IoCreateNotificationEvent 同步r3和r0

最新推荐文章于 2025-08-25 00:03:15 发布
原创 最新推荐文章于 2025-08-25 00:03:15 发布 · 4.2k 阅读 · 0
标签
#object #application #microsoft #防火墙 #security
#ddk
本文介绍了在驱动开发中如何利用IoCreateNotificationEvent进行用户态(r3)和内核态(r0)的同步。通过创建命名事件对象,驱动和应用程序可以通过IOCTL传递句柄实现通信。在DriverEntry中创建事件对象,并在用户模式下等待,内核态通过KeSetEvent和KeClearEvent控制线程执行。

今天逆向驱动加载防火墙看到了这个函数

PKEVENT 
  IoCreateNotificationEvent(
    IN PUNICODE_STRING  EventName,
    OUT PHANDLE  EventHandle
    );

ddk中说可以用于r3和r0同步和便于传递信息,使用共享的事件对象有以下2个办法:

  • The user-mode application creates the event object and passes a handle to the object to the driver by sending an IOCTL to the driver. The driver must handle the IOCTL in the context of the process that created the event object and must validate the handle by calling ObReferenceObjectByHandle
最低0.47元/天 解锁文章
三环驱动的通信 DEMO
07-07
三环驱动的通信 DEMO,测试通过,可以跨R0----R3通讯
Windows内核编程R0与R3通信
輚至消亡
03-20 2522
直接设备读写 其原理是锁定用户空间内存(这解决了分页内存置换导致缺页异常的问题)并将其映射到内核空间地址,直接对该内核空间地址进行写入即可,由于进程的内核空间是共享的。所以属于任何进程的线程都可以写入。 注意的点: 1. 要为设备添加DO_DIRECT_IO标志 2. 为R3下ReadFileWriteFile派遣函数时获取对对应传入参数 a. 其中WriteFile的用户输入内存地址ReadFile的设备输出地址通过MmGetSystemAddressForMdlSafe函数锁定IRP.
IoCreateNotificationEvent 中文翻译
cosseen的专栏
03-01 1547
IoCreateNotificationEvent 该例程创建或者打开一个命名的通知事件用于通知一个或多个线程一个事件已经发生. PKEVENT  IoCreateNotificationEvent( IN PUNICODE_STRING EventName,   指向一个以NULL结尾的UNICODE字符串,该字符串包含事件的名称 OUT PHANDLE EventHandle
驱动开发:基于事件同步的反向通信
微软技术分享
06-20 9765
在之前的文章中`LyShark`一直都在教大家如何让驱动程序与应用层进行`正向通信`,而在某些时候我们不仅仅只需要正向通信,也需要反向通信,例如杀毒软件如果驱动程序拦截到恶意操作则必须将这个请求动态的转发到应用层以此来通知用户,而这种通信方式的实现有多种,通常可以使用创建Socket套接字的方式实现,亦或者使用本章所介绍的通过`事件同步`的方法实现反向通信。
64位内核开发第十二讲,进程监视,ring3跟ring0事件同步.
weixin_30315435的博客
06-09 416
一丶同步与互斥详解,以及实现一个进程监视软件. 1.用于线程同步的 KEVENT 事件很简单分别分为 事件状态. 以及事件类别. 事件状态: 有信号 Signaled 无信号 Non-signaled 事件类别 自动恢复 Synchronization 自动设置 不自动恢复. Notification 手动设置 事件的创建函数 ** IoCreateNotificationEvent() ** *...
驱动程序与驱动程序交互事件对象
weixin_34195142的博客
08-13 346
最近看张帆的《windows驱动技术开发详解》,看了一些东西通过写一些Demo来加深理解,这里把自己学习的东西写的Demo记录下来,如有不妥,还请批评指正。 8.5.5 驱动程序与驱动程序交互事件对象 当我们在Ring0与Ring0交互的时候,类似于Ring0A与RingB各自的派遣函数要同步则我们要在这两者之间进行交互事件对象。 这里的关键是,A与B的事件对象的问题,即如何让A获得B的事...
2020腾讯游戏安全技术初赛pc客户端安全R0
u014738665的博客
05-28 1068
