博客园_Jerson Ju

转：在驱动和应用程序间共享内存（一）

2010-09-21T01:53:00Z

在不同的场合，很多驱动编写人员需要在驱动和用户程序间共享内存。两种最容易的技术是：

l 应用程序发送IOCTL给驱动程序，提供一个指向内存的指针，之后驱动程序和应用程序就可以共享内存。（应用程序分配共享内存）

l 由驱动程序分配内存页，并映射这些内存页到指定用户模式进程的地址空间，并且将地址返回给应用程序。（驱动程序分配共享内存）

使用IOCTL共享Buffer：

使用一个IOCT描述的Buffer，在驱动和用户程序间共享内存是内存共享最简单的实现形式。毕竟，IOCTL也是驱动支持其他I/O请求最经典的方法。应用程序调用Win32函数DeviceIoControl()，要被共享的Buffer的基地址和长度被放入OutBuffer参数中。对于使用这种Buffer共享方式的驱动编写者需要确定的事情就是对于特定的IOCTL采取哪种Buffer method。既可以使用METHOD_XXX_DIRECT，也可以使用METHOD_NEITHER。

（PS：在METHOD_XXX_DIRECT模式下，IO管理器为应用层指定的输出缓冲区（OutputBuffer）创建一个MDL锁住该应用层的缓冲区内存，然后，我们可以在内核层中使用MmGetSystemAddressForMdlSafe获得应用层输出缓冲区所对应的内核层地址。MDL地址被放在了Irp->MdlAddress中）。

如果采用METHOD_XXX_DIRECT方式，那用户Buffer将被检查是否正确存取，检查过后用户Buffer将被锁进内存。驱动需要调用MmGetSystemAddressForMdlSafe将前述Buffer映射到内核地址空间。这种方式的一个优点就是驱动可以在任意进程上下文、任意IRQL优先级别上存取共享内存Buffer。如果只需要将数据传给驱动则使用METHOD_IN_DIRECT方式。如果从驱动返回数据给应用程序或者做双向数据交换则使用METHOD_OUT_BUFFER。

（PS：这些检查都将由IO管理器来负责，并且，此时IO管理器将为用户层的缓冲区创建MDL。因为此时还未到设备驱动层，当前上下文还属于当前发起 DeviceIo调用的进程，用户模式缓冲区的内存有效。但是，经过IO管理器发送IRP到下层驱动时，就不能保证当前上下文，幸而有IO管理器为我们创建MDL。这样，我们就可以在内核层获得对应的内核地址，并且自由写入数据。）

使用METHOD_NEITHER方式描述一个共享内存Buffer存在许多固有的限制和需要小心的地方。（基本上，在任何时候一个驱动使用这种方式都是一样的）。其中最主要的规则是驱动只能在发起请求进程的上下文中存取Buffer。这是因为要通过Buffer的用户虚拟地址存取共享内存Buffer。这也就意味着驱动必须要在设备栈的顶端，被用户应用程序经由IO Manager直接调用。期间不能存在中间层驱动或者文件系统驱动在我们的驱动之上。在实际情况下，WDM驱动将严格限制在其Dispatch例程中存储用户Buffer。而KMDF驱动则需要在EvtIoInCallerContext事件回调函数中使用。

另外一个重要的固有限制就是使用METHOD_NEITHER方式的驱动要存取用户Buffer必须在PASSIVE_LEVEL的IRQL级别。这是因为 IO Manager没有把Buffer锁在内存中，因此驱动程序想要存取共享Buffer时，内存可能被换出去了。如果驱动不能满足这个要求，就需要驱动创建一个mdl，然后将其共享Buffer锁进到内存中。

（PS： METHOD_NEITHER不建议使用，还是使用直接IO好。）

另外，考虑到传输类型的选择，对于这种方式可能的非直接明显的限制是对于共享的内存必须被用户模式应用程序分配。如果考虑到配额限制，能够被分配的内存数量是有限的。另外，用户应用程序不能分配物理连续的内存和Non-cache内存。当然，如果驱动和用户模式应用所有要做的就是使用合理大小的数据 Buffer将数据传入和传出，这个技术可能是最简单和实用的。

和它的简易一样，使用IOCTL在驱动和用户模式应用之间共享内存的也是最常被误解的方案。一个使用这种方案的新Windows驱动开发者常犯的错误就是当驱动已经查询到了Buffer的地址后就通知结束IOCTL。这是一个非常坏的事情。为什么？如果应用程序突然退出了，比如有一个意味，会发生什么情况。另外一个问题就是当使用METHOD_XXX_DIRECT，如果带有MDL的IRP被完成，Buffer将不再被映射到系统内核地址空间，一次试图对以前有效的内核虚拟地址空间的存取（MmGetSystemAddressForMdlSafe获取）将使系统崩溃。这通常要避免。

一个针对这个问题的方案是应用程序使用FILE_FLAG_OVERLAPPED打开设备并且考虑IOCTL使用一个OVERLAPPED结构。一个驱动可以针对IRP设置cancel例程（使用IoSetCancelRoutine），将IRP标记为挂起（使用IoMakeIrpPending），并且返回给调用者STATUS_PENGDING前将IRP放进内部队列。当然，KMDF驱动对这类问题可以放心，只需要将请求设置为进行中并且可取消，就像 WDFQUEUE。

（PS：要小心使用MDL，防止应用层程序意外退出而造成MDL所描述的虚拟内存无效。）

使用这种方法有两个优点：

1、当应用程序从IOCTL调用中得到ERROR_IO_PENDING的返回结果时，知道Buffer被映射了。并且知道什么时候IOCTL最终完成并将Buffer取消映射。

2、通过取消例程（WDM）或者一个EvtIoCancelOnQueue事件处理回调例程，驱动程序成功在应用程序退出或者取消IO命令时得到通知，所以它可以执行必要的操作来完成IOCTL。因而有MDL位置用于内存取消映射操作。

