Есть задание: написать драйвер режима ядра и приложение (на Си), которое будет с ним взаимодействовать. Драйвер хукает три Zw-функции и если какой-либо процесс обращается ко всем трём, драйвер отправляет сообщение (PID этого процесса) приложению режима пользователя. Приложение выводит MessageBox c PID'ом и спрашивает разрешить процессу использовать Zw-функции или заблокировать. После выбора действия, приложение отправляет драйверу команду "разрешить/заблокировать". То есть это такое жалкое подобие Проактивной защиты, которая есть в Касперском или Аутпосте. Перехват функций я написал, определение PID'а процесса тоже. Никак не могу сделать обмен данными между приложением и драйвером. ПОнимаю, что это делается через IRP, но как именно? Если кто-то знает как это сделать или знает, где посмотреть хороший пример (не нашёл в интернете таких), поделитесь информацией, пожалуйста.
http://www.wasm.ru/article.php?article=drvw2k04 http://www.wasm.ru/article.php?article=drvw2k08 http://www.wasm.ru/article.php?article=drvw2k09
Freeman Спасибо! А есть примеры именно приложения (желательно на языке Си/С++)? Всего-то нужно пару байт переслать в обе стороны, я чувствую, что это несложно, но не знаю как =)
на osronline такая путанная навигация, нужно регистрироваться чуть ли не каждый раз, при прочтении новой темы.. Ладно, буду сам разбираться, уже вторую неделю мучаюсь. Всем спасибо, если кому интересно, потом результатом поделюсь.
Код (Text): // // Kernel mode driver for Windows NT // // (C) Great, 2006-2008 // extern "C" { #include <ntddk.h> } UNICODE_STRING DeviceName; UNICODE_STRING SymbolicLinkName; PDEVICE_OBJECT deviceObject; // Unload routine void DriverUnload(IN PDRIVER_OBJECT DriverObject) { IoDeleteSymbolicLink (&SymbolicLinkName); if(deviceObject) IoDeleteDevice (deviceObject); KdPrint(("[+] Driver unloaded\n")); } // Dispath routines for the device NTSTATUS DriverIoControl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp) { PIO_STACK_LOCATION pisl = IoGetCurrentIrpStackLocation(Irp); NTSTATUS status = STATUS_UNSUCCESSFUL; ULONG BuffSize = pisl->Parameters.DeviceIoControl.InputBufferLength; PUCHAR pBuff = (PUCHAR)Irp->AssociatedIrp.SystemBuffer; Irp->IoStatus.Information = 0; switch(pisl->Parameters.DeviceIoControl.IoControlCode) { case 0x1234: // Input buffer length: pisl->Parameters.DeviceIoControl.InputBufferLength // Output buffer length: pisl->Parameters.DeviceIoControl.OutputBufferLength // System buffer: pBuff // set Irp->IoStatus.Information as number of bytes to copy to user buffer status = STATUS_SUCCESS; break; } Irp->IoStatus.Status = status; IoCompleteRequest(Irp, IO_NO_INCREMENT); return status; } NTSTATUS DriverReadWrite(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp) { PIO_STACK_LOCATION pisl = IoGetCurrentIrpStackLocation(Irp); PUCHAR pBuff = (PUCHAR)Irp->AssociatedIrp.SystemBuffer; NTSTATUS st = STATUS_UNSUCCESSFUL; Irp->IoStatus.Information = 0; if(pisl->MajorFunction == IRP_MJ_READ) { KdPrint(("[~] IRP_MJ_READ\n")); // Length: pisl->Parameters.Read.Length; // Buffer: pBuff // Set Irp->IoStatus.Information = number of bytes read st = STATUS_SUCCESS; } else if(pisl->MajorFunction == IRP_MJ_WRITE) { KdPrint(("[~] IRP_MJ_WRITE\n")); // Length: pisl->Parameters.Write.Length // Buffer: pBuff // Set Irp->IoStatus.Information as number of bytes written st = STATUS_SUCCESS; } Irp->IoStatus.Status = st; IoCompleteRequest(Irp, IO_NO_INCREMENT); return st; } // create & close dispath routine NTSTATUS DriverCreateClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp) { PIO_STACK_LOCATION pisl = IoGetCurrentIrpStackLocation(Irp); switch(pisl->MajorFunction) { case IRP_MJ_CLOSE: KdPrint(("[~] IRP_MJ_CLOSE request\n")); break; case IRP_MJ_CREATE: KdPrint(("[~] IRP_MJ_CREATE request\n")); break; } Irp->IoStatus.Information = 0; Irp->IoStatus.Status = STATUS_SUCCESS; IoCompleteRequest(Irp, IO_NO_INCREMENT); return STATUS_SUCCESS; } // Driver entry point NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS status; KdPrint(("[~] Driver loading\n")); RtlInitUnicodeString(&DeviceName, L"\\Device\\testdevice"); RtlInitUnicodeString(&SymbolicLinkName, L"\\DosDevices\\testdevice"); status = IoCreateDevice(DriverObject, 0, &DeviceName, FILE_DEVICE_UNKNOWN, 0, TRUE, &deviceObject); if (!NT_SUCCESS(status)) { KdPrint(("[-] Failed to create first device. IoCreateDevice returned %x\n", status)); return STATUS_UNSUCCESSFUL; } deviceObject->Flags |= DO_BUFFERED_IO; status = IoCreateSymbolicLink(&SymbolicLinkName, &DeviceName); if (!NT_SUCCESS(status)) { KdPrint(("[-] Failed to create first symbolic link. IoCreateSymbolicLink returned %x\n", status)); IoDeleteDevice(deviceObject); return STATUS_UNSUCCESSFUL; } // Set dispath routines DriverObject->DriverUnload = DriverUnload; DriverObject->MajorFunction [IRP_MJ_READ ] = DriverObject->MajorFunction [IRP_MJ_WRITE ] = DriverReadWrite; DriverObject->MajorFunction [IRP_MJ_CREATE] = DriverObject->MajorFunction [IRP_MJ_CLOSE ] = DriverCreateClose; DriverObject->MajorFunction [IRP_MJ_DEVICE_CONTROL ] = DriverIoControl; KdPrint(("[+] Driver initialization successful\n")); return STATUS_SUCCESS; } в юзермоде CreateFile("\\\\.\\testdevice", GENERIC_READ|GENERIC_WRITE, ....); WriteFile / ReadFile / DeviceIoControl (hDev, ..., 0x1234, ...)
Вот отрывок кода для обработки IRP Код (Text): int Pid; //PID процессаЮ который нужно передать приложению wchar_t *Data; //Буфер, через который идёт обмен информацией VOID OnUnload(IN PDRIVER_OBJECT pDriverObject) { PDEVICE_OBJECT pNextDevObj; int i; DbgPrint("OnUnload"); pNextDevObj = pDriverObject->DeviceObject; for(i=1; pNextDevObj!=NULL; i++) { PDEVICE_EXTENSION dx = (PDEVICE_EXTENSION)pNextDevObj->DeviceExtension; UNICODE_STRING *pLinkName = &(dx->ustrSymLinkName); pNextDevObj = pNextDevObj->NextDevice; DbgPrint("OnUnload Deleting device (%d) : pointer to PDO = %X.", i, dx->pdo); DbgPrint("OnUnload Deleting symlink = %ws.", pLinkName->Buffer); IoDeleteSymbolicLink(pLinkName); //Удаляем символическую ссылку IoDeleteDevice(dx->pdo); //Удаляем устройство } MyUNHOOK(); //СНимаем хуки DbgPrint("OnUnload: done."); } //обработчик