ReadMemory Code

1. /***************************************************************************************  
2. * AUTHOR :   
3. * DATE   : 2009-6-15  
4. * MODULE : ReadMemory.C  
5. *   
6. * Command:   
7. *   Source of IOCTRL Sample Driver  
8. *  
9. * Description:  
10. *       Demonstrates communications between USER and KERNEL.  
11. *  
12. ****************************************************************************************  
13. * Copyright (C) 2009 .  
14. ****************************************************************************************/   
15.    
16. //#######################################################################################    
17. //# I N C L U D E S    
18. //#######################################################################################    
19.    
20. #ifndef CXX_READMEMORY_H    
21. #   include "ReadMemory.h"    
22. #endif    
23.    
24. #include "struct.h"    
25.    
26. //////////////////////////////////////////////////////////////////////////    
27.    
28. //#######################################################################################    
29. //@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@    
30. //@@@@@@@@              D R I V E R   E N T R Y   P O I N T                      @@@@@@@@    
31. //@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@    
32. //#######################################################################################    
33. NTSTATUS   
34. DriverEntry(IN PDRIVER_OBJECT pDriverObj, IN PUNICODE_STRING pRegistryString)   
35. {   
36.     NTSTATUS        status = STATUS_SUCCESS;   
37.     UNICODE_STRING  ustrLinkName;   
38.     UNICODE_STRING  ustrDevName;     
39.     PDEVICE_OBJECT  pDevObj;   
40.     int i = 0;   
41.    
42.     dprintf("[ReadMemory] EasySys Sample Driver\r\n"   
43.             "[ReadMemory] Compiled %s %s\r\n[ReadMemory] In DriverEntry : %wZ\r\n",   
44.             __DATE__, __TIME__, pRegistryString);   
45.    
46.     // Register dispatch routines    
47. /*  
48.     for(i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)  
49.     {  
50.         pDriverObj->MajorFunction[i] = DispatchCommon;    
51.     }  
52. */   
53.     pDriverObj->MajorFunction[IRP_MJ_CREATE] = DispatchCreate;   
54.     pDriverObj->MajorFunction[IRP_MJ_CLOSE] = DispatchClose;   
55.    
56.     // Dispatch routine for communications    
57.     pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;   
58.    
59.     // Unload routine    
60.     pDriverObj->DriverUnload = DriverUnload;   
61.    
62.     // Initialize the device name.    
63.     RtlInitUnicodeString(&ustrDevName, DEVICE_NAME);   
64.    
65.     // Create the device object and device extension    
66.     status = IoCreateDevice(pDriverObj,    
67.                 0,   
68.                 &ustrDevName,    
69.                 FILE_DEVICE_UNKNOWN,   
70.                 0,   
71.                 FALSE,   
72.                 &pDevObj);   
73.    
74.     if(!NT_SUCCESS(status))   
75.     {   
76.         dprintf("[ReadMemory] Error, IoCreateDevice = 0x%x\r\n", status);   
77.         return status;   
78.     }   
79.    
80.     //// Get a pointer to our device extension    
81.     //deviceExtension = (PDEVICE_EXTENSION) deviceObject->DeviceExtension;    
82.    
83.     //// Save a pointer to the device object    
84.     //deviceExtension->DeviceObject = deviceObject;    
85.    
86.     if(IoIsWdmVersionAvailable(1,0x10))   
87.     {   
88.         //如果是支持符号链接用户相关性的系统    
89.         RtlInitUnicodeString(&ustrLinkName, SYMBOLIC_LINK_GLOBAL_NAME);   
90.     }   
91.     else   
92.     {   
93.         //不支持    
94.         RtlInitUnicodeString(&ustrLinkName, SYMBOLIC_LINK_NAME);   
95.     }   
96.        
97.     // Create a symbolic link to allow USER applications to access it.     
98.     status = IoCreateSymbolicLink(&ustrLinkName, &ustrDevName);     
99.        
100.     if(!NT_SUCCESS(status))   
101.     {   
102.         dprintf("[ReadMemory] Error, IoCreateSymbolicLink = 0x%x\r\n", status);   
103.            
