Зачем нужен драйвер и как написать простейший драйвер

; masm windows native #
;написано на основе драйвера режима ядра UserPort 1.1 by Tomas Franzon
.686P
.model flat
;---------------------------------------------------------------------------
include ntddk.inc
include ntstatus.inc
include Strings.mac
includelib ntoskrnl.lib
;---------------------------------------------------------------------------
extern _imp__IoCreateDevice@28:dword
extern _imp__IoCreateSymbolicLink@8:dword
extern _imp__Ke386IoSetAccessProcess@8:dword
extern _imp__IoGetCurrentProcess@0:dword
extern _imp__IoDeleteDevice@4:dword
extern _imp__IoDeleteSymbolicLink@4:dword
extern _imp_@IofCompleteRequest@8:dword
extern _imp__ZwYieldExecution@0:dword
extern _imp__Ke386IoSetAccessProcess@8:dword
extern _imp__Ke386SetIoAccessMap@8:dword
extern _imp__ZwSetInformationThread@16:dword
extern _imp__KeNumberProcessors:dword
extern _imp__MmFreeContiguousMemory@4:dword
extern _imp__MmIsAddressValid@4:dword
extern _imp__Ke386QueryIoAccessMap@8:dword
extern _imp__MmAllocateContiguousMemory@12:dword
extern _imp__MmAllocateNonCachedMemory@4:dword
extern _imp__MmFreeNonCachedMemory@8:dword
 
.const
CCOUNTED_UNICODE_STRING "\\Device\\scp08", cusDevice, 4
CCOUNTED_UNICODE_STRING "\\DosDevices\\scp08", cusSymbolicLink, 4
 
;структуры для манипулирования регистром GDT и дескриптором сегмента в GDT.
;Документированы в книгах по процессорам Intel.
KGDTENTRY STRUCT        ; sizeof = 8
    LimitLow        WORD    ?
    BaseLow         WORD    ?
    union _HighWord     ; original HighWord
        struct Bytes
            BaseMid BYTE    ?
            Flags1  BYTE    ?
            Flags2  BYTE    ?
            BaseHi  BYTE    ?
        ends
;имя поля записи должно быть уникально. Отладчик kd показывает 
;их как  __unnamed11, поэтому каждоеимя начинается с "u11"
        Bits RECORD \
            u11BaseHi:8,        ; bits24-31 BaseHi
            u11Granularity:1,   ; bit23 Granularity
            u11Default_Big:1,   ; bit22 Default_Big
            u11Reserved_0:1,    ; bit21 Reserved_0
            u11Sys:1,       ; bit20 Sys
            u11LimitHi:4,       ; bits16-19 LimitHi
            u11Pres:1,      ; bit15 Pres
            u11Dpl:2,       ; bits13-14 Dpl
            u11Type:5,      ; bits8-12  Type
            u11BaseMid:8        ; bits0-7   BaseMid
    ends ; HighWord
KGDTENTRY ENDS
;структура 48 бит регистра GDT который сохраняется командой SGDT               
GDTREG STRUC
    limit word ?
    base  KGDTENTRY <?> 
GDTREG ENDS
.code
;*********************************************************************
;  Служебный обработчик для user-mode вызова CreateFile().
 
; Эта функция введенав таблицу вызовов функций объекта драйверов с помощью
;DriverEntry(). Когда user-mode приложение вызывает CreateFile(), эта
;функция получаетуправление всё ещё в контексте вызвавшего приложения, но
;с CPL (текущий уровеньпривелегий процессора) установленным в 0. Это
;позволяет производить операции возможные только в kernel mode. Процедура
;вызывается для предоставления вызывающему процессу доступ к портам в/в.
;Всё что user-mode приложение, которому нужен доступ к портам в/в должно
;сделать -- это открыть устройство используя CreateFile(). Никаких других
;действий не нужно.
;*********************************************************************
CreateFileDispatch proc
lpIrp        equ dword ptr [esp+8]
 
    cmp nMaxThroughCreateFileIOPM,0
    jz @f
    push 1
    call _imp__IoGetCurrentProcess@0
    push eax
    call _imp__Ke386IoSetAccessProcess@8;предоставить доступ к портам ввода/вывода текущему процессу
    call _imp__ZwYieldExecution@0;форсировать переключение процесса
@@: mov ecx,lpIrp; ecx = Irp
    xor edx,edx; edx = IO_NO_INCREMENT
    mov (_IRP PTR [ecx]).IoStatus.Information,edx; Irp->IoStatus.Information = 0
    mov (_IRP PTR [ecx]).IoStatus.Status,edx; Irp->IoStatus.Status = STATUS_SUCCESS
    call _imp_@IofCompleteRequest@8;IoCompleteRequest(Irp, IO_NO_INCREMENT)
    xor eax,eax
    retn 8
CreateFileDispatch endp
;  Служебный обработчик для user-mode вызова CloseHandle().
CloseFileDispatch proc
 
    cmp nMaxThroughCreateFileIOPM,0
    jz @f
    push 0
    call _imp__IoGetCurrentProcess@0
    push eax
    call _imp__Ke386IoSetAccessProcess@8;запретить текущему процессу доступ к портам ввода/вывода 
    call _imp__ZwYieldExecution@0 ; форсировать переключение процесса
@@: mov ecx,lpIrp
    xor edx,edx ; edx = IO_NO_INCREMENT
    mov (_IRP PTR [ecx]).IoStatus.Information,edx   ; Irp->IoStatus.Information = 0
    mov (_IRP PTR [ecx]).IoStatus.Status,edx    ; Irp->IoStatus.Status = STATUS_SUCCESS
    call _imp_@IofCompleteRequest@8 ;   IoCompleteRequest(Irp, IO_NO_INCREMENT)
    xor eax,eax ; return STATUS_SUCCESS
    retn 8
CloseFileDispatch endp
 
;удалить ссылку "\\.\scp08" и восстановить IOPM 
DriverUnload    proc DriverObject:PDRIVER_OBJECT
 
local TaskSeg:word
local gdtreg:GDTREG
local AffinityMask:dword
 
    push esi
    push edi
    push ebx
    cmp nMaxAllProcessesIOPM,0
    jz short a0
    mov eax,_imp__KeNumberProcessors
    movsx esi,byte ptr [eax]
    cmp esi,1       ; if(NoOfProc < 1) then NoOfProc = 1
    jnb @f
    mov esi,1
@@: cmp esi,32      ; if(NoOfProc > 32) then NoOfProc = 32
    jna @f
    mov esi,32
@@: xor ebx,ebx     ; i = 0
    test esi,esi
    jz short a0
;запустить команду "ltr" для каждого процессора в мультипроцессорных 
;и hyper threading системах
@@: mov eax,1
    mov cl,bl;ecx,esi
    shl eax,cl      
    push sizeof(KAFFINITY)
    lea ecx,AffinityMask
    mov [ecx],eax   ; AffinityMask = 1 << i
    push ecx    ; &AffinityMask
    push ThreadAffinityMask;=4
    push NtCurrentThread;=-2
    call _imp__ZwSetInformationThread@16
    cli ;нас не должны прерывать!
;получаем селектор по инструкции STR, находим в GDT дескриптор и подставляем
;новый предел. Чтобы новый предел применился, мы должны снова загрузить
;селектор в регистр задачи (TR)
    str TaskSeg ;получаем селектор TSS
    sgdt gdtreg ;получаем адрес GDT
;получаем указатель на дескриптор TSS
    movsx edx,TaskSeg
    and dl,0F8h
    add edx,dword ptr gdtreg.base;g = gdtreg.base + (TaskSeg >> 3)
    mov ax,OrgGDTSize;восстанавливаем первоначальный предел сегмента TSS
    mov (GDTREG ptr [edx]).limit,ax;g->limit = OrgGDTSize
;нужно установить тип селектора в 9, чтобы указать что задача НЕ ЗАНЯТА.
;Иначе команда LTR вызовет ошибку
    and (KGDTENTRY ptr [edx])._HighWord,not(mask u11Type)
;помечаем TSS как "не занятый"
    or  (KGDTENTRY ptr [edx])._HighWord,000000900h; g->type = 9
;мы должна произвести загрузку регистра, иначе процессор 
;не увидит новый предел TSS
    ltr TaskSeg;перезагрузка регистра задачи (TR)
    sti ;разрешаем прерывание
    inc ebx         ; i++
    cmp esi,ebx 
    ja @b           ; while(i < NoOfProc)
a0: cmp nMaxThroughCreateFileIOPM,0
    jz @f
;Восстанавливаем первоначальную карту IOPM
    push OriginalThroughCreateFileIOPMCopy
    push 1
    call _imp__Ke386SetIoAccessMap@8 
 
@@: cmp nMaxAllProcessesIOPM,0
    jz @f
    mov ecx,nMaxAllProcessesIOPM
    add ecx,4
    jz @f
    mov edi,OriginalAllProcIOPMCopy
        mov esi,TSSAllProcessesIOPM
    rep movsd
 
@@:;С помощью функции MmFreeNonCachedMemory освобождаем выделенный буфер
    push 2010h+2004h
    push OriginalAllProcIOPMCopy
    call _imp__MmFreeNonCachedMemory@8
 
    push offset cusSymbolicLink
    call _imp__IoDeleteSymbolicLink@4
    mov ecx, DriverObject
    push dword ptr (DRIVER_OBJECT ptr [ecx]).DeviceObject
    call _imp__IoDeleteDevice@4
    pop ebx
    pop edi
    pop esi
    leave
    retn 4
DriverUnload endp
;****************************************************************
;                 Процедура входа в драйвер.
 
