C语言驱动开发内核枚举IoTimer定时器怎么实现

本篇内容主要讲解“C语言驱动开发内核枚举ioTimer定时器怎么实现”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“C语言驱动开发内核枚举IoTimer定时器怎么实现”吧!

正文

IoTimer内核定时器其实就是在内核中实现的时钟，该定时器的枚举非常简单，因为在IoInitializeTimer初始化部分就可以找到IopTimerQueueHead地址，该变量内存储的就是定时器的链表头部。枚举IO定时器的案例并不多见，即便有也是无法使用过时的，此教程学到肯定就是赚到了。

枚举Io定时器过程

• 找到IoInitializeTimer函数，该函数可以通过MmGetSystemRoutineAddress得到。

• 找到地址以后，我们向下增加0xFF偏移量，并搜索特征定位到IopTimerQueueHead链表头。

• 将链表头转换为IO_TIMER结构体，并循环链表头输出。

这里解释一下为什么要找IoInitializeTimer这个函数他是一个初始化函数，既然是初始化里面一定会涉及到链表的存储问题，找到他就能找到定时器链表基址，该函数的定义如下。

NTSTATUS   IoInitializeTimer(    IN PDEVICE_OBJECT  DeviceObject,     // 设备对象指针    IN PIO_TIMER_ROUTINE  TimerRoutine,  // 定时器例程    IN PVOID  Context                    // 传给定时器例程的函数    );

接着我们需要得到IO定时器的结构定义，在DEVICE_OBJECT设备对象指针中存在一个Timer属性。

lyshark.com: kd> dt _DEVICE_OBJECTntdll!_DEVICE_OBJECT   +0x000 Type             : Int2B   +0x002 Size             : Uint2B   +0x004 ReferenceCount   : Int4B   +0x008 DriverObject     : Ptr64 _DRIVER_OBJECT   +0x010 NextDevice       : Ptr64 _DEVICE_OBJECT   +0x018 AttachedDevice   : Ptr64 _DEVICE_OBJECT   +0x020 CurrentIrp       : Ptr64 _IRP   +0x028 Timer            : Ptr64 _IO_TIMER   +0x030 Flags            : Uint4B   +0x034 Characteristics  : Uint4B   +0x038 Vpb              : Ptr64 _VPB   +0x040 DeviceExtension  : Ptr64 Void   +0x048 DeviceType       : Uint4B   +0x04c StackSize        : Char   +0x050 Queue            : <anonymous-tag>   +0x098 AlignmentRequirement : Uint4B   +0x0a0 DeviceQueue      : _KDEVICE_QUEUE   +0x0c8 Dpc              : _KDPC   +0x108 ActiveThreadCount : Uint4B   +0x110 SecurityDescriptor : Ptr64 Void   +0x118 DeviceLock       : _KEVENT   +0x130 SectorSize       : Uint2B   +0x132 Spare1           : Uint2B   +0x138 DeviceObjectExtension : Ptr64 _DEVOBJ_EXTENSION   +0x140 Reserved         : Ptr64 Void

这里的这个+0x028 Timer定时器是一个结构体_IO_TIMER其就是IO定时器的所需结构体。

lyshark.com: kd> dt _IO_TIMERntdll!_IO_TIMER   +0x000 Type             : Int2B   +0x002 TimerFlag        : Int2B   +0x008 TimerList        : _LIST_ENTRY   +0x018 TimerRoutine     : Ptr64     void    +0x020 Context          : Ptr64 Void   +0x028 DeviceObject     : Ptr64 _DEVICE_OBJECT

如上方的基础知识有了也就够了，接着就是实际开发部分，首先我们需要编写一个GetIoInitializeTimerAddress()函数，让该函数可以定位到IoInitializeTimer所在内核中的基地址上面，具体实现调用代码如下所示。

GetIoInitializeTimerAddress()函数

#include <ntifs.h>// 得到IoInitializeTimer基址// By: LyShark 内核开发系列教程PVOID GetIoInitializeTimerAddress(){PVOID VariableAddress = 0;UNICODE_STRING uioiTime = { 0 };RtlInitUnicodeString(&uioiTime, L"IoInitializeTimer");VariableAddress = (PVOID)MmGetSystemRoutineAddress(&uioiTime);if (VariableAddress != 0){return VariableAddress;}return 0;}VOID UnDriver(PDRIVER_OBJECT driver){DbgPrint(("Uninstall Driver Is OK \n"));}NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING ReGIStryPath){DbgPrint(("hello lyshark.com \n"));// 得到基址PUCHAR IoInitializeTimer = GetIoInitializeTimerAddress();DbgPrint("IoInitializeTimer Address = %p \n", IoInitializeTimer);Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;}

运行这个驱动程序，然后对比下是否一致:

nt!IoInitializeTimer+0x5d 输出位置

接着我们在反汇编代码中寻找IoTimerQueueHead，此处在LyShark系统内这个偏移位置是nt!IoInitializeTimer+0x5d 具体输出位置如下。

lyshark.com: kd> uf IoInitializeTimernt!IoInitializeTimer+0x5d:fffff805`74b85bed 488d5008        lea     rdx,[rax+8]fffff805`74b85bf1 48897018        mov     qWord ptr [rax+18h],rsifffff805`74b85bf5 4c8d054475e0ff  lea     r8,[nt!IopTimerLock (fffff805`7498d140)]fffff805`74b85bfc 48897820        mov     qword ptr [rax+20h],rdifffff805`74b85c00 488d0dd9ddcdff  lea     rcx,[nt!IopTimerQueueHead (fffff805`748639e0)]fffff805`74b85c07 e8141e98ff      call    nt!ExInterlockedInsertTailList (fffff805`74507a20)fffff805`74b85c0c 33c0            xor     eax,eax

