版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

返回列表

当前主题已经存档。

kiyeer

铁虫 (初入文坛)

应助: 0 (幼儿园)
金币: 48.3
帖子: 29
在线:
虫号: 171271
注册: 2006-01-18
性别: GG
专业: 电子信息

[交流] VxD编程入门教程(一)

VxD编程入门教程(一)
一、Windows 95 DDK的安装
安装Windows 95 DDK一般需要先安装Win32 SDK，原因是Windows 95 DDK
需要Win32 SDK的16位资源编译器，但是Win32 SDK很大（一整张光盘
的容量），而且国内难以买到，ftp站上也较少见，即使有，下载也很困难。
笔者经过一段时间的摸索，找到了安装Windows 95 DDK的几种简单方法，
现将方法介绍如下：
方法之一：使用第三方资源编译器
1、修改注册表，仿真Win32 SDK已经安装的情况。
建立一个名为WIN32SDK.REG的注册表文件，内容为：

REGEDIT4
[HKEY_USERS\.Default\Software\Microsoft\Win32SDK]
[HKEY_USERS\.Default\Software\Microsoft\Win32SDK\Directories]
"Install Dir"="C:\\MSTOOLS"

在资源管理器中双击此文件，将此文件中的内容添加到注册表。就可以安
装Windows 95 DDK了。
2、运行Windows 95 DDK中的SETUP.EXE文件，安装Windows 95 DDK到
C:\DDK。
3、安装MASM 6.11到C:\MASM611，安装完成后将未安装的Windows 95 DDK
中的MASM611C目录下的文件覆盖到C:\MASM611\BIN。
4、安装Visual C++ 5.0（4.0也可以，但不宜使用6.0）到C:\Program
Files\DevStudio\VC。
5、建立C:\MSTOOLS\BINW16目录，拷贝资源编译器。
Windows 95 DDK需要一个能将Win32资源源文件编译成16位资源的资源
编译器。如果有Win32 SDK，可以将BINW16目录下的文件直接拷贝到
C:\MSTOOLS\BINW16，如果没有Win32 SDK，则可以使用第三方的资源编译
器，这里以使用Borland的资源编译器为例：
准备Turbo MASM 5.0一套，用UNPAK工具解压缩CMDLINE.PAK文件，找
到下面三个文件：
BRC.EXE
BRCC32.EXE
RW32CORE.DLL

将这三个文件拷贝到C:\MSTOOLS\BINW16，并将BRC.EXE改名为RC.EXE即
可。
6、修改CONFIG.SYS增大环境变量空间。
在CONFIG.SYS文件最后加入一行：

SHELL=C:\WINDOWS\COMMAND.COM /E:8192 /P

7、进入Windows 95 MS-DOS方式，初始化编译环境（最好建立一个批处
理文件）：
C:\MASM611\BINR\NEW-VARS.BAT
C:\DDK\DDKINIT.BAT 32 BASE
（编译的设备驱动程序不同，参数也不同）
C:\Program Files\DevStudio\VC\bin\VCVARS32.BAT

就可以使用Windows 95 DDK了，连接时出现的警告可以不理会。
方法之二：使用Windows 98 DDK
完整版的Windows 98 DDK（约30M）包括Windows 95 DDK、全套SDK编译
器和MASM 6.11C汇编器，安装方法非常简单：安装Windows 98 DDK和Visual
C++ 5.0，然后直接运行“Check Build Environment”（编译带调试信息
的设备驱动程序）或者“Free Build Environment”（编译正式发布版本
的设备驱动程序）程序项即可。

二、一个拦截Windows 95／98文件操作的VxD

VxD——虚拟设备驱动程序，顾名思义，VxD是用来控制硬件设备的，那么
这里为什么要讲一个拦截Windows 95／98文件操作的VxD呢？其实，VxD
不仅仅可以用来控制硬件设备，因为VxD工作在80386保护模式Ring 0
特权级（最高特权级）上，而一般的应用程序工作在Ring 3特权级（最
低特权级）上，所以VxD可以完成许多API不能完成的功能，例如端口读
写、物理内存读写、中断调用、API拦截等。正因为如此，VxD在Windows
系统编程中有广泛用途，其实大家一般都是碰到Windows API不能解决或
者难以解决的问题才考虑编写VxD解决问题。
这里介绍的拦截Windows 95／98文件操作的VxD可以用来拦截Windows 95
／98（Windows NT不支持VxD）的所有文件操作，那么这个VxD有什么用
途呢？最大的用途可能是——病毒防火墙，用来对文件操作进行过滤，可
以进行动态病毒检测和动态杀毒。这个VxD使用的原理和目前流行的CIH
病毒传染的原理是基本相同的。
（其实大家如果要问我为什么要写这么一个VxD，那是因为——我是Virus
版的版主啦）
该VxD的文件名是FILEHOOK.VXD，源程序（FILEHOOK.ASM）如下：

