ming_taizi
ming_taizi

HookSSDT

HookSSDT

这篇文章主要讲述HookNtOpenProcess函数阻止暴力枚举进程以及学习过程中遇到的相关问题以及解决方法

  • OpenProcess调用的主要过程:
  • 关键步骤解释及代码片段
  • 完整代码
  • 在HookSSDT的过程中遇到的问题

大家遇到问题也可以直接在下面评论,咱们可以一起探索一下
文章一部分参考自博客http://www.cnblogs.com/yifi/p/4898406.html

为了阻止暴力枚举进程,前辈们对OpenProcess函数的底层调用过程分析中发现可以对SSDT表进行Hook,从而达到阻止暴力枚举进程的目的,现在我们学习一下前辈们的经验,同时,我们可以将这个方法用到其他代码中。

一、OpenProcess调用的主要过程:
①从自己的exe模块的导入表中取值
②Ntdll.dll模块的导出表中取得ZwOpenProcess函数(获取索引,进入Ring0层)
此处要注意一下,Ntdll.dll导出表中的ZwOpenProcess和NtOpenProcess两个函数其实是一个函数

/*
X86
0:003> u zwOpenProcess
ntdll!ZwOpenProcess:
77755dc8 b8be000000      mov     eax,0BEh
77755dcd ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
77755dd2 ff12            call    dword ptr [edx]
77755dd4 c21000          ret     10h
77755dd7 90              nop

0:003> u ntOpenProcess
ntdll!ZwOpenProcess:
77755dc8 b8be000000      mov     eax,0BEh
77755dcd ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
77755dd2 ff12            call    dword ptr [edx]
77755dd4 c21000          ret     10h
77755dd7 90              nop
*/

/* 
x64
0:002> u ZwOpenProcess
ntdll!ZwOpenProcess:
00000000`76f81510 4c8bd1          mov     r10,rcx
00000000`76f81513 b823000000      mov     eax,23h
00000000`76f81518 0f05            syscall
00000000`76f8151a c3              ret
00000000`76f8151b 0f1f440000      nop     dword ptr [rax+rax]

0:002> u NtOpenProcess
ntdll!ZwOpenProcess:
00000000`76f81510 4c8bd1          mov     r10,rcx
00000000`76f81513 b823000000      mov     eax,23h
00000000`76f81518 0f05            syscall
00000000`76f8151a c3              ret
00000000`76f8151b 0f1f440000      nop     dword ptr [rax+rax]
*/

③进入Ring0层从Ntoskernel.exe模块的导出表,执行ZwOpenProcess(取索引,获得SSDT服务表索引)

/*
X86
kd> u nt!ZwOpenProcess
nt!ZwOpenProcess:
83e47cd8 b8be000000      mov     eax,0BEh
83e47cdd 8d542404        lea     edx,[esp+4]
83e47ce1 9c              pushfd
83e47ce2 6a08            push    8
83e47ce4 e8d5190000      call    nt!KiSystemService (83e496be)
83e47ce9 c21000          ret     10h

x64
kd> u ZwOpenProcess
nt!ZwOpenProcess:
fffff800`03e6e620 488bc4          mov     rax,rsp
fffff800`03e6e623 fa              cli
fffff800`03e6e624 4883ec10        sub     rsp,10h
fffff800`03e6e628 50              push    rax
fffff800`03e6e629 9c              pushfq
fffff800`03e6e62a 6a10            push    10h
fffff800`03e6e62c 488d05dd2d0000  lea     rax,[nt!KiServiceLinkage (fffff800`03e71410)]
fffff800`03e6e633 50              push    rax
*/

④通过索引取得NtOpenProcess的地址(x86),或者通过索引取得NtOpenProcess的相对偏移(x64)

/*
x86
kd> u nt!NtOpenProcess
nt!NtOpenProcess:
8401eba1 8bff            mov     edi,edi
8401eba3 55              push    ebp
8401eba4 8bec            mov     ebp,esp
8401eba6 51              push    ecx
8401eba7 51              push    ecx
8401eba8 64a124010000    mov     eax,dword ptr fs:[00000124h]
8401ebae 8a803a010000    mov     al,byte ptr [eax+13Ah]
8401ebb4 8b4d14          mov     ecx,dword ptr [ebp+14h]
.......

x64
kd> u ntopenprocess
nt!NtOpenProcess:
fffff800`041473d0 4883ec38        sub     rsp,38h
fffff800`041473d4 65488b042588010000 mov   rax,qword ptr gs:[188h]
fffff800`041473dd 448a90f6010000  mov     r10b,byte ptr [rax+1F6h]
fffff800`041473e4 4488542428      mov     byte ptr [rsp+28h],r10b
fffff800`041473e9 4488542420      mov     byte ptr [rsp+20h],r10b
fffff800`041473ee e84dfcffff      call    nt!PsOpenProcess (fffff800`04147040)
fffff800`041473f3 4883c438        add     rsp,38h
fffff800`041473f7 c3              ret
*./

⑤执行NtIpenProcess

从上面的通过dbg看的汇编来看,x86情况下,NtOpenProcess的索引是0xbe,x64下,NtOpenProcess的索引是0x23,我们可以把该索引处的地址换成我们自己写的函数即可实现Hook。

二、关键步骤解释及代码片段
1、SSDT的获取
SSDT表的结构:

typedef struct _SYSTEM_SERVICE_DESCRIPOR_TABLE_X86_
{
    PVOID   ServiceTableBase; // 函数指针数组的基地址
    PVOID   UnKnow0;
    ULONG32 NumberOfServices; // 函数的数量  0x191
    PVOID   Unknow1;
}SYSTEM_SERVICE_DESCRIPOR_TABLE_X86, *PSYSTEM_SERVICE_DESCRIPOR_TABLE_X86;

typedef struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE_X64_
{
    PVOID   ServiceTableBase; // 函数指针数组的基地址
    PVOID   UnKnown0;
    ULONG64 NumberOfServices; // 函数的数量 
    PVOID   UnKnow1;
}SYSTEM_SERVICE_DESCRIPOR_TABLE_X64,*PSYSTEM_SERVICE_DESCRIPOR_TABLE_X64;

①Win7_x86

/*
kd> dd KeServiceDescriptorTable
83f77b00  83e8c43c 00000000 00000191 83e8ca84
*/

x86下我们可以直接从ntos模块的导出表中获得

BOOLEAN GetSSDTAddressInWin7_X86(ULONG32* SSDTAddress)
{
    //从NtosKernel.exe 模块中的导出表获得该导出变量  KeServiceDescriptorTable
    *SSDTAddress = 0;
    *SSDTAddress = (ULONG32)GetExportVariableAddressFromNtosExportTableByVariableName(L"KeServiceDescriptorTable");
    if (*SSDTAddress != 0)
    {
        return TRUE;
    }
    return FALSE;
}

PVOID GetExportVariableAddressFromNtosExportTableByVariableName(WCHAR * VariableName)
{
    PVOID VariableAddress = NULL;
    UNICODE_STRING v1 = { 0 };

    if (VariableName&& wcslen(VariableName) > 0)
    {
        RtlInitUnicodeString(&v1, VariableName);
        VariableAddress = MmGetSystemRoutineAddress(&v1);
    }
    return VariableAddress;
}

②Win_x64
x64下SSDT没有导出,但是我们可以通过特殊模块寄存器–sr得到。Msr寄存器可以控制CPU工作环境等信息。我们通过读取 C0000082 寄存器,能够得到 KiSystemCall64 的地址,然后从KiSystemCall64 的地址开始,往下搜索 0x500 字节左右(特征码是 4c8d15) ,就能得到KeServiceDescriptorTable 的地址了。

BOOLEAN GetSSDTAddressInWin7_X64(ULONG64* SSDTAddress)
{
    /*
    kd> rdmsr c0000082
    msr[c0000082] = fffff800`03e85bc0

    kd> u fffff800`03e85bc0 l 50
    nt!KiSystemCall64:
    ......
    nt!KiSystemServiceRepeat:
    fffff800`03e85cf2 4c8d15478c2300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`040be940)]
    fffff800`03e85cf9 4c8d1d808c2300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`040be980)]
    */
    PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
    PUCHAR EndSearchAddress = StartSearchAddress + PAGE_SIZE;
    PUCHAR i = NULL;
    UCHAR  v1 = 0, v2 = 0, v3 = 0;
    INT64  Offset = 0;

    *SSDTAddress = 0;
    for (i = StartSearchAddress; i < EndSearchAddress; i++)
    {
        if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
        {
            v1 = *i;
            v2 = *(i + 1);
            v3 = *(i + 2);
            if (v1 == 0x4c && v2 == 0x8d && v3 == 0x15)  // 验证特征码
            {
                memcpy(&Offset, i + 3, 4);
                *SSDTAddress = (ULONG64)i + Offset + 7;
                break;
            }
        }
    }
    if (*SSDTAddress == 0)
    {
        return FALSE;
    }
    return TRUE;
}

