2021年WINDOWS 内核级进程隐藏、侦测技术.doc

Windows 内核级进程隐藏、侦测技术(2)
Windowsxx 内核级进程隐藏、侦测技术
static NTSTATUS MydrvDispatch (IN PDEVICE_O ___ECT Devi ___Object, IN PIRP Irp)
NTSTATUS status;
PIO_STACK_LOCATION irpSp;
//得到当前IRP (I/O请求包)
irpSp = IoGetCurrentIrpStackLocation( Irp );
switch (irpSp->MajorFunction)
{
case IRP_MJ_CREATE:
DbgPrint("IRP_MJ_CREATE\n");
Irp-> = STATUS_SUCCESS;
Irp-> ___tion = 0L;
break;
case IRP_MJ_CLOSE:
DbgPrint("IRP_MJ_CLOSE\n");
Irp-> = STATUS_SUCCESS;
Irp-> ___tion = 0L;
break;
}
IoCompleteRequest(Irp, 0);
return STATUS_SUCCESS;
大部分的I/O管理器的操作支持一个标准的读写提取，IRP_MJ_DEVICE_CONTROL允许扩展的I/O请求，使用用户模式的Devi ___IoControl函数来调用，I/O管理器创建一个IRP，这个IRP的MajorFunction和IoControlCode是被Devi ___IoControl函数指定其内容。传递给驱动程序的IOCTL遵循一个特殊的结构，它有32-bit大小，DDK包含一个方便的产生IOCTL值的机制的宏，CTL_CODE。可以使用CTL_CODE宏来定义我们自己的IOCTL。
#define IOCTL_MISSLEDEVICE_AIM CTL_CODE \
( FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ACCESS_ANY )
NTSTATUS DispatchIoControl( IN PDEVICE_O ___ECT pDO, IN PIRP pIrp )
NTSTATUS status = STATUS_SUCCESS;
PDEVICE_EXTENSION pDE;
PVOID userBuffer;
ULONG inSize;
ULONG outSize;
ULONG controlCode; // IOCTL请求代码
PIO_STACK_LOCATION pIrpStack; //堆栈区域存储了用户缓冲区信息
pIrpStack = IoGetCurrentIrpStackLocation( pIrp );
// 取出IOCTL请求代码
c