104.         IoDeleteDevice(pDevObj);    
105.         return status;   
106.     }      
107.    
108.     //    
109.     //  TODO: Add initialization code here.    
110.     //    
111.    
112.     //// Tell the I/O Manger to do BUFFERED IO    
113.     //deviceObject->Flags |= DO_BUFFERED_IO;    
114.    
115.     //// Save the DeviveObject    
116.     //deviceExtension->DeviceObject = deviceObject;    
117.    
118.     dprintf("[ReadMemory] DriverEntry Success\r\n");   
119.    
120.     return STATUS_SUCCESS;   
121. }   
122.    
123. VOID   
124. DriverUnload(IN PDRIVER_OBJECT pDriverObj)   
125. {      
126.     UNICODE_STRING strLink;   
127.    
128.     // Unloading - no resources to free so just return.    
129.     dprintf("[ReadMemory] Unloading...\r\n");;     
130.    
131.     //    
132.     // TODO: Add uninstall code here.    
133.     //    
134.        
135.     // Delete the symbolic link    
136.     RtlInitUnicodeString(&strLink, SYMBOLIC_LINK_NAME);   
137.     IoDeleteSymbolicLink(&strLink);   
138.    
139.     // Delete the DeviceObject    
140.     IoDeleteDevice(pDriverObj->DeviceObject);   
141.    
142.     dprintf("[ReadMemory] Unloaded Success\r\n");   
143.    
144.     return;   
145. }   
146.    
147. NTSTATUS   
148. DispatchCreate(IN PDEVICE_OBJECT pDevObj, IN PIRP pIrp)   
149. {   
150.     pIrp->IoStatus.Status = STATUS_SUCCESS;   
151.     pIrp->IoStatus.Information = 0;   
152.    
153.     dprintf("[ReadMemory] IRP_MJ_CREATE\r\n");   
154.    
155.     IoCompleteRequest(pIrp, IO_NO_INCREMENT);   
156.    
157.     return STATUS_SUCCESS;   
158. }   
159.    
160.    
161. NTSTATUS   
162. DispatchClose(IN PDEVICE_OBJECT pDevObj, IN PIRP pIrp)   
163. {   
164.     pIrp->IoStatus.Status = STATUS_SUCCESS;   
165.     pIrp->IoStatus.Information = 0;   
166.    
167.     dprintf("[ReadMemory] IRP_MJ_CLOSE\r\n");   
168.    
169.     IoCompleteRequest(pIrp, IO_NO_INCREMENT);   
170.    
171.     // Return success    
172.     return STATUS_SUCCESS;   
173. }   
174.    
175. NTSTATUS   
176. DispatchCommon(IN PDEVICE_OBJECT pDevObj, IN PIRP pIrp)   
177. {   
178.     pIrp->IoStatus.Status = STATUS_SUCCESS;   
179.     pIrp->IoStatus.Information = 0L;   
180.    
181.     dprintf("[ReadMemory] Common Dispatch\r\n");   
182.    
183.     IoCompleteRequest( pIrp, 0 );   
184.    
185.     // Return success    
186.     return STATUS_SUCCESS;   
187. }   
188.    
189. NTSTATUS    
190. DispatchDeviceControl(IN PDEVICE_OBJECT pDevObj, IN PIRP pIrp)   
191. {   
192.     NTSTATUS status               = STATUS_INVALID_DEVICE_REQUEST;   // STATUS_UNSUCCESSFUL    
193.     PIO_STACK_LOCATION pIrpStack  = IoGetCurrentIrpStackLocation(pIrp);   
194.     ULONG uIoControlCode          = 0;   
195.     PVOID pIoBuffer               = NULL;   
196.     ULONG uInSize                 = 0;   
197.     ULONG uOutSize                = 0;   
198.    
199.     ULONG uInfoSize = 0;   
200.     // Get the IoCtrl Code    
201.     uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;   
202.    