;FILEHOOK.VXD－－拦截Windows 95／98文件操作的VxD

.386p

.XLIST
INCLUDE VMM.Inc
INCLUDE VWin32.Inc
INCLUDE Shell.Inc
MASM=1
INCLUDE IFS.Inc
INCLUDE IFSMgr.Inc
.LIST

;VxD声明

Declare_Virtual_Device
FILEHOOK,1,0,VxD_Control,Undefined_Device_ID,,,

;保护模式数据段

VxD_DATA_SEG
Prev_File_System_Api_Hook dd 0
In_File_System_Api_Hook db 0
Message1 db 'Open file !',0
Caption1 db 'FILEHOOK',0
VxD_DATA_ENDS

;保护模式代码段

VxD_CODE_SEG

;系统控制过程

BeginProc VxD_Control
Control_Dispatch SYS_DYNAMIC_DEVICE_INIT,VxD_Device_Init
Control_Dispatch SYS_DYNAMIC_DEVICE_EXIT,VxD_Device_Exit
Control_Dispatch W32_DEVICEIOCONTROL,VxD_IOCTL
clc
ret
EndProc VxD_Control

;IOCTL 控制（设备I／O控制）过程

BeginProc VxD_IOCTL
;获取DeviceIoControl控制代码
mov ecx,[esi.dwIoControlCode]
cmp ecx,1
jz Install_File_System_Api_Hook
cmp ecx,2
jz Uninstall_File_System_Api_Hook
jmp VxD_IOCTL_Exit

;安装文件系统API 钩子

Install_File_System_Api_Hook:
mov eax,OFFSET32 File_System_Api_Hook
VxDCall IFSMgr_InstallFileSystemApiHook
or eax,eax
jz Error_Handler
;保存上一个文件系统API 钩子地址
mov Prev_File_System_Api_Hook,eax
jmp VxD_IOCTL_Exit

;移去文件系统API 钩子

Uninstall_File_System_Api_Hook:
mov eax,OFFSET32 File_System_Api_Hook
VxDCall IFSMgr_RemoveFileSystemApiHook
cmp eax,0FFFFFFFFH
jz Error_Handler
jmp VxD_IOCTL_Exit

;IOCTL 控制过程结束

VxD_IOCTL_Exit:
xor eax,eax
clc
ret

;错误处理

Error_Handler:
mov eax,0FFFFFFFFH
stc
ret
EndProc VxD_IOCTL

;VxD_Device_Exit过程

BeginProc VxD_Device_Exit
clc
ret
EndProc VxD_Device_Exit

;文件系统API 钩子过程（C语言调用方式）

BeginProc File_System_Api_Hook,CCALL
ArgVar FSDFnAddr,DWORD
ArgVar FunctionNum,DWORD
ArgVar Drive,DWORD
ArgVar ResourceFlags,DWORD
ArgVar CodePage,DWORD
ArgVar pir,DWORD
EnterProc
pushad
;防止重入
cmp byte ptr In_File_System_Api_Hook,00h
jnz Prev_Hook
;比较是打开文件操作吗？
cmp dword ptr FunctionNum,IFSFN_OPEN
jnz Prev_Hook
;设置重入标志
inc byte ptr In_File_System_Api_Hook
;取当前VM句柄
VMMCall Get_Cur_VM_Handle
;显示消息框
mov eax,MB_ICONASTERISK+MB_OK
mov ecx,OFFSET32 Message1
mov edi,OFFSET32 Caption1
mov esi,0
mov edx,0
VxDCall Shell_Message
;取消重入标志
dec byte ptr In_File_System_Api_Hook

;转到上一个文件系统API 钩子地址

Prev_Hook:
popad
LeaveProc
mov eax,Prev_File_System_Api_Hook
jmp [eax]
Return
EndProc File_System_Api_Hook