;Эта процедура вызывается только раз после загрузки драйвера в память. Она
;выделяет необходимые ресурсы для работы драйвера. В нашем случае она выделяет
;память для массива IOPM, и создает устройство,которое может открыть user-mode 
;приложение. Она также создает символическую ссылку на драйвер устройства. Это
;позволяет user-mode приложению получить доступ к нашему драйверу используя
;"\\.\scp08" нотацию.
;*****************************************************************
DriverEntry proc DriverObject:PDRIVER_OBJECT, RegistryPath:PUNICODE_STRING
 
local TaskSeg:word
local gdtreg:GDTREG
local AffinityMask:dword
local Information1:dword
local Information2:dword
local AllProcessesIOPM:dword
local deviceObject:PDEVICE_OBJECT
 
    push esi
    push edi
    push ebx
;выделяем с помощью функции MmAllocateNonCachedMemory кусок памяти размером
;4014h байт. Сохраняем указатель в переменной OriginalAllProcIOPMCopy и 
;заполняем переменную OriginalThroughCreateFileIOPMCopy
    push 2010h+2004h
    call _imp__MmAllocateNonCachedMemory@4
    mov OriginalAllProcIOPMCopy,eax
    add eax,2004h
    mov OriginalThroughCreateFileIOPMCopy,eax
;------------------------------------------------------
;Extend the address range to 0xffff for all processes. To do this I need to 
;allocate memory at address 0x80045000 but I don't know how to do this. Another 
;method would be to change the default IOPM ponter from 0x20AC to 0x88 for all 
;processes.
;The original size of the TSS is 0x20ab and the driver extends it up to 0x2fff. 
;The limit 0x2fff is because there is only three pages (3*4096) of memory 
;allocated for the TSS. This means that the highest port address which can
;be grantes access for all processes is 0x7a80. If you need to access I/O ports 
;above this address you need to open the "\\.\scp08" file in your application. 
;The default IOPM offset is 0x20ac and this value is rewritten by the OS on 
;every task switch. The IOPM offset must therefore be changed with the 
;undocumented function Ke386IoSetAccessProcess, which sets the IOPM offset to 
;0x88. The AllProcessesIOPM is written to 0x20ac because this is the default 
;IOPM offset for all processes and the ThroughCreateFileIOPM is written to
;0x88 because the Ke386IoSetAccessProcess function sets the IOPM offset to 0x88. 
;The Ke386IoSetAccessProcess function is called when a user mode program opens 
;the file "\\.\scp08".
    mov eax,80h
    or edi,-1
    mov nMaxThroughCreateFileIOPM, eax
    mov nMaxAllProcessesIOPM, eax
    push edi
    push edi
    mov esi,2014h
    push esi
    call _imp__MmAllocateContiguousMemory@12
    mov Information1,eax
;------------------------------------------------------
    push edi
    push edi
    push esi
    call _imp__MmAllocateContiguousMemory@12
    mov Information2,eax
;------------------------------------------------------
    push edi
    mov edi,eax;edi = Information2
        add eax,0Ch
    mov AllProcessesIOPM,eax;AllProcessesIOPM = Information2+12
    pop eax;eax=-1
    mov ecx,2014h/4;размер памяти в dword'ах, на которую указывают Information1 и Information2
    push ecx
    rep stosd
    pop ecx
    mov edi,Information1
    rep stosd
; ---------------------------------------------------------------------------
    mov edi,AllProcessesIOPM
    mov esi,offset DefaultMap
    mov ecx,80h/4;sizeof(DefaultMap) в dword'ах
    push esi
    push ecx
    rep movsd
    pop ecx
    pop esi
    mov edi,Information1
    add edi,12
    push edi
    rep movsd
    pop edi
;------------------------------------------------
        mov nMaxAllProcessesIOPM,2000h
    mov nMaxThroughCreateFileIOPM,2000h
    mov eax,2003h
@@: cmp byte ptr [edi+eax],0FFh
    jnz @f
    mov nMaxThroughCreateFileIOPM,eax
    dec eax
    jns @b
; ---------------------------------------------------------------------------
@@: mov eax, 2003h
@@: mov ecx,AllProcessesIOPM
    cmp byte ptr [ecx+eax],0FFh
    jnz @f
    mov nMaxAllProcessesIOPM,eax
    dec eax
    jns @b
; ---------------------------------------------------------------------------
@@: cli ;нас не должны прерывать!
;получаем селектор по инструкции STR, находим в GDT дескриптор и подставляем
;новый предел. Чтобы новый предел применился, мы должны снова загрузить
;селектор в регистр задачи (TR)
    str TaskSeg;сохранение содержимого регистра задачи tr в слове памяти      
    sgdt gdtreg;извлекаем содержимое системного регистра gdtr, содержащего
;значение базового адреса и размера глобальной дескрипторной таблицы GDT
;получаем указатель на дескриптор TSS
    movsx ecx,TaskSeg;получаем селектор TSS
    and cl,0F8h
    add ecx,dword ptr gdtreg.base
    mov ax,(GDTREG ptr [ecx]).limit; g = gdtreg.base + (TaskSeg >>  3)
;запоминаем изначальный предел сегмента TSS в OrgGDTSize
    mov OrgGDTSize,ax   ; OrgGDTSize = g->limit
    sti;разрешаем прерывание
;получим адрес TSS
    mov eax,(KGDTENTRY ptr [ecx])._HighWord
    mov esi,eax
    and esi,mask u11BaseMid;esi=g->basemid
    shl esi,10h;esi=g->basemid << 16
    and eax,mask u11BaseHi;eax=g->basehi << 24
    or esi,eax
    mov si,(KGDTENTRY ptr [ecx]).BaseLow;si=g->baselo
; TSSbase = (UCHAR *) (g->baselo | (g->basemid << 16) | (g->basehi << 24))
    movzx eax,word ptr [esi+66h]
    mov _IOPMPtr,eax; IOPMPtr = *((USHORT *)(TSSbase + 0x66));
    cmp eax,20ADh ;if (IOPMPtr != 0x20AD)
    jz @f
;IOPMPtr is 0x20AC on Windows XP/2000 and 0x20AD on Windows NT4/3.51
;but some drivers (video??) on Windows XP sets this pointer incorrectly so 
;the safest way is to use the hard coded value 0x20AC when not running 
;Windows NT
    mov _IOPMPtr,20ACh
;Copy the AccessMap to TSSbase + 0x88 and save the original map
@@: cmp nMaxThroughCreateFileIOPM,0 ; if (nMaxThroughCreateFileIOPM != 0)
    jz short a0
 
    push OriginalThroughCreateFileIOPMCopy
    push 1
    call _imp__Ke386QueryIoAccessMap@8
;There might be an other driver using the IOPM so lets merge them together
    mov eax,2000h;i = sizeof(OriginalThroughCreateFileIOPMCopy)) - 4
    mov edx,OriginalThroughCreateFileIOPMCopy
@@: mov ecx,[edx+eax];dword ptr OriginalThroughCreateFileIOPMCopy[eax]
    and [edi+eax],ecx; ThroughCreateFileIOPM[i] = OriginalThroughCreateFileIOPMCopy[i] & ThroughCreateFileIOPM[i]
    sub eax,4   ; i -= 4
    jns @b  ;while( i >=0 ) 
 
    push edi; ThroughCreateFileIOPM
    push 1
    call _imp__Ke386SetIoAccessMap@8 ; Ke386SetIoAccessMap(1, ThroughCreateFileIOPM)
 
a0: mov eax,_IOPMPtr
    add eax,esi ; TSSbase + IOPMPtr
    add esi,2FFFh
    push esi        ; TSSbase + 0x3000-1
    mov TSSAllProcessesIOPM,eax ; TSSAllProcessesIOPM = TSSbase + IOPMPtr
    call _imp__MmIsAddressValid@4
    test al,al      ; if (!MmIsAddressValid(TSSbase + 0x3000-1))
    jnz @f
    mov nMaxAllProcessesIOPM, 0 ; nMaxAllProcessesIOPM = 0
 
@@: mov eax,2FFCh
    sub eax,_IOPMPtr
    cmp nMaxAllProcessesIOPM,eax ; if (nMaxAllProcessesIOPM > 0x2ffc -  IOPMPtr)
    jbe @f
    mov nMaxAllProcessesIOPM,eax ; nMaxAllProcessesIOPM = 0x2ffc - IOPMPtr
 
@@: mov ecx,nMaxAllProcessesIOPM
    push ecx
    mov edi,OriginalAllProcIOPMCopy;offset OriginalAllProcIOPMCopy
    mov esi,TSSAllProcessesIOPM
    rep movsb;RtlCopyMemory (OriginalAllProcIOPMCopy, TSSAllProcessesIOPM, nMaxAllProcessesIOPM);
    mov edi,TSSAllProcessesIOPM
    mov esi,AllProcessesIOPM
    pop ecx
    rep movsb;RtlCopyMemory (TSSAllProcessesIOPM, AllProcessesIOPM, nMaxAllProcessesIOPM);
    push Information1
    call _imp__MmFreeContiguousMemory@4
    push Information2
    call _imp__MmFreeContiguousMemory@4
    cmp nMaxAllProcessesIOPM,0  ; if (nMaxAllProcessesIOPM != 0)
    jz short a1
 