2、SSDT的获取
Win7_x86和Win7_x64的获取方法是一致的,都是从Ntdll的导出表中获得,只是细节稍有不同。

BOOLEAN GetSSDTFunctionIndexFromNtdllExportTableByFunctionNameInWIN7_X86(CHAR * FunctionName, ULONG * SSDTFunctionIndex)
{
    BOOLEAN   IsOk = FALSE;
    PVOID     MappingBaseAddress = NULL;
    SIZE_T    MappingViewSize = 0;
    WCHAR     FileFullPath[] = L"\\SystemRoot\\System32\\ntdll.dll";
    ULONG32*  AddressOfFunctions = NULL;
    ULONG32*  AddressOfNames = NULL;
    UINT16*   AddressOfNameOrdinals = NULL;
    ULONG32   FunctionOrdinal = 0;
    PVOID     FunctionAddress = NULL;
    ULONG32   i = 0;
    CHAR*     TravelFunctionName = NULL;
    PIMAGE_NT_HEADERS NtHeader = NULL;
    PIMAGE_EXPORT_DIRECTORY ImageExportDirectory = NULL;
#ifdef _WIN64
    ULONG32   OffsetOfIndexInFunc = 4;
#else
    ULONG32   OffsetOfIndexInFunc = 1;
#endif

    IsOk = MappingPEFileInRing0Space(FileFullPath, &MappingBaseAddress, &MappingViewSize);
    if (IsOk == FALSE)
    {
        return FALSE;
    }
    else
    {
        __try
        {
            NtHeader = RtlImageNtHeader(MappingBaseAddress);// 通过PE文件基地址获得NtHeader
            if (NtHeader&&NtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
            {
                // 导出表地址
                ImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((UINT8*)MappingBaseAddress +
                    NtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

                AddressOfFunctions = (ULONG32*)((UINT8*)MappingBaseAddress + ImageExportDirectory->AddressOfFunctions);
                AddressOfNames = (ULONG32*)((UINT8*)MappingBaseAddress + ImageExportDirectory->AddressOfNames);
                AddressOfNameOrdinals = (UINT16*)((UINT8*)MappingBaseAddress + ImageExportDirectory->AddressOfNameOrdinals);
                for (i = 0; i < ImageExportDirectory->NumberOfNames; i++)
                {
                    TravelFunctionName = (CHAR*)((ULONG32)MappingBaseAddress + AddressOfNames[i]);
                    if (_stricmp(FunctionName, TravelFunctionName) == 0)
                    {
                        FunctionOrdinal = AddressOfNameOrdinals[i];
                        FunctionAddress = (PVOID)((UINT8*)MappingBaseAddress + AddressOfFunctions[FunctionOrdinal]);
                        /*
                        WIN7_x64
                        0:003> u zwopenprocess
                        ntdll!ZwOpenProcess:
                        00000000`76fe1510 4c8bd1          mov     r10,rcx
                        00000000`76fe1513 b823000000      mov     eax,23h
                        00000000`76fe1518 0f05            syscall
                        00000000`76fe151a c3              ret
                        00000000`76fe151b 0f1f440000      nop     dword ptr [rax+rax]

                        WIN7_x86
                        0:003> u ntopenprocess
                        ntdll!ZwOpenProcess:
                        77c65dc8 b8be000000      mov     eax, 0BEh
                        77c65dcd ba0003fe7f      mov     edx, offset SharedUserData!SystemCallStub(7ffe0300)
                        77c65dd2 ff12            call    dword ptr[edx]
                        77c65dd4 c21000          ret     10h
                        77c65dd7 90              nop
                        */

                        // 从函数地址偏移4个或1个字节得到此函数在SSDT表的索引
                        *SSDTFunctionIndex = *(ULONG32*)((UINT8*)FunctionAddress + OffsetOfIndexInFunc);
                    }
                }
            }
        }
        __except (EXCEPTION_EXECUTE_HANDLER)
        {
        }
    }

    ZwUnmapViewOfSection(NtCurrentProcess(), MappingBaseAddress);
    if (*SSDTFunctionIndex == -1)
    {
        return FALSE;
    }
    return TRUE;
}

//下面这一段摘自博客http://www.cnblogs.com/yifi/p/4898406.html
3.保存原先函数的地址
64位与32位不同 64为中存放的并不是SSDT函数的完整地址而是其相对于ServiceTableBase[Index]>>4 的数据(称它为偏移地址)

4.在32位中换掉Base中索引里的数据 NtOpenProcess Base[索引] == FakeNtOpenProcess –>HookSSDT,在32位中 直接替换就可以了但是………………….
/* 一系列的说明 作者:胡文亮 */
HOOK SSDT 就很简单了,首先获得待 HOOK 函数的序号
Index,然后通过公式把自己的代理函数的地址转化为偏移地址,然后把偏移地址的数据填入 ServiceTableBase[Index]。也许有些读者看到这里,已经觉得胜利在望了,我当时也是如此。但实际上我在这里栽了个大跟头,整整郁闷了很长时间!因为我低估了设计这套算法的工程师的智商,我没有考虑一个问题,为什么 WIN64 的 SSDT 表存放地址的形式这么奇怪?只存放偏移地址,而不存放完整地址?难道是为了节省内存?这肯定是不可能的,要知道现在内存白菜价。那么不是为了节省内存,唯一的可能性就是要给试图挂钩 SSDT 的人制造麻烦!要知道,WIN64 内核里每个驱动都 不在同一个 B 4GB 里,而 4 字节的整数只能表示 4GB的范围!所以无论你怎么修改这个值,都跳不出 ntoskrnl 的手掌心。如果你想通过修改这个值来跳转到你的代理函数, 那是绝对不可能的。 因为你的驱动的地址不 可能跟 l ntoskrnl 在同一个 B 4GB 里。然而,这位工程师也低估了我们中国人的智商, 在中国有两句成语, 这位工程师一定没听过, 叫 “明修栈道, 暗渡陈仓”以及“上有政策,下有对策” 。虽然不能直接用 4 字节来表示自己的代理函数所在的地址, 但是还是可以修改这个值的。 要知道, ntoskrnl 虽然有很多地方的代码通常是不会被执行的, 比如 KeBugCheckEx。 所以我的办法是: 修改这个偏移地址的值,使之跳转到 KeBugCheckEx ,然后在 x KeBugCheckEx 的头部写一个 2 12 字节的 mov - - jmp , 这是一个可以跨越 4GB B ! 的跳转, 跳到我们的函数里!

①Win7_x86

VOID HookSSDTWIN7_X86(PULONG32 ServiceTableBase,ULONG32 FunctionIndexInSSDT,ULONG32 FakeOpenProcess)
{
    WPOFF();
    ServiceTableBase[FunctionIndexInSSDT] = FakeOpenProcess;
    WPON();
}

②Win7_x64

VOID HookSSDTWIN7_X64(PVOID ServerTableBase,ULONG32 SSDTFunctionIndex,PVOID FakeFunctionAddress, 
    PVOID OldFunctionAddress,ULONG32 ParameterCount, UCHAR* OldFunctionCode, ULONG32 PatchCodeLength)
{
    ULONG32 KeBugOffsetInSSDT = 0;
    WPOFF();
    InLineHook(FakeFunctionAddress, OldFunctionAddress, OldFunctionCode, PatchCodeLength);
    WPON();

    KeBugOffsetInSSDT = CalcFunctionOffsetInSSDTInWIN7_X64(ServerTableBase,OldFunctionAddress, ParameterCount);
    WPOFF();
    ((PULONG32)ServerTableBase)[SSDTFunctionIndex] = (ULONG32)KeBugOffsetInSSDT;
    WPON();

    __IsHook = TRUE;
}

三、完整代码
.h文件

#pragma once
#include
#include
typedef struct _SYSTEM_SERVICE_DESCRIPOR_TABLE_X86_
{
    PVOID   ServiceTableBase; // 函数指针数组的基地址
    PVOID   UnKnow0;
    ULONG32 NumberOfServices; // 函数的数量  0x191
    PVOID   Unknow1;
}SYSTEM_SERVICE_DESCRIPOR_TABLE_X86, *PSYSTEM_SERVICE_DESCRIPOR_TABLE_X86;
/*
kd> dd KeServiceDescriptorTable
83f77b00  83e8c43c 00000000 00000191 83e8ca84
*/


typedef struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE_X64_
{
    PVOID   ServiceTableBase; // 函数指针数组的基地址
    PVOID   UnKnown0;
    ULONG64 NumberOfServices; // 函数的数量 
    PVOID   UnKnow1;
}SYSTEM_SERVICE_DESCRIPOR_TABLE_X64,*PSYSTEM_SERVICE_DESCRIPOR_TABLE_X64;
/*
kd> dd keServiceDescriptorTable
fffff800`040c9940  03e92800 fffff800 00000000 00000000
fffff800`040c9950  00000191 00000000 03e9348c fffff800
*/


typedef NTSTATUS (*pfnNtOpenProcess)
(   PHANDLE ProcessHandle,
    ACCESS_MASK DesiredAccess,
    POBJECT_ATTRIBUTES ObjectAttributes,
    PCLIENT_ID ClientId
);