VxD_CODE_ENDS

;保护模式初始化代码段

VxD_ICODE_SEG

;VxD_Device_Init过程

BeginProc VxD_Device_Init
clc
ret
EndProc VxD_Device_Init

VxD_ICODE_ENDS
end

该VxD在设备控制过程（VxD_Control过程）中处理了3个系统控制消息，
分别是SYS_DYNAMIC_DEVICE_INIT（动态VxD初始化）、
SYS_DYNAMIC_DEVICE_EXIT（动态VxD退出）和W32_DEVICEIOCONTROL（设
备I／O控制），对应的消息处理过程分别是VxD_Device_Init、
VxD_Device_Exit和VxD_IOCTL。其中VxD_Device_Init过程和
VxD_Device_Exit过程只清除进位标志返回（表示成功），VxD_IOCTL过程
是Windows 95／98应用程序与VxD通信的接口，完成文件系统API钩子
的安装和移去工作，[esi.dwIOControlCode]中是设备I／O控制代码，该
控制代码为1时安装文件系统API钩子，为2时移去文件系统API钩子。
File_System_Api_Hook是文件系统API钩子过程，这里作为一个简单的实
例，钩子过程判断是否是打开文件操作，如果是则显示一个简单的消息框，
然后跳转到上一个文件钩子（相当于旧的文件系统API入口）。如果需要
扩充功能，可以在该过程中增加代码。
汇编连接VxD需要一个模块定义文件和一个NMAKE文件（手工汇编连接当
然也可以）。这两个文件都可以直接用DDK中的GENERIC实例中的模块定
义文件和NMAKE文件修改而成，模块定义文件（FILEHOOK.DEF）如下：

VXD FILEHOOK DYNAMIC
DESCRIPTION 'File System API Hook Program'

SEGMENTS
_LPTEXT CLASS 'LCODE' PRELOAD NONDISCARDABLE
_LTEXT CLASS 'LCODE' PRELOAD NONDISCARDABLE
_LDATA CLASS 'LCODE' PRELOAD NONDISCARDABLE
_TEXT CLASS 'LCODE' PRELOAD NONDISCARDABLE
_DATA CLASS 'LCODE' PRELOAD NONDISCARDABLE
CONST CLASS 'LCODE' PRELOAD NONDISCARDABLE
_TLS CLASS 'LCODE' PRELOAD NONDISCARDABLE
_BSS CLASS 'LCODE' PRELOAD NONDISCARDABLE
_LMSGTABLE CLASS 'MCODE' PRELOAD NONDISCARDABLE IOPL
_LMSGDATA CLASS 'MCODE' PRELOAD NONDISCARDABLE IOPL
_IMSGTABLE CLASS 'MCODE' PRELOAD DISCARDABLE IOPL
_IMSGDATA CLASS 'MCODE' PRELOAD DISCARDABLE IOPL
_ITEXT CLASS 'ICODE' DISCARDABLE
_IDATA CLASS 'ICODE' DISCARDABLE
_PTEXT CLASS 'PCODE' NONDISCARDABLE
_PMSGTABLE CLASS 'MCODE' NONDISCARDABLE IOPL
_PMSGDATA CLASS 'MCODE' NONDISCARDABLE IOPL
_PDATA CLASS 'PDATA' NONDISCARDABLE SHARED
_STEXT CLASS 'SCODE' RESIDENT
_SDATA CLASS 'SCODE' RESIDENT
_DBOSTART CLASS 'DBOCODE' PRELOAD NONDISCARDABLE CONFORMING
_DBOCODE CLASS 'DBOCODE' PRELOAD NONDISCARDABLE CONFORMING
_DBODATA CLASS 'DBOCODE' PRELOAD NONDISCARDABLE CONFORMING
_16ICODE CLASS '16ICODE' PRELOAD DISCARDABLE
_RCODE CLASS 'RCODE'

EXPORTS
FILEHOOK_DDB @1

NMAKE文件（MAKEFILE）如下：

!ifdef MASTER_MAKE
BUILD_BITS=32
BUILD_TYPE=base
!INCLUDE $(DDKROOT)\master.mk
!endif

NAME = filehook

# supply the location of a 16-bit linker

LINK =

# Definitions for the debug level

!ifdef DEBUG
DDEBUG =-DDEBLEVEL=1 -DDEBUG
!else
DDEBUG =-DDEBLEVEL=0
!endif

# Definitions for MASM 6 Assembler

ASM = ml
AFLAGS = -coff -DBLD_COFF -DIS_32 -W2 -c -Cx -Zm -DMASM6 $(DDEBUG)
ASMENV = ML
LFLAGS = /VXD /NOD

# MASM 6 only inference rules

.asm.obj:
set $(ASMENV)=$(AFLAGS)
$(ASM) -Fo$*.obj $<

all : $(NAME).VXD

OBJS = filehook.obj

filehook.obj: filehook.asm

$(NAME).vxd: $(NAME).def $(OBJS)
link @<<$(NAME).lnk
$(LFLAGS)
/OUT:$(NAME).vxd
/MAP:$(NAME).map
/DEF:$(NAME).def
$(OBJS)
<<
mapsym -s -o $(NAME).sym $(NAME).map

clean:
-@del *.obj
-@del *.vxd
-@del *.exp
-@del *.lib
-@del *.map
-@del *.sym

有了这两个文件，运行NMAKE即可汇编连接VxD。

[ Last edited by 幻影无痕 on 2006-11-7 at 07:38 ]