    mov eax,_imp__KeNumberProcessors
    movsx esi,byte ptr [eax] ; NoOfProc = *KeNumberProcessors
    cmp esi,1; if (NoOfProc < 1) then  NoOfProc = 1
    jnb @f  
    mov esi,1
@@: cmp esi,32; if (NoOfProc > 32) then  NoOfProc = 32
    jbe @f
    mov esi,32
@@: xor ebx,ebx     ; i = 0
    test esi,esi
    jz short a1
@@: mov eax,1
    mov cl,bl
    shl eax,cl  ;eax = 1 << i
    push sizeof(KAFFINITY);=4
    lea ecx,AffinityMask
    mov [ecx],eax   ; AffinityMask = 1 << i
    push ecx    ; &AffinityMask
    push ThreadAffinityMask;=4
    push NtCurrentThread;=-2
    call _imp__ZwSetInformationThread@16 ; ZwSetInformationThread(NtCurrentThread(), ThreadAffinityMask,&AffinityMask,sizeof(KAFFINITY));
    cli     ;нас не должны прерывать!
;получаем селектор по инструкции STR, находим в GDT дескриптор и подставляем
;новый предел. Чтобы новый предел применился, мы должны снова загрузить
;селектор в регистр задачи (TR)
    str TaskSeg;сохранение содержимого регистра задачи tr в слове памяти
    sgdt gdtreg;извлекаем содержимое системного регистра gdtr, содержащего
;значение базового адреса и размера глобальной дескрипторной таблицы GDT
;получаем указатель на дескриптор TSS       
    movsx edx,TaskSeg;получаем селектор TSS
    and dl,0F8h;g = gdtreg.base + (TaskSeg >> 3)
    add edx,dword ptr gdtreg.base
;изменяем предел сегмента TSS. 0x3000 это максимальный размер (три страницы), 
;который мы можем использовать
    mov ax,word ptr nMaxAllProcessesIOPM
    add ax,word ptr _IOPMPtr
    add ax,4
    mov (GDTREG ptr [edx]).limit,ax; g->limit = IOPMPtr + nMaxAllProcessesIOPM + 4
    and (KGDTENTRY ptr [edx])._HighWord,not(mask u11Type);mark TSS as "not busy"
    or  (KGDTENTRY ptr [edx])._HighWord,000000900h; g->type = 9
;мы должна произвести загрузку регистра, иначе процессор 
;не увидит новый предел TSS
    ltr TaskSeg;перезагрузка регистра задачи (TR)
    sti;разрешаем прерывание
    inc ebx                 ; i++
    cmp esi,ebx     
    ja @b                   ; while( i < NoOfProc )
;Set up device driver name and device object.
;Make the driver accessable though the file "\\.\scp08"
a1: lea ecx,deviceObject
    push ecx        ; &deviceObject
    mov edi,DriverObject
    xor esi,esi
    push esi;0
    push esi;0
    push FILE_DEVICE_UNKNOWN
    push offset cusDevice   ; &uniNameString
    push esi;0
    push edi        ; &DriverObject
    call _imp__IoCreateDevice@28
    test eax, eax
    js @f; if (!NT_SUCCESS(status))    return status
    push offset cusDevice
    push offset cusSymbolicLink
    call _imp__IoCreateSymbolicLink@8
    test eax,eax
    js @f; if (!NT_SUCCESS(status))    return status
;Инициализируем точки входа драйвера в объекте драйвера. Всё что нам нужно
;это операции создания (Create), закрытия (Close) и выгрузки (Unload)
    mov dword ptr (DRIVER_OBJECT PTR [edi]).MajorFunction[IRP_MJ_CREATE*4],offset CreateFileDispatch ; DriverObject->MajorFunction[IRP_MJ_CREATE] = CreateFileDispatch
    mov dword ptr (DRIVER_OBJECT PTR [edi]).MajorFunction[IRP_MJ_CLOSE*4],offset CloseFileDispatch ;    DriverObject->MajorFunction[IRP_MJ_CLOSE] = CloseFileDispatch
    mov dword ptr (DRIVER_OBJECT PTR [edi]).DriverUnload,offset DriverUnload;dword ptr [esi+34h], offset DriverUnload ; DriverObject->DriverUnload  = scp08Unload
    xchg esi,eax; eax=0 return STATUS_SUCCESS
@@: pop ebx
    pop edi
    pop esi
    leave
    retn 8
DriverEntry endp
.data
OriginalAllProcIOPMCopy dd ?
OriginalThroughCreateFileIOPMCopy dd ?
nMaxAllProcessesIOPM dd 0
OrgGDTSize  dw 0;The original sise of the TSS
_IOPMPtr    dd 0
TSSAllProcessesIOPM dd 0
nMaxThroughCreateFileIOPM dd 0
; разрешен доступ к портам 42h,43h,61h
DefaultMap  db 8 dup(-1),0F3h,3 dup(-1),0FDh,72h dup(-1)
end DriverEntry

; masm windows gui #
.686P
.model flat
include windows.inc
 
includelib kernel32.lib
includelib user32.lib
includelib advapi32.lib
 
extern _imp__ExitProcess@4:dword 
extern _imp__GetFullPathNameA@16:dword
extern _imp__MessageBoxA@16:dword
extern _imp__CloseServiceHandle@4:dword
extern _imp__DeleteService@4:dword
extern _imp__StartServiceA@12:dword
extern _imp__CreateServiceA@52:dword
extern _imp__OpenSCManagerA@12:dword
extern _imp__Sleep@4:dword
extern _imp__OpenServiceA@12:dword
extern _imp__QueryServiceStatus@8:dword
extern _imp__CreateFileA@28:dword
extern _imp__CloseHandle@4:dword
extern _imp__ControlService@12:dword
 
SERVICE_ERROR_NORMAL        equ 1
MAX_PATH            equ 260
.code
 
start proc
local DrvFile:dword
local Driver:HANDLE
local Service:HANDLE
local Manager:HANDLE
local acDriverPath[MAX_PATH]:CHAR
        xor esi,esi
    xor ebx,ebx
    mov edi,offset DrvFilename+4;&edi='scp08.sys',0
;-----инициализируем драйвер
    push eax
    push esp
        lea eax,acDriverPath
    push eax
    push MAX_PATH
    push edi
    call _imp__GetFullPathNameA@16
    pop eax
    ; Open a handle to the SC Manager database
    push SC_MANAGER_ALL_ACCESS;CREATE_SERVICE
    push ebx;NULL 
    push ebx;NULL 
    call _imp__OpenSCManagerA@12
;control manager on the specified computer and opens the specified database
    mov Manager,eax 
        mov [edi+5],ebx;&edi=Drvname='scp08',0
    test eax,eax
    jz err;if eax != NULL
    inc esi
        push SERVICE_ALL_ACCESS
    push edi
    push eax
    call _imp__OpenServiceA@12
    test eax,eax
    jne short @f    
    ; Register driver in SCM active database
    push ebx;NULL
    push ebx;NULL 
    push ebx;NULL 
    push ebx;NULL 
    push ebx;NULL 
        lea ecx,acDriverPath 
    push ecx;DrvPath 
    push SERVICE_ERROR_NORMAL;IGNORE
    push SERVICE_DEMAND_START
    push SERVICE_KERNEL_DRIVER 
    push SERVICE_ALL_ACCESS;START + DELETE 
    push edi 
    push edi
    push Manager
    call _imp__CreateServiceA@52
    test eax,eax
    jz a1;if eax != NULL
@@: mov Service,eax
    push offset Status
    push eax
    call _imp__QueryServiceStatus@8
    xchg eax,ecx
    jecxz wmDESTROY
    cmp Status.SERVICE_STATUS.dwCurrentState,SERVICE_RUNNING
    je short @f;a10
    push ebx;offset Vectors
    push ebx;0 
    push Service 
    call _imp__StartServiceA@12 
@@: sub edi,4;&edi='\\.\scp08',0
    push ebx
    push ebx
    push OPEN_EXISTING
    push ebx
    push FILE_SHARE_READ or FILE_SHARE_WRITE
    push GENERIC_READ or GENERIC_WRITE 
    push edi
    call _imp__CreateFileA@28   
    inc eax;cmp eax,INVALID_HANDLE_VALUE
    je short a2
    dec eax
    mov Driver,eax
    push 1
    call _imp__Sleep@4
        in al,61h;текущее состояние порта 61h в AL
    or al,00000011b;установить биты 0 и 1 в 1
    out 61h,al ;теперь динамик включен
    mov al,0B6h
    out 43h,al  ;Timer  8253-5 (AT: 8254.2).
    mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    mov dx,42h ;Timer 8253-5 (AT: 8254.2).
@@: push edx   ;PC/XT PPI port B bits:
    push ecx   ;0: Timer 2 gate OR  03h= speaker ON
    push 40
    call _imp__Sleep@4
    pop ecx   ;7: 0=enable keyboard
    pop edx   ;Команда выводит данные в порт ввода-вывода, 
    outsb     ;номер которого загружен в регистр DX, 
    loop @b  ;из ячейки памяти по адресу DS:ESI
    pop edi
    in al,61h
    and al,11111100b;4Dh 
    out 61h,al          
 
    ; Remove driver from SCM database
wmDESTROY: push Driver
    call _imp__CloseHandle@4
a2: mov eax,Service
        push eax;Service
        push eax;Service
    push offset Status
    push SERVICE_CONTROL_STOP
    push eax;Service
    call _imp__ControlService@12; Send a control code to a Win32 service 
    call _imp__DeleteService@4
    call _imp__CloseServiceHandle@4
a1: push Manager
    call _imp__CloseServiceHandle@4
    jmp short @f
err:    push MB_ICONSTOP        
    push ebx;NULL
    push handle[esi*4];offset can_t_connect
    push ebx;NULL
    call _imp__MessageBoxA@16 
@@: push ebx;0
    call _imp__ExitProcess@4
start endp
;----------------------------------------------------------------
.data
melody  dw 2 dup(354h),2,2,2 dup(387h),2,2,2 dup(3BDh),2 dup(387h),2 dup(3BDh)
dw 2 dup(3F5h),2 dup(432h),2,2,2 dup(472h),2,2,4 dup(4B5h),4 dup(472h),2 dup(3F5h)
dw 2,2,2 dup(432h),2,2,2 dup(472h),2 dup(432h),2 dup(472h),2 dup(4B5h),2 dup(4FDh)
dw 2,2,2 dup(549h),2,2,4 dup(599h),4 dup(549h),2 dup(472h),2,2,2 dup(5EEh,2)
dw 4 dup(649h),4 dup(5EEh),2 dup(472h),2,2,2 dup(5EEh,2),4 dup(649h),4 dup(5EEh)
dw 2 dup(70Eh),2 dup(6A8h),2 dup(649h),2 dup(5EEh),2 dup(599h),2 dup(549h)
dw 2 dup(4FDh),2 dup(4B5h),2 dup(472h),2,2,2 dup(432h),2,2,2 dup(3F5h),2,2
dw 2 dup(387h),2,2,8 dup(354h),2
size_melody = $ - melody
;----------------------------------------------------------------
DrvFilename db '\\.\scp08.sys',0
Status  db sizeof(SERVICE_STATUS) dup (?)
Bytes   dd ?
handle dd can_t_connect,can_t_register
can_t_connect db "Can't connect to Service Control Manager.",0
can_t_register db "Can't register driver.",0
end start

; masm windows gui #
.686P
.model flat
include windows.inc
 
includelib kernel32.lib
includelib advapi32.lib
includelib ntdll.lib
includelib shlwapi.lib
 
extern _imp__ExitProcess@4:dword 
extern _imp__GetFullPathNameA@16:dword
extern _imp__Sleep@4:dword
extern _imp__CreateFileA@28:dword
extern _imp__CloseHandle@4:dword
extern _imp__RegOpenKeyA@12:dword
extern _imp__RegCreateKeyA@12:dword
extern _imp__RegSetValueExA@24:dword
extern _imp__RegCloseKey@4:dword
extern _imp__SHDeleteKeyA@8:dword
extern _imp__ZwLoadDriver@4:dword
extern _imp__ZwUnloadDriver@4:dword
 
MAX_PATH            equ 260
;--------macros-------------------
du  macro string
    irpc c,<string>
    if '&c'gt 127
    db ('&c'- 0B0h),4
    else
    dw '&c'
    endif
    endm
    dw 0
    endm
;-----------------------------------
.const
align 4
us: du <\registry\machine\SYSTEM\CurrentControlSet\Services\scp08>
len_us = $-us
align 4
cusDevice dw (len_us - 2)
          dw (len_us)
      dd us
 