转载自：http://hi.baidu.com/clingingice/blog/item/203146941729670f7bf480f6.html

英文原文：http://www.osronline.com/article.cfm?article=39

本文链接

转：在驱动和应用程序间共享内存（二）

2010-09-21T01:48:00Z

分配并且映射页：

现在剩下了前面提到的第二种方法：分配内存页并且映射这些页到特定进程的用户虚拟地址空间上。使用大多数Windows驱动编写者常见的API，这个方法令人惊讶的容易，同时也允许驱动对分配内存的类型具有最大的控制能力。

驱动无论使用什么标准方法，都是希望分配内存来共享。例如，如果驱动需要一个适当的设备（逻辑）地址作DMA，就像内存块的内核虚拟地址，它能够使用 AllocateCommonBuffer来分配内存。如果没有要求特定的内存特性，要被共享的内存大小也是适度的，驱动可以将0填充、非分页物理内存页分配给Buffer。

从主内存分配0填充、非分页的页面，使用MmAllocatePagesForMDL或者MmAllocatePagesForMdlEx。这些函数返回一个MDL描述内存的分配。驱动使用函数MmGetSystemAddressForMdlSafe映射MDL描述的页到内核虚拟地址空间。从主内存分配页比使用分页内存池或者非分页内存池得到的内存更加安全，后者不是一个好主意。

PS：这种方式是内核来分配内存空间，但是是使用MmAllocatePagesForMDL从主内存池中分配，返回得到一个MDL，对于驱动如何使用该共享内存，采用MmGetSystemAddressForMdlSafe得到其内核地址。对于应用层使用该共享内存，采用 MmMapLockedPagesSpecifyCache映射到应用层进程地址空间中，返回用户层地址空间的起始地址，将其放在IOCTL中返回给用户应用程序。

借助一个用来描述共享内存的MDL，驱动现在准备映射这些页到用户进程地址空间。这可以使用函数MmMapLockedPagesSpecifyCache来实现。你需要知道调用这个函数的窍门是：

你必须在你希望映射Buffer的进程上下文中调用这个函数。

PS：如果是在别的进程上下文中调用，就变成了映射到其他进程上下文中了，但是我如何保证在我希望映射Buffer的进程上下文调用呢？

设定AccessMode参数为UserMode。对MmMapLockedPagesSpecifyCache函数调用返回值是MDL描述内存页映射的用户虚拟地址空间地址。驱动可以将其放在对应IOCTL的缓存中给用户应用程序。

你需要有一个方法，在不需要时将分配的内存清除掉。换句话说，你需要调用MmFreePageFromMdl来释放内存页。并且调用IoFreeMdl来释放由MmAllocatePageForMdl(Ex)创建的MDL。你几乎都是在你驱动的IRP_MJ_CLEANUP处理例程（WDM）或者 EvtFileCleanup事件处理回调（KMDF中作这个工作）。

这是所要做的，综合起来，完成这个过程的代码见下面。

PVOID CreateAndMapMemory(OUT PMDL* PMemMdl,

OUT PVOID* UserVa)

{

PMDL Mdl;

PVOID UserVAToReturn;

PHYSICAL_ADDRESS LowAddress;

PHYSICAL_ADDRESS HighAddress;

SIZE_T TotalBytes;

// 初始化MmAllocatePagesForMdl需要的Physical Address

LowAddress.QuadPart = 0;

MAX_MEM(HighAddress.QuardPart);

TotalBytes.QuadPart = PAGE_SIZE;

// 分配4K的共享缓冲区

Mdl = MmAllocatePagesForMdl(LowAddress,

HighAddress,

LowAddress,

TotalBytes);

if(!Mdl)

{

Return STATUS_INSUFFICIENT_RESOURCES;

}

// 映射共享缓冲区到用户地址空间

UserVAToReturn = MmMapLockedPagesSpecifyCache(Mdl,

UserMode,

MmCached,

NULL,

FALSE,

NormalPagePriority);

if(!UserVAToReturn)

{

MmFreePagesFromMdl(Mdl);

IoFreeMdl(Mdl);

Return STATUS_INSUFFICIENT_RESOURCE;

}

// 返回，得到MDL和用户层的虚拟地址

*UserVa = UserVAToReturn;

*PMemMdl = Mdl;

return STATUS_SUCCESS;

}

当然，这种方法也有缺点，调用MmMapLockedPagesSpecifyCache必须在你希望内存页被映射的进程上下文来做。较之使用 METHOD_NEITHER的IOCTL方法，该方法表现出不必其更多的灵活性。然而，不像前者，后者只需一个函数（MmMapLockerPagesSpecifyCache）在目标上下文被调用。由于很多OEM设备驱动在设备栈中只有一个且直接基于总线的（也就是在其上没有别的设备，除了总线驱动其下没有别的驱动），这个条件很容易满足。对于那些少量的设备驱动，处于设备栈的深处并且需要和用户模式应用直接共享 Buffer的，一个企业级的驱动编写者可能能找到一个安全的地方在请求的进程上下文中调用。

在页面被映射以后，共享内存就可以象使用METHOD_XXX_DIRECT的IOCTL方法一样，能够在任意的进程上下文被存取，也可以在高IRQL上存取（因为共享内存来之非分页内存）。

PS：需要我们确定的一点就是何时调用MmMapLockedPagesSpecifyCache安全的映射到指定进程的上下文中。还有一点，就是该共享内存处于非分页内存中，所以可以在搞IRQL上存取。

