的问题啊 2009-6-10 19:38 0
asmfly 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	asmfly 6 楼看%WINDDK%\src\general\ioctl\sys\sioctl.c里的例子啦，4种通信方式，我觉得驱动里可以也定义下这个结构，然后Irp->AssociatedIrp.SystemBuffer就是传过来的这个结构的指针了 2009-6-11 01:30 0
yellowzzp 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	yellowzzp 7 楼应用层和驱动层引用同一个.h文件定义这些公共的数据结构然后驱动接到转换一下就可以了毕竟传输的都是二进制。结构仅仅是表现形式。不过这种方法用来通信的话效率很低。建议用共享内存然后用内核事件来通知取数据。 2009-6-12 09:42 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 8 楼 typedef struct tagProcInfo { DWORD dwPId; char name[16]; } PROC_INFO, *LPPROC_INFO; #define PROC_INFO_LEN sizeof (PROC_INFO) PROC_INFO piInfo = {0} ; DWORD dwCode = ??? ; // Init it. DWORD dwRet = 0 ; HANDLE hDevice = ??? ; DeviceIoControl (hDevice, dwCode , NULL, 0, piInfo, PROC_INFO_LEN, &dwRet, NULL) ; 最好使用 METHOD_BUFFERED 方式。 2009-6-12 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼驱动那边可不可以使用s.pid 和s.name啊？我看是驱动和ring3下是公用内存空间，irp->AssociatedIrp.SystemBuffer取出来的是不是结构struct buffer s; 对通信不是很懂啊 2009-6-10 17:36 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼 struct buffer { ULONG addr; //进程对象指针,指向EPROCESS ULONG pid; //进程PID UCHAR name[16]; //进程名 UCHAR Path[256]; //进程全路径 ULONG flag; //进程隐藏标志，1表示隐藏，否则为0 }; r3定义下面的结构，r0往里面塞数据，然后发送出去这个buffer 谁给段参考代码，或者思路？ 2009-6-10 17:52 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 4 楼是结构，个人见解不一定对。《windows驱动开发技术详解》书上所说的三种通信方式也许对你有帮助 2009-6-10 18:24 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼困扰我好久的问题啊 2009-6-10 19:38 0
asmfly 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	asmfly 6 楼看%WINDDK%\src\general\ioctl\sys\sioctl.c里的例子啦，4种通信方式，我觉得驱动里可以也定义下这个结构，然后Irp->AssociatedIrp.SystemBuffer就是传过来的这个结构的指针了 2009-6-11 01:30 0
yellowzzp 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	yellowzzp 7 楼应用层和驱动层引用同一个.h文件定义这些公共的数据结构然后驱动接到转换一下就可以了毕竟传输的都是二进制。结构仅仅是表现形式。不过这种方法用来通信的话效率很低。建议用共享内存然后用内核事件来通知取数据。 2009-6-12 09:42 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 8 楼 typedef struct tagProcInfo { DWORD dwPId; char name[16]; } PROC_INFO, *LPPROC_INFO; #define PROC_INFO_LEN sizeof (PROC_INFO) PROC_INFO piInfo = {0} ; DWORD dwCode = ??? ; // Init it. DWORD dwRet = 0 ; HANDLE hDevice = ??? ; DeviceIoControl (hDevice, dwCode , NULL, 0, piInfo, PROC_INFO_LEN, &dwRet, NULL) ; 最好使用 METHOD_BUFFERED 方式。 2009-6-12 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复