203.     pIoBuffer = pIrp->AssociatedIrp.SystemBuffer;   
204.     uInSize = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;   
205.     uOutSize = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;   
206.    
207.     switch(uIoControlCode)   
208.     {   
209.     case IOCTL_GET_CR4:   
210.         {   
211.             //KdBreakPoint();    
212.             dprintf("[ReadMemory] IOCTL_GET_CR4!\r\n");   
213.     
214.             ULONG uCR4 = 0;   
215.    
216.             __asm   
217.             {   
218.                 cli   
219.                 push eax   
220.                 mov eax, cr0   
221.                 and eax, not 10000h   
222.                 mov cr0, eax   
223.             }   
224.             // 获得CR4的值    
225.             __asm   
226.             {   
227.                 _emit 0x0F    
228.                 _emit 0x20   
229.                 _emit 0xE0   
230.                 mov uCR4, eax   
231.             }   
232.             __asm   
233.    
234.             {   
235.                 mov eax, CR0   
236.                 or eax, 10000h   
237.                 mov cr0,eax   
238.                 pop eax   
239.                 sti   
240.    
241.             }   
242.             *(PULONG)pIoBuffer = uCR4;   
243.             uOutSize = sizeof(ULONG);   
244.             // Return success    
245.             status = STATUS_SUCCESS;   
246.         }   
247.         break;   
248.     case IOCTL_WRITE_MEMORY:   
249.         {   
250.             // KdBreakPoint();    
251.             dprintf("[ReadMemory] IOCTL_WRITE_MEMORY!\r\n");   
252.             _try   
253.             {   
254.                 WriteMemoryInfo *pInfo =    
255.                     (WriteMemoryInfo *)ExAllocatePool(PagedPool, sizeof(WriteMemoryInfo));   
256.    
257.                 RtlCopyMemory(pInfo, pIoBuffer, sizeof(WriteMemoryInfo));   
258.    
259.                 PVOID pWrite =  ExAllocatePool(PagedPool, pInfo->nWriteSize);   
260.    
261.                 RtlCopyMemory(pWrite, pInfo->pData, pInfo->nWriteSize);   
262.                 //pInfo->pData = (PBYTE)ExAllocatePool(PagedPool, pInfo->nWriteSize);    
263.                 ULONG uOldCr3 = 0;   
264.                 ULONG uCurrentCr3 = *(PULONG)(pInfo->nEprocess + 0x18);   
265.                 if (pInfo->nMemoryAddr == 0)   
266.                 {   
267.                     status = STATUS_UNSUCCESSFUL;   
268.                     break;   
269.                 }   
270.                 __asm   
271.                 {   
272.                     mov eax, cr3   
273.                     mov uOldCr3, eax   
274.    
275.                     mov eax, uCurrentCr3   
276.                     mov cr3, eax   
277.                 }   
278.    
279.                 __asm   
280.                 {   
281.                     cli   
282.                     push eax   
283.                     mov eax, cr0   
284.                     and eax, not 10000h   
285.                     mov cr0, eax   
286.                 }   
287.    
288.                 RtlCopyMemory((PVOID)pInfo->nMemoryAddr,    
289.                     pWrite, pInfo->nWriteSize);   
290.    
291.                 __asm   
292.    
293.                 {   
294.                     mov eax, CR0   
295.                     or eax, 10000h   
296.                     mov cr0,eax   
297.                     pop eax   
298.                     sti   
299.    
300.                 }   
301.                 __asm   
302.                 {   
303.                     mov eax, uOldCr3   
304.                     mov cr3, eax   
305.                 }   
306.    
307.    
308.                 uOutSize = pInfo->nWriteSize;   
309.                 if (pInfo != NULL)   
310.                 {   
311.    
312.                     ExFreePool(pInfo);   
313.                     pInfo = NULL;   
314.                 }   
315.                 // Return success    
316.                 status = STATUS_SUCCESS;   
317.             }   
318.             __except(1)   
319.             {   
320.                 status = STATUS_UNSUCCESSFUL;   
321.             }   
322.         }   
323.         break;   
324.    
