windows內(nèi)核安全編程實踐之路

1、Windows內(nèi)核安全編程實踐之路,安于此生@看雪學院,自我介紹,安于此生@ExpLife,現(xiàn)任高級逆向工程師。主要從事windows驅(qū)動開發(fā)及逆向方面的工作，擅長C/C++,ASM,軟件調(diào)試逆向,惡意代碼分析與對抗。 主頁:https://github.com/ExpLife0011https://github.com/ExpLife0011/awesome-windows-kernel-security-devel

2、opment,本課內(nèi)容,UNREFERENCED_PARAMETER宏的運用初識UNICODE_STRING結構探究驅(qū)動程序入口函數(shù)的兩個參數(shù),,在編寫驅(qū)動的時候,如果有函數(shù)的參數(shù)在函數(shù)體內(nèi)未引用, 并且將警告視為錯誤的編譯選項啟用了的話,這時驅(qū)動程序 編譯會報錯,并提示程序中存在未引用的變量.這個時候我 們只需要使用UNREFERENCED_PARAMETER來描述未引 用到的參數(shù)就可以消除該警告,UNREFERENCED

3、_PARAMETER宏的運用,typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING, *PUNICODE_STRING;Length:存儲在緩沖區(qū)中的字符串所占的字節(jié)數(shù)MaxinumLength:緩沖區(qū)能夠容納的字節(jié)數(shù)Buffer:指向了用于包含一個寬字符字符串的緩

4、沖區(qū),初識UNICODE_STRING結構,入口函數(shù)的第一個參數(shù)PDRIVER_OBJECT DriverObject typedef struct _DRIVER_OBJECT { CSHORT Type; //驅(qū)動程序的類型 CSHORT Size;

5、 //驅(qū)動對象結構體的大小 PDEVICE_OBJECT DeviceObject; //指向驅(qū)動程序創(chuàng)建的設備對象,這些設備對象構成一個鏈表 ULONG Flags; //驅(qū)動程序標志 PV

6、OID DriverStart; //驅(qū)動程序映像的起始地址 ULONG DriverSize; //驅(qū)動程序映像的大小 PVOID DriverSection;

7、 //指向驅(qū)動程序映像的內(nèi)存區(qū)對象,可以通過該成員遍歷系統(tǒng)中所有的驅(qū)動模塊 PDRIVER_EXTENSION DriverExtension; //指向驅(qū)動程序?qū)ο蟮臄U展結構 UNICODE_STRING DriverName; //驅(qū)動的名稱 PUNICODE_STRING HardwareDatabase;

8、 //設備的硬件數(shù)據(jù)庫名,一般為HKEY_LOCAL_MACHINE\Hardware\DESCRIPTION\System PFAST_IO_DISPATCH FastIoDispatch; //指向文件系統(tǒng)以及網(wǎng)絡傳輸驅(qū)動會用到的派遣函數(shù)的指針表 PDRIVER_INITIALIZE DriverInit; //指向DriverEn

9、try函數(shù),這是IO管理器設置的 PDRIVER_STARTIO DriverStartIo; //記錄StartIO例程的函數(shù)地址,用于串行化操作. PDRIVER_UNLOAD DriverUnload; //指向驅(qū)動卸載時所用的回調(diào)函數(shù)地址 PDRIVER_DISPATCH MajorFunction[IRP_MJ_MA