NTSTATUS FakeOpenProcess
(PHANDLE ProcessHandle,
    ACCESS_MASK DesiredAccess,
    POBJECT_ATTRIBUTES ObjectAttributes,
    PCLIENT_ID ClientId
    );

extern
char* PsGetProcessImageFileName(PEPROCESS EProcess);
extern
PIMAGE_NT_HEADERS
NTAPI
RtlImageNtHeader(PVOID BaseAddress);

// 公共函数
BOOLEAN GetSSDTFunctionIndexFromNtdllExportTableByFunctionNameInWIN7(CHAR* FunctionName, ULONG* FunctionIndex);
BOOLEAN MappingPEFileInRing0Space(PWCHAR FileFullPath, PVOID* MappingBaseAddress, PSIZE_T MappingViewSize);
VOID DriverUnload(PDRIVER_OBJECT DriverObject);
VOID POFF();
VOID WPON();

// Win7_x86
VOID HookSSDTWIN7_X86(PULONG32 ServiceTableBase, ULONG32 FunctionIndexInSSDT, ULONG32 FakeOpenProcess);
VOID UnHookSSDTWIN7_X86(PULONG32 ServiceTableBase, ULONG32 FunctionIndex, ULONG32 OldNtOpenProcess);
PVOID GetExportVariableAddressFromNtosExportTableByVariableName(WCHAR* VariableName);
BOOLEAN GetSSDTAddressInWin7_X86(ULONG32* SSDTAddress);

// Win7_x64
VOID InLineHook(ULONG64 FakeFunctionAddress, ULONG64 OldFunctionAddress, UCHAR* OldFunctionCode, ULONG32 PatchCodeLength);
VOID HookSSDTWIN7_X64(PVOID ServerTableBase, ULONG32 SSDTFunctionIndex, PVOID FakeFunctionAddress,
    PVOID OldFunctionAddress, ULONG32 ParameterCount, UCHAR* OldFunctionCode, ULONG32 PatchCodeLength);
VOID UnHookSSDTWIN7_X64(PVOID ServiceTableBase, ULONG32 SSDTFunctionIndex, ULONG32 OldNtOpenProcessAddress,
    PVOID OldFunctionAddress, UCHAR* OldFunctionCode, ULONG32 PatchCodeLength);
VOID UnInLineHook(PVOID OldFunctionAddress, UCHAR* OldFunctionCode, ULONG32 PatchCodeLength);
BOOLEAN GetSSDTAddressInWin7_X64(ULONG64* SSDTAddress);
ULONG32 CalcFunctionOffsetInSSDTInWIN7_X64(PVOID ServerTableBase, PVOID OldFunctionAddress, ULONG32 ParameterCount);

.c文件

#include "HookSSDTx86.h"

#define  SEC_IMAGE 0x001000000

PVOID    __OldNtOpenProcessAddress = NULL;  // NtOpenProcess的绝对地址
ULONG32  __OldNtOpenProcessOffset = 0;      // x64下在0x23处的数据(右移4位即得到NtOpenProcess的偏移地址)
PVOID    __ServiceTableBase     = NULL;
ULONG32  __FunctionIndexInSSDT = 0;         // NtOpenProcess的索引
UCHAR    __OldFunctionCode[15] = { 0 };
BOOLEAN  __IsHook = FALSE;


NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath)
{
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    DriverObject->DriverUnload = DriverUnload;

#ifdef _WIN64
    CHAR    FunctionName[] = "NtOpenProcess";
    ULONG64 SSDTAddress = 0;
    ULONG32 v1 = 0;
    if (GetSSDTAddressInWin7_X64(&SSDTAddress) == FALSE)
    {
        return Status;
    }
    DbgPrint("Win7_X64 SSDTAddress is %p", SSDTAddress);
    if (GetSSDTFunctionIndexFromNtdllExportTableByFunctionNameInWIN7(FunctionName, &__FunctionIndexInSSDT) == FALSE)
    {
        return Status;
    }
    DbgPrint("FunctionIndex is %p\r\n", __FunctionIndexInSSDT);


    // 获取原先的OpenProcess的地址
    __ServiceTableBase = ((PSYSTEM_SERVICE_DESCRIPOR_TABLE_X86)SSDTAddress)->ServiceTableBase;
    __OldNtOpenProcessOffset = ((PULONG32)__ServiceTableBase)[__FunctionIndexInSSDT];
    DbgPrint("__OldNtOpenProcessOffset is %p\r\n", __OldNtOpenProcessOffset);


    // 右移4位,得到偏移地址v1
    v1 = __OldNtOpenProcessOffset >> 4;
    __OldNtOpenProcessAddress = (PVOID)((ULONG64)__ServiceTableBase + v1);  // 获取绝对地址
    DbgPrint("__OldNtOpenProcessAddress is %p\r\n", __OldNtOpenProcessAddress);
    HookSSDTWIN7_X64(__ServiceTableBase, __FunctionIndexInSSDT,FakeOpenProcess,KeBugCheckEx,5,__OldFunctionCode,15);

#else

    ULONG32 SSDTAddress = 0;
    CHAR  FunctionName[] = "NtOpenProcess";

    if (GetSSDTAddressInWin7_X86(&SSDTAddress) == FALSE)
    {
        return Status;
    }
    DbgPrint("Win7_X86 SSDTAddress is %p\r\n", SSDTAddress);
    if (GetSSDTFunctionIndexFromNtdllExportTableByFunctionNameInWIN7(FunctionName, &__FunctionIndexInSSDT) == FALSE)
    {
        return Status;
    }
    DbgPrint("FunctionIndex is %p\r\n", __FunctionIndexInSSDT);


    // 获取原先的OpenProcess的地址
    __ServiceTableBase = (PULONG32)((PSYSTEM_SERVICE_DESCRIPOR_TABLE_X86)SSDTAddress)->ServiceTableBase;
    __OldNtOpenProcessAddress = ((PULONG32)__ServiceTableBase)[__FunctionIndexInSSDT];
    HookSSDTWIN7_X86(__ServiceTableBase, __FunctionIndexInSSDT, FakeOpenProcess);
#endif
    return STATUS_SUCCESS;
}

VOID DriverUnload(PDRIVER_OBJECT DriverObject)
{
#ifdef _WIN64
    if (__IsHook)
    {
        UnHookSSDTWIN7_X64(__ServiceTableBase, __FunctionIndexInSSDT, __OldNtOpenProcessOffset,KeBugCheckEx,__OldFunctionCode,15);
        __IsHook = FALSE;
    }
#else
    UnHookSSDTWIN7_X86(__ServiceTableBase, __FunctionIndexInSSDT, __OldNtOpenProcessAddress);
#endif
    DbgPrint("ByeDriver\r\n");
}

VOID WPOFF()
{
#if (defined(_M_AMD64) || defined(_M_IA64)) && !defined(_REALLY_GET_CALLERS_CALLER_)
    _disable();
    __writecr0(__readcr0() & (~(0x10000))); // 将cr0寄存器的第17位置0
#else
    __asm
    {
        CLI; // 禁止所有中断发生
        MOV    EAX, CR0;
        AND    EAX, NOT 10000H;
        MOV    CR0, EAX;
    }
#endif
}

VOID WPON()
{
#if (defined(_M_AMD64) || defined(_M_IA64)) && !defined(_REALLY_GET_CALLERS_CALLER_)
    __writecr0(__readcr0() ^ 0x10000);// 将cr0寄存器的第17位置1
    _enable();
#else
    __asm
    {
        MOV    EAX, CR0;
        OR     EAX, 10000H;
        MOV    CR0, EAX;
        STI;
    }
#endif
}

BOOLEAN GetSSDTFunctionIndexFromNtdllExportTableByFunctionNameInWIN7(CHAR * FunctionName, ULONG * SSDTFunctionIndex)
{
    BOOLEAN   IsOk = FALSE;
    PVOID     MappingBaseAddress = NULL;
    SIZE_T    MappingViewSize = 0;
    WCHAR     FileFullPath[] = L"\\SystemRoot\\System32\\ntdll.dll";
    ULONG32*  AddressOfFunctions = NULL;
    ULONG32*  AddressOfNames = NULL;
    UINT16*   AddressOfNameOrdinals = NULL;
    ULONG32   FunctionOrdinal = 0;
    PVOID     FunctionAddress = NULL;
    ULONG32   i = 0;
    CHAR*     TravelFunctionName = NULL;
    PIMAGE_NT_HEADERS NtHeader = NULL;
    PIMAGE_EXPORT_DIRECTORY ImageExportDirectory = NULL;
#ifdef _WIN64
    ULONG32   OffsetOfIndexInFunc = 4;
#else
    ULONG32   OffsetOfIndexInFunc = 1;
#endif

    IsOk = MappingPEFileInRing0Space(FileFullPath, &MappingBaseAddress, &MappingViewSize);
    if (IsOk == FALSE)
    {
        return FALSE;
    }
    else
    {
        __try
        {
            NtHeader = RtlImageNtHeader(MappingBaseAddress);// 通过PE文件基地址获得NtHeader
            if (NtHeader&&NtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
            {
                // 导出表地址
                ImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((UINT8*)MappingBaseAddress +
                    NtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

