狸猫换太子:动态替换WinCE的原生驱动!

//=====================================================================
//TITLE:
//    狸猫换太子:动态替换WinCE的原生驱动!
//AUTHOR:
//    norains
//DATE:
//    Friday 23-April-2010
//Environment:
//    Windows CE 5.0 + TCC7901
//=====================================================================

 

    大家应该都知道,WinCE系统的驱动是可以非常方便地动态加载和卸载的(如果对此不清楚,可以参考我之前写的两篇文章。《WinCE驱动的动态加载》:http://blog.csdn.net/norains/archive/2010/02/22/5316923.aspx《WinCE驱动的动态卸载》:http://blog.csdn.net/norains/archive/2010/04/22/5514351.aspx),如果我们善加利用,完全可以神不知鬼不觉地进行狸猫换太子--不必重新编译系统,就可以在应用程序完全不知情地情况下,将原生驱动偷梁换柱成我们自己的冒牌货!

 

    听起来很有意思,是吧?那么,让我们开始这次奇妙的旅程吧。

 

    能达到的目标才有动力,这次我们拿WinCE设备最常用的最基本的串口驱动开刀。我们要做的事情也很简单,如果通过Read读取回来的字符超过五个,那么我们就将最前面的五个字符替换为"abcde"。

 

    如果要达成这个目标,我们需要两个程序:
    1. 伪驱动DLL。它负责替换读取回来的数据
    2. 驱动加载程序。

 

    第二点比较简单,我们先来看看第一点。

  

    首先我们来了解一下WinCE驱动的基本情况。WinCE的驱动,说白了,就是一个dll文件。它和普通的dll唯一不同的是,它规定了导出函数的形式,比如XXX_Init,XXX_Deinit等等。其中的XXX,是不同驱动的前缀,就像串口驱动为COM_Init一样。更为严格的是,像COM_Init这样的函数,无论是返回值,还是形参的类型乃至于个数,都是规定死的,否则WinCE不会正常加载。
  
    而在这一框框条条之下,带给我们的是另外的一种机会:我们的伪驱动向上实现微软规定的接口,向下则调用原生的驱动。
  
  听起来是不是有点迷糊?没关系,我们以COM_Read函数举个例子。
  
  我们的伪驱动名为FakeDriver.dll,导出了一个函数叫COM_Read。我这里的平台是Telechips的TCC7901,它的驱动文件为tcc_serial.dll。接下来需要做的是,从tcc_serial.dll中获得其COM_Read的地址,以方便我们在伪驱动中调用。
  
  对于大家来说,对于下面调用dll函数的代码应该不会陌生:
    //显式加载DLL文件   g_hCoreDll = LoadLibrary(TEXT("tcc_serial.dll"));      ...      //获取DLL文件的COM_Read函数地址   typedef ULONG (WINAPI *DLL_COM_READ)(HANDLE pHead,PUCHAR pTargetBuffer,ULONG BufferLength);   DLL_COM_READ DLL_COM_Read = (DLL_COM_READ)GetProcAddress(g_hCoreDll, _T("COM_Read"));      ...      ULONG COM_Read(HANDLE pHead,PUCHAR pTargetBuffer,ULONG BufferLength)   {    //直接调用DLL的COM_Read函数    return DLL_COM_Read(pHead,pTargetBuffer,BufferLength);   }   
  
