设为首页收藏本站
切换到宽版

天马阁

 找回密码
 立即注册
天马阁»天马阁论坛 天马阁转载区4 其他相关综合 枚举DPC定时器源码(代码简洁)
                                        →→→→→→→→→→→→ 1点击查看所有VIP教程目录长列表(总教程数269个) 2办理VIP详情进入 ←←←←←←←←←←←←
1 x64CE与x64dbg入门基础教程 7课 已完结 2 x64汇编语言基础教程 16课 已完结 3 x64辅助入门基础教程 9课 已完结 4 C++x64内存辅助实战技术教程 149课 已完结
5 C++x64内存检测与过检测技术教程 10课 已完结 6 C+x64二叉树分析遍历与LUA自动登陆教程 19课已完结 7 C++BT功能原理与x64实战教程 29课 已完结 8 C+FPS框透视与自瞄x64实现原理及防护思路 30课完结
64驱?封? 9 64反驱? 10 64位V? 11 绝? 12 ???课?
13 64透 ? 14 64U ? 15 64Q ? 16 64功 ?
17 64U ? 18 64模 ? 19 64多 ? 20 64网 ?
21 64注 ? 22 64火 ? 23 64棋 ? 24 64自二链L?
25 64破 ? VIP会员办理QQ: 89986068   
【请先加好友,然后到好友列表双击联系客服办理,不然可能无法接受到信息。】 		27 加入2000人交流群637034024 3 28 免责声明?
返回列表 发新帖
查看: 6317|回复: 0

枚举DPC定时器源码(代码简洁)

[复制链接]
飞龙在天

10

主题

0

回帖

12

积分

编程入门

Rank: 1

天马币
20
发表于 2024-3-3 09:28:15 | 显示全部楼层 |阅读模式
鉴于目前驱动保护市场上的一两P有DPC定时器需要处理,放出一点简洁的枚举DPC定时器的源码,只有枚举,没有摘出。自己加点就行了,代码来源于网上搜集,但是搜集到的错误比较多,送出的是我修正编译可以通过的代码,没有盲目的复制代码。以下是代码,如果对你有那么一点点用那么很荣幸。很基础的东西大神勿笑。
  1. #include <ntddk.h>
  2. #include <windef.h>  
  3. ULONG KiTimerTableList=0;
  4. //通过函数名获取函数地址
  5. ULONG GetFunctionAddr( IN PCWSTR FunctionName)      
  6. {
  7. UNICODE_STRING UniCodeFunctionName;
  8. RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
  9. return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );   
  10. }
  11. //定位dpc定时器链表首地址(仅Windows xp 下有效,其他系统要自己重写特征定位)
  12. ULONG GetKiTimerList(ULONG addr)  
  13. {  
  14. int i=0;
  15. PBYTE opcode =(PBYTE)addr;  
  16. for (;i<0x150;i++)  
  17. {  
  18.   if (opcode == 0x8d &&
  19.   opcode[i+1] == 0xc &&
  20.   opcode[i+2]== 0xc5)  
  21.   {  
  22.     return *(PULONG)&opcode[i+3];  
  23.   }  
  24. }  
  25. return 0;  
  26. }  
  27. //枚举dpc定时器
  28. VOID SearchForDPCTimer(ULONG addr)  
  29. {  
  30. PLIST_ENTRY pnode,pnext;  
  31. ULONG count = 0;  
  32. KIRQL irql;  
  33. ULONG routine;  
  34. int i=0;
  35. irql = KeRaiseIrqlToDpcLevel();  
  36. for(;i<256;i++)
  37. {
  38.   pnode = (PLIST_ENTRY)(addr+i*8);  
  39.   pnext = pnode->Blink;  
  40.   while(pnext!=pnode)  
  41.   {  
  42.    PKTIMER ptimer = CONTAINING_RECORD(pnext,KTIMER,TimerListEntry);  
  43.    if (MmIsAddressValid(ptimer)  
  44.    && MmIsAddressValid(ptimer->Dpc)  
  45.    && MmIsAddressValid(ptimer->Dpc->DeferredRoutine))  
  46.    {  
  47.     routine = (ULONG)ptimer->Dpc->DeferredRoutine;  
  48.     DbgPrint("kitimer:0x%x addr:0x%x  ",(ULONG)ptimer,routine);  
  49.     count ++;  
  50.     //在这里判断如果是否在目标模块内
  51.     //if (routine > imgBase && routine<imgBase+imgSize)  
  52.     //imgBase目标模块入口,imgSize目标模块大小,符合条件将其kill
  53.    }  
  54.    pnext = pnext->Blink;  
  55.   }  
  56. }
  57. KeLowerIrql(irql);  
  58. DbgPrint("count:%d\n",count+1);  
  59. }  


  62. VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
  63. {

  65. }

  67. NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject,  
  68.       IN PUNICODE_STRING theRegistryPath)
  69. {
  70. theDriverObject->DriverUnload  = OnUnload;
  71. KiTimerTableList=GetKiTimerList((ULONG)GetFunctionAddr(L"KeUpdateSystemTime"));
  72. if(KiTimerTableList!=0)
  73. {
  74.   DbgPrint("KiTimerTableList:%x\n",KiTimerTableList);
  75.   SearchForDPCTimer(KiTimerTableList);
  76. }
  77. return STATUS_SUCCESS;
  78. }
  79. 以上是完整的代码,可以直接编译测试的。但是仅仅对xp系统有用,其他系统别乱试,蓝屏概不负责,主要的是在通过特征定位DPC 链表首地址那里,其它操作系统跟xp的特征不一样
复制代码


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

天马阁|C/C++辅助教程|安卓逆向安全| 论坛导航|免责申明|Archiver||网站地图
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表天马阁立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2010-2021 All Right Reserved.
收缩
快速回复 返回顶部 返回列表