回复此楼

» 猜你喜欢

上海电力大学材料防护与新材料重点实验室招收调剂研究生（材料、化学、电化学，环境）已经有4人回复
材料学求调剂已经有6人回复
303求调剂已经有5人回复
一志愿武理085500机械专业总分300求调剂已经有7人回复
考研调剂已经有4人回复
281求调剂已经有4人回复
0805 316求调剂已经有6人回复
085601求调剂总分293英一数二已经有3人回复
08工学调剂已经有17人回复
340求调剂已经有4人回复

1楼 2006-02-28 20:32:07

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

jiangnanhero

至尊木虫 (正式写手)

应助: 9 (幼儿园)
金币: 14926.7
散金: 449
红花: 5
帖子: 396
在线: 143.7小时
虫号: 27677
注册: 2003-10-25
专业: 功能与智能高分子

1

????

回复此楼

2楼2006-02-28 20:49:11

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

juan5313

应助: (幼儿园)
在线:
虫号: 201299

1

看来楼主的专业知识非同一般啦..鼓励!!继续加油

赞一下

回复此楼

3楼2006-03-03 12:51:20

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

sbttmxk

金虫 (著名写手)

应助: 0 (幼儿园)
贵宾: 0.45
金币: 886.8
帖子: 2509
在线:
虫号: 158329
注册: 2006-01-06
性别: GG

1

不错

回复此楼

Do one thing, do it well. http://www.nanost.net/bbs/index.php

4楼2006-03-03 14:42:38

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

hunterisme

0.5

hao

5楼2006-03-03 21:27:23

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 kiyeer 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 07化学280分求调剂 +6	722865 2026-03-23	6/300	2026-03-24 20:58 by allen-yin
[考研] 086003食品工程求调剂 +5	淼淼111 2026-03-24	5/250	2026-03-24 20:53 by lailaisimei
[考研] 0703化学调剂，求导师收 +7	天天好运来上岸� 2026-03-24	7/350	2026-03-24 20:26 by peike
[考研] 【考研调剂】化学专业 281分，一志愿四川大学，诚心求调剂 +15	吃吃吃才有意义 2026-03-19	16/800	2026-03-24 19:51 by 了了了了。。
[考研] 0854电子信息求调剂 +6	α____ 2026-03-22	7/350	2026-03-24 19:46 by sunjie8888
[考研] 调剂 +4	13853210211 2026-03-24	4/200	2026-03-24 19:44 by ms629
[考研] 306求0703调剂一志愿华中师范 +10	纸鱼ly 2026-03-21	11/550	2026-03-24 17:22 by qingfeng258
[考研] 一志愿北京化工大学材料与化工 264分各科过A区国家线 +3	哈哈157349 2026-03-21	3/150	2026-03-24 14:11 by zhyzzh
[考研] 材料与化工328分调剂 +4	。，。，。，。i 2026-03-23	4/200	2026-03-24 11:03 by 544594351
[考研] 284求调剂 +10	Zhao anqi 2026-03-22	10/500	2026-03-24 00:08 by Equinoxhua
[考研] 一志愿武理材料工程348求调剂 +6	￣^￣゜汗 2026-03-19	9/450	2026-03-23 19:53 by pswait
[考研] 北科281学硕材料求调剂 +8	tcxiaoxx 2026-03-20	9/450	2026-03-23 12:16 by tcxiaoxx
[考研] 070300，一志愿北航320求调剂 +3	Jerry0216 2026-03-22	5/250	2026-03-23 09:16 by 。。堂堂
[考研] 材料与化工085600，总分304，本科有两篇sci参与，求调剂 +4	幸运的酱酱 2026-03-22	5/250	2026-03-22 20:15 by edmund7
[考研] 0703化学调剂 +4	妮妮ninicgb 2026-03-21	4/200	2026-03-21 18:39 by 学员8dgXkO
[考研] 265求调剂 +12	梁梁校校 2026-03-19	14/700	2026-03-21 13:38 by lature00
[考研] 332求调剂 +3	凤凰院丁真 2026-03-20	3/150	2026-03-21 10:27 by luoyongfeng
[考研] 317求调剂 +5	申子申申 2026-03-19	9/450	2026-03-20 22:26 by JourneyLucky
[考研] 中南大学化学学硕337求调剂 +3	niko- 2026-03-19	6/300	2026-03-20 21:58 by luoyongfeng
[考研] 085600材料与化工调剂 324分 +10	llllkkkhh 2026-03-18	12/600	2026-03-19 14:33 by llllkkkhh