易语言驱动内核命令源码
系统结构:内存保护_关闭,内存保护_打开,关闭对象,文件_关闭,文件_打开,文件_写入数据,文件_读取数据,文件_取信息,驱动_注册处理过程,驱动_注册符号链接,驱动_卸载符号链接,驱动_获取驱动操作信息,驱动_Io控制码,驱动_传递Irp,驱动_处理入口点,驱动_取函数地址,ZwCreateFile,RtlInitAnsiString,RtlInitUnicodeString,RtlAnsiStringToUnicodeString,ZwClose,RtlUnicodeStringToAnsiString,RtlFreeUnicodeString,RtlFreeAnsiString,ZwWriteFile,ZwReadFile,ZwQueryInformationFile,memmove,memcpy,指针到驱动对象,驱动对象到指针,Io创建符号链接,Io删除设备,Io删除符号链接,Io分派Irp,Io创建设备,Irp到指针,指针到Irp,指针到整数型,指针到设备Io控制,设备Io控制到指针,整数型到指针,字节集到指针,MmGetSystemRoutineAddress,KeInitializeTimerEx,
======程序集1
| |
| |------ _启动子程序
| |
| |------ _临时子程序
| |
| |------ 内存保护_关闭
| |
| |------ 内存保护_打开
| |
| |
======文件操作
| |
| |------ 关闭对象
| |
| |------ 文件_关闭
| |
| |------ 文件_打开
| |
| |------ 文件_写入数据
| |
| |------ 文件_读取数据
| |
| |------ 文件_取信息
| |
| |
======驱动操作
| |
| |------ 驱动_注册处理过程
| |
| |------ 驱动_注册符号链接
| |
| |------ 驱动_卸载符号链接
| |
| |------ 驱动_获取驱动操作信息
| |
| |------ 驱动_Io控制码
| |
| |------ 驱动_传递Irp
| |
| |------ 驱动_处理入口点
| |
| |------ 驱动_取函数地址
| |
| |
======时钟操作
| |
| |
======调用的Dll
| |
| |---[dll]------ ZwCreateFile
| |
| |---[dll]------ RtlInitAnsiString
| |
| |---[dll]------ RtlInitUnicodeString
| |
| |---[dll]------ RtlAnsiStringToUnicodeString
| |
| |---[dll]------ ZwClose
| |
| |---[dll]------ RtlUnicodeStringToAnsiString
| |
| |---[dll]------ RtlFreeUnicodeString
| |
| |---[dll]------ RtlFreeAnsiString
| |
| |---[dll]------ ZwWriteFile
| |
| |---[dll]------ ZwReadFile
| |
| |---[dll]------ ZwQueryInformationFile
| |
| |---[dll]------ memmove
| |
| |---[dll]------ memcpy
| |
| |---[dll]------ 指针到驱动对象
| |
| |---[dll]------ 驱动对象到指针
| |
| |---[dll]------ Io创建符号链接
| |
| |---[dll]------ Io删除设备
| |
| |---[dll]------ Io删除符号链接
| |
| |---[dll]------ Io分派Irp
| |
| |---[dll]------ Io创建设备
| |
| |---[dll]------ Irp到指针
| |
| |---[dll]------ 指针到Irp
| |
| |---[dll]------ 指针到整数型
| |
| |---[dll]------ 指针到设备Io控制
| |
| |---[dll]------ 设备Io控制到指针
| |
| |---[dll]------ 整数型到指针
| |
| |---[dll]------ 字节集到指针
| |
| |---[dll]------ MmGetSystemRoutineAddress
| |
| |---[dll]------ KeInitializeTimerEx
调用的DLL命令:
.DLL命令 ZwCreateFile, 整数型, "ntoskrnl.lib", "_ZwCreateFile@44"
.参数 文件句柄, 整数型, 传址
.参数 访问方式, 整数型
.参数 对象属性, 对象属性
.参数 Io状态块, IO状态块
.参数 分配指定大小, 整数型
.参数 文件属性, 整数型
.参数 共享方式, 整数型
.参数 创建配置, 整数型
.参数 创建选项, 整数型
.参数 Ea缓冲区, 整数型
.参数 Ea缓冲区长度, 整数型
.DLL命令 RtlInitAnsiString, , "ntoskrnl.lib", "_RtlInitAnsiString@8", 公开
.参数 DestinationString, ANSI_STRING, 传址
.参数 SourceString, 文本型, 传址
.DLL命令 RtlInitUnicodeString, , "ntoskrnl.lib", "_RtlInitUnicodeString@8", 公开
.参数 DestinationString, ANSI_STRING, 传址
.参数 SourceString, 文本型, 传址
.DLL命令 RtlAnsiStringToUnicodeString, 整数型, "ntoskrnl.lib", "_RtlAnsiStringToUnicodeString@12", 公开
.参数 DestinationString, UNICODE_STRING, 传址
.参数 SourceString, ANSI_STRING, 传址
.参数 AllocateDestinationString, 逻辑型
.DLL命令 ZwClose, , "ntoskrnl.lib", "_ZwClose@4"
.参数 对象句柄, 整数型
.DLL命令 RtlUnicodeStringToAnsiString, 整数型, "ntoskrnl.lib", "_RtlUnicodeStringToAnsiString@12", 公开
.参数 DestinationString, ANSI_STRING, 传址
.参数 SourceString, UNICODE_STRING, 传址