如果你使用这种方法，有一个决定性的事情一直要记者：你必须确信你的驱动要提供方法，在任何时候用户进程退出的时候，能够将你映射到用户空间的页面作取消映射的操作。这件事情的失败会导致系统在应用层退出的时候崩溃。我们找到一个简单方法就是无论何时应用层关闭设备句柄，则对这些页面作取消映射操作。由于应用层关闭句柄，出现意外或者其他情况，驱动将收到对应于该应用层打开的设备文件对象的一个IRP_MJ_CLEANUP，你可以确信这是工作的。你将在 CLEANUP使执行这些操作，而不是CLOSE，因为你可以保证在请求线程的上下文中得到Cleanup IRP。下面代码可以看见分配资源的释放。

VOID UnMapAndFreeMemory(PMDL PMdl,PVOID UserVa)

{

if(!PMdl)

{ return ;}

// 解除映射

MmUnMapLockerPages(UserVa,PMdl);

// 释放MDL锁定的物理页

MmFreePagesFromMdl(PMdl);

// 释放MDL

IoFreeMdl(PMdl);

}

其他挑战：

无论使用哪种机制，驱动和应用程序将需要支持同步存取共享内存的通用方式，这可以通过很多许多方法来做。可能最简单的机制是共享一个或者多个命名事件。应用和驱动共享事件的最简单方法就是应用层生成事件，然后将事件句柄传递给驱动层。驱动然后从应用层的上下文中Reference事件句柄。如果你使用这种方法，请不要忘记在驱动的Cleanup处理代码中Dereference这个句柄。

PS：一定要注意解引用来自应用层的事件对象。

总结：

我们观察了两种在驱动和用户模式应用程序共享内存的方法：

1、用户层创建缓冲区并且通过IOCTL传递给驱动

2、在驱动中使用MmAllocatePagesForMdl分配内存页，得到MDL，然后将该MDL所描述的内存映射到用户层地址空间（MmMapLockedPagesSpecifyCache）。得到用户地址空间的起始地址，并通过IOCTL返回给用户层。

译者注：

在使用命名事件来同步驱动和应用程序共享缓冲区时，一般不要使用驱动程序创建命名事件，然后根据应用程序名称打开的方法。这种方法虽然可以使得驱动激活事件后，所有相关应用程序都能够被唤醒，方便程序的开发，但是他有两个问题：一是命名事件只有在WIN32子系统起来后才能正确创建，这会影响到驱动程序开发。最严重的问题是在驱动中创建的事件其存取权限要求比较高，在WinXP下要求具有Administrator组权限的用户创建的应用程序才能够存取该事件。在Vista系统下由于安全功能的强化，这方面的问题更加严重。因此尽量使用应用程序创建的事件，或者通过其他同步方式。

转载自：http://hi.baidu.com/clingingice/blog/item/abeabc1016bd13c1a7ef3ff6.html

英文原文：http://www.osronline.com/article.cfm?article=39

本文链接

MaxDos绑定(搜狗流氓插件)之驱动分析

2010-08-22T13:50:00Z

笔记本用了4年，终于光荣退休。今天早上使用新笔记本，开机蓝屏了。系统目录文件拿出minidump文件，windbg分析发现是一个叫Knlrun.sys的驱动导致。

百度Knlrun，发现是搜狗一流氓插件的驱动文件，绑定在maxdos中。之前老机器我一直使用maxdos5.x版本，非常好用，新机器装的是maxdos 7.1结果中标了。

可恨可恨。流氓插件就算了，你不能蓝屏啊。还有maxdos软件你做共享软件，我们免费使用你的，我们很感激。但你总要在安装界面中给我们一个选择的选项，用户可以选择性的安装或取消，你说是不？

