Posted on 2009-10-25 01:14
S.l.e!ep.¢% 閱讀(251)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
[資料]
http://m.shnenglu.com/sleepwom/archive/2009/10/24/99375.html- //========================驅動入口函數
- extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT??pDriverObject, IN PUNICODE_STRING??pRegistryPath)
- {
- ??DbgPrint("Entry Hook Function!\n");
- ? ? ? ? pDriverObject->DriverUnload = Unload;
- ???????
- ? ? ? ? Hook();
- ??
- ??DbgPrint("Leave DriverEntry!\n");
- ??
- ? ? ? ? return STATUS_SUCCESS;
- ??
- }
DriverEntry() 只有當第一次加載驅動時會被調用,此時 執行Hook();
DriverEntry is the first routine called after a driver is loaded, and is responsible for initializing the driver
DriverUnload (PDRIVER_UNLOAD) :指向DriverUnload入口函數的指針.在驅動程序被從內存中卸載時,DriverUnload入口函數會被操作系統調用,你應該在該函數內部做一些與DriverEntry向對應的資源清除工作.
此時執行 UnHook();
DriverUnload函數的主要工作
刪除以鏈表形式掛接在驅動對象上的一個或多個 設備對象.(只針對NT型驅動)
進行與DriverEntry函數中相對應的反初始化工作.例如如果在DriverEntry函數中申請了堆內存,那么在DriverUnload函數中應該釋放該堆內存.
PDRIVER_OBJECT??成員
DriverStartIo (PDRIVER_STARTIO) : 指向StartIO入口函數的指針.
DriverUnload (PDRIVER_UNLOAD) :指向DriverUnload入口函數的指針.在驅動程序被從內存中卸載時,DriverUnload入口函數會被操作系統調用,你應該在該函數內部做一些與DriverEntry向對應的資源清除工作.
MajorFunction (一個數組,數組中每一元素又是一個指向函數的指針 PDRIVER_DISPATCH):數組中每一個指針指向一個入口函數.在接收到不同的請求包(IRP)時,OS會調用不同的入口函數.
驅動對象的一些關鍵字段(二)
DeviceObject (PDEVICE_OBJECT) : 指向一個鏈表的指針,該鏈表中每一個節點都存儲了一個FDO對象.每一個FDO都代表一個由該驅動維護的硬件設備實例.在WDM模型中,該鏈表由OS自動維護.
DriverExtension (PDRIVER_EXTENSION) :指向另外一個結構體,該結構體中唯一有用的字段為 AddDevice .AddDevice字段指向一個入口函數.在操作系統發現一個新的設備實例時,它會自動調用AddDevice函數,你應該在該函數中做一些與設備實例相關的初始化工作.