ÃÂœÃÂ°ÃÂ¹ - Xakep Online

More documents

Recommendations

Info

coding RegMon показывает, какие процессы к какому ключу реестра обращаются Программирование драйверов и систем безопасности и многое другое, мы рассматривать не будем, так как объем статьи (да и всего журнала) не может вместить всего, чего бы нам хотелось. Однако в конце статьи будут приведены ссылки и названия книг, которые надо прочитать, чтобы достаточно хорошо разбираться в программировании режима ядра. Но вернемся к нашему параметру. Как уже можно было заметить, это не обычная строка, а структура, в которой содержится указатель на unicode-строку, содержащую имя раздела. Этот указатель драйвер может использовать для добавления в реестр какой-либо нужной в дальнейшем информации. В этом случае необходимо сохранить путь к подразделу реестра, но не сам указатель, поскольку по выходу из процедуры DriverEntry он потеряет всякий смысл. Но обычно этого не требуется. О формате данных UNICODE_STRING следует сказать особо. В отличие от режима пользователя, режим ядра оперирует строками в формате UNICODE_STRING. Эта структура определена в файле \include\w2k\ntdef.inc следующим образом: UNICODE_STRING typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; #ifdef MIDL_PASS [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer; #else // MIDL_PASS PWSTR Buffer; #endif // MIDL_PASS } UNICODE_STRING; typedef UNICODE_STRING *PUNICODE_STRING; typedef const UNICODE_STRING *PCUNICODE_STRING; Length — содержит текущую длину строки в байтах (не в символах!), не считая завершающего нуля. MaximumLength — максимальный размер буфера (также в байтах), в котором эта строка содержится. Buffer — указатель на саму unicodeстроку. Главное достоинство этого формата в том, что он явно определяет как текущую длину строки, так и ее максимально возможную длину. При операциях с такой строкой это позволяет обойтись без некоторых дополнительных вычислений. Классификация драйверов Теперь немного отвлечемся от практики и погрузимся в теорию. Со времен Windows 2000 все драйверы устройств можно разделить на два основных типа: пользовательского режима (User Mode Drivers) и режима ядра (Kernel Mode Drivers). Драйверы User Mode, в свою очередь, делятся на драйверы виртуальных устройств (Virtual Device Drivers, VDD), использующиеся для поддержки программ MS-DOS, и драйверы принтеров (Printer Drivers). Драйверы Kernel Mode подразделяются на драйверы файловой системы (File System Drivers), которые реализуют ввод/вывод на локальные и сетевые диски, унаследованные драйверы (Legacy Drivers), написанные для предыдущих версий Windows NT, драйверы видеоадаптеров (Video Drivers), реализующие графические операции, драйверы потоковых устройств (Streaming Drivers), реализующие ввод/вывод видео и звука, WDM-драйверы (Windows Driver Model, WDM), поддерживающие технологии Plug’n’Play и управления электропитанием. Как следует из самого названия, драйвер устройства — это программа, предназначенная для управления каким-то устройством, причем устройство это не обязательно должно быть физическим. Оно может быть логическим или, как в нашем случае, виртуальным. Также драйверы можно разделить на одноуровневые и многоуровневые. Большинство драйверов, управляющих физическими устройствами, является многоуровневыми (layered drivers). Обработка запроса ввода/вывода осуществляется несколькими дровами. Каждый выполняет свою часть работы. Например, запрос на чтение файла передается драйверу файловой системы, который, выполнив некоторые операции (например, разбиение запроса на несколько частей), передает его «ниже» — драйверу диска, а тот, в свою очередь, отправляет запрос драйверу шины. Кроме того, между ними можно добавить любое количество драйверов-фильтров (например, шифрующих данные). Выполнив запрос, нижестоящий драйвер (lower-level driver) передает его результаты наверх, вышестоящему (higher-level driver). Уровни запросов прерываний Прерывание — неотъемлемая часть любой операционной системы. Оно требует обработки, поэтому выполнение текущего / 126 xàêåð 05 /101/ 07
