Как управлять процессом компиляции и сборки драйвера

@alex2711 · Регистрация: 12.08.2019

Студворк — интернет-сервис помощи студентам

Здравствуйте.

Некоторое время назад, появилось у меня желание заняться декомпиляцией одного драйвера. Зачем мне это нужно? - да из спортивного интереса, хочу понять как и что этот драйвер делает. Это занятие оказалось весьма увлекательным, декомпилированный исходник постепенно увеличивается, а код драйвера, получаемый при компиляции этого исходника, при определенных условиях, зачастую совпадает (или почти совпадает) с кодом исходного драйвера.

Но, гладко получается не все, в связи с чем прошу у Вас помощи.

Для начала о средствах разработки, посредством которых я работаю:
- Windows Driver Kit (WDK 7600.16385.1);
- Microsoft Visual Studio 2005;
- Visual DDK, который производит некоторую интегрирацию WDK и VS.

Вопрос первый. В коде исходного драйвера, точкой входа в драйвер является следующий код:

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 EntryPoint:
        pushfd
        mov ecx,[esp]
        xor dword ptr [esp],00200000h
        popfd
        pushfd
        pop eax
        cmp eax,ecx
        jz  L0001645C
        mov eax,00000001h
        push    ebx
        cpuid
        pop ebx
        and eax,00000F00h
        cmp eax,00000500h
        jc  L0001645C
        jmp L00016288
 L0001645C:
        mov eax,C0000001h
        retn    0008h

где на 17-й строке (jmp L0001645C) происходит переход на функцию DriverEntry (которую писал непосредственно разработчик), и я предполагаю, что приведенный выше кода добавлен компилятором в процессе компиляции.

Когда я компилирую восстановленный мной исходник посредством только WDK (VS используется в качестве редактора текста исходника), точка входа в драйвер, так же имеет участок кода добавленный компилятором (правда выполняющий другие функции):

Assembler
1
2
3
4
5
6
7
 EntryPoint:
        mov edi,edi
        push    ebp
        mov ebp,esp
        call    SUB_L00011105
        pop ebp
        jmp L00010BC0

в котором переход на функцию DriverEntry, написанную мной, происходит в 7-й строке.

Ну и собственно сам вопрос, можно ли, при компиляции, как либо управлять кодом, который добавляется компилятором, или это не управляемый процесс, жестко зашитый в глубины компилятора?

Вопрос второй. Связка VS и WDK (посредством Visual DDK) позволяет, при разработке драйвера, использовать компилятор VS и линкер WDK для создания файла драйвера. В таком варианте, с настройкой оптимизации компилятора для получения минимального размера конечного файла, мне удалось получить код, почти идентичный коду исходного драйвера (за исключением куска кода по которому задан первый вопрос, которого просто нет при компиляции средствами VS). И собственно вопрос, можно ли как либо произвести настройку оптимизации компилятора WDK?

@R71MT · 13.08.2019, 06:34

Сообщение от alex2711

и я предполагаю, что приведенный выше кода добавлен компилятором в процессе компиляции

..не правильно вы полагаете.
это не компилятор вставляет, а разраб проверяет процессор на поддержку инструкции CPUID. Если она НЕ поддерживается - в строке(9) выходим из драйвера. Дальше со-строки(10) вызывается CPUID с EAX=1 или "Features". cmp eax,00000500h проверяет биты [11:8], а это семейство процессора "Family" (Intel/AMD etc).

Сообщение от alex2711

так же имеет участок кода добавленный компилятором (правда выполняющий другие функции):

это пролог и эпилог функции,
который добавляет компилятор, если функция имеет аргументы.
Если аргументов нет, то эта батва не добавляется компилем.

Добавлено через 11 минут
кстати, в сишном хидере "ntstatus.h" перечисляются все коды-ошибок..
например в строке(19) первого листинга имеем mov eax,C0000001h и дальше ret
открываем хидер и видим:

C++
1
2
3
4
5
#define STATUS_UNSUCCESSFUL     0xC0000001
// MessageId: STATUS_UNSUCCESSFUL
// MessageText:
// {Operation Failed}
// The requested operation was unsuccessful.

@alex2711 · 13.08.2019, 13:18 **[ТС]**

Сообщение от R71MT

..не правильно вы полагаете.
это не компилятор вставляет, а разраб проверяет процессор на поддержку инструкции CPUID.