                AddressOfFunctions = (ULONG32*)((UINT8*)MappingBaseAddress + ImageExportDirectory->AddressOfFunctions);
                AddressOfNames = (ULONG32*)((UINT8*)MappingBaseAddress + ImageExportDirectory->AddressOfNames);
                AddressOfNameOrdinals = (UINT16*)((UINT8*)MappingBaseAddress + ImageExportDirectory->AddressOfNameOrdinals);
                for (i = 0; i < ImageExportDirectory->NumberOfNames; i++)
                {
                    TravelFunctionName = (CHAR*)((ULONG32)MappingBaseAddress + AddressOfNames[i]);
                    if (_stricmp(FunctionName, TravelFunctionName) == 0)
                    {
                        FunctionOrdinal = AddressOfNameOrdinals[i];
                        FunctionAddress = (PVOID)((UINT8*)MappingBaseAddress + AddressOfFunctions[FunctionOrdinal]);
                        /*
                        WIN7_x64
                        0:003> u zwopenprocess
                        ntdll!ZwOpenProcess:
                        00000000`76fe1510 4c8bd1          mov     r10,rcx
                        00000000`76fe1513 b823000000      mov     eax,23h
                        00000000`76fe1518 0f05            syscall
                        00000000`76fe151a c3              ret
                        00000000`76fe151b 0f1f440000      nop     dword ptr [rax+rax]

                        WIN7_x86
                        0:003> u ntopenprocess
                        ntdll!ZwOpenProcess:
                        77c65dc8 b8be000000      mov     eax, 0BEh
                        77c65dcd ba0003fe7f      mov     edx, offset SharedUserData!SystemCallStub(7ffe0300)
                        77c65dd2 ff12            call    dword ptr[edx]
                        77c65dd4 c21000          ret     10h
                        77c65dd7 90              nop
                        */

                        // 从函数地址偏移4个或1个字节得到此函数在SSDT表的索引
                        *SSDTFunctionIndex = *(ULONG32*)((UINT8*)FunctionAddress + OffsetOfIndexInFunc);
                    }
                }
            }
        }
        __except (EXCEPTION_EXECUTE_HANDLER)
        {
        }
    }

    ZwUnmapViewOfSection(NtCurrentProcess(), MappingBaseAddress);
    if (*SSDTFunctionIndex == -1)
    {
        return FALSE;
    }
    return TRUE;
}

BOOLEAN MappingPEFileInRing0Space(PWCHAR FileFullPath, PVOID* MappingBaseAddress, PSIZE_T MappingViewSize)
{
    NTSTATUS Status;
    UNICODE_STRING v1;
    OBJECT_ATTRIBUTES ObjectAttributes;
    HANDLE FileHandle = NULL;
    IO_STATUS_BLOCK IoStatusBlock;
    HANDLE SectionHandle = NULL;
    if (FileFullPath == NULL&&MmIsAddressValid(FileFullPath))
    {
        return FALSE;
    }
    if (MappingBaseAddress == NULL&&MmIsAddressValid(MappingBaseAddress))
    {
        return FALSE;
    }
    RtlInitUnicodeString(&v1, FileFullPath);

    InitializeObjectAttributes(&ObjectAttributes,
        &v1, 
        OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,// 大小写不敏感,只能在内核模式下打开句柄
        NULL,
        NULL);

    Status = IoCreateFile(&FileHandle,
        GENERIC_READ | SYNCHRONIZE, // 一般读操作和等待对象操作
        &ObjectAttributes,
        &IoStatusBlock,
        NULL,
        FILE_ATTRIBUTE_NORMAL,
        FILE_SHARE_READ,
        FILE_OPEN,
        FILE_SYNCHRONOUS_IO_NONALERT, // 同步
        NULL,
        0,
        CreateFileTypeNone,
        NULL,
        IO_NO_PARAMETER_CHECKING
    );
    if (!NT_SUCCESS(Status))
    {
        return FALSE;
    }

    ObjectAttributes.ObjectName = NULL;
    Status = ZwCreateSection(&SectionHandle,
        SECTION_QUERY | SECTION_MAP_READ,
        &ObjectAttributes,
        NULL,
        PAGE_WRITECOPY,
        SEC_IMAGE,  // Specifies that the file that FileHandle specifies is an executable image file.
        FileHandle);
    if (!NT_SUCCESS(Status))
    {
        return FALSE;
    }
    ZwClose(FileHandle);
    Status = ZwMapViewOfSection(SectionHandle,
        NtCurrentProcess(),
        MappingBaseAddress,
        0,
        0,
        0,
        MappingViewSize,
        ViewUnmap,
        0,
        PAGE_WRITECOPY);
    ZwClose(SectionHandle);
    if (!NT_SUCCESS(Status))
    {
        return FALSE;
    }
    return TRUE;
}

BOOLEAN GetSSDTAddressInWin7_X86(ULONG32* SSDTAddress)
{
    //从NtosKernel.exe 模块中的导出表获得该导出变量  KeServiceDescriptorTable
    *SSDTAddress = 0;
    *SSDTAddress = (ULONG32)GetExportVariableAddressFromNtosExportTableByVariableName(L"KeServiceDescriptorTable");
    if (*SSDTAddress != 0)
    {
        return TRUE;
    }
    return FALSE;
}
BOOLEAN GetSSDTAddressInWin7_X64(ULONG64* SSDTAddress)
{
    /*
    kd> rdmsr c0000082
    msr[c0000082] = fffff800`03e85bc0

    kd> u fffff800`03e85bc0 l 50
    nt!KiSystemCall64:
    ......
    nt!KiSystemServiceRepeat:
    fffff800`03e85cf2 4c8d15478c2300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`040be940)]
    fffff800`03e85cf9 4c8d1d808c2300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`040be980)]
    */
    PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
    PUCHAR EndSearchAddress = StartSearchAddress + PAGE_SIZE;
    PUCHAR i = NULL;
    UCHAR  v1 = 0, v2 = 0, v3 = 0;
    INT64  Offset = 0;

    *SSDTAddress = 0;
    for (i = StartSearchAddress; i < EndSearchAddress; i++)
    {
        if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
        {
            v1 = *i;
            v2 = *(i + 1);
            v3 = *(i + 2);
            if (v1 == 0x4c && v2 == 0x8d && v3 == 0x15)  // 验证特征码
            {
                memcpy(&Offset, i + 3, 4);
                *SSDTAddress = (ULONG64)i + Offset + 7;
                break;
            }
        }
    }
    if (*SSDTAddress == 0)
    {
        return FALSE;
    }
    return TRUE;
}

PVOID GetExportVariableAddressFromNtosExportTableByVariableName(WCHAR * VariableName)
{
    PVOID VariableAddress = NULL;
    UNICODE_STRING v1 = { 0 };

    if (VariableName&& wcslen(VariableName) > 0)
    {
        RtlInitUnicodeString(&v1, VariableName);
        VariableAddress = MmGetSystemRoutineAddress(&v1);
    }

    return VariableAddress;
}

VOID HookSSDTWIN7_X86(PULONG32 ServiceTableBase,ULONG32 FunctionIndexInSSDT,ULONG32 FakeOpenProcess)
{
    WPOFF();
    ServiceTableBase[FunctionIndexInSSDT] = FakeOpenProcess;
    WPON();
}

VOID UnHookSSDTWIN7_X86(PULONG32 ServiceTableBase,ULONG32 FunctionIndex, ULONG32 OldNtOpenProcess)
{
    WPOFF();
    ServiceTableBase[FunctionIndex] = OldNtOpenProcess;
    WPON();
}

NTSTATUS FakeOpenProcess(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId)
{
    PEPROCESS  EProcess = PsGetCurrentProcess();    //进程上下背景文
    if (EProcess != NULL&&MmIsAddressValid(EProcess))
    {
        //通过EProcess 获得进程名称 
        char *ProcessImageName = PsGetProcessImageFileName(EProcess);
        if (strstr(ProcessImageName, "EnumProcess") != 0)
        {
            return STATUS_ACCESS_DENIED;  //黑名单
        }
    }
    ((pfnNtOpenProcess)__OldNtOpenProcessAddress)(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);  //白名单
}

VOID HookSSDTWIN7_X64(PVOID ServerTableBase,ULONG32 SSDTFunctionIndex,PVOID FakeFunctionAddress, 
    PVOID OldFunctionAddress,ULONG32 ParameterCount, UCHAR* OldFunctionCode, ULONG32 PatchCodeLength)
{
    ULONG32 KeBugOffsetInSSDT = 0;
    WPOFF();
    InLineHook(FakeFunctionAddress, OldFunctionAddress, OldFunctionCode, PatchCodeLength);
    WPON();

    KeBugOffsetInSSDT = CalcFunctionOffsetInSSDTInWIN7_X64(ServerTableBase,OldFunctionAddress, ParameterCount);
    WPOFF();
    ((PULONG32)ServerTableBase)[SSDTFunctionIndex] = (ULONG32)KeBugOffsetInSSDT;
    WPON();