325.     case IOCTL_READ_MEMORY:   
326.         {   
327.             // KdBreakPoint();    
328.             dprintf("[ReadMemory] IOCTL_READ_MEMORY!\r\n");   
329.             __try   
330.             {      
331.                 ReadMemoryInfo *pInfo =    
332.                     (ReadMemoryInfo *)ExAllocatePool(PagedPool, sizeof(ReadMemoryInfo));   
333.                 RtlCopyMemory(pInfo, pIoBuffer, sizeof(ReadMemoryInfo));   
334.                 ULONG uOldCr3 = 0;   
335.                 ULONG uCurrentCr3 = *(PULONG)(pInfo->nEprocess + 0x18);   
336.                 if (pInfo->nMemoryAddr == 0)   
337.                 {   
338.                     status = STATUS_UNSUCCESSFUL;   
339.                     break;   
340.                 }   
341.                 __asm   
342.                 {   
343.                     mov eax, cr3   
344.                     mov uOldCr3, eax   
345.    
346.                     mov eax, uCurrentCr3   
347.                     mov cr3, eax   
348.    
349.                 }   
350.                 RtlCopyMemory(pIoBuffer,    
351.                     (PVOID)pInfo->nMemoryAddr ,pInfo->nReadSize);   
352.                 uOutSize = pInfo->nReadSize;   
353.                 __asm   
354.                 {   
355.                     mov eax, uOldCr3   
356.                     mov cr3, eax   
357.                 }   
358.    
359.                 if (pInfo != NULL)   
360.                 {   
361.                     ExFreePool(pInfo);   
362.                     pInfo = NULL;   
363.                 }   
364.                 // Return success    
365.                 status = STATUS_SUCCESS;   
366.             }   
367.             __except(1)   
368.             {   
369.                 status = STATUS_UNSUCCESSFUL;   
370.             }   
371.    
372.         }   
373.         break;   
374.    
375.     case IOCTL_GET_PROCESS:   
376.         {   
377.             // KdBreakPoint();    
378.             dprintf("[ReadMemory] IOCTL_GET_PROCESS!\r\n");   
379.             ULONG uSize = *(PULONG)pIoBuffer;   
380.             RtlCopyMemory(pIoBuffer, g_pInfo, uSize);   
381.             uOutSize = uSize;   
382.             if (g_pInfo != NULL)   
383.             {   
384.                 ExFreePool(g_pInfo);   
385.                 g_pInfo;   
386.             }   
387.    
388.             // Return success    
389.             status = STATUS_SUCCESS;   
390.         }   
391.         break;   
392.     case IOCTL_SET_PROCESS:   
393.         {   
394.    
395.             // KdBreakPoint();    
396.             dprintf("[ReadMemory] IOCTL_SET_PROCESS\r\n");   
397.    
398.             // 获得当前进程EPROCESS信息    
399.             ULONG uEprocess = 0;   
400.             __asm   
401.             {   
402.                 mov eax, fs:[0x124]    // _ethread    
403.                 mov eax, [eax+0x44]    // _kprocess    
404.                 mov uEprocess, eax   
405.             }   
406.    
407.             KdPrint(("EPROCESS: 0x%08x\n", uEprocess));   
408.             LIST_ENTRY ListHead;   
409.             InitializeListHead(&ListHead);   
410.    
411.             ULONG uFirstEprocess = uEprocess;   
412.             ULONG uCount = 0;   
413.             PLIST_ENTRY pActiveProcessLinks;   
414.             ProcessInfoList *pProcssList = NULL;   
415.    
416.             ULONG uNameOffset = GetPlantformDependentInfo(FILE_NAME_OFFSET);   
417.             ULONG uPidOffset = GetPlantformDependentInfo(PROCESS_ID_OFFSET);   
418.             ULONG uLinkOffset = GetPlantformDependentInfo(PROCESS_LINK_OFFSET);   
419.             ULONG uExitTime = GetPlantformDependentInfo(EXIT_TIME_OFFSET);   
420.             // 遍历链表获得进程信息    
421.             do    
422.             {   
423.                    
