C++博客-天下-随笔分类-逆向工程

Windows内核驱动开发入门学习资料

天下 — Mon, 07 Nov 2011 01:20:00 GMT

Windows内核驱动开发入门学习资料

2011年11月5日代码疯子发表评论阅读评论

声明：本文所描述的所有资料和源码均搜集自互联网，版权归原始作者所有，所以在引用资料时我尽量注明原始作者和出处；本文所搜集资料也仅供同学们学习之用，由于用作其他用途引起的责任纠纷，本人不负任何责任。（本资料由代码疯子整理）

一、书籍推荐

《Windows驱动开发技术详解》作者：张帆、史彩成；出版社：电子工业出版社
《天书夜读：从汇编语言到Windows内核编程》作者：谭文、邵坚磊；出版社：电子工业出版社
《寒江独钓：Windows内核安全编程》作者：谭文、杨潇、邵坚磊；出版社：电子工业出版社
其他驱动开发相关书籍

二、源码学习

《Windows驱动开发技术详解》源码下载：http://dl.dbank.com/c0rmlpwkfi
《寒江独钓：Windows内核安全编程》源码下载：http://dl.dbank.com/c0t5kawz2e
DDK 2600 驱动例子源码下载：http://dl.dbank.com/c0oktzwfsf
WDK 7600 驱动例子源码下载：http://dl.dbank.com/c0hj1khp8c

三、学习网站

看雪论坛：http://bbs.pediy.com/
驱网：http://bbs.driverdevelop.com/
帆子内核驱动网：http://bbs.kerneldev.com/
看雪KSSD：http://kssd.pediy.com/
一蓑烟雨：http://www.unpack.cn/
吾爱破解：http://www.52pojie.cn/
DebugMan：http://www.debugman.com/

四、其他资料（整理自看雪）

驱动程序设计基础 http://bbs.pediy.com/showthread.php?t=56631
通俗解析IRP和I/O设备栈在内核程序中的作用 http://bbs.pediy.com/showthread.php?t=111559
我的驱动学习笔记 http://bbs.pediy.com/showthread.php?t=88723 下载附件
驱动入门：从WRK看IRP 理论篇 http://bbs.pediy.com/showthread.php?t=130876 下载附件
驱动入门：从WRK看IRP 实践篇 http://bbs.pediy.com/showthread.php?t=130925 下载附件附件2

五、楚狂人（谭文）的Free教程

《Windows驱动编程基础教程》 http://dl.dbank.com/c05tt0rxe5
《Windows文件系统过滤驱动开发教程*第二版》 http://dl.dbank.com/c0n3p7haef

原创文章，转载请注明:
本文出自程序人生 >> Windows内核驱动开发入门学习资料
作者：代码疯子

天下 2011-11-07 09:20 发表评论

VC的SEH中的异常处理

天下 — Sat, 05 Nov 2011 08:27:00 GMT

#include <iostream>
#include <windows.h>

int main()
{
    __try {
        *(int*)0 = 2;
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
{
        //EXCEPTION_EXECUTE_HANDLER,这是__except块预计到的异常,让系统执行本__except块中的代码.
        //EXCEPTION_CONTINUE_SEARCH,本__except块不处理异常,让程序寻找其他异常处理函数.
        //EXCEPTION_CONTINUE_EXECUTION,已经处理异常,回到异常点继续执行.如果异常没有清除,异常会继续发生.
        DWORD dwExceptCode = GetExceptionCode();
        printf("__except\n");
    }
    system("pause");
    return 0;
}

天下 2011-11-05 16:27 发表评论

VC的SEH中的终结处理

天下 — Sat, 05 Nov 2011 06:57:00 GMT

//直接上代码
#include <iostream>
#include <windows.h>

void PrintHelp()
{
    printf("Usage:d04 \n");
}
int main(int argc,char* argv[])
{
    int nNumber = 0;
    if (argc <2)
    {
        PrintHelp();
        return -1;
    }
    nNumber = atoi(argv[1]);
    __try {
        printf("You Entered:%s \n",argv[1]);
        if (nNumber<0)
        {
            __leave;
        }
        if (nNumber==0)
        {
            goto EXIT_BYE;
        }
        if (nNumber>0)
        {
            return -1;
        }
    }
    __finally {
        printf("ret Code:%d\n",AbnormalTermination());
    }
EXIT_BYE:
    return 0;
}

反汇编之后,

大意就是

在__try保护块中,
VC编译器会在return 及goto之前加入
call MSVCR90!local_unwind4+0x82的函数调用
而local_unwind4又会调用

MSVCR90!NLG_Dispatch2+0x8 (78590adc)

然后又call到

78590adc ffd0 call eax {d04!main+0x10b (0040110b)} ;这里就是__finally终结块代码.
另:

__leave是__try保护块的正常结束.

天下 2011-11-05 14:57 发表评论

WinDBG的伪寄存器

天下 — Thu, 03 Nov 2011 03:11:00 GMT

WinDBG的伪寄存器

$ea
上一条指令中的有效地址（effective address）

$ea2
上一条指令中的第二个有效地址

$exp
表达式评估器所评估的上一条表达式

$ra
当前函数的返回地址（retrun address）。
例如，可以使用g @$ra返回到上一级函数，与gu（go up）具有同样的效果

$ip
指令指针寄存器。x86中即EIP，x64即eip

$eventip
当前调试事件发生时的指令指针

$previp
上一事件的指令指针

$relip
与当前事件关联的指令指针，例如按分支跟踪时的分支源地址

$scopeip
当前上下文（scope）的指令指针

$exentry
当前进程的入口地址

$retreg
首要的函数返回值寄存器。x86架构使用的是EAX，x64是RAX，安腾是ret0

$retreg64
64位格式的首要函数返回值寄存器，x86中是edx:eax寄存器对

$csp
帧指针，x86中即ESP寄存器，x64是RSP，安腾为BSP

$p
上一个内存显示命令（d*）所打印的第一个值

$proc
当前进程的EPROCESS结构的地址

$thread
当前线程的ETHREAD结构的地址

$peb
当前进程的进程环境块（PEB）的地址

$teb
当前线程的线程环境块（TEB）的地址

$tpid
拥有当前线程的进程的进程ID（PID）

$tid
当前线程的线程ID

$bpx
x号断点的地址

$frame
当前栈帧的序号

$dbgtime
当前时间，使用.formats命令可以将其显示为字符串值

$callret
使用.call命令调用的上一个函数的返回值，或者使用.fnret命令设置的返回值

$ptrsize
调试目标所在系统的指针类型宽度

$pagesize
调试目标所在系统的内存页字节数

可以直接用上表中的名称来使用伪寄存器，但是更快速的方法是在$前加上一个@符号。这样，WinDBG就知道@后面是一个伪寄存器，不需要搜索其他符号。

使用windbg在程序的入口点下断点
1、bp @$exentry
使用伪寄存器的方法，也是最常用的方法

2、bp poi(@$peb+8)+poi(poi(@$peb+8)+poi(poi(@$peb+8)+3c)+28)

3、bp $iment(poi(@$peb+8))

天下 2011-11-03 11:11 发表评论