Согласен, моё предположение о том, что данный код вставлен компилятором, не верно. Да, это разработчик предусмотрел проверку того, на каком процессоре запускается драйвер, и если процессор не подходящий, то запуск драйвера прекращается.

Но...

Если исходить из того, что код, добавленый используемым мной компилятором является прологом (и это только пролог, а ни как не ...пролог и эпилог функции так как переход непосредственно на саму функцию, которой является NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath), происходит в последней, 7-й строке данного кода jmp L00010BC0), то, код проверки процессора (код из первого листинга, из исходного драйвера), добавлен разработчиком как пролог к функции, причем к точно такой же функции NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) (которая к слову имеет аргументы), и переход на которую осуществляется почти в самом конце пролога (в строке 17 jmp L00016288), если процессор подходящий (следом за этим переходом, в конце этого кода, только выход из драйвера при неподходящем процессоре).

И теперь переформулирую свой вопрос, как можно повлиять на пролог, который добавляется компилятором, мне нужно что бы перед вызовом функции вызывался пролог, который написал я сам, допустим проводящий проверку подходит ли данный процессор для этого драйвера? Это возможно?

@R71MT · 13.08.2019, 15:39

Сообщение от alex2711

и это только пролог, а ни как не ...пролог и эпилог функции

с чего-бы это?
пролог - push ebp --> mov ebp,esp, а эпилог - pop ebp --> ret
если учесть call в строке(5), то рано или поздно pop ebp получит управление.
только не понятно, куда подевался тут ret.

Сообщение от alex2711

как можно повлиять на пролог

оформлять функцию в виде функции без параметров.
если параметры всё-таки нужны, то засылать их в стек до вызова функции
мне непонятно одно.. зачем вы ведёте борьбу за лишние 4-байта?
ну есть этот пролог, да и пусть будет.. кому он мешает?

@alex2711 · 13.08.2019, 16:17 **[ТС]**

Увы и ах, ret в данном участке отсутствует. Вот он более полно:

Assembler
1
2
3
4
5
6
7
8
9
 EntryPoint:
        mov edi,edi
        push    ebp
        mov ebp,esp
        call    SUB_L00011105
        pop ebp
        jmp L00010BC0
        int3
        int3

call SUB_L00011105 вызывает следующую функцию (которую тоже писал не я, ее добавил компилятор):

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 SUB_L00011105:
        mov eax,[L0001103C]
        mov ecx,BB40E64Eh
        test    eax,eax
        jz  L00011117
        cmp eax,ecx
        jnz L00011131
 L00011117:
        mov eax,[ntoskrnl.exe!KeTickCount]
        mov eax,[eax]
        xor eax,L0001103C
        mov [L0001103C],eax
        jnz L00011131
        mov eax,ecx
        mov [L0001103C],eax
 L00011131:
        not eax
        mov [L00011040],eax
        retn

ну а по jmp L00010BC0 идет переход на DriverEntry, которую писал я:

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
 L00010BC0:
        mov edi,edi
        push    ebp
        mov ebp,esp
        sub esp,00000050h
        mov eax,[L0001103C]
        xor eax,ebp
        mov [ebp-04h],eax
        push    ebx
        push    esi
        mov esi,[ebp+08h]
        push    edi
        mov edi,[ebp+0Ch]
        pushfd
        mov ecx,[esp]
        xor dword ptr [esp],00200000h
        popfd
        push    SWC00011004__Registry_Machine_Software
        lea eax,[ebp-38h]
        push    eax
        mov [L000110D4],esi
        call    [ntoskrnl.exe!RtlInitUnicodeString]
        lea eax,[ebp-38h]
        mov [ebp-48h],eax
        lea eax,[ebp-50h]
        push    eax
        xor ebx,ebx
        push    00000001h
        push    esi
        mov dword ptr [ebp-50h],00000018h
        mov [ebp-4Ch],ebx
        mov dword ptr [ebp-44h],00000240h
        mov [ebp-40h],ebx
        mov [ebp-3Ch],ebx
        call    [ntoskrnl.exe!ZwOpenKey]
        test    eax,eax
        jz  L00010C4A
        push    esi
        call    [ntoskrnl.exe!ZwClose]
        mov esi,C0000001h
        push    esi
        push    00010001h
        call    SUB_L000105BC
        mov eax,esi
        jmp L00010D2C
 L00010C4A:
        push    edi
        call    SUB_L000109BC
        cmp eax,ebx
        jz  L00010C5C
        push    eax
        push    00010002h
        jmp L00010CCF
 L00010C5C:
        mov eax,L00010998
        mov [esi+70h],eax
        mov [esi+38h],eax
        mov [esi+40h],eax
        mov dword ptr [esi+28h],L00011050
        call    SUB_L0001082A
        test    eax,eax
        jnz L00010CDE
        push    ebx
        push    L000110C4
        push    L0001104C
        push    L000110CC
        call    [ntoskrnl.exe!PsGetVersion]
        mov eax,[L000110CC]
        movzx   ecx,al
        mov [L000110D0],ecx
        mov ecx,[L0001104C]
        cmp eax,00000005h
        jnz L00010CB7
        cmp ecx,ebx
        jz  L00010CC0
        cmp ecx,00000001h
        jz  L00010CC0
        cmp ecx,00000002h
        jz  L00010CC0
 L00010CB7:
        cmp eax,00000006h
        jnz L00010CDE
        cmp ecx,ebx
        jnz L00010CDE
 L00010CC0:
        mov eax,[L000110C0]
        cmp [eax],ebx
        jz  L00010CD6
        push    ebx
        push    00010004h
 L00010CCF:
        call    SUB_L000105BC
        jmp L00010CDE
 L00010CD6:
        push    00000001h
        push    ebx
        call    SUB_L000107E2
 L00010CDE:
        xor ecx,ecx
        lea eax,[ebp-20h]
 L00010CE3:
        mov dl,cl
        inc dl
        inc ecx
        mov [eax],dl
        inc eax
        cmp cx,0019h
        jc  L00010CE3
        push    00000019h
        lea eax,[ebp-20h]
        push    eax
        push    00000002h
        push    00000001h
        call    SUB_L000104E4
        xor ecx,ecx
        lea eax,[ebp-30h]
 L00010D05:
        mov dl,cl
        add dl,1Ah
        inc ecx
        mov [eax],dl
        inc eax
        cmp cx,0029h
        jc  L00010D05
        push    00000029h
        lea eax,[ebp-30h]
        push    eax
        push    00000006h
        push    00000005h
        call    SUB_L000104E4
        mov dword ptr [esi+34h],L00010962
        xor eax,eax
 L00010D2C:
        mov ecx,[ebp-04h]
        pop edi
        pop esi
        xor ecx,ebp
        pop ebx
        call    SUB_L00010D42
        leave
        retn    0008h

И вот здесь, в конце, появляется ret

Мне это нужно, не для экономии нескольких байт, я хочу восстановить исходник и во всех подробностях понять как и что делает этот драйвер.

Добавлено через 14 минут
Смысл того что я делаю, сводится к тому, чтобы выставить настройки компиляции такими, какими они были у разработчика. Вероятно, со временем, я сам смогу найти ответы на свои вопросы, но с Вашей помощью, я надеюсь, эти ответы будет проще отыскать.

P.S. На всякий случай, для данной функции я не в состоянии передать параметры, функция вызывается операционной системой при старте, при загрузке драйвера.

@Ethereal · 14.08.2019, 20:32

Сообщение от alex2711

Ну и собственно сам вопрос, можно ли, при компиляции, как либо управлять кодом, который добавляется компилятором, или это не управляемый процесс, жестко зашитый в глубины компилятора?

Косвенно можно влиять на этот процесс. Ну ты-же видишь, что первой-же проверкой после EntryPoint является проверка запущен ли декомпилированный драйвер на пне или не на пне. Если он запущен на компьютере с 386 или 486 процессором, то драйвер немедленно посылает операционку на буквы C0000001h. А в коде твоего варианта этой проверки нет. Ну так значит ты компилируешь свой код без указания целевого процессора, а разработчик указал компилятору целевой процессор 586.

Добавлено через 17 минут

Сообщение от alex2711

- Windows Driver Kit (WDK 7600.16385.1);

Тут такой компилятор
Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 15.00.30729.207 for 80x86
Что-то я не вижу в нем других опций кроме
/arch:<SSE|SSE2> minimum CPU architecture requirements, one of:
SSE - enable use of instructions available with SSE enabled CPUs
SSE2 - enable use of instructions available with SSE2 enabled CPUs
Наверно разработчик использовал VS. Укажи в настройках этой студии целовой процессор Пень = 586. Есть наверно у нее такие настройки. И посмотри появится ли у тебя эта преамбула с инструкцией cpuid при компиляции.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .