2,640
社区成员
发帖
与我相关
我的任务
分享WINDOWS 驱动 寒江独钓 TDI带来的疑问
//VOID BuildQueryAddressIrp(PIRP irp,PIO_STACK_LOCATION stack,PDEVICE_OBJECT Tarodl)
//{
// FILE_FULL_EA_INFORMATION * filebuf = (FILE_FULL_EA_INFORMATION *)irp->AssociatedIrp.SystemBuffer;
// if (filebuf!=NULL)
// {
// if (filebuf->EaNameLength==TDI_TRANSPORT_ADDRESS_LENGTH && memcmp(filebuf->EaName,TdiTransportAddress,TDI_TRANSPORT_ADDRESS_LENGTH)==0)
// {
// QueryRequest=TdiBuildInternalDeviceControlIrp(TDI_QUERY_INFORMATION,Tarodl,stack->FileObject,NULL,NULL);
// }
// }
//
//}
寒江独钓 一书中,TDI过滤中有这么一个函数;本菜鸟 简化代码,实现一个简单功能,就获取 生成的地址,好,有一段生成一个IRP,成功编译后,发现启动失败。找原因。一个一个函数的注释,现在发现只要这个函数给注释掉了,就成功了。
另外:还有一个 代码 导致了 TDI过滤启动失败,代码段如下:
NTSTATUS DeviceControlDispath(PDEVICE_OBJECT Device ,PIRP irp)
{
NTSTATUS status;
PIO_STACK_LOCATION stack;
PDEVICE_OBJECT DeviceClass;
ULONG CurrentId;
int UserState;
HANDLE handl;
OBJECT_ATTRIBUTES objectatt;
CLIENT_ID currentid;
PEPROCESS EProcess;
InitializeObjectAttributes(&objectatt,0,0,0,0);
stack=IoGetCurrentIrpStackLocation(irp);
DeviceClass=GetDeviceClass(Device);
if (DeviceClass==NULL)
{
return STATUS_INVALID_PARAMETER;
}
switch(stack->MajorFunction)
{
case IRP_MJ_CREATE:
CurrentId=(ULONG)PsGetCurrentProcessId();
/* if (DeviceClass!=NULL)
{
BuildQueryAddressIrp(irp,stack,DeviceClass);
}*/
if(buf!=NULL)
{
CurrentId=(ULONG)PsGetCurrentProcessId();
;currentid.UniqueProcess=(HANDLE)CurrentId;
currentid.UniqueThread=0;
status=ZwOpenProcess(&handl,PROCESS_ALL_ACCESS,&objectatt,¤tid);
if (!NT_SUCCESS(status))
{
KdPrint(("打开进程出错"));
return status;
}
status=ObReferenceObjectByHandle(handl,FILE_READ_DATA,0,KernelMode,&EProcess,0);
if (NT_SUCCESS(status))
{
/*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{
status=STATUS_INVALID_PARAMETER;
IoCompleteRequest(irp,IO_NO_INCREMENT);
return status;
}
}
IoSkipCurrentIrpStackLocation(irp);
status=IoCallDriver(DeviceClass,IO_NO_INCREMENT);
return status;
}
SetCompleteDispath(irp,DeviceClass);
break;
/*UCHAR *name=PsGetProcessImageFileName(EProcess);*/ 注释掉的 这个函数,通过EPROCESS 获得进程名,但是这是一个未公开的函数,声明也可以用。在XP系统中也是存在的。 好,有这个 启动也失败,那我不用这个函数
我用: UCHAR *name=(UCHAR *)EProcess+0x174; // 在XP系统中 这个结构的 0x174位置一般是 进程的名字.那么也失败了.这是为什么呢?
什么原因导致的呢?
在线坐等检查。
...全文
请发表友善的回复…
发表回复
梦是多么的重要 2014-05-03
- 打赏
- 举报
谁能提供个,确认无错的 编译设置?
路人乙2019 2014-05-02
- 打赏
- 举报
觉得可能是vc编译选项没有设置好。
路人乙2019 2014-05-02
- 打赏
- 举报
问题在于 /*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{}
PsGetProcessImageFileName
memcmp
EProcess
我现在猜想的是:用VS编译呢,这几个函数呢,编译运行后,采用的是 动态连接;然后去虚拟机运行了.所以找不到这几个函数;
然后我在虚拟机里用WDK编译了,且是在虚拟机里,成功了。
个人猜想是: VS呢,没有把 这几个函数 给生成静态链接,编译进去;
WDK呢,编译进去了;;;
嗯,就这么简单;
应该计算机 专业出生的 更加清楚,我们所看到的 .exe .sys都是一个 进程,他的本质就是一个进程;集合了很多资源.
