在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。
在Windows NT中,存在三种Device Driver:
1.“Virtual device Driver” (VDD)。通过VDD,16位应用程序,如DOS 和Win16应用程序可以访问特定的I/O端口(注意,不是直接访问,而是要通过VDD来实现访问)。
2.“GDI Driver”,提供显示和打印所需的GDI函数。
3.“Kernel Mode Driver”,实现对特定硬件的操作,比如说CreateFile, CloseHandle (对于文件对象而言), ReadFile, WriteFile, DeviceIoControl 等操作。“Kernel Mode Driver”还是Windows NT中唯一可以对硬件中断和DMA进行操作的Driver。SCSI 小端口驱动和 网卡NDIS 驱动都是Kernel Mode Driver的一种特殊形式。
Visual studio11与Windows8带来格外不同的新体验
1.启动Vs11
2.看见满目的驱动开发模板
3.选择一个驱动模式,有内核模式与用户模式两种的驱动
4.创建一个驱动程序,KMDF DriverMVP
5.我们选择的是内核模式的驱动程序,下面是创建成功后的界面,分别是驱动程序本身,与驱动安装包
6.按下F5,选择驱动编译,
插入下列代码实现ring0层枚举注册表,请见代码分析
#include <ntddk.h> VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { DbgPrint("Driver Unload"); } //自定义枚举注册表键值函数 NTSTATUS MyRegEnumSubValue() { UNICODE_STRING RegUnicodeString; HANDLE hRegister; ULONG ulSize; NTSTATUS ntStatus; UNICODE_STRING uniKeyName; PKEY_VALUE_FULL_INFORMATION pvbi; PKEY_FULL_INFORMATION pfi; ULONG i; OBJECT_ATTRIBUTES objectAttributes; //初始化UNICODE_STRING字符串 RtlInitUnicodeString( &RegUnicodeString, L"\\REGISTRY\\MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN"); //初始化objectAttributes InitializeObjectAttributes(&objectAttributes, &RegUnicodeString, OBJ_CASE_INSENSITIVE,//对大小写敏感 NULL, NULL ); //打开注册表 ntStatus = ZwOpenKey( &hRegister, KEY_ALL_ACCESS, &objectAttributes); if (NT_SUCCESS(ntStatus)) { KdPrint(("Open register successfully\n")); } ZwQueryKey(hRegister, KeyFullInformation, NULL, 0, &ulSize); pfi=(PKEY_FULL_INFORMATION) ExAllocatePool(PagedPool,ulSize); //查询注册表 ZwQueryKey(hRegister, KeyFullInformation, pfi, ulSize, &ulSize); //开始循环枚举注册表 for(i=0;i<pfi->Values;i++) { ZwEnumerateValueKey(hRegister, i, KeyValueFullInformation, NULL, 0, &ulSize); pvbi =(PKEY_VALUE_FULL_INFORMATION ) ExAllocatePool(PagedPool,ulSize); ZwEnumerateValueKey(hRegister, i, KeyValueFullInformation, pvbi, ulSize, &ulSize); uniKeyName.Length = uniKeyName.MaximumLength = (USHORT)pvbi->NameLength; uniKeyName.Buffer = pvbi->Name; //将键值输出 DbgPrint("第%d个键值名称是:%wZ\n",i,&uniKeyName); //判断键值的类型 if (pvbi->Type==REG_SZ) { DbgPrint("键值的类型是:REG_SZ\n"); } else if (pvbi->Type==REG_MULTI_SZ) { DbgPrint("键值的类型是:REG_MULTI_SZ\n"); } else if (pvbi->Type==REG_DWORD) { KdPrint(("键值的类型是:REG_DWORD\n")); } else if (pvbi->Type==REG_BINARY) { KdPrint(("键值的类型是:REG_BINARY\n")); } ExFreePool(pvbi); } ExFreePool(pfi); ZwClose(hRegister); return STATUS_SUCCESS; } NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { MyRegEnumSubValue(); DriverObject->DriverUnload = DriverUnload; return STATUS_SUCCESS; }