.code
 
start proc
local   Key2:HKEY
local   Key:HKEY
local   acDriverPath[MAX_PATH]:CHAR
 
    xor ebx,ebx
    mov esi,offset DrvFilename+4;&esi='scp08.sys',0
        lea edi,acDriverPath
        mov eax,'\??\'
    stosd;путь к драйверу должен начаться с '\??\'
;-----инициализируем драйвер
    push eax
    push esp
    push edi
    sub edi,4
    push MAX_PATH
    push esi
    call _imp__GetFullPathNameA@16
    add eax,4
    push eax
        lea eax,Key
    push eax
    push offset aSystem
    push HKEY_LOCAL_MACHINE
    call _imp__RegOpenKeyA@12 
        mov [esi+5],ebx;&esi=Drvname='scp08',0
        lea eax,Key2
    push eax
    push esi
    push Key
    call _imp__RegCreateKeyA@12
    push edi
    push REG_SZ
    push ebx;0
    push offset aImagePath
    push Key2
    call _imp__RegSetValueExA@24
        mov eax,esp
        push sizeof(dword)
    mov dword ptr [eax],1;dType := 1
    push eax;&dType
    push REG_DWORD
    push ebx;0
    push offset aType
    push Key2
    call _imp__RegSetValueExA@24
    push Key2
    call _imp__RegCloseKey@4
    mov [esp],offset cusDevice
    call _imp__ZwLoadDriver@4; выравниваем стек после GetFullPathNameA
    sub esi,4;&esi='\\.\scp08',0
    push ebx
    push ebx
    push OPEN_EXISTING
    push ebx
    push FILE_SHARE_READ or FILE_SHARE_WRITE
    push GENERIC_READ or GENERIC_WRITE 
    push esi
    call _imp__CreateFileA@28   
    inc eax;cmp eax,INVALID_HANDLE_VALUE
    je short a2
    dec eax
    push eax;mov Driver,eax
    push 1
    call _imp__Sleep@4
        in al,61h;текущее состояние порта 61h в AL
    or al,00000011b;установить биты 0 и 1 в 1
    out 61h,al ;теперь динамик включен
    mov al,0B6h
    push 43h
    pop edx ;Timer 8253-5 (AT: 8254.2).
    out dx,al;out 43h,al    ;Timer  8253-5 (AT: 8254.2).
    mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    dec edx;dx=42h
@@: push edx   ;PC/XT PPI port B bits:
    push ecx   ;0: Timer 2 gate OR  03h= speaker ON
    push 40
    call _imp__Sleep@4
    pop ecx   ;7: 0=enable keyboard
    pop edx   ;Команда выводит данные в порт ввода-вывода, 
    outsb     ;номер которого загружен в регистр DX, 
    loop @b  ;из ячейки памяти по адресу DS:ESI
    pop edi
    in al,61h
    and al,11111100b;4Dh 
    out 61h,al      
    ; Remove driver
    call _imp__CloseHandle@4
a2: lodsd;add esi,4 из '\\.\scp08' делаем 'scp08'
    push offset cusDevice           
    call _imp__ZwUnloadDriver@4
    push esi
    push Key
    call _imp__SHDeleteKeyA@8
    push Key
    call _imp__RegCloseKey@4
; ---------------------------------------------------------------------------
    push ebx;0
    call _imp__ExitProcess@4
start endp
;----------------------------------------------------------------
.data
melody  dw 2 dup(354h),2,2,2 dup(387h),2,2,2 dup(3BDh),2 dup(387h),2 dup(3BDh)
dw 2 dup(3F5h),2 dup(432h),2,2,2 dup(472h),2,2,4 dup(4B5h),4 dup(472h),2 dup(3F5h)
dw 2,2,2 dup(432h),2,2,2 dup(472h),2 dup(432h),2 dup(472h),2 dup(4B5h),2 dup(4FDh)
dw 2,2,2 dup(549h),2,2,4 dup(599h),4 dup(549h),2 dup(472h),2,2,2 dup(5EEh,2)
dw 4 dup(649h),4 dup(5EEh),2 dup(472h),2,2,2 dup(5EEh,2),4 dup(649h),4 dup(5EEh)
dw 2 dup(70Eh),2 dup(6A8h),2 dup(649h),2 dup(5EEh),2 dup(599h),2 dup(549h)
dw 2 dup(4FDh),2 dup(4B5h),2 dup(472h),2,2,2 dup(432h),2,2,2 dup(3F5h),2,2
dw 2 dup(387h),2,2,8 dup(354h),2
size_melody = $ - melody
;----------------------------------------------------------------
DrvFilename db '\\.\scp08.sys',0
aSystem     db "SYSTEM\CurrentControlSet\Services",0
aType       db "Type",0
aImagePath  db "ImagePath",0
end start

start proc
local hToken:HANDLE
local atr:LUID_AND_ATTRIBUTES 
local privs:TOKEN_PRIVILEGES
        xor ebx,ebx
; устанавливаем привелегию на дейстиве от имени системы 
; Открыть маркер доступа (access token), ассоциирующийся с процессом       
    lea eax,hToken
    push eax; &hToken
    push TOKEN_QUERY or TOKEN_ADJUST_PRIVILEGES; DesiredAccess
    call _imp__GetCurrentProcess@0
    push eax        ; ProcessHandle
    call _imp__OpenProcessToken@12
; Получить текущее значение привилегии
    lea eax,atr.Luid
    push eax        ; lpLuid=&atr.Luid
    push offset aSetcbprivilege ; lpName
    push ebx;0      ; lpSystemName=NULL 
    call _imp__LookupPrivilegeValueA@12 
; Заполнить структуры
    mov ecx,atr.Luid.LowPart
    mov privs.Privileges.Luid.LowPart,ecx
    mov edx,atr.Luid.HighPart
    mov privs.Privileges.Luid.HighPart,edx
;tokenPrivilege.Privileges[0].Luid = luid
    mov privs.Privileges.Attributes,SE_PRIVILEGE_ENABLED
;tokenPrivilege.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED
    mov privs.PrivilegeCount,1;tokenPrivilege.PrivilegeCount = 1  
;Assign the given privilege
    push ebx;0      ; ReturnLength
    push ebx;0      ; PreviousState
    push sizeof(TOKEN_PRIVILEGES);BufferLength
    lea edx,privs
    push edx        ;&tokenPrivilege
    push ebx;FALSE      ; DisableAllPrivileges
    push hToken     ; TokenHandle
    call _imp__AdjustTokenPrivileges@24 
; Enable/disable privileges in the specified access token
        push hToken     ; TokenHandle
    call _imp__CloseHandle@4

; masm windows gui #
.686P
.model flat
include windows.inc
includelib kernel32.lib
includelib advapi32.lib
includelib ntdll.lib
 
extern _imp__ExitProcess@4:dword 
extern _imp__GetCurrentProcess@0:dword
extern _imp__OpenProcessToken@12:dword
extern _imp__AdjustTokenPrivileges@24:dword
extern _imp__LookupPrivilegeValueA@12:dword
extern _imp__Sleep@4:dword
extern _imp__ZwSetInformationProcess@16:dword
;--------------------------------------
ProcessUserModeIOPL equ 16
.code
 
start proc
local hToken:HANDLE
local atr:LUID_AND_ATTRIBUTES 
local privs:TOKEN_PRIVILEGES
        xor ebx,ebx
; Получить текущее значение привилегии
    lea eax,atr.Luid
    push eax        ; lpLuid=&atr.Luid
    push offset aSetcbprivilege ; lpName
    push ebx;0      ; lpSystemName=NULL 
    call _imp__LookupPrivilegeValueA@12 
; Заполнить структуры
    mov ecx,atr.Luid.LowPart
    mov privs.Privileges.Luid.LowPart,ecx
    mov edx,atr.Luid.HighPart
    mov privs.Privileges.Luid.HighPart,edx
    mov privs.Privileges.Attributes,SE_PRIVILEGE_ENABLED
    mov privs.PrivilegeCount,1 
; Открыть маркер доступа (access token), ассоциирующийся с процессом
; устанавливаем привелегию на действие от имени системы      
    lea eax,hToken
    push eax; &hToken
    push TOKEN_QUERY or TOKEN_ADJUST_PRIVILEGES; DesiredAccess
    call _imp__GetCurrentProcess@0
    push eax        ; ProcessHandle
    call _imp__OpenProcessToken@12 
; Assign the given privilege.
    push ebx;0      ; ReturnLength
    push ebx;0      ; PreviousState
    push ebx;0      ; BufferLength
    lea edx,privs
    push edx        ; NewState
    push ebx;0      ; DisableAllPrivileges
    push hToken     ; TokenHandle
    call _imp__AdjustTokenPrivileges@24 
; Enable/disable privileges in the specified access token
; Здесь будет код, требующий повышенных привилегий
; Grant user mode hardware IO access.
    push ebx;0
    push ebx;0
    push ProcessUserModeIOPL
    call _imp__GetCurrentProcess@0
    push eax
    call _imp__ZwSetInformationProcess@16
    in al,61h;текущее состояние порта 61h в AL    
    or al,00000011b;установить биты 0 и 1 в 1  
    out 61h,al  ;теперь динамик включен
    mov al,0B6h     
    out 43h, al     
        mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    mov dx,42h 
@@: push edx   
    push ecx   
    push 40    ; задержка в 40 мСек
    call _imp__Sleep@4
    pop ecx   
    pop edx ;Команда OUTS выводит данные в порт ввода-вывода, 
    outsb   ;номер которого загружен в регистр DX, 
    loop @b ;из ячейки памяти по адресу DS:ESI    
        in al,61h
    and al,11111100b
    out 61h,al          
 
    push ebx;0
    call _imp__ExitProcess@4
start endp
.data
aSetcbprivilege db "SeTcbPrivilege",0
melody  dw 354h,354h,2,2,387h,387h,2,2,3BDh,3BDh,387h,387h
    dw 3BDh,3BDh,3F5h,3F5h,432h,432h,2,2,472h,472h,2,2
    dw 4 dup(4B5h),4 dup(472h),3F5h,3F5h,2,2,432h,432h,2
    dw 2,472h,472h,432h,432h,472h,472h,4B5h,4B5h,4FDh,4FDh
    dw 2,2,549h,549h,2,2,4 dup(599h),4 dup(549h),472h,472h
    dw 2,2 dup(2,5EEh),2,4 dup(649h),4 dup(5EEh),472h,472h
    dw 2,2 dup(2,5EEh),2,4 dup(649h),4 dup(5EEh),70Eh,70Eh
    dw 6A8h,6A8h,649h,649h,5EEh,5EEh,599h,599h,549h,549h
    dw 4FDh,4FDh,4B5h,4B5h,472h,472h,2,2,432h,432h,2,2
    dw 3F5h,3F5h,2,2,387h,387h,2,2,8 dup(354h),2    
size_melody = $ - melody
end start

    mov al,NtOpenProcessToken;= 7Bh
    mov edx,esp
    int 2Eh

    mov al,NtAdjustPrivilegesToken;= 0Bh
    mov edx,esp
    int 2Eh

    mov al,NtSetInformationProcess;= 0E4h
    mov edx,esp
    int 2Eh

; masm windows gui #
.686P
.model flat
include windows.inc
includelib kernel32.lib
includelib advapi32.lib
includelib ntdll.lib
 