进入正题，开始分析它的驱动文件：

PAGE:000115FE apcCreateWmiprvse proc near             ; CODE XREF: apcCreateWmiprvse_0+B0p
PAGE:000115FE
PAGE:000115FE var_34          = byte ptr -34h
PAGE:000115FE P               = dword ptr -1Ch
PAGE:000115FE ms_exc          = CPPEH_RECORD ptr -18h
PAGE:000115FE arg_0           = dword ptr  8
PAGE:000115FE arg_4           = dword ptr  0Ch
PAGE:000115FE arg_8           = dword ptr  10h
PAGE:000115FE
PAGE:000115FE                 push    24h
PAGE:00011600                 push    offset stru_11210
PAGE:00011605                 call    __SEH_prolog
PAGE:0001160A                 xor     esi, esi
PAGE:0001160C                 cmp     [ebp+arg_4], esi
PAGE:0001160F                 jz      loc_1179B
PAGE:00011615                 cmp     [ebp+arg_8], esi
PAGE:00011618                 jz      loc_1179B
PAGE:0001161E                 push    206B6444h       ; Tag
PAGE:00011623                 push    30h             ; NumberOfBytes
PAGE:00011625                 push    esi             ; PoolType
PAGE:00011626                 call    ds:ExAllocatePoolWithTag
PAGE:0001162C                 mov     edi, eax
PAGE:0001162E                 mov     [ebp+P], edi
PAGE:00011631                 cmp     edi, esi
PAGE:00011633                 jz      short loc_1165D
PAGE:00011635                 mov     eax, offset nullsub_1
PAGE:0001163A                 mov     ecx, offset sub_113C8
PAGE:0001163F                 sub     eax, ecx
PAGE:00011641                 push    esi             ; Irp
PAGE:00011642                 push    esi             ; ChargeQuota
PAGE:00011643                 push    esi             ; SecondaryBuffer
PAGE:00011644                 push    eax             ; Length
PAGE:00011645                 push    ecx             ; VirtualAddress
PAGE:00011646                 call    ds:IoAllocateMdl
PAGE:0001164C                 mov     MemoryDescriptorList, eax
PAGE:00011651                 cmp     eax, esi
PAGE:00011653                 jnz     short loc_11667
PAGE:00011655                 push    esi             ; Tag
PAGE:00011656                 push    edi             ; P
PAGE:00011657                 call    ds:ExFreePoolWithTag
PAGE:0001165D
PAGE:0001165D loc_1165D:                              ; CODE XREF: apcCreateWmiprvse+35j
PAGE:0001165D                 mov     eax, 0C000009Ah
PAGE:00011662                 jmp     loc_117A0
PAGE:00011667 ; ---------------------------------------------------------------------------
PAGE:00011667
PAGE:00011667 loc_11667:                              ; CODE XREF: apcCreateWmiprvse+55j
PAGE:00011667                 mov     [ebp+ms_exc.disabled], esi
PAGE:0001166A                 push    1               ; Operation
PAGE:0001166C                 push    esi             ; AccessMode
PAGE:0001166D                 push    eax             ; MemoryDescriptorList
PAGE:0001166E                 call    ds:MmProbeAndLockPages
PAGE:00011674                 or      [ebp+ms_exc.disabled], 0FFFFFFFFh
PAGE:00011678                 lea     eax, [ebp+var_34]
PAGE:0001167B                 push    eax
PAGE:0001167C                 push    [ebp+arg_8]
PAGE:0001167F                 call    ds:KeStackAttachProcess
PAGE:00011685                 push    10h             ; Priority
PAGE:00011687                 push    esi             ; BugCheckOnFailure
PAGE:00011688                 push    esi             ; BaseAddress
PAGE:00011689                 push    1               ; CacheType
PAGE:0001168B                 push    1               ; AccessMode
PAGE:0001168D                 push    MemoryDescriptorList ; MemoryDescriptorList
PAGE:00011693                 call    ds:MmMapLockedPagesSpecifyCache
PAGE:00011699                 mov     ebx, eax
PAGE:0001169B                 cmp     ebx, esi
PAGE:0001169D                 jnz     short loc_116BC
PAGE:0001169F                 lea     eax, [ebp+var_34]
PAGE:000116A2                 push    eax
PAGE:000116A3                 call    ds:KeUnstackDetachProcess
PAGE:000116A9                 push    MemoryDescriptorList ; Mdl
PAGE:000116AF                 call    ds:IoFreeMdl
PAGE:000116B5                 push    esi
PAGE:000116B6                 push    edi
PAGE:000116B7                 jmp     loc_1176D
PAGE:000116BC ; ---------------------------------------------------------------------------
PAGE:000116BC
PAGE:000116BC loc_116BC:                              ; CODE XREF: apcCreateWmiprvse+9Fj
PAGE:000116BC                 lea     edx, [ebx+29h]
PAGE:000116BF                 push    4Bh
PAGE:000116C1                 pop     ecx
PAGE:000116C2                 xor     eax, eax
PAGE:000116C4                 mov     edi, edx
PAGE:000116C6                 rep stosd
PAGE:000116C8                 mov     esi, [ebp+arg_0]
PAGE:000116CB                 lea     edi, [esi+1]
PAGE:000116CE
PAGE:000116CE loc_116CE:                              ; CODE XREF: apcCreateWmiprvse+D5j
PAGE:000116CE                 mov     al, [esi]
PAGE:000116D0                 inc     esi
PAGE:000116D1                 test    al, al
PAGE:000116D3                 jnz     short loc_116CE
PAGE:000116D5                 sub     esi, edi
PAGE:000116D7                 mov     ecx, esi
PAGE:000116D9                 lea     edi, [ebx+7Dh]
PAGE:000116DC                 mov     esi, [ebp+arg_0]   ;"wmiprvse.exe"
PAGE:000116DF                 mov     eax, ecx
PAGE:000116E1                 shr     ecx, 2
PAGE:000116E4                 rep movsd
PAGE:000116E6                 mov     ecx, eax
PAGE:000116E8                 and     ecx, 3             ;这里10行作用，在组织创建进程的机器码
PAGE:000116EB                 rep movsb
PAGE:000116ED                 mov     eax, dwCreateProcessA
PAGE:000116F2                 mov     [ebx+1], eax
PAGE:000116F5                 mov     dword ptr [edx], 44h
PAGE:000116FB                 xor     edi, edi
PAGE:000116FD                 inc     edi
PAGE:000116FE                 mov     [edx+2Ch], edi
PAGE:00011701                 xor     esi, esi
PAGE:00011703                 mov     [edx+30h], si
PAGE:00011707                 mov     [ebx+0Bh], edx
PAGE:0001170A                 lea     eax, [ebx+6Dh]
PAGE:0001170D                 mov     [ebx+6], eax
PAGE:00011710                 lea     eax, [ebx+7Dh]
PAGE:00011713                 mov     [ebx+1Ch], eax
PAGE:00011716                 lea     eax, [ebp+var_34]
PAGE:00011719                 push    eax
PAGE:0001171A                 call    ds:KeUnstackDetachProcess
PAGE:00011720                 mov     eax, [ebp+arg_4]
PAGE:00011723                 cmp     byte ptr [eax+4Ah], 0
PAGE:00011727                 jnz     short loc_1172D
PAGE:00011729                 mov     byte ptr [eax+4Ah], 1
PAGE:0001172D
PAGE:0001172D loc_1172D:                              ; CODE XREF: apcCreateWmiprvse+129j
PAGE:0001172D                 push    esi
PAGE:0001172E                 push    edi
PAGE:0001172F                 push    ebx
PAGE:00011730                 push    esi
PAGE:00011731                 push    offset FreePoolMem
PAGE:00011736                 push    esi
PAGE:00011737                 push    eax
PAGE:00011738                 push    [ebp+P]
PAGE:0001173B                 call    ds:KeInitializeApc
PAGE:00011741                 push    esi
PAGE:00011742                 push    esi
PAGE:00011743                 push    esi
PAGE:00011744                 push    [ebp+P]
PAGE:00011747                 call    ds:KeInsertQueueApc
PAGE:0001174D                 test    al, al
PAGE:0001174F                 jnz     short loc_11775
PAGE:00011751                 push    MemoryDescriptorList ; MemoryDescriptorList
PAGE:00011757                 call    ds:MmUnlockPages
PAGE:0001175D                 push    MemoryDescriptorList ; Mdl
PAGE:00011763                 call    ds:IoFreeMdl
PAGE:00011769                 push    esi             ; Tag
PAGE:0001176A                 push    [ebp+P]         ; P
PAGE:0001176D
PAGE:0001176D loc_1176D:                              ; CODE XREF: apcCreateWmiprvse+B9j
PAGE:0001176D                 call    ds:ExFreePoolWithTag
PAGE:00011773                 jmp     short loc_1179B
PAGE:00011775 ; ---------------------------------------------------------------------------
PAGE:00011775
PAGE:00011775 loc_11775:                              ; CODE XREF: apcCreateWmiprvse+151j
PAGE:00011775                 xor     eax, eax
PAGE:00011777                 jmp     short loc_117A0
PAGE:00011779 ; ---------------------------------------------------------------------------
PAGE:00011779
PAGE:00011779 loc_11779:                              ; DATA XREF: .rdata:stru_11210o
PAGE:00011779                 xor     eax, eax
PAGE:0001177B                 inc     eax
PAGE:0001177C                 retn
PAGE:0001177D ; ---------------------------------------------------------------------------
PAGE:0001177D
PAGE:0001177D loc_1177D:                              ; DATA XREF: .rdata:stru_11210o
PAGE:0001177D                 mov     esp, [ebp+ms_exc.old_esp]
PAGE:00011780                 push    MemoryDescriptorList ; Mdl
PAGE:00011786                 call    ds:IoFreeMdl
PAGE:0001178C                 push    0               ; Tag
PAGE:0001178E                 push    [ebp+P]         ; P
PAGE:00011791                 call    ds:ExFreePoolWithTag
PAGE:00011797                 or      [ebp+ms_exc.disabled], 0FFFFFFFFh
PAGE:0001179B
PAGE:0001179B loc_1179B:                              ; CODE XREF: apcCreateWmiprvse+11j
PAGE:0001179B                                         ; apcCreateWmiprvse+1Aj ...
PAGE:0001179B                 mov     eax, 0C0000001h
PAGE:000117A0
PAGE:000117A0 loc_117A0:                              ; CODE XREF: apcCreateWmiprvse+64j
PAGE:000117A0                                         ; apcCreateWmiprvse+179j
PAGE:000117A0                 call    __SEH_epilog
PAGE:000117A5                 retn    0Ch
PAGE:000117A5 apcCreateWmiprvse endp