424.                 pProcssList=    
425.                     (ProcessInfoList *)ExAllocatePool(PagedPool, sizeof(ProcessInfoList));   
426.                 if (pProcssList == NULL)   
427.                 {   
428.                     status =  STATUS_INSUFFICIENT_RESOURCES;   
429.                     break;   
430.                 }   
431.    
432.                 PLARGE_INTEGER ExitTime;   
433.                 ExitTime = (PLARGE_INTEGER)(uEprocess + uExitTime);   
434.                 if (ExitTime->QuadPart == 0)   
435.                 {   
436.                     if (*(int *)(uEprocess + uPidOffset) <= 0)   
437.                     {   
438.                         pProcssList->ProcInfo.uProcessId = 0;   
439.                         pProcssList->ProcInfo.uEprocess = uEprocess;   
440.                         pProcssList->ProcInfo.uCR3 = *(PULONG)(uEprocess + 0x18);   
441.                         RtlCopyMemory(pProcssList->ProcInfo.pszImageFileName, "Idle", 16);   
442.                         InsertHeadList(&ListHead, &pProcssList->ListEntry);   
443.                         KdPrint(("PID: %d, EPROCESS: 0x%08x, FileName: %s, CR3: 0x%08x\n",   
444.                             pProcssList->ProcInfo.uProcessId,   
445.                             pProcssList->ProcInfo.uEprocess,   
446.                             pProcssList->ProcInfo.pszImageFileName,   
447.                             pProcssList->ProcInfo.uCR3));   
448.                     }   
449.                     else   
450.                     {   
451.    
452.                         pProcssList->ProcInfo.uEprocess = uEprocess;   
453.                         pProcssList->ProcInfo.uCR3 = *(PULONG)(uEprocess + 0x18);   
454.                         pProcssList->ProcInfo.uProcessId = *(PULONG)(uEprocess + uPidOffset);   
455.                         RtlCopyMemory(pProcssList->ProcInfo.pszImageFileName,    
456.                             (PVOID)(uEprocess + uNameOffset),    
457.                             16);   
458.                         InsertHeadList(&ListHead, &pProcssList->ListEntry);   
459.                         KdPrint(("PID: %d, EPROCESS: 0x%08x, FileName: %s, CR3:  0x%08x\n",   
460.                             pProcssList->ProcInfo.uProcessId,   
461.                             pProcssList->ProcInfo.uEprocess,   
462.                             pProcssList->ProcInfo.pszImageFileName,   
463.                             pProcssList->ProcInfo.uCR3));   
464.    
465.    
466.                     }   
467.                     uCount++;   
468.                 }   
469.    
470.                 pActiveProcessLinks = (PLIST_ENTRY)(uEprocess + uLinkOffset);   
471.                 uEprocess = (ULONG)pActiveProcessLinks->Blink - uLinkOffset;   
472.    
473.    
474.                 if (uEprocess == uFirstEprocess)   
475.                 {   
476.                     break;   
477.                 }   
478.             } while (uEprocess != 0);   
479.    
480.             KdPrint(("%d\n", uCount));   
481.    
482.             uInfoSize = sizeof(ProcessInfo) * uCount;   
483.    
484.             g_pInfo = ExAllocatePool(   
485.                 PagedPool,    
486.                 uInfoSize);   
487.             ProcessInfo *pTemp = NULL;   
488.             if (g_pInfo == NULL)   
489.             {   
490.                 status = STATUS_UNSUCCESSFUL;   
491.                 break;   
492.             }   
493.    
494.             RtlZeroMemory(g_pInfo, uInfoSize);   
495.             pTemp = (ProcessInfo *)g_pInfo;   
496.             while (!IsListEmpty(&ListHead))   
497.             {   
498.                 PLIST_ENTRY pEntry = RemoveTailList(&ListHead);   
499.                 pProcssList = CONTAINING_RECORD(pEntry, ProcessInfoList, ListEntry);   
500.    