    __IsHook = TRUE;
}

VOID InLineHook(ULONG64 FakeFunctionAddress,ULONG64 OldFunctionAddress,UCHAR* OldFunctionCode,ULONG32 PatchCodeLength)
{
    UCHAR PatchCode[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";
    memcpy(PatchCode + 6, &FakeFunctionAddress, 8); // 远距离跳转到自己的函数
    memcpy(OldFunctionCode, (PVOID)OldFunctionAddress, PatchCodeLength);// 保存原先内存的内容

    memset((PVOID)OldFunctionAddress, 0x90, PatchCodeLength);// 将置为nop指令(空指令)要打补丁的内存
    memcpy((PVOID)OldFunctionAddress, PatchCode, 14);  //打补丁
}

ULONG32 CalcFunctionOffsetInSSDTInWIN7_X64(PVOID ServerTableBase, PVOID OldFunctionAddress,ULONG32 ParameterCount)
{
    ULONG32 FunctionOffset = 0;
    CHAR    Bits[4] = { 0 };
    CHAR    v1 = 0;
    ULONG32 i = 0;

    // 将偏移地址右移4位,留出存放参数个数的位置(x64)
    // 如果这里变成ServerTableBase - OldFunctionAddress 会直接导致虚拟机CPU关闭,让我调试了快两个小时
    FunctionOffset = (ULONG32)((ULONG64)OldFunctionAddress - (ULONG64)ServerTableBase);
    FunctionOffset = FunctionOffset << 4;

    // 将最后的一个字节拷出来,把4位表示参数的数据放进去,然后再拷回去!
    memcpy(&v1, &FunctionOffset, 1);
    if (ParameterCount > 4)
    {
        ParameterCount -= 4;
    }
    else
    {
        ParameterCount = 0;
    }

#define SETBIT(x,y) x|=(1<//将X的第Y位置1
#define CLRBIT(x,y) x&=~(1<//将X的第Y位清0
#define GETBIT(x,y) (x & (1 << y))    //取X的第Y位,返回0或非0

    for (i = 0; i < 4; i++)
    {
        Bits[i] = GETBIT(ParameterCount, i);
        if (Bits[i])
        {
            SETBIT(v1, i);
        }
        else
        {
            CLRBIT(v1, i);
        }
    }
    // 将最后一个字节的内容还原
    memcpy(&FunctionOffset, &v1, 1);
    return FunctionOffset;
}

VOID UnHookSSDTWIN7_X64(PVOID ServiceTableBase,ULONG32 SSDTFunctionIndex,ULONG32 OldNtOpenProcessOffset,
    PVOID OldFunctionAddress,UCHAR* OldFunctionCode,ULONG32 PatchCodeLength)
{
    // 将KeBugCheckEx里面被替换的代码段修复
    WPOFF();
    UnInLineHook(OldFunctionAddress, OldFunctionCode, PatchCodeLength);
    WPON();

    // 将SSDT表里的NtOpenProcess的偏移修复
    WPOFF();
    ((PULONG32)ServiceTableBase)[SSDTFunctionIndex] = OldNtOpenProcessOffset;
    WPON();
}

VOID UnInLineHook(PVOID OldFunctionAddress,UCHAR* OldFunctionCode,ULONG32 PatchCodeLength)
{
    memcpy(OldFunctionAddress, OldFunctionCode, PatchCodeLength);
}

四、在HookSSDT的过程中遇到的问题,现在写出来记录并解释一下。

第一个问题:
为什么不能像x86一样将SSDT表里的地址换成我们自己的函数的地址呢?
1.首先,x64已经和x86的SSDT表不一样了,x86里面的地址是绝对地址,而x64SSDT里面的地址是偏移地址(相对于SSDT表中的__ServiceTableBase的值,也就是函数指针数组的首地址)
2.x64SSDT表里面的4个字节数据(32位数据)中的左28位是偏移,右4位是和参数个数相关的。

如果想要把FakeOpenProcess放入SSDT表中的话,偏移地址必须足够小
我们可以计算一下FakeOpenProcess的绝对地址减去SSDT表中的__ServiceTableBase ,因为最右端的4位和参数个数相关,所以我们得看偏移是不是满足4*7位的,

通过Dbg调试,FakeOpenProcess的地址是0xfffff880-02f492e0 ,__ServiceTableBase 的地址是0xfffff800-03e81800 。

0xfffff880-02f492e0 - 0xfffff800-03e81800 = 0x7f-ff0c7ae0,现在可以看出,放不进SSDT表了,偏移地址实在太大了!

所以64位采取的方法是:使用FF25远跳转指令直接跳转到我们自己写的FakeOpenProcess,不过FF25指令要执行的地方啊,于是前辈们找了一个不常用的函数KeBugCheckEx,把”\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF”这段代码的8个字节修改成FakeOpenProcess的地址后,将这段代码放在KeBugCheckEx函数开始地方,将KeBugCheckEx的相对于__ServiceTableBase的偏移放在0x23索引处,这样,当ZwOpenProcess呼叫到NtOpenProcess后,因为原来0x23处的地址被替换,所以ZwOpenProcess呼叫的是KeBugCheckEx,在执行KeBugCheckEx时,首先执行的是我们所写的跳转指令,直接跳转到FakeOpenProcess。
第二个问题:
为什么一定要通过映射文件到内存获得函数的地址,从而获得函数在SSDT表的索引呢,为什么不能像KeBugCheckEx一样直接通过函数指针减去SSDT的基地址呢?
这是因为可能在我们去勾OpenProcess函数之前,可能已经有其他程序已经将这个函数勾掉了,我们只能通过映射文件获得没有被勾的SSDT,从而得到正确的函数地址。

第三个问题:
在将x64位的程序写好之后,放到64位虚拟机上运行,刚用Kmd程序加载运行,就弹出来这个窗口。

并且无法调试,因为还没来得及调试,虚拟机已经崩溃了。
起初我认为DriverEntry还没执行就崩了,可能是程序设置属性的问题,检查属性也没毛病。网上也没查到答案。
最后发现将大部分代码屏蔽之后,可以正常运行,意识到是代码的问题,又因为刚加载虚拟机就关闭的原因,所以无法通过Windbg调试,只能一段代码一段代码的屏蔽,慢慢逼近错误,最终让我找到了。

//  FunctionOffset = (ULONG32)((ULONG64)ServerTableBase - (ULONG64)OldFunctionAddress);// 导致虚拟机直接关闭,不过晚上写博客的时候,修改成原来错误的状态,又可以调试了
    FunctionOffset = (ULONG32)((ULONG64)OldFunctionAddress - (ULONG64)ServerTableBase);

你可能感兴趣的:(驱动,驱动)