但是我们用VS编译后,在另外的机器上呢;运行,发现 某个资源块是空的;只是一个 类似 索引的东西。
当然,这是我的猜测;;不过VS确实没 生成一个 完全的静态链接。。
这道理呢,很简单。但是就是让我这么 纠结了 二天..........................[/quote]即便是你做更多年程序员以后,还可能遇到这种纠结的问题,人之常情。[/quote]
无力啊;;大侠工作几年了?[/quote]五年,现在辞职没做it了,谈不上大侠。
梦是多么的重要 2014-05-02
- 打赏
- 举报
问题在于 /*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{}
PsGetProcessImageFileName
memcmp
EProcess
我现在猜想的是:用VS编译呢,这几个函数呢,编译运行后,采用的是 动态连接;然后去虚拟机运行了.所以找不到这几个函数;
然后我在虚拟机里用WDK编译了,且是在虚拟机里,成功了。
个人猜想是: VS呢,没有把 这几个函数 给生成静态链接,编译进去;
WDK呢,编译进去了;;;
嗯,就这么简单;
应该计算机 专业出生的 更加清楚,我们所看到的 .exe .sys都是一个 进程,他的本质就是一个进程;集合了很多资源.
但是我们用VS编译后,在另外的机器上呢;运行,发现 某个资源块是空的;只是一个 类似 索引的东西。
当然,这是我的猜测;;不过VS确实没 生成一个 完全的静态链接。。
这道理呢,很简单。但是就是让我这么 纠结了 二天..........................[/quote]即便是你做更多年程序员以后,还可能遇到这种纠结的问题,人之常情。[/quote]
无力啊;;大侠工作几年了?[/quote]五年,现在辞职没做it了,谈不上大侠。[/quote]
哦哦。。那你看下 我这问题 到底是不是应为 VC没有吧 函数给 嵌入到进程里面呢?
我自己猜测是这样,但是楼上否决了。。。你看~
梦是多么的重要 2014-05-01
- 打赏
- 举报
问题在于 /*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{}
PsGetProcessImageFileName
memcmp
EProcess
我现在猜想的是:用VS编译呢,这几个函数呢,编译运行后,采用的是 动态连接;然后去虚拟机运行了.所以找不到这几个函数;
然后我在虚拟机里用WDK编译了,且是在虚拟机里,成功了。
个人猜想是: VS呢,没有把 这几个函数 给生成静态链接,编译进去;
WDK呢,编译进去了;;;
嗯,就这么简单;
应该计算机 专业出生的 更加清楚,我们所看到的 .exe .sys都是一个 进程,他的本质就是一个进程;集合了很多资源.
但是我们用VS编译后,在另外的机器上呢;运行,发现 某个资源块是空的;只是一个 类似 索引的东西。
当然,这是我的猜测;;不过VS确实没 生成一个 完全的静态链接。。
这道理呢,很简单。但是就是让我这么 纠结了 二天..........................
梦是多么的重要 2014-05-01
- 打赏
- 举报
问题解决,建议以后 编译驱动不要用 VS了,尽量用WDK吧。太坑爹了
梦是多么的重要 2014-05-01
- 打赏
- 举报
问题在于 /*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{}
PsGetProcessImageFileName
memcmp
EProcess
我现在猜想的是:用VS编译呢,这几个函数呢,编译运行后,采用的是 动态连接;然后去虚拟机运行了.所以找不到这几个函数;
然后我在虚拟机里用WDK编译了,且是在虚拟机里,成功了。
个人猜想是: VS呢,没有把 这几个函数 给生成静态链接,编译进去;
WDK呢,编译进去了;;;
嗯,就这么简单;
应该计算机 专业出生的 更加清楚,我们所看到的 .exe .sys都是一个 进程,他的本质就是一个进程;集合了很多资源.