  没错,就是这么简单。我们的伪驱动,其实只是在原生驱动之上封装了一层,骨子里还是调用的原生驱动。只不过我们可以在这封装的一层中,可以做太多的事情了。对于本文前面的目标,我们的伪驱动的代码完整实现如下:
    #include "serpriv.h"      //------------------------------------------------------------   //导出函数的定义   typedef HANDLE (WINAPI *DLL_COM_INIT)(ULONG Identifier);   typedef BOOL (WINAPI *DLL_COM_DEINIT)(PHW_INDEP_INFO pSerialHead);   typedef BOOL (WINAPI *DLL_COM_IOCONTROL)(PHW_OPEN_INFO pOpenHead,DWORD dwCode, PBYTE pBufIn,DWORD dwLenIn, PBYTE pBufOut, DWORD dwLenOut,PDWORD pdwActualOut);   typedef void (WINAPI *DLL_COM_PRECLOSE)(PHW_OPEN_INFO pOpenHead);   typedef BOOL (WINAPI *DLL_COM_PREDEINIT)(PHW_INDEP_INFO pSerialHead);   typedef HANDLE (WINAPI *DLL_COM_OPEN)(HANDLE pHead, DWORD AccessCode,DWORD ShareMode);   typedef BOOL (WINAPI *DLL_COM_CLOSE)(PHW_OPEN_INFO pOpenHead);   typedef BOOL (WINAPI *DLL_COM_POWERDOWN)(HANDLE pHead);   typedef BOOL (WINAPI *DLL_COM_POWERUP)(HANDLE pHead);   typedef ULONG (WINAPI *DLL_COM_READ)(HANDLE pHead,PUCHAR pTargetBuffer,ULONG BufferLength);   typedef ULONG (WINAPI *DLL_COM_SEEK)(HANDLE pHead,LONG Position,DWORD Type);   typedef ULONG (WINAPI *DLL_COM_WRITE)(HANDLE pHead,PUCHAR pSourceBytes,ULONG NumberOfBytes);      //----------------------------------------------------------   //全局变量   DLL_COM_INIT DLL_COM_Init = NULL;   DLL_COM_DEINIT DLL_COM_Deinit = NULL;   DLL_COM_IOCONTROL DLL_COM_IOControl = NULL;   DLL_COM_PRECLOSE DLL_COM_PreClose = NULL;   DLL_COM_PREDEINIT DLL_COM_PreDeinit = NULL;   DLL_COM_OPEN DLL_COM_Open = NULL;   DLL_COM_CLOSE DLL_COM_Close = NULL;   DLL_COM_POWERDOWN DLL_COM_PowerDown = NULL;   DLL_COM_POWERUP DLL_COM_PowerUp = NULL;   DLL_COM_READ DLL_COM_Read = NULL;   DLL_COM_SEEK DLL_COM_Seek = NULL;   DLL_COM_WRITE DLL_COM_Write = NULL;      HINSTANCE g_hCoreDll = NULL;      //----------------------------------------------------------   //获取所有导出函数的地址   BOOL InitFuncAddr()   {    BOOL bRes = FALSE;          __try    {    g_hCoreDll = LoadLibrary(TEXT("tcc_serial.dll"));    if (g_hCoreDll == NULL)    {    __leave;    }       DLL_COM_Init = (DLL_COM_INIT)GetProcAddress(g_hCoreDll, _T("COM_Init"));    if(DLL_COM_Init == NULL)    {    __leave;    }       DLL_COM_Deinit = (DLL_COM_DEINIT)GetProcAddress(g_hCoreDll, _T("COM_Deinit"));    if(DLL_COM_Deinit == NULL)    {    __leave;    }       DLL_COM_IOControl = (DLL_COM_IOCONTROL)GetProcAddress(g_hCoreDll, _T("COM_IOControl"));    if(DLL_COM_IOControl == NULL)    {    __leave;    }       DLL_COM_PreClose = (DLL_COM_PRECLOSE)GetProcAddress(g_hCoreDll, _T("COM_PreClose"));    if(DLL_COM_PreClose == NULL)    {    __leave;    }       DLL_COM_PreDeinit = (DLL_COM_PREDEINIT)GetProcAddress(g_hCoreDll, _T("COM_PreDeinit"));    if(DLL_COM_PreDeinit == NULL)    {    __leave;    }       DLL_COM_Open = (DLL_COM_OPEN)GetProcAddress(g_hCoreDll, _T("COM_Open"));    if(DLL_COM_Open == NULL)    {    __leave;    }          DLL_COM_Close = (DLL_COM_CLOSE)GetProcAddress(g_hCoreDll, _T("COM_Close"));    if(DLL_COM_Close == NULL)    {    __leave;    }       