  • 机器学习与深度学习间关系与区别 ℒℴѵℯ心·动ꦿ໊ོ꫞ 人工智能学习深度学习python
    一、机器学习概述定义机器学习(MachineLearning,ML)是一种通过数据驱动的方法,利用统计学和计算算法来训练模型,使计算机能够从数据中学习并自动进行预测或决策。机器学习通过分析大量数据样本,识别其中的模式和规律,从而对新的数据进行判断。其核心在于通过训练过程,让模型不断优化和提升其预测准确性。主要类型1.监督学习(SupervisedLearning)监督学习是指在训练数据集中包含输入
  • 扫地机类清洁产品之直流无刷电机控制 悟空胆好小 清洁服务机器人单片机人工智能
    扫地机类清洁产品之直流无刷电机控制1.1前言扫地机产品有很多的电机控制,滚刷电机1个,边刷电机1-2个,清水泵电机,风机一个,部分中高端产品支持抹布功能,也就是存在抹布盘电机,还有追觅科沃斯石头等边刷抬升电机,滚刷抬升电机等的,这些电机有直流有刷电机,直接无刷电机,步进电机,电磁阀,挪动泵等不同类型。电机的原理,驱动控制方式也不行。接下来一段时间的几个文章会作个专题分析分享。直流有刷电机会自动持续
  • Python数据分析与可视化实战指南 William数据分析 pythonpython数据
    在数据驱动的时代,Python因其简洁的语法、强大的库生态系统以及活跃的社区,成为了数据分析与可视化的首选语言。本文将通过一个详细的案例,带领大家学习如何使用Python进行数据分析,并通过可视化来直观呈现分析结果。一、环境准备1.1安装必要库在开始数据分析和可视化之前,我们需要安装一些常用的库。主要包括pandas、numpy、matplotlib和seaborn等。这些库分别用于数据处理、数学
  • 腾讯云技术深度探索:构建高效云原生微服务架构 我的运维人生 云原生架构腾讯云运维开发技术共享
    腾讯云技术深度探索:构建高效云原生微服务架构在当今快速发展的技术环境中,云原生技术已成为企业数字化转型的关键驱动力。腾讯云作为行业领先的云服务提供商,不断推出创新的产品和技术,助力企业构建高效、可扩展的云原生微服务架构。本文将深入探讨腾讯云在微服务领域的最新进展,并通过一个实际案例展示如何在腾讯云平台上构建云原生应用。腾讯云微服务架构概览腾讯云微服务架构基于云原生理念,旨在帮助企业快速实现应用的容
  • Pyecharts数据可视化大屏:打造沉浸式数据分析体验 我的运维人生 信息可视化数据分析数据挖掘运维开发技术共享
    Pyecharts数据可视化大屏:打造沉浸式数据分析体验在当今这个数据驱动的时代,如何将海量数据以直观、生动的方式展现出来,成为了数据分析师和企业决策者关注的焦点。Pyecharts,作为一款基于Python的开源数据可视化库,凭借其丰富的图表类型、灵活的配置选项以及高度的定制化能力,成为了构建数据可视化大屏的理想选择。本文将深入探讨如何利用Pyecharts打造数据可视化大屏,并通过实际代码案例
  • ARM驱动学习之基础小知识 JT灬新一 ARM嵌入式arm开发学习
    ARM驱动学习之基础小知识•sch原理图工程师工作内容–方案–元器件选型–采购(能不能买到,价格)–原理图(涉及到稳定性)•layout画板工程师–layout(封装、布局,布线,log)(涉及到稳定性)–焊接的一部分工作(调试阶段板子的焊接)•驱动工程师–驱动,原理图,layout三部分的交集容易发生矛盾•PCB研发流程介绍–方案,原理图(网表)–layout工程师(gerber文件)–PCB板
  • ARM驱动学习之5 LEDS驱动 JT灬新一 嵌入式C底层arm开发学习单片机
    ARM驱动学习之5LEDS驱动知识点:•linuxGPIO申请函数和赋值函数–gpio_request–gpio_set_value•三星平台配置GPIO函数–s3c_gpio_cfgpin•GPIO配置输出模式的宏变量–S3C_GPIO_OUTPUT注意点:DRIVER_NAME和DEVICE_NAME匹配。实现步骤:1.加入需要的头文件://Linux平台的gpio头文件#include//三
  • ARM驱动学习之4小结 JT灬新一 嵌入式C++arm开发学习linux
    ARM驱动学习之4小结#include#include#include#include#include#defineDEVICE_NAME"hello_ctl123"MODULE_LICENSE("DualBSD/GPL");MODULE_AUTHOR("TOPEET");staticlonghello_ioctl(structfile*file,unsignedintcmd,unsignedlo
  • Python 课程10-单元测试 可愛小吉 Python教學python单元测试开发语言TDDunittest
    前言在现代软件开发中,单元测试已成为一种必不可少的实践。通过测试,我们可以确保每个功能模块在开发和修改过程中按预期工作,从而减少软件缺陷,提高代码质量。而测试驱动开发(TDD)则进一步将测试作为开发的核心部分,先编写测试,再编写代码,以测试为指导开发出更稳定、更可靠的代码。Python提供了强大的unittest模块,它是Python标准库的一部分,专门用于编写和执行单元测试。与其他测试框架相比,
  • 学写作的第四天 石声藤
    第四节如何坚持长期写下去?①摘要学好写作,重要的是持续性。如何坚持,就从淡化“坚持”这个词开始。做很多事,根本不是用坚持来驱动的,而是你清晰的认识,这件事很重要,你才坚持。②从本质认识写作的重要性意识决定人的行动。如果你从本质认识到某件事的重要性,即使没人逼你,你也会去坚持做,比如赚钱。认识写作的重要性,不认识,重新多学几遍第一节。③要让自己不断从写作中收益一件事能不断给你带来回报,是驱动你坚持做
  • 以研发创新为驱动力,黄山谷捷助力新能源汽车产业高质量发展 L913197600 黄山谷捷制造科技
    在新能源汽车产业蓬勃发展的浪潮中,车规级功率半导体作为驱动电机控制系统的核心部件,其性能与稳定性直接关系到汽车的动力输出、能效转化及安全性能。在这一关键领域,黄山谷捷股份有限公司(以下简称“黄山谷捷”或“公司”)以卓越的研发实力、精湛的生产工艺和严格的质量控制体系,成为行业内的佼佼者,特别是在功率半导体散热基板领域,更是树立了新的标杆。自2012年成立以来,黄山谷捷便深谙“科技是第一生产力”的真谛
  • 《算法》四学习——1.1节 进阶的Farmer 算法算法笔记
    前言买了一本算法4,每天看一点,对每个小结来个学习总结,输出驱动输入。本篇笔记针对第一章基础1.1基础编程模型1.1节总结了相关的语法、语言特性和书中将会用到的库。笔记自己在编码中容易遗漏的点&&优先级比||高在开发中习惯了加括号,所以没注意到这点,教材上也有但是忘记了二分查找中计算mid=left+(right-left)/2这样计算可以有效避免(left+right)/2溢出答疑java无穷大
  • macOs mojave 添加hp laserjet 1020 打印机方法。 Coder_Zh
    1.设置--》打印机与扫描仪。2.点击“+”选择IP3.输入地址:(写网络IP),协议选择:hpjetdirect-socket4.使用选项:选择hplaserjet10221.6(没有1020的驱动,但是1022的驱动兼容1020可以使用。)测试OK,可以使用。
  • 《刘润商业洞察力》:结构性张力 飘皓宇
    结构性张力是发现理想与现实的差距后忍不住缩小期望与现实之间差距的力量,它是增强回路系统里的“元动力”。这个原动力通常要靠我们自己的努力和奋斗来填平,也就是自驱动。自驱动除了使命以外,还可以靠外力吗?按照弗鲁姆的“期望理论”是可以建立员工个体的自驱力的。如果你用找“结构性张力”的视角找“元动力”,世界就不一样了。比如,美丽,是女孩子买漂亮衣服的元动力吗?准确地说,不是。和美丽之间的“差距”,才是。成
  • 目标和问题驱动 blue_panda
    持续成长,实践起来会有各种坑,虽然目标是很好的,但执行的过程中,确会有这样和那样的问题,现在就碰到了一些问题,目标,起点和路径不是那么清晰。出了问题,不怕。只要能发现问题,分析问题,制定方案,再执行对照目标和结果的偏差,肯定能够逐步的去解决的。
  • 究竟是什么决定了你的自驱动力 Aichris
    人所拥有的任何东西,都可以被剥夺,唯独人性最后的自由——也就是在任何境遇中选择一己态度和生活方式的自由——不能被剥夺。奥地利维克多-弗兰克你现在的状况,是由你之前的每一次选择和历史的积累决定的。我很相信这点,每次遇到事情不开心的时候,看看弗兰克这段话,深呼吸,让自己平静下来。昨天早上做飞机回上海开会,旁边做了一个外国妹子,很想和她沟通一下,但是不是很自信。她和同伴沟通的时候,我尝试听了一下,还是能
  • 24营2组锋妈11月13日作业及阅读笔记 锋妈
    第一部分,听课心得在《时间管理目标模型课程》中,主要学到了如下四点:一、为什么要制定目标二、怎么样制定目标三、制定目标后要做些什么四、立刻行动起来听完后,对照讲课提纲,是自身的存在的弱点,觉着最大的绊脚石是第四点立刻行动起来。因为再宏伟的目标,再强大的驱动力下,如果没有行动去执行,一切都是空谈。为了避免执行力弱化,结合自己目前实际情况,觉着尽量把目标制定的简单明了、可执行、可衡量、可反馈回顾的。只
  • 深入理解AOP(面向切面编程)及其应用 自身就是太阳 java开发语言spring
    目录AOP的核心概念AOP的实现方式1.定义DAO接口和实现类2.定义通知类3.开启AOP注解驱动切入点表达式通配符的使用:AOP通知类型案例分析:测量业务层接口的执行效率结论概述:AOP(Aspect-OrientedProgramming,面向切面编程)是一种编程范式,主要用于将共性功能从具体的业务逻辑中分离出来,实现松耦合的代码设计。其作用是在不修改原始代码的情况下,对现有方法进行增强,广泛
  • 我们在读书会尝试OKR,结果成了PDCA 湖边的阿曦
    “读书要玩味,好玩又有味。”前面有了不成熟的理解——《OKR的优势是什么?它的实践原则有哪些?》,现在又有了不成熟的实践——在读书会尝试OKR。我们的现状我们读书会是个小组织,每个月一次线下活动,每次参加人数在10位左右。也是个自组织,没有管理员,没有固定组织者,只有每次活动时的临时主持者。我们也没有任何规定,一切基于个人的自我驱动及相互尊重。活动的内容,可能是一本书,也可能是一个主题。在活动前,
  • 【仿RabbitMQ消息队列项目day2】使用muduo库中基于protobuf的应用层协议进行通信 月夜星辉雪 rabbitmq网络分布式c++后端服务器linux
