驅動開發:基於事件同步的反向通訊
2023-06-20 09:00:41
在之前的文章中LyShark一直都在教大家如何讓驅動程式與應用層進行正向通訊,而在某些時候我們不僅僅只需要正向通訊,也需要反向通訊,例如防毒軟體如果驅動程式攔截到惡意操作則必須將這個請求動態的轉發到應用層以此來通知使用者,而這種通訊方式的實現有多種,通常可以使用建立Socket通訊端的方式實現,亦或者使用本章所介紹的通過事件同步的方法實現反向通訊。
基於事件同步方式實現的通訊需要用的最重要函數IoCreateNotificationEvent()這是微軟定為開發者提供的。
IoCreateNotificationEvent 例程建立或開啟一個命名通知事件,用於通知一個或多個執行執行緒已發生事件。
PKEVENT IoCreateNotificationEvent(
[in] PUNICODE_STRING EventName,
[out] PHANDLE EventHandle
);
其中的第二個引數EventHandle指向返回事件物件的核心控制程式碼的位置的指標。此處為了能更好的接收和管理指標與程序之間的關係我們最好定義一個DEVICE_EXTEN結構體。
// 自定義裝置擴充套件
typedef struct
{
HANDLE hProcess; // HANDLE
PKEVENT pkProcessEvent; // 事件物件
HANDLE hProcessId; // PID
HANDLE hpParProcessId; // PPID
BOOLEAN bIsCreateMark; // Flag
}DEVICE_EXTEN, *PDEVICE_EXTEN;
驅動入口處PsSetCreateProcessNotifyRoutine則用於建立一個程序回撥,該回撥函數被指定為pMyCreateProcessThreadRoutine當回撥函數被建立後,一旦有新程序建立則會執行函數內部的具體流程。
如程式碼所示,在pMyCreateProcessThreadRoutine函數內首先通過(PDEVICE_EXTEN)GlobalDevObj->DeviceExtension得到了自定義裝置擴充套件指標,接著將當前程序的PID,PPID,isCreate等屬性賦予到擴充套件指標中,當一切準備就緒後,通過呼叫KeSetEvent將當前程序事件設定為有訊號狀態,設定後重置為預設值。
// 自定義回撥函數
VOID pMyCreateProcessThreadRoutine(IN HANDLE pParentId, HANDLE hProcessId, BOOLEAN bisCreate)
{
PDEVICE_EXTEN pDeviceExten = (PDEVICE_EXTEN)GlobalDevObj->DeviceExtension;
// 將進行資訊依次複製到結構體中
pDeviceExten->hProcessId = hProcessId;
pDeviceExten->hpParProcessId = pParentId;
pDeviceExten->bIsCreateMark = bisCreate;
// 設定為有訊號
KeSetEvent(pDeviceExten->pkProcessEvent, 0, FALSE);
// 重置狀態訊號
KeResetEvent(pDeviceExten->pkProcessEvent);
}
此時由於使用者端中通過OpenEventW(SYNCHRONIZE, FALSE, EVENT_NAME)開啟了核心物件,並通過WaitForSingleObject(hProcessEvent, INFINITE)一直在等待事件,一旦核心驅動KeSetEvent(pDeviceExten->pkProcessEvent, 0, FALSE)設定為有訊號狀態,則應用層會通過DeviceIoControl向核心層傳送IOCTL控制訊號並等待接收資料。
此時主派遣函數DisPatchIoControl被觸發執行,通過(PPROCESS_PTR)pUserOutPutBuffer獲取到應用層緩衝區裝置指標,並依次通過pBuffer->的方式設定引數,最後返回狀態碼,此時應用層PROCESS_PTR中也就得到了程序建立的相關資訊。
pBuffer = (PPROCESS_PTR)pUserOutPutBuffer;
uIoControl = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
uReadLen = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
uWriteLen = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
switch (uIoControl)
{
case IOCTL:
pDeviceExten = (PDEVICE_EXTEN)GlobalDevObj->DeviceExtension;
pBuffer->hProcessId = pDeviceExten->hProcessId;
pBuffer->hpParProcessId = pDeviceExten->hpParProcessId;
pBuffer->bIsCreateMark = pDeviceExten->bIsCreateMark;
break;
default:
ntStatus = STATUS_INVALID_PARAMETER;
uWriteLen = 0;
break;
}
如上就是核心層與應用層的部分程式碼功能分析,接下來我將完整程式碼分享出來,大家可以自行測試效果。
驅動程式WinDDK.sys完整程式碼;
// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
#include <ntifs.h>
#include <ntstrsafe.h>
#define IOCTL CTL_CODE(FILE_DEVICE_UNKNOWN,0x801,METHOD_BUFFERED,FILE_ANY_ACCESS)
UNICODE_STRING GlobalSym = { 0 };
PDEVICE_OBJECT GlobalDevObj;
// 自定義裝置擴充套件
typedef struct
{
HANDLE hProcess; // HANDLE
PKEVENT pkProcessEvent; // 事件物件
HANDLE hProcessId; // PID
HANDLE hpParProcessId; // PPID
BOOLEAN bIsCreateMark; // Flag
