一句话让XueTr卸载不了我们的驱动

清淡小女子

作者：KiDebug

1. /*
   
2. * 作者：KiDebug
   
3. * 空间：http://hi.baidu.com/KiDebug/
   
4. */
   
5. #include <ntddk.h>
   
6. 
   
7. void testUnload(IN PDRIVER_OBJECT DriverObject)
   
8. {
   
9. }
   
10. 
    
11. NTSTATUS testDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
    
12. {
    
13.   Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;
    
14.   Irp->IoStatus.Information = 0;
    
15.   IoCompleteRequest(Irp, IO_NO_INCREMENT);
    
16.   return Irp->IoStatus.Status;
    
17. }
    
18. 
    
19. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
    
20. {
    
21.   ULONG i;
    
22. 
    
23.   for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)
    
24.     DriverObject->MajorFunction[i] = testDefaultHandler;
    
25.   
    
26.   DriverObject->DriverUnload = testUnload;
    
27. 
    
28.   return STATUS_SUCCESS;
    
29. }
    
30. 
    
31. 
    
32. 
    
33. 驱动卸载时，函数调用如下：
    
34. kd> kp
    
35. ChildEBP RetAddr  
    
36. ee5deb30 805b1bde nt!IopDeleteDriver
    
37. ee5deb4c 80523bf1 nt!ObpRemoveObjectRoutine+0xe0
    
38. ee5deb70 804f5778 nt!ObfDereferenceObject+0x5f
    
39. ee5dec14 8057a83d nt!IopUnloadDriver+0x28a
    
40. ee5dec24 8053e6d8 nt!NtUnloadDriver+0xf
    
41. ee5dec24 80500231 nt!KiFastCallEntry+0xf8
    
42. ee5deca0 804f55df nt!ZwUnloadDriver+0x11
    
43. ee5ded48 8057a83d nt!IopUnloadDriver+0xf1
    
44. ee5ded58 8053e6d8 nt!NtUnloadDriver+0xf
    
45. 
    
46. 在nt!IopDeleteDriver中，有如下的判断代码（WRK，/base/ntos/io/iomgr/objsup.c 787行）：
    
47. 
    
48.     if (driverObject->DriverSection != NULL) {
    
49.         //
    
50.         // Make sure any DPC's that may be running inside the driver have completed
    
51.         //
    
52.         KeFlushQueuedDpcs ();
    
53. 
    
54.         MmUnloadSystemImage( driverObject->DriverSection );
    
55. 
    
56.         PpDriverObjectDereferenceComplete(driverObject);
    
57.     }
    
58. 
    
59. 如果driverObject->DriverSection不为空的话，就会调用MmUnloadSystemImage把驱动映象从内核中卸掉
    
60. 如果driverObject->DriverSection为空的话呢？
    
61. 那当然就不会把把驱动映象从内核中卸掉了，驱动仍然在内核中，该干嘛干嘛
    
62. 所以我们只要在驱动的DriverUnload函数里面添加一句代码就行：
    
63. /*
    
64. * 作者：KiDebug
    
65. * 空间：http://hi.baidu.com/KiDebug/
    
66. */
    
67. #include <ntddk.h>
    
68. 
    
69. void testUnload(IN PDRIVER_OBJECT DriverObject)
    
70. {
    
71.   DriverObject->DriverSection=NULL;
    
72. }
    
73. 
    
74. NTSTATUS testDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
    
75. {
    
76.   Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;
    
77.   Irp->IoStatus.Information = 0;
    
78.   IoCompleteRequest(Irp, IO_NO_INCREMENT);
    
79.   return Irp->IoStatus.Status;
    
80. }
    
81. 
    
82. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
    
83. {
    
84.   ULONG i;
    
85. 
    
86.   for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)
    
87.     DriverObject->MajorFunction[i] = testDefaultHandler;
    
88.   
    
89.   DriverObject->DriverUnload = testUnload;
    
90. 
    
91.   return STATUS_SUCCESS;
    
92. }

复制代码

用InstDrv.exe加载编译后的驱动，依次点击安装、启动、停止、卸载，然后用XueTr测试一下，发现虽然能显示test.sys的存在，但菜单里面“卸载驱动(危险)”已经变灰，无法点击了。
虽然是自己在做题时根据MJ的语录翻的WRK，不知道上面这文章会不会是火星或抄袭了…还请大家指正。。