.参数 AllocateDestinationString, 逻辑型
.DLL命令 RtlFreeUnicodeString, , "ntoskrnl.lib", "_RtlFreeUnicodeString@4", 公开
.参数 UnicodeString, UNICODE_STRING, 传址
.DLL命令 RtlFreeAnsiString, , "ntoskrnl.lib", "_RtlFreeAnsiString@4", 公开
.参数 AnsiString, ANSI_STRING, 传址
.DLL命令 ZwWriteFile, 整数型, "ntoskrnl.lib", "_ZwWriteFile@36"
.参数 文件句柄, 整数型
.参数 Event, 整数型
.参数 ApcRoutine, 整数型
.参数 ApcContext, 整数型
.参数 IO状态块, IO状态块, 传址
.参数 缓冲区, 字节集, 传址
.参数 缓冲区长度, 整数型
.参数 起始位置, 整数型
.参数 Key, 整数型
.DLL命令 ZwReadFile, 整数型, "ntoskrnl.lib", "_ZwReadFile@36"
.参数 文件句柄, 整数型
.参数 Event, 整数型
.参数 ApcRoutine, 整数型
.参数 ApcContext, 整数型
.参数 IO状态块, IO状态块, 传址
.参数 缓冲区, 字节集, 传址
.参数 缓冲区长度, 整数型
.参数 起始位置, 整数型
.参数 Key, 整数型
.DLL命令 ZwQueryInformationFile, 整数型, "ntoskrnl.lib", "_ZwQueryInformationFile@20"
.参数 文件句柄, 整数型
.参数 Io状态块, IO状态块, 传址
.参数 输出文件信息, 文件标准信息, 传址
.参数 输出长度, 整数型
.参数 输出的文件信息类型, 整数型
.DLL命令 memmove, , "ntoskrnl.lib", "_memmove", 公开
.参数 目的指针, 整数型
.参数 源指针, 整数型
.参数 长度, 整数型
.DLL命令 memcpy, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, 整数型
.参数 源指针, 整数型
.参数 长度, 整数型
.DLL命令 指针到驱动对象, , "ntoskrnl.lib", "_memcpy"
.参数 目的指针, 驱动对象结构, 传址
.参数 源指针, 整数型
.参数 长度, 整数型
.DLL命令 驱动对象到指针, , "ntoskrnl.lib", "_memcpy"
.参数 目的指针, 整数型
.参数 源指针, 驱动对象结构, 传址
.参数 长度, 整数型
.DLL命令 Io创建符号链接, 整数型, "ntoskrnl.lib", "_IoCreateSymbolicLink@8"
.参数 SymbolicLinkName, UNICODE_STRING, 传址
.参数 DeviceName, UNICODE_STRING, 传址
.DLL命令 Io删除设备, , "ntoskrnl.lib", "_IoDeleteDevice@4"
.参数 DeviceObject, 整数型
.DLL命令 Io删除符号链接, , "ntoskrnl.lib", "_IoDeleteSymbolicLink@4"
.参数 SymbolicLinkName, UNICODE_STRING, 传址
.DLL命令 Io分派Irp, , "ntoskrnl.lib", "_IoCompleteRequest@8"
.参数 Irp, 整数型
.参数 PriorityBoost, 整数型
.DLL命令 Io创建设备, 整数型, "ntoskrnl.lib", "_IoCreateDevice@28", , .
.参数 DriverObject, 整数型
.参数 DeviceExtensionSize, 整数型
.参数 DeviceName, UNICODE_STRING, 传址
.参数 DeviceType, 整数型
.参数 DeviceCharacteristics, 整数型
.参数 Exclusive, 逻辑型
.参数 DeviceObject, 整数型, 传址
.DLL命令 Irp到指针, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, 整数型
.参数 源指针, pIrp, 传址
.参数 长度, 整数型
.DLL命令 指针到Irp, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, pIrp, 传址
.参数 源指针, 整数型
.参数 长度, 整数型
.DLL命令 指针到整数型, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, 整数型, 传址
.参数 源指针, 整数型
.参数 长度, 整数型
.DLL命令 指针到设备Io控制, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, 设备Io控制, 传址
.参数 源指针, 整数型
.参数 长度, 整数型
.DLL命令 设备Io控制到指针, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, 整数型
.参数 源指针, 设备Io控制, 传址
.参数 长度, 整数型
.DLL命令 整数型到指针, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, 整数型
.参数 源指针, 整数型, 传址
.参数 长度, 整数型
.DLL命令 字节集到指针, , "ntoskrnl.lib", "_memcpy", 公开
.参数 目的指针, 整数型
.参数 源指针, 字节集, 传址
.参数 长度, 整数型
.DLL命令 MmGetSystemRoutineAddress, 整数型, "ntoskrnl.lib", "_MmGetSystemRoutineAddress@4", 公开
.参数 SystemRoutineName, UNICODE_STRING
.DLL命令 KeInitializeTimerEx, , "ntoskrnl.lib", "_KeInitializeTimerEx@8"
.参数 时钟指针, 整数型, 传址
.参数 类型, 整数型
注:本站源码主要来源于网络收集。如有侵犯您的利益,请联系我们,我们将及时删除!
部分源码可能含有危险代码,(如关机、格式化磁盘等),请看清代码在运行。
由此产生的一切后果本站均不负责。源码仅用于学习使用,如需运用到商业场景请咨询原作者。
使用本站源码开发的产品均与本站无任何关系,请大家遵守国家相关法律。