}DEVICE_EXTEN, *PDEVICE_EXTEN;
// 自定義結構體(臨時)
typedef struct
{
HANDLE hProcessId;
HANDLE hpParProcessId;
BOOLEAN bIsCreateMark;
}PROCESS_PTR, *PPROCESS_PTR;
// 自定義回撥函數
VOID pMyCreateProcessThreadRoutine(IN HANDLE pParentId, HANDLE hProcessId, BOOLEAN bisCreate)
{
PDEVICE_EXTEN pDeviceExten = (PDEVICE_EXTEN)GlobalDevObj->DeviceExtension;
// 將進行資訊依次複製到結構體中
pDeviceExten->hProcessId = hProcessId;
pDeviceExten->hpParProcessId = pParentId;
pDeviceExten->bIsCreateMark = bisCreate;
// 設定為有訊號
KeSetEvent(pDeviceExten->pkProcessEvent, 0, FALSE);
// 重置狀態訊號
KeResetEvent(pDeviceExten->pkProcessEvent);
}
// 預設派遣函數
NTSTATUS DisPatchComd(PDEVICE_OBJECT pDeviceObject, PIRP pIrp)
{
pIrp->IoStatus.Information = 0;
pIrp->IoStatus.Status = STATUS_SUCCESS;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return pIrp->IoStatus.Status;
}
// 主派遣函數
NTSTATUS DisPatchIoControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp)
{
NTSTATUS ntStatus;
PIO_STACK_LOCATION pIrpStack;
PVOID pUserOutPutBuffer;
PPROCESS_PTR pBuffer;
ULONG uIoControl = 0;
ULONG uReadLen;
ULONG uWriteLen;
PDEVICE_EXTEN pDeviceExten;
pIrpStack = IoGetCurrentIrpStackLocation(pIrp);
pUserOutPutBuffer = pIrp->AssociatedIrp.SystemBuffer;
pBuffer = (PPROCESS_PTR)pUserOutPutBuffer;
uIoControl = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
uReadLen = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
uWriteLen = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
switch (uIoControl)
{
case IOCTL:
pDeviceExten = (PDEVICE_EXTEN)GlobalDevObj->DeviceExtension;
pBuffer->hProcessId = pDeviceExten->hProcessId;
pBuffer->hpParProcessId = pDeviceExten->hpParProcessId;
pBuffer->bIsCreateMark = pDeviceExten->bIsCreateMark;
break;
default:
ntStatus = STATUS_INVALID_PARAMETER;
uWriteLen = 0;
break;
}
pIrp->IoStatus.Information = uWriteLen;
pIrp->IoStatus.Status = ntStatus;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return ntStatus;
}
// 解除安裝驅動
VOID DriverUnLoad(PDRIVER_OBJECT pDriverObject)
{
NTSTATUS ntStatus;
UNICODE_STRING SymboLicLinkStr = { 0 };
// 刪除符號連結
ntStatus = RtlUnicodeStringInit(&SymboLicLinkStr, L"\\DosDevices\\Symboliclnk");
ntStatus = IoDeleteSymbolicLink(&SymboLicLinkStr);
// 登出程序訊息回撥
PsSetCreateProcessNotifyRoutine(pMyCreateProcessThreadRoutine, TRUE);
IoDeleteDevice(pDriverObject->DeviceObject);
}
// 入口函數
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING RegistryPath)
{
NTSTATUS ntStatus = NULL;
PDEVICE_OBJECT pDeviceObject = NULL;
UNICODE_STRING uDeviceName = { 0 };
UNICODE_STRING uEventName = { 0 };
// 初始化字串
ntStatus = RtlUnicodeStringInit(&uDeviceName, L"\\Device\\ProcLook");
ntStatus = RtlUnicodeStringInit(&GlobalSym, L"\\DosDevices\\Symboliclnk");
ntStatus = RtlUnicodeStringInit(&uEventName, L"\\BaseNamedObjects\\ProcLook");
DbgPrint("hello lyshark.com");
if (!NT_SUCCESS(ntStatus))
{
return ntStatus;
}
// 建立裝置