;extern _imp__ExitProcess@4:dword 
extern _imp__LookupPrivilegeValueA@12:dword
extern _imp__Sleep@4:dword
;--------------------------------------
NtOpenProcessToken = 7Bh
NtAdjustPrivilegesToken = 0Bh
NtSetInformationProcess = 0E4h
ProcessUserModeIOPL = 16
.code
 
start proc
    sub esp,10h; место в стеке под структуру TOKEN_PRIVILEGES
        xor ebx,ebx
; Получить текущее значение привилегии
    push esp        ; esp=&atr.Luid
    push offset aSetcbprivilege ; lpName
    push ebx        ; lpSystemName=NULL 
    call _imp__LookupPrivilegeValueA@12 
; Заполнить структуру TOKEN_PRIVILEGES
        mov dword ptr [esp+8],SE_PRIVILEGE_ENABLED;privs.Attributes=SE_PRIVILEGE_ENABLED
; Открыть маркер доступа (access token), ассоциирующийся с процессом       
    lea ecx,[esp+0Ch]   ; TokenHandle
    push ecx        ; &TokenHandle
    push TOKEN_QUERY or TOKEN_ADJUST_PRIVILEGES; DesiredAccess
    push -1         ; CurrentProcessHandle
        mov al,NtOpenProcessToken
    mov edx,esp
    int 2Eh
    add esp,12
    push 1          ; privs.PrivilegeCount=1
    mov edx,esp
    push ebx        ; ReturnLength=0
    push ebx        ; PreviousState=0
    push ebx        ; BufferLength=0
    push edx        ; NewState=&privs
    push ebx        ; DisableAllPrivileges=0
    push dword ptr [esp+24h]; TokenHandle
    mov al,NtAdjustPrivilegesToken
    mov edx,esp; Enable/disable privileges in the specified access token
    int 2Eh
; Здесь будет код, требующий повышенных привилегий, 
    push ebx;0
    push ebx;0
    push ProcessUserModeIOPL
    push -1; CurrentProcessHandle
    mov al,NtSetInformationProcess
    mov edx,esp
    int 2Eh
    add esp,16+24+20; выравниваем стек и удаляем структуру TOKEN_PRIVILEGES
;play melody
    in al,61h;текущее состояние порта 61h в AL    
    or al,00000011b;установить биты 0 и 1 в 1  
    out 61h,al  ;теперь динамик включен
    mov al,0B6h     
    out 43h, al     ; Timer 8253-5 (AT: 8254.2).
        mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    mov dx,42h 
@@: push edx   
    push ecx
    push 40    ; задержка в 40 мСек
    call _imp__Sleep@4
    pop ecx   
    pop edx ;Команда OUTS выводит данные в порт ввода-вывода, 
    outsb   ;номер которого загружен в регистр DX, 
    loop @b ;из ячейки памяти по адресу DS:ESI    
        in al,61h
    and al,11111100b
    out 61h,al
    retn            
start endp
.data
aSetcbprivilege db "SeTcbPrivilege",0
melody  dw 354h,354h,2,2,387h,387h,2,2,3BDh,3BDh,387h,387h
    dw 3BDh,3BDh,3F5h,3F5h,432h,432h,2,2,472h,472h,2,2
    dw 4 dup(4B5h),4 dup(472h),3F5h,3F5h,2,2,432h,432h,2
    dw 2,472h,472h,432h,432h,472h,472h,4B5h,4B5h,4FDh,4FDh
    dw 2,2,549h,549h,2,2,4 dup(599h),4 dup(549h),472h,472h
    dw 2,2 dup(2,5EEh),2,4 dup(649h),4 dup(5EEh),472h,472h
    dw 2,2 dup(2,5EEh),2,4 dup(649h),4 dup(5EEh),70Eh,70Eh
    dw 6A8h,6A8h,649h,649h,5EEh,5EEh,599h,599h,549h,549h
    dw 4FDh,4FDh,4B5h,4B5h,472h,472h,2,2,432h,432h,2,2
    dw 3F5h,3F5h,2,2,387h,387h,2,2,8 dup(354h),2    
size_melody = $ - melody
end start

; masm windows gui #
;по мотивам кода взятого на h ttp://www.masm32.com/board/index.php?topic=13290.0
;-------------------------------------------------
.686P
.model flat
include windows.inc
include accctrl.inc
 
includelib kernel32.lib
includelib user32.lib
includelib advapi32.lib
includelib ntdll.lib
 
extern _imp__OpenProcess@12:dword
extern _imp__OpenProcessToken@12:dword
extern _imp__GetSecurityInfo@32:dword
extern _imp__Process32Next@8:dword
extern _imp__lstrcmpA@8:dword
extern _imp__CharUpperA@4:dword
extern _imp__ConvertStringSidToSidA@8:dword
extern _imp__SetEntriesInAclA@16:dword
extern _imp__LocalFree@4:dword
extern _imp__CloseHandle@4:dword
extern _imp__ImpersonateLoggedOnUser@4:dword
extern _imp__ZwSetInformationProcess@16:dword
extern _imp__ExitProcess@4:dword
extern _imp__Process32First@8:dword
extern _imp__SetSecurityInfo@28:dword
extern _imp__CreateToolhelp32Snapshot@8:dword
extern _imp__Sleep@4:dword
 
ProcessUserModeIOPL    equ 16
; --------------------------------------------
.code
start proc
LOCAL   m_hToken:DWORD
LOCAL   hToken:HANDLE
LOCAL   pAcl:DWORD
LOCAL   pAclMod:DWORD
LOCAL   ea:EXPLICIT_ACCESS
LOCAL   procEntry:PROCESSENTRY32
 
    xor ebx,ebx
;GetWinLogon:
    push ebx;0
    push TH32CS_SNAPPROCESS
    call _imp__CreateToolhelp32Snapshot@8 
    inc eax;.if (eax != INVALID_HANDLE_VALUE)
    jz exit
    dec eax
    xchg edi,eax
    lea esi,procEntry
    assume esi: ptr PROCESSENTRY32
    mov [esi].dwSize, SIZEOF PROCESSENTRY32
    push esi
    push edi
    call _imp__Process32First@8
        test eax,eax;.if (eax != 0)
    jz exit
    push esi
    push edi
    call _imp__Process32Next@8
@@: test eax,eax
    jz exit
    lea eax,[esi].szExeFile
    push eax
    call _imp__CharUpperA@4
    push offset WinLogOn
    lea eax,[esi].szExeFile
    push eax
    call _imp__lstrcmpA@8
    xchg ecx,eax
    jecxz @f;.if (eax != 0)
    push esi
    push edi
    call _imp__Process32Next@8 
    jmp short @b;.while (eax != 0)
@@: mov eax,[esi].th32ProcessID
    assume esi:nothing
    test eax,eax
    jz exit;.if (eax != 0) 
    push eax
    push ebx;FALSE
    push MAXIMUM_ALLOWED
    call _imp__OpenProcess@12
    test eax,eax
    jz exit;.if (eax != 0)
    xchg esi,eax    ;esi := hProcess
    lea edi,hToken
    push edi
    push READ_CONTROL OR WRITE_DAC
    push esi
    call _imp__OpenProcessToken@12
    xchg ecx,eax
    jecxz a0;.if (eax != 0)
    push ebx
    push ebx
    lea eax,pAcl
    push eax
    push ebx
    push ebx
    push DACL_SECURITY_INFORMATION
    push SE_KERNEL_OBJECT
    push dword ptr [edi];push hToken
        call _imp__GetSecurityInfo@32 
        test eax,eax;.if (eax == 0)
    jnz short a1
    mov ecx,SIZEOF(EXPLICIT_ACCESS)/4
    lea edi,ea
    rep stosd;RtlZeroMemory(&ea,sizof(ea)) 
    sub edi,SIZEOF(EXPLICIT_ACCESS)
    assume edi: ptr EXPLICIT_ACCESS
        mov [edi].grfAccessPermissions,TOKEN_QUERY OR TOKEN_DUPLICATE \
        OR TOKEN_ASSIGN_PRIMARY
        mov [edi].grfAccessMode,GRANT_ACCESS
    lea eax,[edi].Trustee.ptstrName
    push eax
    push offset S1
        call _imp__ConvertStringSidToSidA@8
        xchg ecx,eax;.if (eax != 0)
    jecxz a1
    lea eax,pAclMod
    push eax
    push pAcl
    push edi;&ea
    push 1
    call _imp__SetEntriesInAclA@16
        test eax,eax;.if (eax == 0)
    jnz short @f
    push ebx
    push pAclMod
    push ebx
    push ebx
    push DACL_SECURITY_INFORMATION
    push SE_KERNEL_OBJECT
    push hToken
        call _imp__SetSecurityInfo@28
@@: push [edi].Trustee.ptstrName
    assume edi:nothing
        xchg edi,eax
        call _imp__LocalFree@4
a1: push hToken
    call _imp__CloseHandle@4
a0: test edi,edi
    jnz short @f
    lea eax,m_hToken
    push eax
    push MAXIMUM_ALLOWED
    push esi
        call _imp__OpenProcessToken@12
@@: push esi
    call _imp__CloseHandle@4
    mov ecx,m_hToken
    jecxz exit;.if (ecx != 0)
    push ecx
    call _imp__ImpersonateLoggedOnUser@4
        xchg ecx,eax;test eax,eax;.if (eax != 0)
    jecxz exit;jz short exit
    push ebx;0
    push ebx;0
    push ProcessUserModeIOPL
    push -1;CurrentProcessHandle
    call _imp__ZwSetInformationProcess@16
        test eax,eax;.if (eax == 0)
    jnz short exit
;--------------------------------------------------------------
    in al,61h;текущее состояние порта 61h в AL    
    or al,00000011b;установить 0-ой и 1-ый биты   
    out 61h,al  ;теперь динамик включен
    mov al,0B6h
    push 43h
    pop edx
    out dx,al
        mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    dec edx;mov dx,42h 
@@: push edx   
    push ecx   
    push 40    ; задержка в 40 мСек
    call _imp__Sleep@4
    pop ecx   
    pop edx ;Команда OUTS выводит данные в порт ввода-вывода, 
    outsb   ;номер которого загружен в регистр DX, 
    loop @b ;из ячейки памяти по адресу DS:ESI    
        in al,61h
    and al,11111100b;сбросить 0-ой и 1-ый биты
    out 61h,al
;-------------------------------------------------------------- 
exit:   push ebx;0
    call _imp__ExitProcess@4
start endp
.data
melody  dw 2 dup(354h),2,2,2 dup(387h),2,2,2 dup(3BDh),2 dup(387h)
    dw 2 dup(3BDh),2 dup(3F5h),2 dup(432h),2,2,2 dup(472h),2,2
    dw 4 dup(4B5h),4 dup(472h),2 dup(3F5h),2,2,2 dup(432h),2,2
    dw 2 dup(472h),2 dup(432h),2 dup(472h),2 dup(4B5h),2 dup(4FDh) 
    dw 2,2,2 dup(549h),2,2,4 dup(599h),4 dup(549h),2 dup(472h),2,2
    dw 5EEh,2,5EEh,2,4 dup(649h),4 dup(5EEh),2 dup(472h),2,2,5EEh
    dw 2,5EEh,2,4 dup(649h),4 dup(5EEh),2 dup(70Eh),2 dup(6A8h)
    dw 2 dup(649h),2 dup(5EEh),2 dup(599h),2 dup(549h),2 dup(4FDh)
    dw 2 dup(4B5h),2 dup(472h),2,2,2 dup(432h),2,2,2 dup(3F5h),2
    dw 2,2 dup(387h),2,2,8 dup(354h),2
size_melody = $ - melody
S1  db "S-1-1-0",0
WinLogOn db "WINLOGON.EXE",0
end start