501.                 RtlCopyMemory(pTemp->pszImageFileName,    
502.                     pProcssList->ProcInfo.pszImageFileName,    
503.                     16);   
504.                 pTemp->uEprocess = pProcssList->ProcInfo.uEprocess;   
505.                 pTemp->uProcessId = pProcssList->ProcInfo.uProcessId;   
506.                 pTemp->uCR3 = pProcssList->ProcInfo.uCR3;   
507.                 // 释放节点内存    
508.                 if (pProcssList != NULL)   
509.                 {   
510.                     ExFreePool(pProcssList);   
511.                 }   
512.                 if (!IsListEmpty(&ListHead))   
513.                 {   
514.                     pTemp =    
515.                         (ProcessInfo *)((DWORD)pTemp + sizeof(ProcessInfo));   
516.                 }   
517.             }   
518.             *(PULONG)pIoBuffer = uInfoSize;   
519.             uOutSize = sizeof(ULONG);   
520.    
521.             // Return success    
522.             status = STATUS_SUCCESS;   
523.         }   
524.         break;   
525.     default:   
526.         {   
527.             // Invalid code sent    
528.             dprintf("[ReadMemory] Unknown IOCTL: 0x%X (%04X,%04X)\r\n",    
529.                 uIoControlCode,   
530.                 DEVICE_TYPE_FROM_CTL_CODE(uIoControlCode),   
531.                 IoGetFunctionCodeFromCtlCode(uIoControlCode));   
532.             status = STATUS_INVALID_PARAMETER;     
533.         }   
534.         break;   
535.     }   
536.    
537.     if(status == STATUS_SUCCESS)   
538.     {   
539.         pIrp->IoStatus.Information = uOutSize;   
540.     }   
541.     else   
542.     {   
543.         pIrp->IoStatus.Information = 0;   
544.     }   
545.    
546.     // Complete the I/O Request    
547.     pIrp->IoStatus.Status = status;   
548.    
549.     IoCompleteRequest(pIrp, IO_NO_INCREMENT);   
550.    
551.     return status;   
552. }   
553.    
554.    
555. //    
556. // TODO: Add your module definitions here.    
557. //    
558.    
559. ULONG GetPlantformDependentInfo(ULONG dwFlag)      
560. {       
561.     ULONG current_build;       
562.     ULONG ans = 0;       
563.    
564.     PsGetVersion(NULL, NULL, ¤t_build, NULL);       
565.    
566.     switch ( dwFlag )      
567.     {       
568.     case EPROCESS_SIZE:       
569.         if (current_build == 2195) ans = 0 ;        // 2000，当前不支持2000，下同       
570.         if (current_build == 2600) ans = 0x25C;     // xp       
571.         if (current_build == 3790) ans = 0x270;     // 2003       
572.         break;       
573.     case PEB_OFFSET:       
574.         if (current_build == 2195)  ans = 0;       
575.         if (current_build == 2600)  ans = 0x1b0;       
576.         if (current_build == 3790)  ans = 0x1a0;      
577.         break;       
578.     case FILE_NAME_OFFSET:       
579.         if (current_build == 2195)  ans = 0;       
580.         if (current_build == 2600)  ans = 0x174;       
581.         if (current_build == 3790)  ans = 0x164;      
582.         break;       
583.     case PROCESS_LINK_OFFSET:       
584.         if (current_build == 2195)  ans = 0;       
585.         if (current_build == 2600)  ans = 0x088;       
586.         if (current_build == 3790)  ans = 0x098;      
587.         break;       
588.     case PROCESS_ID_OFFSET:       
589.         if (current_build == 2195)  ans = 0;       
590.         if (current_build == 2600)  ans = 0x084;       
591.         if (current_build == 3790)  ans = 0x094;      
592.         break;       
593.     case EXIT_TIME_OFFSET:       
594.         if (current_build == 2195)  ans = 0;       
595.         if (current_build == 2600)  ans = 0x078;       
596.         if (current_build == 3790)  ans = 0x088;      
597.         break;       
598.     }       
599.     return ans;       
600. }