coding кода прекращается и управление передается обработчику прерывания. Существуют как аппаратные, так и программные прерывания. Они обслуживаются в соответствии с их приоритетом. Windows 2000 (как и Виста) использует схему приоритетов прерываний, известную под названием «уровни запросов прерываний» (interrupt request levels, IRQL). Всего существует 32 уровня: с нулевого (passive), имеющего самый низкий приоритет, по 31‐ый (high) с самым высоким приоритетом. Причем прерывания с IRQL=0 (passive) по IRQL=2 (DPC\dispatch) являются программными, а с IRQL=3 (device 1) по IRQL=31 (high) — аппаратными. Не путай уровни приоритета прерываний с уровнями приоритетов потоков — это разные вещи. Прерывание с уровнем IRQL=0, строго говоря, прерыванием не является, поскольку оно не может прервать работу никакого кода (ведь для этого код должен выполняться на еще более низком уровне прерывания, а такого уровня нет). На этом IRQL выполняются потоки пользовательского режима. Следует заметить, что на уровне прерывания passive можно вызывать любые функции ядра, а также обращаться к страницам памяти, сброшенным в файл подкачки. В DDK в описании каждой функции обязательно указано, на каком уровне прерывания ее можно вызывать. На более высоких уровнях прерывания (DPC/dispath и выше) попытка обращения к странице, отсутствующей в физической памяти, приводит к краху системы, так как диспетчер памяти (Memory Manager) не может обработать ошибку страницы. Компиляция кода Теперь, когда мы немного разобрались с теорией, попробуем скомпилировать наш драйвер. Первым делом создадим файл main.c и напишем там следующие строки: Содержание файла main.c #include NTSTATUS DriverEntry ( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS status = STATUS_ DEVICE_CONFIGURATION_ERROR; return status; } Ничего нового, только добавился заголовочный файл, содержащий основные определения для программирования в режиме ядра. Рядом с main.c сохраним файл sources со следующим содержанием: Содержание файла sources TARGETNAME=basic_driver TARGETPATH=obj TARGETTYPE=DRIVER SOURCES=main.c Этот файл определяет имя драйвера, файл с исходным кодом и т.д. И последнее, что нам надо, — это makefile. В нем будет всего одна строка: «!INCLUDE $(NTMAKEENV)\makefile.def». Теперь, если на машине уже установлено DDK, заходим в соответствующий пункт главного меню системы, выбираем пункт Build Environments, затем ОС, под которую будем собирать драйвер, и кликаем, допустим, на Windows XP x86 Checked Build Environment. Помимо Checked Build Environment, есть еще и Free Build Environment. Checked предназначена для тестовых сборок Windows, а Free — для релизов. После того как мы выбрали соответствующую оболочку, в командной строке переходим в директорию, в которой мы сохранили исходный код нашего драйвера, и вбиваем команду build. Если все в порядке, должна появиться папка, в которой будет лежать наш драйвер с расширением sys. Загрузка драйвера Загрузить драйвер в систему, чтобы он работал, можно двумя способами: документированным и не очень. Документированный способ на удивление прост — загрузить драйвер можно при помощи диспетчера служб, то есть SCM-менеджера. Работа с драйвером сходна с работой со службой — вызываются одни и те же функции. Лишь передаваемые им параметры будут немного отличаться от обычных. Заострять на этом внимание я не буду, так как статья уже подходит к концу, а еще надо рассказать, где про все это можно почитать более подробно. Дополнительная литература и ссылки Все сказанное выше настолько мало затрагивает тему написания драйверов, что человек, знакомый с процессом написания модулей для режима ядра, может возмутиться по поводу слабости изложенного материала. Но цель этой статьи вовсе не научить кодить в Kernel Mode, а лишь ввести в данную тему, для того чтобы в следующем номере рассказать о более интересных вещах. А для этого надо хорошо усвоить принципы программирования в режиме ядра. Итак, чтобы освоить этот вид программирования, советую почитать следующие книги. В первую очередь, это «Внутреннее устройство Microsoft Windows 2000», написанная Дэвидом Соломоном и Марком Руссиновичем. Книга постоянно обновляется, поэтому ее название сейчас может немного отличаться. Хотя в этой книге нет ни одной строчки исходного кода, прежде всего она для программистов. «Недокументированные возможности Windows 2000» Свена Шрайбера — сугубо практическая книга, в которой раскрыто множество тайн Windows 2000. Из отечественных авторов могу посоветовать В.