; masm windows native #
.686P
.model flat
;---------------------------------------------------------------------------
include ntddk.inc
include ntstatus.inc
include w2kundoc.inc
include Strings.mac
includelib ntoskrnl.lib
;---------------------------------------------------------------------------
extern _imp__IoCreateDevice@28:dword
extern _imp__IoCreateSymbolicLink@8:dword
extern _imp__IoDeleteDevice@4:dword
extern _imp__IoDeleteSymbolicLink@4:dword
extern _imp_@IofCompleteRequest@8:dword
;extern _imp__IoGetCurrentProcess@0:dword
;---------------------------------------------------------------------------
IOCTL_ENABLE_IOPM_ON_PROCESSID      equ 9C40240Ch
;---------------------------------------------------------------------------
.const
CCOUNTED_UNICODE_STRING "\\Device\\scp09", cusDevice, 4
CCOUNTED_UNICODE_STRING "\\DosDevices\\scp09", cusSymbolicLink, 4
;---------------------------------------------------------------------------
.code
;---------------------------------------------------------------------------
CreateDispatch proc 
lpIrp        equ dword ptr [esp+8];:PIRP
 
    ;call _imp__IoGetCurrentProcess@0
    assume fs:nothing
    mov eax,fs:[124h]
    mov eax,[eax+44h]
    mov (KPROCESS ptr [eax]).Iopl,3                 
    mov ecx,lpIrp
    xor edx,edx
    mov (_IRP PTR [ecx]).IoStatus.Information,edx;Irp->IoStatus.Information = 0;
    mov (_IRP PTR [ecx]).IoStatus.Status,edx;Irp->IoStatus.Status = STATUS_SUCCESS
    call _imp_@IofCompleteRequest@8;IoCompleteRequest(Irp, IO_NO_INCREMENT)
    xor eax,eax;return STATUS_SUCCESS
    retn 8
CreateDispatch endp
;---------------------------------------------------------------------------
DriverEntry proc DriverObject:PDRIVER_OBJECT, RegistryPath:PUNICODE_STRING
local deviceObject:PDEVICE_OBJECT
 
    push esi
    lea ecx,deviceObject
    push ecx;&deviceObject
    push 0;FALSE
    push 0
    push FILE_DEVICE_UNKNOWN;22h
    push offset cusDevice;eax;&uniNameString
    push 0                  ;for IoCreateDevice
    mov esi,DriverObject
    push esi;DriverObject
    call _imp__IoCreateDevice@28;status = IoCreateDevice(DriverObject, 
; 0, &uniNameString, FILE_DEVICE_UNKNOWN, 0, FALSE, &deviceObject)
    test eax,eax
    js short @f;if(!NT_SUCCESS(status)) return status
    push offset cusDevice
    push offset cusSymbolicLink
    call _imp__IoCreateSymbolicLink@8;status = IoCreateSymbolicLink (&uniDOSString, &uniNameString)
    test eax,eax
    js short @f;if (!NT_SUCCESS(status)) return status
    mov (DRIVER_OBJECT PTR [esi]).MajorFunction[IRP_MJ_CREATE*4],offset CreateDispatch  
    mov (DRIVER_OBJECT PTR [esi]).DriverUnload,offset DriverUnload
    xor eax,eax;return STATUS_SUCCESS
    jmp short @f
    mov eax,STATUS_INSUFFICIENT_RESOURCES
;return STATUS_INSUFFICIENT_RESOURCES
@@: pop esi
    leave
    retn 8
DriverEntry endp
;---------------------------------------------------------------------------
DriverUnload:
DriverObject    equ dword ptr [esp+4];:PDRIVER_OBJECT
 
    push offset cusSymbolicLink;eax;&uniDOSString
    call _imp__IoDeleteSymbolicLink@4;IoDeleteSymbolicLink (&uniDOSString)
    mov eax,DriverObject
    push dword ptr (DRIVER_OBJECT ptr [eax]).DeviceObject
    call _imp__IoDeleteDevice@4;IoDeleteDevice(DriverObject->DeviceObject)
    retn 4
;---------------------------------------------------------------------------
end DriverEntry

; masm windows gui #
.686P
.model flat
include windows.inc
 
includelib kernel32.lib
includelib user32.lib
includelib advapi32.lib
 
extern _imp__ExitProcess@4:dword 
extern _imp__GetFullPathNameA@16:dword
extern _imp__MessageBoxA@16:dword
extern _imp__CloseServiceHandle@4:dword
extern _imp__StartServiceA@12:dword
extern _imp__CreateServiceA@52:dword
extern _imp__OpenSCManagerA@12:dword
extern _imp__Sleep@4:dword
extern _imp__OpenServiceA@12:dword
extern _imp__CreateFileA@28:dword
extern _imp__CloseHandle@4:dword
extern _imp__GetLastError@0:dword
extern _imp__DeleteService@4:dword
extern _imp__ControlService@12:dword
extern _imp__QueryServiceStatus@8:dword
extern _imp__CreateThread@24:dword 
extern _imp__TerminateThread@8:dword
 
ascp09 equ  a_scp09+4
 
.code
;--------------------------------------------
start   proc
local   scp09_Handle:HANDLE
local   SchSCManager:SC_HANDLE  
local   schService:SC_HANDLE  ;
local   acDriverPath[MAX_PATH]:byte
local   hThread:HANDLE
local   Status:SERVICE_STATUS
 
    xor ebx,ebx;ebx:=0
;Install scp09 Driver
    push eax
    push esp
    lea edi,acDriverPath
    push edi
    push MAX_PATH
    push offset ascp09
    call _imp__GetFullPathNameA@16
        pop eax
 
;Open Handle to Service Control Manager 
        push SC_MANAGER_ALL_ACCESS;access required
    push ebx;lpDatabaseName (NULL == default)
    push ebx;lpMachineName (NULL == local)
    call _imp__OpenSCManagerA@12 ; Establish a connection to the service
; control manager on the specified computer and opens the specified database               
    mov SchSCManager,eax
 
;Create Service/Driver - This adds the appropriate registry keys in 
;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services - It doesn't  
;care if the driver exists, or if the path is correct.              
    push ebx; lpPassword == NULL no password
    push ebx; lpServiceStartName == NULL LocalSystem account
    push ebx; lpDependencies == NULL no dependencies
    push ebx; lpdwTagId == NULL no tag identifier
    push ebx; lpLoadOrderGroup == NULL no load ordering group
    push edi; lpBinaryPathName
 
    push SERVICE_ERROR_NORMAL;1 ; dwErrorControl error control type
    push SERVICE_DEMAND_START;3 ; dwStartType    start type
    push SERVICE_KERNEL_DRIVER;1; dwServiceType  service type
    push SERVICE_ALL_ACCESS; dwDesiredAccess     desired access
    mov ecx, offset ascp09 ;    "scp09"      name to display and name of service
    mov [ecx+5],ebx; делаю из "\\.\scp09.sys" "\\.\scp09"
    push ecx; lpDisplayName         name to display = scp09
    push ecx; lpServiceName         name of service = scp09
    push SchSCManager; hSCManager            SCManager database
    call _imp__CreateServiceA@52
        mov edi,_imp__GetLastError@0
    mov esi,_imp__MessageBoxA@16
 