DLL_COM_PowerDown = (DLL_COM_POWERDOWN)GetProcAddress(g_hCoreDll, _T("COM_PowerDown"));    if(DLL_COM_PowerDown == NULL)    {    __leave;    }       DLL_COM_PowerUp = (DLL_COM_POWERUP)GetProcAddress(g_hCoreDll, _T("COM_PowerUp"));    if(DLL_COM_PowerUp == NULL)    {    __leave;    }       DLL_COM_Read = (DLL_COM_READ)GetProcAddress(g_hCoreDll, _T("COM_Read"));    if(DLL_COM_Read == NULL)    {    __leave;    }       DLL_COM_Seek = (DLL_COM_SEEK)GetProcAddress(g_hCoreDll, _T("COM_Seek"));    if(DLL_COM_Seek == NULL)    {    __leave;    }       DLL_COM_Write = (DLL_COM_WRITE)GetProcAddress(g_hCoreDll, _T("COM_Write"));    if(DLL_COM_Write == NULL)    {    __leave;    }       bRes = TRUE;    }    __finally    {    if(bRes == FALSE)    {    if(g_hCoreDll != NULL)    {    FreeLibrary(g_hCoreDll);    }    }    }       return bRes;   }         BOOL WINAPI DllEntry(HANDLE hInstDll, DWORD dwReason, LPVOID lpvReserved)   {    switch ( dwReason )    {    case DLL_PROCESS_ATTACH:    break;    }    return TRUE;   }         HANDLE COM_Init(ULONG Identifier)   {    if(InitFuncAddr() != FALSE)    {    RETAILMSG(TRUE,(TEXT("InitFuncAddr Succeeded/r/n")));       return DLL_COM_Init(Identifier);    //return TRUE;    }    else    {    RETAILMSG(TRUE,(TEXT("InitFuncAddr Failed/r/n")));    return FALSE;    }   }         BOOL COM_Deinit(PHW_INDEP_INFO pSerialHead)   {       BOOL bRes = DLL_COM_Deinit(pSerialHead);       if(g_hCoreDll != NULL)    {    FreeLibrary(g_hCoreDll);    }       RETAILMSG(TRUE,(TEXT("COM_Deinit/r/n")));    return bRes;   }         BOOL COM_IOControl(PHW_OPEN_INFO pOpenHead,    DWORD dwCode, PBYTE pBufIn,    DWORD dwLenIn, PBYTE pBufOut, DWORD dwLenOut,    PDWORD pdwActualOut)   {    return DLL_COM_IOControl(pOpenHead,dwCode,pBufIn,dwLenIn,pBufOut,dwLenOut,pdwActualOut);   }            void COM_PreClose(PHW_OPEN_INFO pOpenHead)   {    DLL_COM_PreClose(pOpenHead);   }      BOOL COM_PreDeinit(PHW_INDEP_INFO pSerialHead)   {    return DLL_COM_PreDeinit(pSerialHead);   }      HANDLE COM_Open(HANDLE pHead, DWORD AccessCode,DWORD ShareMode)   {    return DLL_COM_Open(pHead,AccessCode,ShareMode);   }      BOOL COM_Close(PHW_OPEN_INFO pOpenHead)   {    return DLL_COM_Close(pOpenHead);   }      BOOL COM_PowerDown(HANDLE pHead)   {    return DLL_COM_PowerDown(pHead);   }      BOOL COM_PowerUp(HANDLE pHead)   {    return DLL_COM_PowerUp(pHead);   }      ULONG COM_Read(HANDLE pHead,PUCHAR pTargetBuffer,ULONG BufferLength)   {    ULONG ulRead = DLL_COM_Read(pHead,pTargetBuffer,BufferLength);       //将前面的五个字符替换为abced    if(ulRead > 5)    {    pTargetBuffer[0] = 'a';    pTargetBuffer[1] = 'b';    pTargetBuffer[2] = 'c';    pTargetBuffer[3] = 'd';    pTargetBuffer[4] = 'e';    }       return ulRead;   }      ULONG COM_Seek(HANDLE pHead,LONG Position,DWORD Type)   {    return DLL_COM_Seek(pHead,Position,Type);   }      ULONG COM_Write(HANDLE pHead,PUCHAR pSourceBytes,ULONG NumberOfBytes)   {    return DLL_COM_Write(pHead,pSourceBytes,NumberOfBytes);   }   
  