总结：

这个驱动程序作用是保护流氓插件，防止我们删除插件。一旦发现我们删除插件，驱动在内核态启动用户态 Wmiprvse.exe(伪造程序，跟微软某服务同名)继续安装流氓插件。

ps:本人能力有限，如分析有所偏差，请高手指点，不要丢砖头啊。

作者：朱剑 (zhujian198)

目前就职美国comodo有限公司中国研发中心

本文链接

驱动Hook ZwTerminateProcess（mdl方式）

2010-08-16T07:32:00Z

#include "ntddk.h"

typedef struct _SERVICE_DESCRIPTOR_TABLE
{
    PULONG ServiceTableBase;
    PULONG ServiceCounterTableBase;
    ULONG NumberOfServices;
    PUCHAR ParamTableBase;
} SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TABLE;

__declspec(dllimport) SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

#define SYSCALL_INDEX(Service) *(PULONG)((PUCHAR)Service+1)

#define HOOK_SYSCALL(Service, HookService, OriginalService) \
    OriginalService = (PVOID)InterlockedExchange((PULONG)&SystemServiceTable[SYSCALL_INDEX(Service)], (ULONG)HookService)

#define UNHOOK_SYSCALL(Service, HookService, OriginalService) \
    InterlockedExchange((PULONG)&SystemServiceTable[SYSCALL_INDEX(Service)], (ULONG)OriginalService)

BOOLEAN                Hooked = FALSE;
MDL                    *Mdl = NULL;
PVOID                *SystemServiceTable;

NTSYSAPI
NTSTATUS
NTAPI
ZwTerminateProcess(
                   IN HANDLE ProcessHandle,
                   IN NTSTATUS ExitStatus
                   );

typedef NTSTATUS (NTAPI *NT_TERMINATE_PROCESS)
(
IN HANDLE ProcessHandle,
IN NTSTATUS ExitStatus
);

NT_TERMINATE_PROCESS PtrNtTerminateProcess;

NTSTATUS HookNtTerminateProcess(
                                IN HANDLE ProcessHandle,
                                IN NTSTATUS ExitStatus)
{
    return STATUS_ACCESS_DENIED;
}

VOID DriverUnload(
                  IN DRIVER_OBJECT *DriverObject)
{
    if(Hooked)
    {
        UNHOOK_SYSCALL(ZwTerminateProcess, HookNtTerminateProcess, PtrNtTerminateProcess);

        if(Mdl)
        {
            MmUnmapLockedPages(SystemServiceTable, Mdl);

            IoFreeMdl(Mdl);
        }
    }
}

NTSTATUS DriverEntry(
                     IN DRIVER_OBJECT *DriverObject,
                     IN UNICODE_STRING *RegistryPath)
{
    DriverObject->DriverUnload = DriverUnload;

    Mdl = IoAllocateMdl(
                        KeServiceDescriptorTable.ServiceTableBase,
                        KeServiceDescriptorTable.NumberOfServices * sizeof(ULONG),
                        FALSE,
                        FALSE,
                        NULL);

    if(Mdl)
    {
        MmBuildMdlForNonPagedPool(Mdl);