在WinDBG中标注出颜色lea rcx,[nt!IopTimerQueueHead (fffff805748639e0)]更容易看到。

接着就是通过代码实现对此处的定位，定位我们就采用特征码搜索的方式，如下代码是特征搜索部分。

特征搜索部分

• StartSearchAddress 代表开始位置

• EndSearchAddress 代表结束位置，粗略计算0xff就可以定位到了。

#include <ntifs.h>// 得到IoInitializeTimer基址// By: LyShark 内核开发系列教程PVOID GetIoInitializeTimerAddress(){PVOID VariableAddress = 0;UNICODE_STRING uioiTime = { 0 };RtlInitUnicodeString(&uioiTime, L"IoInitializeTimer");VariableAddress = (PVOID)MmGetSystemRoutineAddress(&uioiTime);if (VariableAddress != 0){return VariableAddress;}return 0;}VOID UnDriver(PDRIVER_OBJECT driver){DbgPrint(("Uninstall Driver Is OK \n"));}NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath){DbgPrint(("hello lyshark.com \n"));// 得到基址PUCHAR IoInitializeTimer = GetIoInitializeTimerAddress();DbgPrint("IoInitializeTimer Address = %p \n", IoInitializeTimer);INT32 iOffset = 0;PLIST_ENTRY IoTimerQueueHead = NULL;PUCHAR StartSearchAddress = IoInitializeTimer;PUCHAR EndSearchAddress = IoInitializeTimer + 0xFF;UCHAR v1 = 0, v2 = 0, v3 = 0;for (PUCHAR i = StartSearchAddress; i < EndSearchAddress; i++){if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2)){v1 = *i;v2 = *(i + 1);v3 = *(i + 2);// 三个特征码if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d){memcpy(&iOffset, i + 3, 4);IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + 7);DbgPrint("IoTimerQueueHead = %p \n", IoTimerQueueHead);break;}}}Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;}

搜索三个特征码v1 == 0x48 && v2 == 0x8d && v3 == 0x0d从而得到内存位置，运行驱动对比下。

• 运行代码会取出lea指令后面的操作数，而不是取出lea指令的内存地址。

IO_TIMER结构体定义

最后一步就是枚举部分，我们需要前面提到的IO_TIMER结构体定义。

• PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList) 得到结构体，循环输出即可。

// By: LyShark 内核开发系列教程// https://www.cnblogs.com/LyShark/articles/16784393.html#include <ntddk.h>#include <ntstrsafe.h>typedef struct _IO_TIMER{  INT16        Type;  INT16        TimerFlag;  LONG32       Unknown;  LIST_ENTRY   TimerList;  PVOID        TimerRoutine;  PVOID        Context;  PVOID        DeviceObject;}IO_TIMER, *PIO_TIMER;// 得到IoInitializeTimer基址PVOID GetIoInitializeTimerAddress(){  PVOID VariableAddress = 0;  UNICODE_STRING uioiTime = { 0 };  RtlInitUnicodeString(&uioiTime, L"IoInitializeTimer");  VariableAddress = (PVOID)MmGetSystemRoutineAddress(&uioiTime);  if (VariableAddress != 0)  {    return VariableAddress;  }  return 0;}VOID UnDriver(PDRIVER_OBJECT driver){  DbgPrint("卸载完成... \n");}NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath){  DbgPrint(("hello lyshark.com \n"));  // 得到基址  PUCHAR IoInitializeTimer = GetIoInitializeTimerAddress();  DbgPrint("IoInitializeTimer Address = %p \n", IoInitializeTimer);  // 搜索IoTimerQueueHead地址    INT32 iOffset = 0;  PLIST_ENTRY IoTimerQueueHead = NULL;  PUCHAR StartSearchAddress = IoInitializeTimer;  PUCHAR EndSearchAddress = IoInitializeTimer + 0xFF;  UCHAR v1 = 0, v2 = 0, v3 = 0;  for (PUCHAR i = StartSearchAddress; i < EndSearchAddress; i++)  {    if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))    {      v1 = *i;      v2 = *(i + 1);      v3 = *(i + 2);      // fffff806`349963e0 48 8d 0d 99 f6 cd ff  lea rcx,[nt!IopTimerQueueHead (fffff806`34675a80)]      if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d)      {        memcpy(&iOffset, i + 3, 4);        IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + 7);        DbgPrint("IoTimerQueueHead = %p \n", IoTimerQueueHead);        break;      }    }  }  // 枚举列表  KIRQL OldIrql;  // 获得特权级  OldIrql = KeRaiseIrqlToDpcLevel();  if (IoTimerQueueHead && MmIsAddressValid((PVOID)IoTimerQueueHead))  {    PLIST_ENTRY NextEntry = IoTimerQueueHead->flink;    while (MmIsAddressValid(NextEntry) && NextEntry != (PLIST_ENTRY)IoTimerQueueHead)    {      PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList);      if (Timer && MmIsAddressValid(Timer))      {        DbgPrint("IO对象地址: %p \n", Timer);      }      NextEntry = NextEntry->Flink;    }  }  // 恢复特权级  KeLowerIrql(OldIrql);  Driver->DriverUnload = UnDriver;  return STATUS_SUCCESS;}

运行这段源代码，并可得到以下输出，由于没有IO定时器所以输出结果是空的：

到此，相信大家对“C语言驱动开发内核枚举IoTimer定时器怎么实现”有了更深的了解，不妨来实际操作一番吧！这里是编程网网站，更多相关内容可以进入相关频道进行查询，关注我们，继续学习！