    一.什么是muduo?muduo库是⼀个基于非阻塞IO和事件驱动的C++高并发TCP网络编程库。简单来理解,它就是对原生的TCP套接字的封装,是一个比socket编程接口更好用的编程库。二.使用muduo库完成一个英译汉翻译服务TranslateServer.hpp:#pragmaonce#include#include#include#include#include"muduo/net/TcpC
  • Linux驱动-字符设备驱动 Vis-Lin Linux驱动linux驱动开发运维单片机物联网
    Linux驱动-字符设备驱动前言一、预备知识1、file_operations结构体2、地址映射二、涉及的API函数1、字符设备驱动1.1、设备号1.1.1、register_chrdev_region函数1.1.2、alloc_chrdev_region函数1.1.3、unregister_chrdev_region函数1.2、字符设备1.2.1、cdev_init函数1.2.2、dev_add
  • Linux驱动开发-字符设备驱动开发 可能只会写BUG linuxlinux驱动开发c语言linux驱动开发运维
    linux驱动开发1.驱动程序的类型2.驱动开发流程字符设备驱动1.基本概念2.字符设备驱动的基本结构架构字符设备驱动开发中常用的API示例以下代码加入了设备类和设备实例的创建linux驱动开发1.驱动程序的类型在Linux中,驱动程序主要有以下几种类型:字符设备驱动:处理字节流的设备,如串口、键盘等。它们通过字符设备接口(如/dev/tty)与用户空间进行交互。块设备驱动:处理块存储设备,如硬盘
  • 全面指南:用户行为从前端数据采集到实时处理的最佳实践 数字沉思 营销流量运营系统架构前端内容运营大数据
    引言在当今的数据驱动世界,实时数据采集和处理已经成为企业做出及时决策的重要手段。本文将详细介绍如何通过前端JavaScript代码采集用户行为数据、利用API和Kafka进行数据传输、通过Flink实时处理数据的完整流程。无论你是想提升产品体验还是做用户行为分析,这篇文章都将为你提供全面的解决方案。设计一个通用的ClickHouse表来存储用户事件时,需要考虑多种因素,包括事件类型、时间戳、用户信
  • 如何搭建一个ip池用来做数据抓取用 KookeeyLena4 tcp/ip网络服务器
    在当今的数据驱动时代,数据抓取成为了获取网络信息的重要手段。然而,频繁的数据抓取活动可能会触发网站的安全机制,导致IP被封禁。为了维持数据抓取的持续性和稳定性,构建一个有效的IP池变得至关重要。本文将详细介绍如何搭建一个用于数据抓取的IP池,以及相关的策略和最佳实践。一、IP池的概念IP池是一个包含多个IP地址的集合,这些IP地址可以是动态的,也可以是静态的,用于在数据抓取过程中轮换使用,以避免因
  • [RS] 制作问题记录 _Walker__
    1、时间冻结遇上卡顿,战斗表现与逻辑脱节1.1做法设定时间冻结:Time.timeScale=0冻结与恢复的控制:用UnScaledFrameTimer执行战斗逻辑:用ScaledFrameTimer驱动冻结效果:当前施法的单位正常行动,其他单位冻结逻辑与表现匹配方式:完整的逻辑帧中减去冻结的帧数,当前表现的TML忽略TimeScale正常播放TML基于时间播放:其本身有追帧效果1.2脱节问题点与
  • 马可·奥勒留·安东尼丨帝王日课 D 214 丨张伟丨
    帝王日课丨文/张伟乐之写作工作坊这是椰子私塾第1918篇原创输出每天审视生活。D214D214我在哪里可以找到自信?一直想写小说,一直没有开始写。这大概就是缺少自信的表现吧。一直想学弹吉他,一直没有学会,这也是缺少自信吧。自信很重要,是做事最强大的驱动力,如何建立自信呢?从网上看了一些书,介绍了很多建立自信的方法。我得到一个结论——自信只有靠自己找,别人的方法并不一定适合你,不过我们可以从中找到一
  • 数字化智能工厂数字化供应链架构、全景管理、全流程贯通方案 数字化建设方案 智能制造数字工厂制造业数字化转型工业互联网架构
    随着信息技术的飞速发展,数字化转型已成为制造企业提升竞争力的关键途径。数字化智能工厂通过集成先进的物联网(IoT)、大数据、云计算、人工智能(AI)等技术,实现了生产过程的智能化、供应链管理的精准化及决策的科学化。本方案旨在构建一套完善的数字化供应链架构,实现全景管理、全流程贯通、智慧化升级,以数据为驱动,强化技术支撑与安全管理体系,推动企业向智能制造迈进。一、数字化供应链架构1.**集成化平台构
  • 系统架构师软考历年论文题目(2009-2024年)及分析 pccai-vip 系统架构师系统架构
    时间题目20091.论基于DSSA的软件架构设计与应用;2.论信息系统建模方法;3.论基于REST服务的Web应用系统设计;4.论软件可靠性设计与应用20101.论软件的静态演化和动态演化及其应用;2.论数据挖掘技术的应用;3.论大规模分布式系统缓存设计策略;4.论软件可靠性评价20111.论模型驱动架构在系统开发中的应用;2.论企业集成平台的架构设计;3.论企业架构管理与应用;4.论软件需求获取
  • 北斗赋能万物互联:新质生产力的强劲驱动力 GeoSaaS 地理信息智慧城市机器人物联网人工智能无人机
    在数字化转型的大潮中,中国自主研制的北斗卫星导航系统,作为国家重大空间基础设施,正以前所未有的力量推动着万物互联时代的到来,成为新质生产力发展的重要基石。本文将深入剖析北斗系统如何以其独特的技术优势和广泛应用场景,为各行业注入新的活力,加速经济社会的智能化升级。一、北斗系统的战略地位与技术演进自2000年第一颗北斗导航卫星成功发射以来,北斗系统经历了从试验系统到全球组网的历史性跨越,如今已成为与G
  • 学会提问很重要 Jerusalem4
    最近有一点很深的感触:学会提问很重要。为什么这么说?有两点现状正在驱动并让我意识到这一点。1.跟人聊天,需要有自己的想法,想法从哪里来?从独立思考里来,思考就需要多问问题,而学会提问是独立思考中很重要的一步。2.我现在开始做一些管理上的事情,管理中,有很多内容,需要我去思考去指导的,包括这个任务客户希望达到一个怎样的效果/结果?为了达成这个结果,我们需要怎样去做,去拆解任务?拆解任务之后,如何去把
  • Java 并发包之线程池和原子计数 lijingyao8206 Java计数ThreadPool并发包java线程池
    对于大数据量关联的业务处理逻辑,比较直接的想法就是用JDK提供的并发包去解决多线程情况下的业务数据处理。线程池可以提供很好的管理线程的方式,并且可以提高线程利用率,并发包中的原子计数在多线程的情况下可以让我们避免去写一些同步代码。     这里就先把jdk并发包中的线程池处理器ThreadPoolExecutor 以原子计数类AomicInteger 和倒数计时锁C
  • java编程思想 抽象类和接口 百合不是茶 java抽象类接口
    接口c++对接口和内部类只有简介的支持,但在java中有队这些类的直接支持   1 ,抽象类 :  如果一个类包含一个或多个抽象方法,该类必须限定为抽象类(否者编译器报错)   抽象方法 : 在方法中仅有声明而没有方法体    package com.wj.Interface;
  • [房地产与大数据]房地产数据挖掘系统 comsci 数据挖掘
           随着一个关键核心技术的突破,我们已经是独立自主的开发某些先进模块,但是要完全实现,还需要一定的时间...        所以,除了代码工作以外,我们还需要关心一下非技术领域的事件..比如说房地产     &nb
  • 数组队列总结 沐刃青蛟 数组队列
          数组队列是一种大小可以改变,类型没有定死的类似数组的工具。不过与数组相比,它更具有灵活性。因为它不但不用担心越界问题,而且因为泛型(类似c++中模板的东西)的存在而支持各种类型。      以下是数组队列的功能实现代码:   import List.Student; public class
  • Oracle存储过程无法编译的解决方法 IT独行者 oracle存储过程 
    今天同事修改Oracle存储过程又导致2个过程无法被编译,流程规范上的东西,Dave 这里不多说,看看怎么解决问题。   1.     查看无效对象 XEZF@xezf(qs-xezf-db1)> select object_name,object_type,status from all_objects where status='IN
  • 重装系统之后oracle恢复 文强chu oracle
    前几天正在使用电脑,没有暂停oracle的各种服务。 突然win8.1系统奔溃,无法修复,开机时系统 提示正在搜集错误信息,然后再开机,再提示的无限循环中。 无耐我拿出系统u盘 准备重装系统,没想到竟然无法从u盘引导成功。 晚上到外面早了一家修电脑店,让人家给装了个系统,并且那哥们在我没反应过来的时候, 直接把我的c盘给格式化了 并且清理了注册表,再装系统。 然后的结果就是我的oracl
  • python学习二( 一些基础语法) 小桔子 pthon基础语法
    紧接着把!昨天没看继续看django 官方教程,学了下python的基本语法 与c类语言还是有些小差别: 1.ptyhon的源文件以UTF-8编码格式 2. /   除 结果浮点型 //  除 结果整形 %   除 取余数 *   乘 **  乘方 eg 5**2 结果是5的2次方25 _&
  • svn 常用命令 aichenglong SVN版本回退
    1 svn回退版本   1)在window中选择log,根据想要回退的内容,选择revert this version或revert chanages from this version 两者的区别:   revert this version:表示回退到当前版本(该版本后的版本全部作废)   revert chanages from this versio
  • 某小公司面试归来 alafqq 面试
    先填单子,还要写笔试题,我以时间为急,拒绝了它。。时间宝贵。 老拿这些对付毕业生的东东来吓唬我。。 面试官很刁难,问了几个问题,记录下; 1,包的范围。。。public,private,protect. --悲剧了 2,hashcode方法和equals方法的区别。谁覆盖谁.结果,他说我说反了。 3,最恶心的一道题,抽象类继承抽象类吗?(察,一般它都是被继承的啊) 4,stru
  • 动态数组的存储速度比较 集合框架 百合不是茶 集合框架
    集合框架: 自定义数据结构(增删改查等) package 数组; /** * 创建动态数组 * @author 百合 * */ public class ArrayDemo{ //定义一个数组来存放数据 String[] src = new String[0]; /** * 增加元素加入容器 * @param s要加入容器