参赛网址: 1、2020腾讯游戏技术竞赛 题目要求: 初赛ring0题目:(本题共5分) DriverDemo.sys是一个驱动程序,它内置了一些限制。 1, 不能篡改该文件,尝试使驱动成功加载。(3分) 2, 该驱动程序成功加载后,突破它的限制,但不允许patch文件或内存,使它成功打印出(用dbgview可接受)调试信息"hello world!".(2分) 请以文档方式,详细描述解题过程,如涉及编写程序,必须提供源代码。 驱动未签名,需要设置Windows 10高级启动选项,禁用.
[笔记] Windows内核安全编程《三》内核通信 (下)
最新发布
二次元怪兽的博客
08-25 788
本节主要运行基础代码:1.链表2.自旋锁3.内核字符串转换方法熟悉一些代码,运行理解驱动编程。
IoCreateNotificationEvent
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-16 1161
在做磁盘过滤驱动时候在驱动的DirverEntry里面创建了一个事件,一启动就BSOD了,定位到EVENT上去了,可是测试代码OK,原因是测试的驱动是在系统启动后的事了。 后来再看原来是这下面这个原因,内核EVNET的创建一定要在win32子系统初始化完成后才能进行创建 ,后创建一个线程,创建启动OK The \\BaseNamedObjects object directory is n
Ring3与Ring0通信方法若干
03-10 2209
本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。               Ring3与Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。          1 同步的策略          初写驱动的朋友都知道,通过Dev
(转载)总结应用驱动之间用事件通讯的办法
Sodier的专栏
08-18 1968
总结应用驱动之间用事件通讯的办法 1. 驱动中IoCreateNotificationEvent,KeClearEvent    应用中OpenEvent(SYNCHRONIZE, FALSE, EVENT_NAME)    这样,只能在应用中WaitForSingleObject,而不能SetEvent,ResetEvent    驱动中可以KeSetEvent,(而且必须紧接着KeClear
应用程序与驱动程序的通信
Catch me if you can
05-16 5121
1.符号的说明 2.通信IRP的说明与注册 3.demo的实现。 4.总结一下自己的错误。
CreateEvent OpenEvent时事件全局名称问题 Global
热门推荐
物知馆
06-05 1万+
今天看别人的代码,注意到在操作事件对象时如下: sprintf(cTemp,"Global\\EVENT_%s",lpFileName); m_hMapEvent = OpenEvent(EVENT_ALL_ACCESS,FALSE,cTemp); 注意到了没有,事件对象名称前面加了个Global,开始以为这个Global是任意加的,可以随便改成其他字符,后来经过查阅msdngoo
3.3 同步技术 :事件对象
it技术学习
07-25 1902
3.3.1 事件对象 使用事件对象是一种常见的同步方法。驱动程序可以使用事件对象同步完成IRP,或者驱动线程间同步执行某些操作。 要使用事件对象,首先需要调用KeInitializeEvent, IoCreateNotificationEvent或者IoCreateSynchronizationEvent初始化事件。KeInitializeEvent函数原型: VOID KeInitiali
总结应用驱动之间用事件通讯的办法
weixin_30906671的博客
12-02 299
1. 驱动中IoCreateNotificationEvent,KeClearEvent 应用中OpenEvent(SYNCHRONIZE, FALSE, EVENT_NAME) 这样,只能在应用中WaitForSingleObject,而不能SetEvent,ResetEvent 驱动中可以KeSetEvent,(而且必须紧接着KeClearEvent,因为在应用中不能修改...
ADS1248驱动及相关总结
xiaopan的博客
06-10 1万+
七七八八的,毕业设计弄的差不多了。以前遗留的问题也解决的差不多了(虽然有些粗糙)。现在,有点时间来总结毕业设计中的一些内容。 先说点感悟:对于毕业设计做的自动顶空系统来说,我感觉最恼人的要数这个ADS1248的驱动了。对于这个驱动,我他妈差不多整整弄了两个多月(请原谅我爆句粗口)。(当然,按照导师的说法,我是跨了两年)。在那差不多两个月里,我有很多次找到了以前做OJ题,调试8次改不出来的感觉(气...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值