  代码中的DLL_COM_XXX函数其实全部都是原生驱动的导出函数,如果我们将COM_Read的替换代码注释掉,那么这个伪驱动的表现将和原生驱动一模一样,没有任何区别。
  
  伪驱动DLL已经完成,剩下的就是临门一脚。先看看TCC7901的COM1的注册表:
  
  
  如图中所示,为了要让我们的伪驱动能够正常加载,需要将注册表的dll字段更改为我们伪驱动的文件名。
  
  所以,加载的应用程序就只有如下几行(代码中所提到的Unload函数,请参考本文开头的两篇文章):
  
  //卸载原来的COM1驱动   Unload(TEXT("COM1:"));      //更改注册表中DLL的文件名   CReg reg;   reg.Create(HKEY_LOCAL_MACHINE,TEXT("Drivers//BuiltIn//Serial1"));   reg.SetSZ(TEXT("Dll"),TEXT("FakeDriver.dll"));      //动态加载伪驱动   ActivateDeviceEx(TEXT("Drivers//BuiltIn//Serial1",NULL,0,pParam);   
  
  最后我们需要做的就是,将伪驱动FakeDriver.dll拷贝到windows文件夹,运行我们的加载程序,就可以用如下代码进行测试:
  
   HANDLE hCom = CreateFile(TEXT("COM1:"),GENERIC_READ|GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);    std::vector<BYTE> vtBuf(MAX_PATH,0);    DWORD dwRead = 0;    BOOL bRes = ReadFile(hCom,&vtBuf[0],vtBuf.size(),&dwRead,NULL);    CloseHandle(hCom);
  
  如果不出意外的话,那么读取回来的数据前面五个字符将是我们所期望的abcde!
  
  
  本文所提到的伪驱动源代码可于此下载:http://download.csdn.net/source/2275520

转载于:https://www.cnblogs.com/wodeyitian/archive/2010/04/23/2460334.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/362795.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

mysql批量更新

由于mysql没有top函数&#xff0c;limit也不支持子查询&#xff0c;所以批量修改、查询就显得比较麻烦&#xff0c; 但是我还是想到了一个办法&#xff1b; 即创建一个临时表&#xff0c;用于批量操作&#xff1b; 详细如下&#xff1a; 1 create TEMPORARY TABLE test(cardId …

可缺省的CSS布局——张鑫旭

一、技术不难、意识很难 有些东西的东西的实现&#xff0c;难的不是原料、技术&#xff1b;而是想不到&#xff0c;或者说意识不到。 例如下面这个简单而又神奇的魔术&#xff1a; 是吧。搞通了&#xff0c;才发现&#xff0c;哦~原来这么回事&#xff0c;很简单的嘛&#x…

使用Spring AOP,自定义注释和反射为您的应用审核基础架构

下一篇文章将演示如何使用Spring AOP和注释编写简单的审计。 审核机制将是干净&#xff0c;高效且易于维护的&#xff08;和Kewwl&#xff01;&#xff09;。 我将在用户管理系统上演示我的示例&#xff08;假设您对反射和AOP具有一般知识&#xff09;。 我们从简单的数据库表…

经过几天的Scala回归Java的10个最烦人的事情

因此&#xff0c;我正在尝试使用Scala&#xff0c;因为我想编写一个解析器&#xff0c;而Scala Parsers API似乎非常合适。 毕竟&#xff0c;我可以在Scala中实现解析器并将其包装在Java接口后面&#xff0c;因此除了附加的运行时依赖关系之外&#xff0c;不应该存在任何互操作…

检查Red Hat JBoss BRMS部署架构的规则和事件(第二部分)

&#xff08;文章来宾与北美红帽公司高级中间件顾问约翰赫洛克 &#xff08; John Hurlocker&#xff09;合着&#xff09; 在本周的技巧中&#xff0c;我们将放慢速度&#xff0c;并仔细研究可能的Red Hat JBoss BRMS部署体系结构。 当我们谈论部署架构时&#xff0c;我们指…

博客园皮肤-我的博客园皮肤设置教程

一、前言 好的博客皮肤能吸引更多的访问量&#xff0c;也可以使博主更有动力更新博客。今天看到一个博主的博客非常漂亮&#xff0c;突发奇想也打扮了一下自己的博客&#xff0c;虽然差距还有不小&#xff0c;也记录一下操作方法供大家参考。 二、操作 1.左上角“fork me on gi…

设计撑百万并发的数据库架构

设计撑百万并发的数据库架构 https://www.toutiao.com/a6742034135486824973/ 前言 作为一个全球人数最多的国家&#xff0c;一个再怎么凄惨的行业&#xff0c;都能找出很多的人为之付出。而在这个互联网的时代&#xff0c;IT公司绝对比牛毛还多很多。但是大多数都是创业公司&a…

Spring MVC集成测试:断言给定的模型属性有全局错误

为了使用Bean验证报告Spring MVC中的全局错误&#xff0c;我们可以创建一个自定义的类级别约束注释。 全局错误与已验证Bean中的任何特定字段都不相关。 在本文中&#xff0c;我将展示如何使用Spring Test编写测试&#xff0c;以验证给定的model属性是否存在全局验证错误。 自…