但是我们用VS编译后,在另外的机器上呢;运行,发现 某个资源块是空的;只是一个 类似 索引的东西。
当然,这是我的猜测;;不过VS确实没 生成一个 完全的静态链接。。
这道理呢,很简单。但是就是让我这么 纠结了 二天..........................[/quote]
我敢保证不是这样的...[/quote]
哦,这位大侠;;;那你说说是怎样的;
状况是 vs编译,在虚拟机中100%启动失败;
然而wdk编译呢,启动是 100%成功;
大侠说说你的观点吧
zhaoning_xueye 2014-05-01
- 打赏
- 举报
问题在于 /*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{}
PsGetProcessImageFileName
memcmp
EProcess
我现在猜想的是:用VS编译呢,这几个函数呢,编译运行后,采用的是 动态连接;然后去虚拟机运行了.所以找不到这几个函数;
然后我在虚拟机里用WDK编译了,且是在虚拟机里,成功了。
个人猜想是: VS呢,没有把 这几个函数 给生成静态链接,编译进去;
WDK呢,编译进去了;;;
嗯,就这么简单;
应该计算机 专业出生的 更加清楚,我们所看到的 .exe .sys都是一个 进程,他的本质就是一个进程;集合了很多资源.
但是我们用VS编译后,在另外的机器上呢;运行,发现 某个资源块是空的;只是一个 类似 索引的东西。
当然,这是我的猜测;;不过VS确实没 生成一个 完全的静态链接。。
这道理呢,很简单。但是就是让我这么 纠结了 二天..........................[/quote]
我敢保证不是这样的...
梦是多么的重要 2014-05-01
- 打赏
- 举报
问题在于 /*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{}
PsGetProcessImageFileName
memcmp
EProcess
我现在猜想的是:用VS编译呢,这几个函数呢,编译运行后,采用的是 动态连接;然后去虚拟机运行了.所以找不到这几个函数;
然后我在虚拟机里用WDK编译了,且是在虚拟机里,成功了。
个人猜想是: VS呢,没有把 这几个函数 给生成静态链接,编译进去;
WDK呢,编译进去了;;;
嗯,就这么简单;
应该计算机 专业出生的 更加清楚,我们所看到的 .exe .sys都是一个 进程,他的本质就是一个进程;集合了很多资源.
但是我们用VS编译后,在另外的机器上呢;运行,发现 某个资源块是空的;只是一个 类似 索引的东西。
当然,这是我的猜测;;不过VS确实没 生成一个 完全的静态链接。。
这道理呢,很简单。但是就是让我这么 纠结了 二天..........................[/quote]即便是你做更多年程序员以后,还可能遇到这种纠结的问题,人之常情。[/quote]
无力啊;;大侠工作几年了?
路人乙2019 2014-05-01
- 打赏
- 举报
问题在于 /*UCHAR *name=PsGetProcessImageFileName(EProcess);*/
UCHAR *name=(UCHAR *)EProcess+0x174;
if (memcmp(name,buf,sizeof(name))==0)
{}
PsGetProcessImageFileName
memcmp
EProcess
我现在猜想的是:用VS编译呢,这几个函数呢,编译运行后,采用的是 动态连接;然后去虚拟机运行了.所以找不到这几个函数;
然后我在虚拟机里用WDK编译了,且是在虚拟机里,成功了。
个人猜想是: VS呢,没有把 这几个函数 给生成静态链接,编译进去;
WDK呢,编译进去了;;;
嗯,就这么简单;
应该计算机 专业出生的 更加清楚,我们所看到的 .exe .sys都是一个 进程,他的本质就是一个进程;集合了很多资源.
但是我们用VS编译后,在另外的机器上呢;运行,发现 某个资源块是空的;只是一个 类似 索引的东西。
当然,这是我的猜测;;不过VS确实没 生成一个 完全的静态链接。。
这道理呢,很简单。但是就是让我这么 纠结了 二天..........................[/quote]即便是你做更多年程序员以后,还可能遇到这种纠结的问题,人之常情。
路人乙2019 2014-04-30
- 打赏
- 举报
解决了跟大家分享一下。
梦是多么的重要 2014-04-30
- 打赏
- 举报
问题已经定位了,一个小时后能解决,请教了几位 大侠;远程帮忙看了下,发现依旧是个人不足。稍后 说明真相;
不过大侠们的答案不一致,还在验证中》
梦是多么的重要 2014-04-30
- 打赏
- 举报
................启动都启动不了,必须没断点调试过》
路人乙2019 2014-04-30
- 打赏
- 举报
这个比较难,我也看过此书,自始至终最后几章还是没完全搞明白,且很多不能应用于win7。也许第一个函数是个回调函数,有默认的实现。第二个是不是权限问题,你有没有用windbg下断点调试过?