ntStatus = IoCreateDevice(pDriver,sizeof(DEVICE_EXTEN),&uDeviceName,FILE_DEVICE_UNKNOWN,FILE_DEVICE_SECURE_OPEN,FALSE,&pDeviceObject);
DbgPrint("[LyShark] 建立裝置物件");
if (!NT_SUCCESS(ntStatus))
{
IoDeleteDevice(pDeviceObject);
return ntStatus;
}
pDriver->Flags |= DO_BUFFERED_IO;
GlobalDevObj = pDeviceObject;
// 獲取裝置擴充套件指標,並IoCreateNotificationEvent建立一個R3到R0的事件
PDEVICE_EXTEN pDeviceExten = (PDEVICE_EXTEN)pDeviceObject->DeviceExtension;
pDeviceExten->pkProcessEvent = IoCreateNotificationEvent(&uEventName, &pDeviceExten->hProcess);
KeClearEvent(pDeviceExten->pkProcessEvent);
DbgPrint("[LyShark] 建立事件回撥");
// 建立符號連結
ntStatus = IoCreateSymbolicLink(&GlobalSym, &uDeviceName);
if (!NT_SUCCESS(ntStatus))
{
IoDeleteDevice(pDeviceObject);
return ntStatus;
}
// 註冊程序建立回撥
ntStatus = PsSetCreateProcessNotifyRoutine(pMyCreateProcessThreadRoutine, FALSE);
DbgPrint("[LyShark] 建立程序回撥");
if (!NT_SUCCESS(ntStatus))
{
IoDeleteDevice(pDeviceObject);
return ntStatus;
}
// 初始化派遣函數
for (ULONG i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
{
pDriver->MajorFunction[i] = DisPatchComd;
}
pDriver->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DisPatchIoControl;
// 關閉驅動
pDriver->DriverUnload = DriverUnLoad;
return ntStatus;
}
應用層使用者端程式lyshark.exe完整程式碼;
// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
#include <iostream>
#include <Windows.h>
#define EVENT_NAME L"Global\\ProcLook"
#define IOCTL CTL_CODE(FILE_DEVICE_UNKNOWN,0x801,METHOD_BUFFERED,FILE_ANY_ACCESS)
typedef struct
{
HANDLE hProcessId;
HANDLE hpParProcessId;
BOOLEAN bIsCreateMark;
}PROCESS_PTR, *PPROCESS_PTR;
int main(int argc, char* argv[])
{
PROCESS_PTR Master = { 0 };
PROCESS_PTR Slave = { 0 };
DWORD dwRet = 0;
BOOL bRet = FALSE;
// 開啟驅動裝置物件
HANDLE hDriver = CreateFile(L"\\\\.\\Symboliclnk",GENERIC_READ | GENERIC_WRITE,NULL,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
if (hDriver == INVALID_HANDLE_VALUE)
{
return 0;
}
// 開啟核心事件物件
HANDLE hProcessEvent = OpenEventW(SYNCHRONIZE, FALSE, EVENT_NAME);
if (NULL == hProcessEvent)
{
return 0;
}
while (TRUE)
{
// 等待事件
WaitForSingleObject(hProcessEvent, INFINITE);
// 傳送控制訊號
bRet = DeviceIoControl(hDriver,IOCTL,NULL,0,&Master,sizeof(Master),&dwRet,NULL);
if (!bRet)
{
return 0;
}
if (bRet)
{
if (Master.hpParProcessId != Slave.hpParProcessId || Master.hProcessId != Slave.hProcessId || Master.bIsCreateMark != Slave.bIsCreateMark)
{
if (Master.bIsCreateMark)
{
printf("[LyShark] 父程序: %d | 程序PID: %d | 狀態: 建立程序 \n", Master.hpParProcessId, Master.hProcessId);
}
else
{
printf("[LyShark] 父程序: %d | 程序PID: %d | 狀態: 退出程序 \n", Master.hpParProcessId, Master.hProcessId);
}
Slave = Master;
}
}
else
{
break;
}
}
CloseHandle(hDriver);
return 0;
}
手動編譯這兩個程式,將驅動簽名後以管理員身份執行lyshark.exe使用者端,此時螢幕中即可看到捲動輸出效果,如此一來就實現了迴圈傳遞引數的目的。
文章作者:lyshark (王瑞)
文章出處:https://www.cnblogs.com/LyShark/p/17137118.html
本部落格所有文章除特別宣告外,均採用 BY-NC-SA 許可協定。轉載請註明出處!
文章出處:https://www.cnblogs.com/LyShark/p/17137118.html
本部落格所有文章除特別宣告外,均採用 BY-NC-SA 許可協定。轉載請註明出處!