    mov schService,eax;    schService = CreateService (,,,,,)
    test eax,eax
    jnz short a4
    call edi;_imp__GetLastError@0
    cmp eax,ERROR_SERVICE_EXISTS;431h
    push ebx;0
    push ebx;0
    jnz short @f
    push offset err1 ; "Driver already exists. No action taken"
    jmp short a1
; ---------------------------------------------------------------------------
@@: push offset err2 ; "Unknown error while creating Service"
a1: push ebx;0
    call esi;_imp__MessageBoxA@16
; ---------------------------------------------------------------------------
a4: lea ecx,Status
    push ecx
    push schService
    call _imp__QueryServiceStatus@8
;Start the scp09 Driver. Errors will occur here if scp09.SYS file doesn't exist */
    push ebx;pointer to arguments
    push ebx;number of arguments
    push schService;service identifier
    call _imp__StartServiceA@12
    test eax,eax
    jnz a5
    call edi ; GetLastError
    cmp eax,ERROR_SERVICE_ALREADY_RUNNING   
    push ebx; if (err == ERROR_SERVICE_ALREADY_RUNNING)
    push ebx;print("The driver is already running")
        jnz @f
    push offset err3; "The driver is already running"
    jmp short a3
;-------------------------------------------------------------------------
@@: push offset err4;"Unknown error while starting driver service"
a3: push ebx
    call esi;_imp__MessageBoxA@16
;Then try to open once more, before failing
a5: push ebx        ; hTemplateFile
    push FILE_ATTRIBUTE_NORMAL; dwFlagsAndAttributes
    push OPEN_EXISTING  ; dwCreationDisposition
    push ebx        ; lpSecurityAttributes
    push ebx        ; dwShareMode
    push GENERIC_READ   ; dwDesiredAccess
    push offset a_scp09 ; "\\\\.\\scp09"; lpFileName
    call _imp__CreateFileA@28
    inc eax;cmp eax,INVALID_HANDLE_VALUE
    jnz @f
a2: push ebx;if(scp09_Handle == INVALID_HANDLE_VALUE) 
    push ebx;print("Couldn't access driver, please ensure driver is loaded"
    push offset err5
    push ebx
    call esi;_imp__MessageBoxA@16
    jmp a0
@@: dec eax
    mov scp09_Handle,eax
;----------------------------------------------------------------------------
;драйвер сделал IOPL=3 у процесса, создаем поток, для этого нового потока IOPL 
;обновится, а после переключения задач обновится и поле IOPL в EFLAGS
;Создаем поток
    lea ecx,hThread
    push ecx;указатель на переменную куда помещен дескриптор потока.
        PUSH ebx;флаг определяющий состояние потока. Если флаг равен 0, то 
;выполнение потока начинается немедленно. Если значение флага потока равно 
;CREATE_SUSPENDED, то поток находится в состоянии ожидания и запускается по 
;выполнению функции ResumeThread
        PUSH ebx;Параметр для потоковой функции
        PUSH offset Play_musik ;указатель на потоковую функцию, с вызова которой 
;начинается исполнение потока
        PUSH ebx;размер стека потока. Если параметр равен 0, то берется размер 
;стека по умолчанию, равный размеру стека родительского потока
        PUSH ebx;указатель на структуру атрибутов доступа, обычно 0
        CALL _imp__CreateThread@24 
@@:     cmp flag,0  ; задержка, чтобы отыграла мелодия
    jnz @b
;Удаляем поток
        PUSH ebx;0
        PUSH hThread
        CALL _imp__TerminateThread@8
;-----------------------------------------------------------            
    mov edi,_imp__MessageBoxA@16
        push scp09_Handle   ; hObject
    call _imp__CloseHandle@4; CloseHandle(scp09_Handle)
; ---------------------------------------------------------------------------
    lea ecx,Status
    push ecx            ; lpServiceStatus
    push SERVICE_CONTROL_STOP   ; dwControl
    push schService         ; hService
    call _imp__ControlService@12 ; Send a control code to a Win32 service   
    test eax,eax
    jnz short @f
; ---------------------------------------------------------------------------
    push ebx
    push ebx
    push offset err6; "Unknown error while stopping driver service"
    push ebx
    call edi;_imp__MessageBoxA@16
@@: push schService;esi
    call _imp__DeleteService@4
    push ebx
    push ebx
    test eax,eax
    jnz short @f
; ---------------------------------------------------------------------------
    push ebx
    push ebx
    push offset err7; "Error removing driver service - driver hasn't been successfully removed"
    push ebx
    call edi;_imp__MessageBoxA@16
@@: mov edi,_imp__CloseServiceHandle@4 
    push SchSCManager   ; hSCObject
    call edi;_imp__CloseServiceHandle@4
; Close handle to Service Control Manager
    push schService ; hSCObject
    call edi;_imp__CloseServiceHandle@4 
a0: push ebx
    call _imp__ExitProcess@4
start endp
;----------------------------------------------------------------
Play_musik:: in al,61h;текущее состояние порта 61h в AL
    or al,00000011b;установить биты 0 и 1 в 1
    out 61h,al ;теперь динамик включен
    mov al,0B6h
    out 43h,al  
    mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    mov dx,42h
@@: push edx   
    push ecx   
    push 40    ; задержка в 40 мСек
    call _imp__Sleep@4     
    pop ecx   
    pop edx   ;Команда выводит данные в порт ввода-вывода, 
    outsb     ;номер которого загружен в регистр DX, 
    loop @b  ;из ячейки памяти по адресу DS:ESI
    in al,61h
    and al,11111100b;теперь динамик выключен
    out 61h,al  
    and flag,0;можно удалить поток
    retn
;-----------------------------------------------------------------
.data
melody  dw 2 dup(354h),2,2,2 dup(387h),2,2,2 dup(3BDh),2 dup(387h),2 dup(3BDh)
dw 2 dup(3F5h),2 dup(432h),2,2,2 dup(472h),2,2,4 dup(4B5h),4 dup(472h),2 dup(3F5h)
dw 2,2,2 dup(432h),2,2,2 dup(472h),2 dup(432h),2 dup(472h),2 dup(4B5h),2 dup(4FDh)
dw 2,2,2 dup(549h),2,2,4 dup(599h),4 dup(549h),2 dup(472h),2,2,2 dup(5EEh,2)
dw 4 dup(649h),4 dup(5EEh),2 dup(472h),2,2,2 dup(5EEh,2),4 dup(649h),4 dup(5EEh)
dw 2 dup(70Eh),2 dup(6A8h),2 dup(649h),2 dup(5EEh),2 dup(599h),2 dup(549h)
dw 2 dup(4FDh),2 dup(4B5h),2 dup(472h),2,2,2 dup(432h),2,2,2 dup(3F5h),2,2
dw 2 dup(387h),2,2,8 dup(354h),2
size_melody = $ - melody
;----------------------------------------------------------------
flag    db 1
Status  SERVICE_STATUS <>
a_scp09 db "\\.\scp09.sys",0
err1    db "Driver already exists. No action taken",0
err2    db "Unknown error while creating Service",0
err3    db "Driver is already running",0
err4    db "Unknown error while starting driver service",0
err5    db "Couldn't access Driver, please ensure driver is loaded",0
err6    db "Unknown error while stopping driver service",0
err7    db "Error removing driver service - Driver hasn't been successfully removed",0
end start

; masm windows gui #
.686P
.model flat
include windows.inc
 
includelib kernel32.lib
includelib advapi32.lib
includelib ntdll.lib
includelib shlwapi.lib
 
extern _imp__ExitProcess@4:dword 
extern _imp__GetFullPathNameA@16:dword
extern _imp__Sleep@4:dword
extern _imp__CreateFileA@28:dword
extern _imp__CloseHandle@4:dword
extern _imp__CreateThread@24:dword 
extern _imp__TerminateThread@8:dword
extern _imp__RegOpenKeyA@12:dword
extern _imp__RegCreateKeyA@12:dword
extern _imp__RegSetValueExA@24:dword
extern _imp__RegCloseKey@4:dword
extern _imp__SHDeleteKeyA@8:dword
extern _imp__ZwLoadDriver@4:dword
extern _imp__ZwUnloadDriver@4:dword
 
ascp09 equ  a_scp09+4
;--------macros-------------------
du  macro string
    irpc c,<string>
    if '&c'gt 127
    db ('&c'- 0B0h),4
    else
    dw '&c'
    endif
    endm
    dw 0
    endm
;-----------------------------------
.const
align 4
us: du <\registry\machine\SYSTEM\CurrentControlSet\Services\scp09>
len_us = $-us
align 4
cusDevice dw (len_us - 2)
          dw (len_us)
      dd us
.code
;--------------------------------------------
start   proc
local   Key2:HKEY
local   Key:HKEY
local   acDriverPath[MAX_PATH]:byte
local   hThread:HANDLE
 