  • 用JS实现一个JS对象,对象里有两个属性一个方法 bijian1013 js对象
    <html> <head> </head> <body> 用js代码实现一个js对象,对象里有两个属性,一个方法 </body> <script> var obj={a:'1234567',b:'bbbbbbbbbb',c:function(x){
  • 探索JUnit4扩展:使用Rule bijian1013 java单元测试JUnitRule
            在上一篇文章中,讨论了使用Runner扩展JUnit4的方式,即直接修改Test Runner的实现(BlockJUnit4ClassRunner)。但这种方法显然不便于灵活地添加或删除扩展功能。下面将使用JUnit4.7才开始引入的扩展方式——Rule来实现相同的扩展功能。 1. Rule       &n
  • [Gson一]非泛型POJO对象的反序列化 bit1129 POJO
    当要将JSON数据串反序列化自身为非泛型的POJO时,使用Gson.fromJson(String, Class)方法。自身为非泛型的POJO的包括两种: 1. POJO对象不包含任何泛型的字段 2. POJO对象包含泛型字段,例如泛型集合或者泛型类 Data类 a.不是泛型类, b.Data中的集合List和Map都是泛型的 c.Data中不包含其它的POJO    
  • 【Kakfa五】Kafka Producer和Consumer基本使用 bit1129 kafka
    0.Kafka服务器的配置 一个Broker, 一个Topic Topic中只有一个Partition()   1. Producer: package kafka.examples.producers; import kafka.producer.KeyedMessage; import kafka.javaapi.producer.Producer; impor
  • lsyncd实时同步搭建指南——取代rsync+inotify ronin47
    1. 几大实时同步工具比较 1.1 inotify + rsync 最近一直在寻求生产服务服务器上的同步替代方案,原先使用的是 inotify + rsync,但随着文件数量的增大到100W+,目录下的文件列表就达20M,在网络状况不佳或者限速的情况下,变更的文件可能10来个才几M,却因此要发送的文件列表就达20M,严重减低的带宽的使用效率以及同步效率;更为要紧的是,加入inotify
  • java-9. 判断整数序列是不是二元查找树的后序遍历结果 bylijinnan java
    public class IsBinTreePostTraverse{ static boolean isBSTPostOrder(int[] a){ if(a==null){ return false; } /*1.只有一个结点时,肯定是查找树 *2.只有两个结点时,肯定是查找树。例如{5,6}对应的BST是 6 {6,5}对应的BST是
  • MySQL的sum函数返回的类型 bylijinnan javaspringsqlmysqljdbc
    今天项目切换数据库时,出错 访问数据库的代码大概是这样: String sql = "select sum(number) as sumNumberOfOneDay from tableName"; List<Map> rows = getJdbcTemplate().queryForList(sql); for (Map row : rows
  • java设计模式之单例模式 chicony java设计模式
    在阎宏博士的《JAVA与模式》一书中开头是这样描述单例模式的:   作为对象的创建模式,单例模式确保某一个类只有一个实例,而且自行实例化并向整个系统提供这个实例。这个类称为单例类。 单例模式的结构   单例模式的特点: 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。   饿汉式单例类   publ
  • javascript取当月最后一天 ctrain JavaScript
    <!--javascript取当月最后一天--> <script language=javascript> var current = new Date(); var year = current.getYear(); var month = current.getMonth(); showMonthLastDay(year, mont
  • linux tune2fs命令详解 daizj linuxtune2fs查看系统文件块信息
    一.简介: tune2fs是调整和查看ext2/ext3文件系统的文件系统参数,Windows下面如果出现意外断电死机情况,下次开机一般都会出现系统自检。Linux系统下面也有文件系统自检,而且是可以通过tune2fs命令,自行定义自检周期及方式。 二.用法: Usage: tune2fs [-c max_mounts_count] [-e errors_behavior] [-g grou
  • 做有中国特色的程序员 dcj3sjt126com 程序员
      从出版业说起 网络作品排到靠前的,都不会太难看,一般人不爱看某部作品也是因为不喜欢这个类型,而此人也不会全不喜欢这些网络作品。究其原因,是因为网络作品都是让人先白看的,看的好了才出了头。而纸质作品就不一定了,排行榜靠前的,有好作品,也有垃圾。 许多大牛都是写了博客,后来出了书。这些书也都不次,可能有人让为不好,是因为技术书不像小说,小说在读故事,技术书是在学知识或温习知识,有
  • Android:TextView属性大全 dcj3sjt126com textview
    android:autoLink    设置是否当文本为URL链接/email/电话号码/map时,文本显示为可点击的链接。可选值(none/web/email/phone/map/all)  android:autoText    如果设置,将自动执行输入值的拼写纠正。此处无效果,在显示输入法并输
  • tomcat虚拟目录安装及其配置 eksliang tomcat配置说明tomca部署web应用tomcat虚拟目录安装
    转载请出自出处:http://eksliang.iteye.com/blog/2097184 1.-------------------------------------------tomcat  目录结构 config:存放tomcat的配置文件 temp  :存放tomcat跑起来后存放临时文件用的 work   : 当第一次访问应用中的jsp
  • 浅谈:APP有哪些常被黑客利用的安全漏洞 gg163 APP
    首先,说到APP的安全漏洞,身为程序猿的大家应该不陌生;如果抛开安卓自身开源的问题的话,其主要产生的原因就是开发过程中疏忽或者代码不严谨引起的。但这些责任也不能怪在程序猿头上,有时会因为BOSS时间催得紧等很多可观原因。由国内移动应用安全检测团队爱内测(ineice.com)的CTO给我们浅谈关于Android 系统的开源设计以及生态环境。 1. 应用反编译漏洞:APK 包非常容易被反编译成可读
  • C#根据网址生成静态页面 hvt Web.netC#asp.nethovertree
    HoverTree开源项目中HoverTreeWeb.HVTPanel的Index.aspx文件是后台管理的首页。包含生成留言板首页,以及显示用户名,退出等功能。根据网址生成页面的方法:   bool CreateHtmlFile(string url, string path) { //http://keleyi.com/a/bjae/3d10wfax.htm stri
  • SVG 教程 (一) 天梯梦 svg
    SVG 简介 SVG 是使用 XML 来描述二维图形和绘图程序的语言。 学习之前应具备的基础知识: 继续学习之前,你应该对以下内容有基本的了解: HTML XML 基础 如果希望首先学习这些内容,请在本站的首页选择相应的教程。 什么是SVG? SVG 指可伸缩矢量图形 (Scalable Vector Graphics) SVG 用来定义用于网络的基于矢量
  • 一个简单的java栈 luyulong java数据结构
    public class MyStack { private long[] arr; private int top; public MyStack() { arr = new long[10]; top = -1; } public MyStack(int maxsize) { arr = new long[maxsize]; top
  • 基础数据结构和算法八:Binary search sunwinner AlgorithmBinary search
    Binary search needs an ordered array so that it can use array indexing to dramatically reduce the number of compares required for each search, using the classic and venerable binary search algori
  • 12个C语言面试题,涉及指针、进程、运算、结构体、函数、内存,看看你能做出几个! 刘星宇 c面试
    12个C语言面试题,涉及指针、进程、运算、结构体、函数、内存,看看你能做出几个! 1.gets()函数 问:请找出下面代码里的问题: #include<stdio.h> int main(void) {     char buff[10];     memset(buff,0,sizeof(buff));
  • ITeye 7月技术图书有奖试读获奖名单公布 ITeye管理员 活动ITeye试读
    ITeye携手人民邮电出版社图灵教育共同举办的7月技术图书有奖试读活动已圆满结束,非常感谢广大用户对本次活动的关注与参与。 7月试读活动回顾: http://webmaster.iteye.com/blog/2092746 本次技术图书试读活动的优秀奖获奖名单及相应作品如下(优秀文章有很多,但名额有限,没获奖并不代表不优秀): 《Java性能优化权威指南》
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他