Форум АНТИЧАТ
Страница 1 из 3 1 2 3 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)
-   -   Проблемы с написанием драйвера (https://forum.antichat.xyz/showthread.php?t=49824)

slesh 25.09.2007 15:45
Проблемы с написанием драйвера
 
Вот сталкнулся с такой проблемой:
Програма должна постоянно считывать
через из драйвера через:

ReadFile струткуру следующего типа:

typedef struct _TMySTRUC // структура описывающая запрос к драйверу
{
HANDLE z1;
HANDLE z2;
} TMySTRUC, *PMySTRUC;

ВОт не могу написать как именно осуществить запись со стороны драйвера.
к примеру:

Код:
TMySTRUC mystruc;
 mystruc->z1=11111;
 mystruc->z2=22222;

 irpStack = IoGetCurrentIrpStackLocation (Irp);
 if (irpStack->MajorFunction == IRP_MJ_READ)
 {
ВОт что сюда вставить, чтобы передаться струкруру
mystruc?????
 }

 Irp->IoStatus.Status = STATUS_SUCCESS;
 IoCompleteRequest(Irp, IO_NO_INCREMENT);
 return STATUS_SUCCESS;
Еще чуть запустался с IRP_MJ_READ и IRP_MJ_WRITE

КАк я понял irpStack->MajorFunction == IRP_MJ_READ
будет тогда когда програма будет читать данные из драйвера т.е. readfile, а IRP_MJ_WRITE - когда будет писать чтото драйверу.
Перебрал кучу документаций так толком и не понял как осуществить чтение и запись.

_Great_ 25.09.2007 16:19
какой тип ввода-вывода?
1) если buffered (DO_BUFFERED_IO), тогда Irp->AssotiatedIrp.SystemBuffer указывает на системный буффер, который потом будет скопирован в пользовательский выходной (если это IRP_MJ_READ) или в который уже скопирован входной (если это IRP_MJ_WRITE)

другие типы тебе пока не нужны.. запутаешься нафиг.
тебе нужно лишь проверить длину буффера и скопировать туда структуру

slesh 27.09.2007 16:58
Чтото начал делать в этоге при копировании идет BSOD
Вообще драйвер должен перехватывать запуск процессов.
И потом по требованию возвращать PID и PARENT последнего запущенного процесса.
Код функции обработчика:
Код:
if (irpStack->MajorFunction == IRP_MJ_READ)
 {
  DPRINT("READ");
  if (irpStack->Parameters.Read.Length < 8)
    {
            DPRINT("LENGTH < 8");
        Irp->IoStatus.Status = status = STATUS_BUFFER_TOO_SMALL;
        Irp->IoStatus.Information  = 0;
        IoCompleteRequest (Irp, IO_NO_INCREMENT);
        return status;
    } else
        {
          DPRINT("LENGTH OK");       
Еcли раскоментировать, то BSOD >>>        //RtlCopyMemory(Irp->AssociatedIrp.SystemBuffer, &RUNPROC, 8);


          Irp->IoStatus.Status = status = STATUS_SUCCESS;
          IoCompleteRequest (Irp, IO_NO_INCREMENT);
      return status;
        }
 }
где
TRUNPROC RUNPROC
typedef struct _TRUNPROC
{
HANDLE parent;
HANDLE PID;
} TRUNPROC, *PRUNPROC;


И вот вопрос еще один. Как мне получать то, что выводится через DbgPrint?
Юзаю WinDbg. Т.е. я запускаю через него прогу, которая общается с драйвером, но почемуто сообщения от DbgPrint на экране они не появляются :(

Ni0x 27.09.2007 17:12
Путаешь. Для просмотра сообщений от DbgPrint тебе нужен DebugView от Sysinternals.
Сейчас посмотрю код.

Ky3bMu4 27.09.2007 21:33
Если я не ошибаюсь, то для передачи информации драйвер<->программа драйвер должен создать устройство, через которое будет передаваться инфа. Вот тебе:
http://www.wasm.ru/article.php?article=apihook_3 (см.Взаимодействие драйвера с приложением)
И вот: http://wasm.ru/article.php?article=drvw2k04

slesh 27.09.2007 22:27
не с устройсвом всё ок. всё создано отлично. И пашет отлично. А вот тока как именно драйвер должен передать ответ - хз.
На счет васма - процел всё - толком там не описано.

Ni0x 27.09.2007 22:51
Да сделай ты через DeviceIoControl, проще будет, один из аргументов функции - буфер для обратного ответа. Будешь передавать драйверу IOCTL коды.
Код:
#define IOCTL_GETPID CTL_CODE(FILE_DEVICE_UNKNOWN, 0x01, \
        METHOD_BUFFERED, \
        FILE_READ_DATA | FILE_WRITE_DATA)
А драйвер будет обрабатывать их.
Код:
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MyIrp;
...
NTSTATUS MyIrp(IN PDEVICE_OBJECT dev, IN PIRP pirp)
{
...
switch (ioctl_code)
        {
        case IOCTL_GETPID:
                GetPid();
                break;
        default:       
                ns = STATUS_INVALID_DEVICE_REQUEST;
        }
...

slesh 27.09.2007 23:12
с DbgPrint разобрался +

----------
Суть в том, что я юзаю DeviceIoControl для чуть другйо функции.
а именно - защита процесса. Чтобы его не могли выкинуть стандартными методами.
у меня он заюзан вот так:
if (irpStack->MajorFunction == IRP_MJ_DEVICE_CONTROL)
ProtectedPid = (HANDLE)irpStack->Parameters.DeviceIoControl.IoControlCode;

slesh 27.09.2007 23:26
2 Ni0x В принципе можно былобы и сделать как ты говоришь, но тогда таже проблема - чтение и запись.

Ni0x 27.09.2007 23:27
И в чем проблема использовать DeviceIoControl для всего?


Время: 19:33
Страница 1 из 3 1 2 3 >
Показывать 40 сообщений этой темы на одной странице