        Mdl->MdlFlags |= MDL_MAPPED_TO_SYSTEM_VA;

        SystemServiceTable = MmMapLockedPages(Mdl, KernelMode);

        if(MmIsAddressValid(SystemServiceTable))
        {
            HOOK_SYSCALL(ZwTerminateProcess, HookNtTerminateProcess, PtrNtTerminateProcess);

            Hooked = TRUE;
        }
    }

    return STATUS_SUCCESS;
}

本文链接

\r 和 \n 的由来

2010-08-15T14:14:00Z

\r是回车符,\n是换行符
计算机还没有出现之前，有一种叫做电传打字机（Teletype Model 33）的玩意，每秒钟可以打10个字符。但是它有一个问题，就是打完一行换行的时候，要用去0.2秒，正好可以打两个字符。要是在这0.2秒里面，又有新的字符传过来，那么这个字符将丢失。
于是，研制人员想了个办法解决这个问题，就是在每行后面加两个表示结束的字符。一个叫做“回车”，告诉打字机把打印头定位在左边界；另一个叫做“换行”，告诉打字机把纸向下移一行。
这就是“换行”和“回车”的来历，从它们的英语名字上也可以看出一二。
后来，计算机发明了，这两个概念也就被般到了计算机上。那时，存储器很贵，一些科学家认为在每行结尾加两个字符太浪费了，加一个就可以。于是，就出现了分歧。Unix 系统里，每行结尾只有“<换行>”，即“\n”；Windows系统里面，每行结尾是“<回车><换行>”，即“ \r\n”；Mac系统里，每行结尾是“<回车>”。一个直接后果是，Unix/Mac系统下的文件在Windows里打开的话，所有文字会变成一行；而Windows里的文件在Unix/Mac下打开的话，在每行的结尾可能会多出一个^M符号。