П. Солдатова с его трудом «Программирование драйверов Windows». Первая часть книги читается довольно живенько и несет в себе много полезной информации. Для ленивых рекомендую «Программирование драйверов и систем безопасности» Сорокиной и Щербакова — чтиво представляет собой краткий «курс молодого бойца» в области ядерного программирования. Также неплохо иметь под рукой «Справочник по базовым функциям API Windows NT/2000» Гари Неббета. Теперь скажу немного об онлайн-ресурсах, которые могут пригодиться в этом нелегком деле. Во-первых, стоит отметить цикл статей «Драйверы режима ядра», который написал небезызвестный Four-F. Найти эти статьи можно на http://wasm.ru. На мой взгляд, это один из самых лучших русскоязычных трудов на тему программирования в режиме ядра. Исходный код примеров, правда, написан на ассемблере, но это не должно стать преградой для человека, желающего научиться кодить драйверы. Еще одним хорошим ресурсом по теме является http://osronline.com. Сайт англоязычный, но люди, при разработке драйверов сталкивающиеся с проблемой, которую не удается решить с помощью отечественных программистов, идут именно сюда. Местный форум — просто сокровищница знаний по Kernel-Mode кодингу. Это все? Итак, как я уже говорил, эта статья ознакомительная. Единственная ее цель — подготовить читателя к следующему материалу, в котором я затрону непосредственно проблемы перехвата обращений к реестру в Windows Vista. Причем с помощью этого механизма можно не только узнать о том, что некое приложение sex.exe пытается записаться в ключ автозагрузки в реестре, но и помешать ему сделать это прямо на уровне ядра. Так что, как говорится, всем учить матчасть. z xàêåð 05 /101/ 07 / 127
Page 1:
МАй 05(101) 2007 22 секрет
Page 4 and 5:
meganewS 004 MegAneWS Все нов
Page 6:
meganews Дмитрий Трави
Page 10:
meganews Гибридим теле
Page 14:
meganews Уникальное пр
Page 17 and 18:
meganews Макинтоши тож
Page 19 and 20:
476 $140 $195 >> ferrum mSi nx7600g
Page 21 and 22:
S T T I C H T Y U B B E S T B U Y B
Page 24 and 25:
ferrum $45 $85 razer deathadder К
Page 26 and 27:
pc_zone кРис кАспеРски
Page 28 and 29:
pc_zone DVD На диске теб
Page 30:
pc_zone Пересчет CRC В з
Page 33 and 34:
pc_zone секрета Google По
Page 35 and 36:
pc_zone http:// Многочисл
Page 37 and 38:
pc_zone Несколько борд
Page 39 and 40:
pc_zone FAR хранит списо
Page 41 and 42:
pc_zone Папка Recent хран
Page 43 and 44:
implant Готовый височн
Page 45 and 46:
implant Нервы височной
Page 48 and 49:
implant Дейтерий трити
Page 50 and 51:
implant Германский ток
Page 52 and 53:
implant компенсируетс
Page 54 and 55:
взлом кРис кАспеРс
Page 56 and 57:
взлом ANI-формат: уда
Page 58 and 59:
взлом анимированны
Page 60 and 61:
взлом M3lC1Y / m3lc1y@bk.ru, h
Page 62:
взлом i Пользуясь с
Page 65 and 66:
взлом var sock = new java.net.
Page 67 and 68:
взлом Внешний вид п
Page 69 and 70:
взлом Настройки Googl
Page 72 and 73:
взлом леониД «R0id» с
Page 74:
взлом ! Внимание! Ин
Page 77 and 78: взлом Хэши админск
Page 79 and 80: взлом Бажный ресур
Page 81 and 82: взлом Возможности
Page 83 and 84: взлом Пример: «select"u
Page 85 and 86: взлом «Три девицы п
Page 88 and 89: взлом Маг / mag@wapp.ru / I
Page 90 and 91: взлом Msn-аккаунты IM-
Page 92 and 93: взлом леониД «CR@WleR»
Page 94 and 95: взлом DVD На нашем DVD
Page 96 and 97: взлом Леонид «R0id» С
Page 98 and 99: сцена Мария «Mifrill»
Page 100: сцена 10240-процессор
Page 103 and 104: сцена DVD Команда HITB'
Page 105 and 106: сцена Хакер - офици
Page 108 and 109: сцена ильЯ АлексАн
Page 110 and 111: unixoid Сергей «grinder» Я
Page 112 and 113: unixoid Установка новы
Page 114 and 115: unixoid Крис Касперски
Page 116 and 117: unixoid Консольная вер
Page 118 and 119: unixoid Linux в гостях у Fr
Page 120 and 121: unixoid i Для тех отваж
Page 122 and 123: coding АнДРей «littleBUddA»
Page 124 and 125: coding Несколько слов
Page 126 and 127: coding Deeoni$ / DeeoniS@gmail.com
Page 130 and 131: coding боРис вольфсон
Page 132 and 133: coding Вот так будет в
Page 134 and 135: coding Крис Касперски
Page 136 and 137: креатиff meganews /134
Page 138 and 139: креатиff meganews расте
Page 140 and 141: units сТепАн «Step» иль
Page 142: РЕДАКЦИОННАЯ ПОДПИ
Page 145 and 146: units magazine@real.xakep.ru не
Page 147 and 148: Íàäåæíûé ñòîðîæåâî
Page 149 and 150: ХАКЕР.PRO Настройки
Page 151 and 152: ХАКЕР.PRO Выбор типа
Page 153 and 154: ХАКЕР.PRO Синхрониза
Page 155 and 156: ХАКЕР.PRO на. Его рек
Page 157 and 158: ХАКЕР.PRO Использова
Page 159 and 160: ХАКЕР.PRO Активные с
Page 161 and 162: ХАКЕР.PRO Внутри дом
Page 165: 2007 x 05(МАЙ)101 101
show all

ÃÂœÃÂ°ÃÂ¹ - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂœÃÂ°ÃÂ¹ - Xakep Online