IRP-прерываний NTSTATUS CompleteIrp(IN PDEVICE_OBJECT pFDO, IN PIRP pIRP) { DbgPrint("CompleteIrp: started."); pIRP->IoStatus.Status = STATUS_SUCCESS; IoCompleteRequest(pIRP, IO_NO_INCREMENT); DbgPrint("CompleteIrp: done."); return STATUS_SUCCESS; } NTSTATUS DriverRead_Write(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp) { WCHAR szTemp[512]; PIO_STACK_LOCATION pisl; NTSTATUS status = STATUS_SUCCESS; //получаем текущий IRP pisl=IoGetCurrentIrpStackLocation(Irp); //в зависимости от ввода/вывода осуществляем if(pisl->MajorFunction == IRP_MJ_WRITE) { if(LengthData>0) ExFreePool(Data); //освобождаем Data LengthData=pisl->Parameters.Write.Length; Data = ExAllocatePool(PagedPool, LengthData); RtlZeroMemory(Data, LengthData); //зануляем RtlCopyMemory(Data, Irp->AssociatedIrp.SystemBuffer, LengthData); Irp->IoStatus.Information=0; } else if (pisl->MajorFunction == IRP_MJ_READ) { if(LengthData>0) { RtlCopyMemory(Irp->AssociatedIrp.SystemBuffer, Data, ReadLength); Irp->IoStatus.Information=ReadLength; } else Irp->IoStatus.Information=0; } Irp->IoStatus.Status = status; IoCompleteRequest(Irp, IO_NO_INCREMENT); return status; } //Точка входа в драйвер NTSTATUS DriverEntry (IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath) { int i,pid; NTSTATUS status = STATUS_SUCCESS; //статус завершения PDEVICE_OBJECT pdo; //указатель на устройство UNICODE_STRING devName; UNICODE_STRING symLinkName; PDEVICE_EXTENSION dx; //указатель на расширение устройства PDRIVER_DISPATCH *ppdd; DbgPrint("Entering DriverEntry"); DbgPrint("RegistryPath = %ws.", pRegistryPath->Buffer); //Создаём экземпляры строк UNICODE для имен устройства // и символической ссылки RtlInitUnicodeString(&devName, L"\\Device\\MYDRV"); RtlInitUnicodeString(&symLinkName, L"\\DosDevices\\MYDRV"); //Создаём утройство status = IoCreateDevice(pDriverObject, sizeof(DEVICE_EXTENSION), &devName, FILE_DEVICE_UNKNOWN, 0, FALSE, &pdo); if(!NT_SUCCESS(status)) { DbgPrint("DriverEntry IoCreateDevice error"); return status; } dx = (PDEVICE_EXTENSION)pdo->DeviceExtension; dx->pdo = pdo; dx->ustrSymLinkName = symLinkName; //Устанавливаем буферизированный ввод/вывод pdo->Flags = DO_BUFFERED_IO; //создаём символическую ссылку устройства status = IoCreateSymbolicLink(&symLinkName, &devName); if(!NT_SUCCESS(status)) { IoDeleteDevice(pdo); return status; } Mass_NULL(); //Устанавливаем хуки MyHOOK(); //объявляем процедуры обработки ввода-вывода ppdd = pDriverObject->MajorFunction; ppdd[IRP_MJ_CREATE]=ppdd[IRP_MJ_CLOSE]=ppdd[IRP_MJ_READ]=DriverRead_Write; ppdd[IRP_MJ_WRITE]=DriverRead_Write; DbgPrint("DriverEntry successfully completed."); pDriverObject->DriverUnload = OnUnload; return status; } Так вот вопрос, как мне в буфер wchar_t *Data поместить переменную int Pid, чтобы передать его через это: Код (Text): if (pisl->MajorFunction == IRP_MJ_READ) { if(LengthData>0) { RtlCopyMemory(Irp->AssociatedIrp.SystemBuffer, Data, ReadLength); Irp->IoStatus.Information=ReadLength; } else Irp->IoStatus.Information=0; } Или есть какой-то другой способ, который проще?