本文链接

BIOS数据区说明

2010-07-06T05:38:00Z

偏移	类型	内容
0000H	256双字	中断向量表。
0300H	256字节	在自检和引导时作为缓冲区使用。
400H	字	计算机上0号RS232-1适配器的基地址，通常为3F8H。
402H	字	计算机上1号RS232-1适配器的基地址，通常为2F8H。
404H	字	计算机上2号RS232-1适配器的基地址。
406H	字	计算机上3号RS232-1适配器的基地址。
408H	字	计算机上0号并行打印机适配器的基地址，通常为378H。
40AH	字	计算机上1号并行打印机适配器的基地址。
40CH	字	计算机上2号并行打印机适配器的基地址。
40EH	字	计算机上3号并行打印机适配器的基地址。(PS2型此值为扩展BIOS数据区段地址)
410H	字	该字保存与计算机连接的设备编码表，BIOS中断11H(设备测定)可返回此信息。
	位
	0	软驱安装标志，此位为0表示没有软驱。
	1	数字协处理器安装标志，此位为0表示未安装协处理器。
	3-2	系统板RAM的大小，适用于一些旧机型，PS2型未使用。00=16K，01=32K，10=48K，11=64K)。
	5-4	初始显示方式(00=AG，01=CGA-40，10=CGA-80，11=MDA-80)。
	7-6	软驱的数量，公当位0为1时有效，00=1，01=2，10=3，11=4
	8	DMA标志
	9-11	所连RS232适配器数
	12	连有游戏I/O
	13	不用(PS2型为内置MODEM安装标志，此位为0表示没有安装)
	14-15	所连打印机适配器数
412H	字节	初始测试标志(红外线键盘连接错误单元/？)。
413H	字	该字给出打印机可用RAM的容量，基本内存容量为0-10K，以千字节为单位。BIOS中断12H(内存大小测定)可返回此信息。
415H	字	I/O通道的存储器容量(PS2型，BIOS控制标志)。
417H	字节	这是第一个键盘状态字，通过编码，使每位均有特定的含义，具体格式如下：
	位
	0	表示键盘右边的Shift键当前是否被按下(1表示按下，0表示未按下)。
	1	表示键盘左边的Shift键当前是否被按下(1表示按下，0表示未按下)。
	2	表明Ctrl键当前是否按下(1表示按下，0表示未按下)。
	3	表明Alt键当前是否按下(1表示按下，0表示未按下)。
	4	屏幕(Scroll)锁定开关键状态(1表示屏幕锁定处于开，0表示关)。
	5	数字(Num Lock)锁定开关键状态(1表示数字锁定处于开，0表示关)。
	6	大写字母(Caps Lock)开关键状态(1表示Caps Lock处于开，0表示关)。
	7	插入状态，它表明Ins键是否已按下，以使计算机进入“插入”方式，1表示插入状态正工作，0表明未动作。
418H	字节	这是第二个键盘状态字，其格式如下：
	位
	0	表示键盘左边Ctrl键当前是否被按下(1表示按下，0表示未按下)。
	1	表示键盘左边Alt键当前是否被按下(1表示按下，0表示未按下)。
	2	如按下Ctrl+Alt+Del键，则该位为1。
	3	如果系统键(Ctrl和Num Lock)接下且保持住，则该位为1，当这个系统键依次按下时，BIOS暂停处理，直至下键按下为止。但它仍响应中断。
	4	表明屏幕(Scrool)锁定键当前是否按下(1表示按下，0表示未按下)。
	5	表明数字(Num Lock)锁定键当前是否按下(1表示按下，0表示未按下)。
	6	表明大写字母(Caps Lock)锁定键当前是否按下(1表示按下，0表示未按下)。
	7	表明Ins键当前是否按下(1表示按下，0表示未按下)。
419H	字节	为Alt和数字键盘键入的数而保留。(按住ALT+数字，可直接得到相应的ASCII码)
41AH	字	指向键盘缓冲区首址
41CH	字	指向键盘缓冲区尾址，当该值等于前一字的值时，说明缓冲区满。
41EH	32字节	循环键盘缓冲区，它保存键盘键入的字符，直到程序可以接收这些字符为止，前两个字指向此缓冲区的当前是首和尾。
43EH	字节	表示磁盘驱动器的搜索状态，0-3位分别对应于驱动器。如果这些位中有一位为0，则表示在搜索磁道之前，必须重新校准相应的驱动器。位4-6未使用，位7为中断标志位，为1表示中断发生。
43FH	字节	表示磁盘驱动器的马达状态，0-3位分别对应于驱动器0-3，如果某位被置为1，则相应驱动器的马达正在转动。位4-6未使用，位7为1表示现行操作是写。
440H	字节	保存一个表明驱动器马达接通多长时间的计数，每个时钟节拍，计数减1，当计数为0明马达停转(根据INT8计时)。
441H	字节	表明磁盘工作状态，它被编码，通过使相应位置1来表示一个特定的状态，格式如下：
	值
	00H	正确。
	01H	送给磁盘控制器的是无效命令。
	02H	在盘上未找到地址标记。
	03H	试图在有写保护的盘上写操作。
	04H	所请求扇区未找到。
	08H	驱动器DMA错。
	09H	试图使DMA对64KB存储体进行存取。
	10H	循环冗余校验(CRC)错。
	20H	NEC磁盘控制器片出现错误。
	40H	无效的查找操作。
	80H	延时，没有响应。
442H	7字节	从NEC磁盘驱动器返回的七个字节状态信息(参见FDC)。
449H	字节	指明当前视频方式，参见INT 10H。
44AH	字	指明显示屏幕的当前列数。
44CH	字	指明一个显示页面的字节数，它随时视频方式的不同而变化。8025方式=1000H字节，4025方式=800H字节，图形方式=4000H字节
44EH	字	指明当前显示页面的地址，即显示在当前显示屏幕的显示页面。
450H	8字	每个字均表示有关显示页面内当前光标的位置，每个字的第一字节表示列，第二字节表示行(改变这个字节并不能立刻改变显示)。
460H	字节	表明光标的形状，此字节表示光标字符点阵的最下一行的行号，10H功能调用1设置此光标形状(不要直接更改此字节)。
461H	字节	此字节表示光标字符点阵的最上一行的行号。10H功能调用1设置此光标形状(不要直接更改此字节)。
462H	字节	表明工作显示页面号，由10H功能调用5设置。
463H	字	表明当前工作显示板的口地址。3BCH=单色，3D4H=彩色。
465H	字节	表明6845芯片的方式寄存器的当前值(端口：3X8H)。
466H	字节	表示当前显示控制面板的设置。10H功能调用0BH可设置当前面板(端口：3D9H)。
467H	5字节	PC中，这5个字节用以表示磁带控制的定时计数字、CRC寄存器字和最后输入数值字节，在AT中，这5个字节作为端口使用，从467H开始的双字长是一个指针，它指向BIOS开关使80X86由保护虚地址方式转到实地址方式时控制返回的位置。
46CH	双字	这是BIOS作为时钟计数器的一个双字单元，时钟第步进一次，此值增加一次，其值为0，表示一天开始(午夜)，当此计数器达到一天结束的值时，计数器清0，且字节470H置1。中断1AH功能调用0可从此双字单元中读取一天的时间。
470H	字节	这是一个时钟翻转字节。当时钟计数器达到一天结束且复位时，此字节置1以表明新的一天开始。中断1AH功能调用0在读取这一天的时间后，将此字节复位。
471H	字节	位7为1表示BREAK键按下(INT 9设置此标志)。
472H	字	由软件设置复位功能标志或直接跳转FFFF:0重启动。
	值
	1234H	热启动
	5678H	系统中止
	9ABCH	在制造商检测时使用。
474H	字节	硬盘状态。
	值
	00H	正确
	01H	送给磁盘控制器的是无效命令或参数。
	02H	在盘上未找到地址标记
	03H	试图在有写保护的盘上进行写操作。
	04H	所请求扇区未找到。
	05H	重新复位失败。
	07H	操作失效。
	08H	DMA错
	09H	试图使DMA对64K存储体进行存取。
	0AH	坏的扇区标志。
	0BH	坏磁道已清除。
	0DH	扇区号、格式错。
	0EH	控制数据地址已清除。
	0FH	DMA超出限制。
	10H	循环冗余校验CRC错。
	11H	ECC数据错。
	20H	NEC磁盘控制器片出现错误。
	40H	无效的查找操作。
	80H	延时，没有响应。
	AAH	没准备好。
	BBH	发生错误，定义不正确。
	CCH	写错误。
	E0H	寄存器错误。
	FFH	磁盘检测失败。
475H	字节	硬盘设备数。
476H	字节	磁盘适配器控制。
477H	字节	硬盘适配器端口。
478H	字节	测试打印机0的超时值。
479H	字节	测试打印机1的超时值。
47AH	字节	测试打印机2的超时值。
47BH	字节	测试打印机3的超时值(PS2型除外)。
47CH	字节	测试0号RS232超时值。
47DH	字节	测试1号RS232超时值。
47EH	字节	测试2号RS232超时值。
47FH	字节	测试3号RS232超时值。
480H	字	指向存放键盘输入字符的循环缓冲区首址。
482H	字	指向存放键盘输入字符的循环缓冲区尾址。
484H	字节	显示字符的列数。其值为显示字符的列数减1(EGA以上有效)。
485H	字	每个字符高度(EGA以上有效)。
487H	字节	显示控制状态(EGA以上有效)1。
	位
	0	光标仿真模式状态(1为开启)。
	1	单色显示系统状态(1为启用)。
	2	保留。
	3	显示系统空闲状态(1为空闲)。
	4	保留。
	6-5	显存容量(00=64K，01=128K，10=192K，11=256K)。
	7	显示模式可用状态。
488H	字节	显示控制状态2(EGA以上有效)。
	位
	0	SW1(1=关闭)
	1	SW2(1=关闭)
	2	SW3(1=关闭)
	3	SW4(1=关闭)
	4	？
	5	？
	6	？
	7	？
489H	字节	显示控制状态3(MCGA或VGA有效)。
	位
	0	VGA模式状态
	1	灰度模式状态
	2	单色显示状态
	3	使用默认模式
	4	--
	5	保留
	6	显示状态开关
	7	--
	值
	位7位4
	0 0	350线模式
	0 1	400线模式
	1 0	200线模式
	1 1	保留
48AH	字节	显示适配器DCC索引。
48BH	字节	最后磁盘数据率。
	位
	3-0	保留。
	5-4	步进时间。
	7-6	数据传输率。
48CH	字节	硬盘状态。
48DH	字节	硬盘错误。
48EH	字节	硬盘中断标志。
48FH	字节	位0为1，表示硬盘和软盘使用一个控制卡。
490H	字节	驱动器0介质状态。
491H	字节	驱动器1介质状态。
492H	字节	驱动器0的起始状态。
493H	字节	驱动器2的起始状态。
494H	字节	驱动器0磁道数。
495H	字节	驱动器1磁道数。
496H	字节	键盘类型和方式，各位含义为：
	位
	0	E1H隐含码最后。
	1	E0H隐含码最后。
	2	右Ctrl键按下。
	3	右Alt键按下。
	4	101/102键盘
	5	若读标识和键盘，则强置Num Lock。
	6	最后的字符是第一个ID字符。
	7	读键盘的ID。
497H	字节	键盘标志。
	位
	0-2	LED状态位。
	3	保留。
	4	收到消息。
	5	重发接收标志。
	6	方式指示器更新。
	7	键盘传送错误标志。
498H	双字	等待完成标志的偏移地址。
49AH	双字	用户等待计数(低位字)，以微秒为单位。
49EH	字	用户等待计数(高位字)，以微秒为单位。
4A0H	字节	RTC等待激活标志。80表示等待时间已过。
4A1H	7字节	这7个字节用于局域网。
4A8H	双字	这双字指向保存视频系统的指针表。指针表格式为：
		偏移值　　　　　类型　　　　指向　00H　　　　　　DD　　　　视频参数　04H　　　　　　DD　　　　参数保存区　08H　　　　　　DD　　　　字母字符集　0CH　　　　　　DD　　　　图形字符集　10H　　　　　　DD　　　　第二个保存指针表　14H　　　　　　DD　　　　保留　18H　　　　　　DD　　　　保留第二个指针表格式为：偏移值　　　　　类型　　　　功能或指向　00H　　　　　　DW　　　　这个表的字节　02H　　　　　　DD　　　　组合码表　06H　　　　　　DD　　　　第二个字母字符集　0AH　　　　　　DD　　　　用户调色板表　0EH　　　　　　DD　　　　保留　12H　　　　　　DD　　　　保留　16H　　　　　　DD　　　　保留
4ACH	8字节	保留。
4B4H	字节	键盘NMI控制标志(可变)。
4B5H	双字	键盘中断中标志(可变)。
4B9H	字节	端口60单字节队列(可变)。
4BAH	字节	最后的键盘扫描码(可变)。
4BBH	字节	NMI缓冲头位置(可变)。
4BCH	字节	NMI缓冲头位置(可变)。
4BDH	16字节	NMI扫描码缓冲(可变)。
4CEH	字	日期计数(可变)。
4F0H	16字节	？