Tips_一级菜单栏实现

1.纵向 1 <!DOCTYPE html>2 <html lang"en">3 <head>4 <meta charset"UTF-8">5 <title>menu01</title>6 <style type"text/css">7 *{8 margin: 0;9 pad…

2-使用git管理一个单片机程序

https://www.cnblogs.com/yangfengwu/p/10842205.html 我用电脑压缩一个文件,然后通过git上传,然后在新买的linux系统通过wget 网络下载这个压缩文件,然后死活解压不可以...无论是哪种格式的文件 一开始我怀疑是压缩软件压缩的问题,就换了一个压缩软件进行压缩,但是没有解决问题…

Java线程面试的前50个问题,面向初学者和经验丰富的程序员

您可以参加任何Java面试&#xff0c;无论是大四还是中级&#xff0c;经验或新来的人&#xff0c;一定会看到线​​程&#xff0c;并发和多线程中的几个问题。 实际上&#xff0c;这种内置的并发支持是Java编程语言的最强优势之一&#xff0c;并帮助它在企业界和程序员中同样流行…

《写给大家看的Web设计书(第3版)》即将上市

《写给大家看的设计书》姊妹篇——《写给大家看的Web设计书&#xff08;第3版&#xff09;》 即将上市。它是Robin Williams的又一本设计书。 也许大家对Robin Williams的畅销书《写给大家看的设计书》还念念不忘&#xff0c;还在回味那些简单凝练的设计经验。那好&#xff0c;…

VUE+ElementUI 搭建后台项目(一)

前言 之前有些过移动端的项目搭建的文章&#xff0c;感觉不写个pc端管理系统老感觉少了点什么&#xff0c;最近公司项目比较多&#xff0c;恰巧要做一个申报系统的后台管理系统&#xff0c;鉴于对vue技术栈比较熟悉&#xff0c;所以考虑还是使用vue技术栈来做&#xff1b;看过一…

用 .NET 3.5 创建 ToJSON() 扩展方法

今年早些时候&#xff0c;我通过blog介绍了 C# 和 VB 语言的一项新的扩充特性"扩展方法"。 扩展方法让开发者可以向已有的 CLR 类型的公共契约中添加新的方法&#xff0c;而不需要子类化或重新编译原有的类型。通过这种做法&#xff0c;可以使很多有用的应用场景成为…

Java中File的getPath(),getCanonicalPath()和getAbsolutePath()之间的区别

File API在Java中非常重要&#xff0c;因为它使文件系统可以访问Java程序。 尽管Java的文件API丰富&#xff0c;但是使用它们时仍需要了解许多细节。 关于文件路径的常见查询程序员之一是getPath() &#xff0c; getCanonicalPath()和getAbsolutePath()方法之间的区别&#xff…

Docker容器CPU、memory资源限制

背景 在使用 docker 运行容器时&#xff0c;默认的情况下&#xff0c;docker没有对容器进行硬件资源的限制&#xff0c;当一台主机上运行几百个容器&#xff0c;这些容器虽然互相隔离&#xff0c;但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用的资源进行限制&…

JS_理解函数参数按值传递

本文是我基于红宝书《Javascript高级程序设计》中的第四章&#xff0c;4.1.3传递参数小节P70&#xff0c;进一步理解javaSript中函数的参数&#xff0c;当传递的参数是对象时的传递方式。 &#xff08;结合资料的个人理解&#xff0c;有不正确的地方&#xff0c;希望大家指出&…

检查Red Hat JBoss BRMS部署架构的规则和事件(第一部分)

&#xff08;文章来宾与北美红帽公司高级中间件顾问约翰赫洛克 &#xff08; John Hurlocker&#xff09;合着&#xff09; 在本周的技巧中&#xff0c;我们将放慢速度&#xff0c;并仔细研究可能的Red Hat JBoss BRMS部署体系结构。 当我们谈论部署架构时&#xff0c;我们指…

CSS_选择符

2016-10-28 《CSS入门经典》第五章 以下提示注意事项&#xff1a; 1.如何选择使用id选择符还是class选择符&#xff1a;当确信id选择符在页面的唯一性时&#xff0c;就可以使用id选择符。 2.通用选择符在所有元素上设置样式&#xff0c;并不是只设置继承的默认值。 eg&…

TFS2010配置SQLServer2008R2 tf255049错误

TFS2010配置SQLServer2008R2时&#xff0c;配置数据库时提示 tf255049错误。转载于:https://www.cnblogs.com/ShuaiHo/archive/2010/05/12/1733731.html