本文链接

ubuntu一些软件安装记录

2010-07-05T09:51:00Z

Flash 播放器

sudo cp libflashplayer.so /usr/lib/firefox-3.6.3/plugins/

ibus 输入法：http://code.google.com/p/ibus/

bochs:

sudo apt-get install build-essential
sudo aptitude install xorg-dev
sudo aptitude install libgtk2.0-dev
tar vxzf bochs-2.4.5.tar.gz
./configure --enable-debugger --enable-disasm
make
make install

Vim:

常用配置选项

syntax on
set nocompatible
set number
filetype on
set tabstop=4
set shiftwidth=4
set ruler
set autoindent
set smartindent

本文链接

为公司Linux服务器编写的小工具C代码

2010-01-03T14:39:00Z

代码Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->1/*作者：朱剑2*运行平台：Linux3*编写日期:2010年1月1日4*描写：798Game发奖以及补偿处理程序5*开发平台：Linux6*开发工具:Vim+Gcc+Make7*/8910#inc...

获取gzip文件解压后文件大小

2009-09-05T11:59:00Z

由于工作原因，要做gzip文件解压缩，并且带进度条。因此必须在解压过程中就知道解压后的文件真实大小。搜索引擎搜遍国内外，基本上只有问问题的，根本就么有答案。这里我在博客记录下来，希望给以后遇到这个问答题的朋友，能够搜索到答案。其实很简单，下面是代码。[代码]

VC直接发送WM_DROPFILES消息，模拟拖拽动作代码

2009-07-14T07:45:00Z

VC直接发送WM_DROPFILES消息，模拟拖拽动作代码!

博客园_Jerson Ju

转：在驱动和应用程序间共享内存 （一）

转：在驱动和应用程序间共享内存 （二）

MaxDos绑定(搜狗流氓插件)之驱动分析

驱动Hook ZwTerminateProcess（mdl方式）

\r 和 \n 的由来

BIOS数据区说明

ubuntu一些软件安装记录

为公司Linux服务器编写的小工具C代码

获取gzip文件解压后文件大小

VC直接发送WM_DROPFILES消息，模拟拖拽动作代码

转：在驱动和应用程序间共享内存（一）

转：在驱动和应用程序间共享内存（二）