    xor ebx,ebx;ebx:=0
        mov esi,offset DrvFilename+4;&esi='scp08.sys',0
        lea edi,acDriverPath
        mov eax,'\??\'
    stosd;путь к драйверу должен начаться с '\??\'
;Install scp09 Driver
    push eax
    push esp
    push edi
    sub edi,4
    push MAX_PATH
    push esi
    call _imp__GetFullPathNameA@16
    add eax,4
        push eax
        lea eax,Key
    push eax
    push offset aSystem
    push HKEY_LOCAL_MACHINE
    call _imp__RegOpenKeyA@12 
    mov [esi+5],ebx; делаю из "\\.\scp09.sys" "\\.\scp09"
        lea eax,Key2
    push eax
    push esi
    push Key
    call _imp__RegCreateKeyA@12
    push edi
    push REG_SZ
    push ebx;0
    push offset aImagePath
    push Key2
    call _imp__RegSetValueExA@24
        pop eax; выравниваем стек после GetFullPathNameA    
    mov eax,esp
    push 1;dType := 1
        push sizeof(dword)
    push eax;&dType
    push REG_DWORD
    push ebx;0
    push offset aType
    push Key2
    call _imp__RegSetValueExA@24
    push Key2
    call _imp__RegCloseKey@4
    mov [esp],offset cusDevice
    call _imp__ZwLoadDriver@4
    sub esi,4;&esi='\\.\scp09',0
    push ebx        ; hTemplateFile
    push FILE_ATTRIBUTE_NORMAL; dwFlagsAndAttributes
    push OPEN_EXISTING  ; dwCreationDisposition
    push ebx        ; lpSecurityAttributes
    push ebx        ; dwShareMode
    push GENERIC_READ   ; dwDesiredAccess
    push esi ; "\\\\.\\scp09"; lpFileName
    call _imp__CreateFileA@28
    inc eax;cmp eax,INVALID_HANDLE_VALUE
    jz short a2;if(scp09_Handle == INVALID_HANDLE_VALUE) goto a2
    dec eax
    push eax;hObject для CloseHandle
;----------------------------------------------------------------------------
;драйвер сделал IOPL=3 у процесса, создаем поток, для этого нового потока IOPL 
;обновится, а после переключения задач обновится и поле IOPL в EFLAGS
;Создаем поток
    lea ecx,hThread
    push ecx;указатель на переменную куда помещен дескриптор потока.
        PUSH ebx;флаг определяющий состояние потока. Если флаг равен 0, то 
;выполнение потока начинается немедленно. Если значение флага потока равно 
;CREATE_SUSPENDED, то поток находится в состоянии ожидания и запускается по 
;выполнению функции ResumeThread
        PUSH ebx;Параметр для потоковой функции
        PUSH offset Play_musik ;указатель на потоковую функцию, с вызова которой 
;начинается исполнение потока
        PUSH ebx;размер стека потока. Если параметр равен 0, то берется размер 
;стека по умолчанию, равный размеру стека родительского потока
        PUSH ebx;указатель на структуру атрибутов доступа, обычно 0
        CALL _imp__CreateThread@24 
@@:     cmp flag,0  ; задержка, чтобы отыграла мелодия
    jnz @b
;Удаляем поток
        PUSH ebx;0
        PUSH hThread
        CALL _imp__TerminateThread@8
;-----------------------------------------------------------            
    call _imp__CloseHandle@4; CloseHandle(scp09_Handle)
; ---------------------------------------------------------------------------
a2: lodsd;add esi,4 из '\\.\scp09' делаем 'scp09'
    push offset cusDevice           
    call _imp__ZwUnloadDriver@4
    push esi
    push Key
    call _imp__SHDeleteKeyA@8;удаляем непустую строку из реестра 
    push Key
    call _imp__RegCloseKey@4
; ---------------------------------------------------------------------------
    push ebx
    call _imp__ExitProcess@4
start endp
;----------------------------------------------------------------
Play_musik:: in al,61h;текущее состояние порта 61h в AL
    or al,00000011b;установить биты 0 и 1 в 1
    out 61h,al ;теперь динамик включен
    mov al,0B6h
    out 43h,al  
    mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    mov dx,42h
@@: push edx   
    push ecx   
    push 40    ; задержка в 40 мСек
    call _imp__Sleep@4     
    pop ecx   
    pop edx   ;Команда выводит данные в порт ввода-вывода, 
    outsb     ;номер которого загружен в регистр DX, 
    loop @b  ;из ячейки памяти по адресу DS:ESI
    in al,61h
    and al,11111100b;теперь динамик выключен
    out 61h,al  
    and flag,0;можно удалить поток
    retn
;-----------------------------------------------------------------
.data
melody  dw 2 dup(354h),2,2,2 dup(387h),2,2,2 dup(3BDh),2 dup(387h),2 dup(3BDh)
dw 2 dup(3F5h),2 dup(432h),2,2,2 dup(472h),2,2,4 dup(4B5h),4 dup(472h),2 dup(3F5h)
dw 2,2,2 dup(432h),2,2,2 dup(472h),2 dup(432h),2 dup(472h),2 dup(4B5h),2 dup(4FDh)
dw 2,2,2 dup(549h),2,2,4 dup(599h),4 dup(549h),2 dup(472h),2,2,2 dup(5EEh,2)
dw 4 dup(649h),4 dup(5EEh),2 dup(472h),2,2,2 dup(5EEh,2),4 dup(649h),4 dup(5EEh)
dw 2 dup(70Eh),2 dup(6A8h),2 dup(649h),2 dup(5EEh),2 dup(599h),2 dup(549h)
dw 2 dup(4FDh),2 dup(4B5h),2 dup(472h),2,2,2 dup(432h),2,2,2 dup(3F5h),2,2
dw 2 dup(387h),2,2,8 dup(354h),2
size_melody = $ - melody
;----------------------------------------------------------------
flag    db 1
DrvFilename db "\\.\scp09.sys",0
aSystem     db "SYSTEM\CurrentControlSet\Services",0
aType       db "Type",0
aImagePath  db "ImagePath",0
end start

includelib kernel32.lib
includelib user32.lib
includelib advapi32.lib

; masm windows native #
.686P
.model flat
;---------------------------------------------------------------------------
include ntddk.inc
include ntstatus.inc
include w2kundoc.inc
include Strings.mac
includelib ntoskrnl.lib
;---------------------------------------------------------------------------
extern _imp__IoCreateDevice@28:dword
extern _imp__IoCreateSymbolicLink@8:dword
extern _imp__IoDeleteDevice@4:dword
extern _imp__IoDeleteSymbolicLink@4:dword
extern _imp_@IofCompleteRequest@8:dword
extern _imp__PsLookupProcessByProcessId@8:dword
;---------------------------------------------------------------------------
IOCTL_ENABLE_IOPM_ON_PROCESSID      equ 9C40240Ch
;---------------------------------------------------------------------------
.const
CCOUNTED_UNICODE_STRING "\\Device\\scp10", cusDevice, 4
CCOUNTED_UNICODE_STRING "\\DosDevices\\scp10", cusSymbolicLink, 4
;---------------------------------------------------------------------------
.code
;---------------------------------------------------------------------------
CreateDispatch proc 
lpIrp        equ dword ptr [esp+8];:PIRP
                
    mov ecx,lpIrp
    xor edx,edx
    and (_IRP PTR [ecx]).IoStatus.Information,0;Irp->IoStatus.Information = 0;
    and (_IRP PTR [ecx]).IoStatus.Status,STATUS_SUCCESS;Irp->IoStatus.Status = STATUS_SUCCESS
    call _imp_@IofCompleteRequest@8;IoCompleteRequest(Irp, IO_NO_INCREMENT)
    xor eax,eax;return STATUS_SUCCESS
    retn 8
CreateDispatch endp
;---------------------------------------------------------------------------
DriverEntry proc DriverObject:PDRIVER_OBJECT, RegistryPath:PUNICODE_STRING
local deviceObject:PDEVICE_OBJECT
 
    push esi
    lea ecx,deviceObject
    push ecx;&deviceObject
    push 0;FALSE
    push 0
    push FILE_DEVICE_UNKNOWN;22h
    push offset cusDevice;eax;&uniNameString
    push 0                  ;for IoCreateDevice
    mov esi,DriverObject
    push esi;DriverObject
    call _imp__IoCreateDevice@28;status = IoCreateDevice(DriverObject, 
; 0, &uniNameString, FILE_DEVICE_UNKNOWN, 0, FALSE, &deviceObject)
    test eax,eax
    js short @f;if(!NT_SUCCESS(status)) return status
    push offset cusDevice
    push offset cusSymbolicLink
    call _imp__IoCreateSymbolicLink@8;status = IoCreateSymbolicLink (&uniDOSString, &uniNameString)
    test eax,eax
    js short @f;if (!NT_SUCCESS(status)) return status
    mov (DRIVER_OBJECT PTR [esi]).MajorFunction[IRP_MJ_CREATE*4],offset CreateDispatch  
    mov (DRIVER_OBJECT PTR [esi]).MajorFunction[IRP_MJ_DEVICE_CONTROL*4],offset DeviceControl   
    mov (DRIVER_OBJECT PTR [esi]).DriverUnload,offset DriverUnload
    xor eax,eax;return STATUS_SUCCESS
    jmp short @f
    mov eax,STATUS_INSUFFICIENT_RESOURCES
;return STATUS_INSUFFICIENT_RESOURCES
@@: pop esi
    leave
    retn 8
DriverEntry endp
;---------------------------------------------------------------------------
DeviceControl proc pDeviceObject,pIrp
 
Process     equ dword ptr [ebp+0Ch]
 
    push esi
    push edi
    mov esi,Process
; eax = irpSp  esi = pIrp  edi = ioBuffer  ecx = inBufLength
    mov eax,(_IRP PTR [esi]).Tail.Overlay.CurrentStackLocation
;irpSp = IoGetCurrentIrpStackLocation( pIrp )
    mov edi,(_IRP PTR [esi]).AssociatedIrp.SystemBuffer
;ioBuffer = pIrp->AssociatedIrp.SystemBuffer
    assume eax: ptr IO_STACK_LOCATION
    mov ecx,[eax].Parameters.DeviceIoControl.InputBufferLength
;inBufLength = irpSp->Parameters.DeviceIoControl.InputBufferLength
;switch ( irpSp->Parameters.DeviceIoControl.IoControlCode )
    cmp [eax].Parameters.DeviceIoControl.IoControlCode,IOCTL_ENABLE_IOPM_ON_PROCESSID
    assume eax: nothing
    jnz short @f
    cmp ecx,4 ;if (inBufLength != 4) 
    jnz short @f
    lea eax,Process
    push eax;&Process
    push dword ptr [edi];ProcessID
    call _imp__PsLookupProcessByProcessId@8
    mov eax,Process
    mov (KPROCESS ptr [eax]).Iopl,3
    xor edi,edi;ntStatus = STATUS_SUCCESS
    jmp break
@@: mov edi,STATUS_UNSUCCESSFUL; ntStatus = STATUS_UNSUCCESSFUL;
break:  xor edx,edx; edx = IO_NO_INCREMENT
    mov (_IRP PTR [esi]).IoStatus.Information,edx
;pIrp->IoStatus.Information = 0; /* Output Buffer Size */    
    mov ecx,esi
    mov (_IRP PTR [esi]).IoStatus.Status,edi
;pIrp->IoStatus.Status = ntStatus
    call _imp_@IofCompleteRequest@8;IoCompleteRequest( pIrp, IO_NO_INCREMENT )
    mov eax,edi;return ntStatus
    pop edi
    pop esi
    leave
    retn 8
DeviceControl endp
;---------------------------------------------------------------------------
DriverUnload:
DriverObject    equ dword ptr [esp+4];:PDRIVER_OBJECT
 
    push offset cusSymbolicLink;eax;&uniDOSString
    call _imp__IoDeleteSymbolicLink@4;IoDeleteSymbolicLink (&uniDOSString)
    mov eax,DriverObject
    push dword ptr (DRIVER_OBJECT ptr [eax]).DeviceObject
    call _imp__IoDeleteDevice@4;IoDeleteDevice(DriverObject->DeviceObject)
    retn 4
;---------------------------------------------------------------------------
end DriverEntry

; masm windows gui #
.686P
.model flat
include windows.inc
 
includelib kernel32.lib
includelib user32.lib
includelib advapi32.lib
 
extern _imp__ExitProcess@4:dword 
extern _imp__GetFullPathNameA@16:dword
extern _imp__MessageBoxA@16:dword
extern _imp__CloseServiceHandle@4:dword
extern _imp__StartServiceA@12:dword
extern _imp__CreateServiceA@52:dword
extern _imp__OpenSCManagerA@12:dword
extern _imp__Sleep@4:dword
extern _imp__OpenServiceA@12:dword
extern _imp__CreateFileA@28:dword
extern _imp__CloseHandle@4:dword
extern _imp__GetCurrentProcessId@0:dword
extern _imp__GetLastError@0:dword
extern _imp__DeviceIoControl@32:dword
extern _imp__DeleteService@4:dword
extern _imp__ControlService@12:dword
extern _imp__QueryServiceStatus@8:dword
extern _imp__CreateThread@24:dword 
extern _imp__TerminateThread@8:dword
ascp10 equ  a_scp10+4
 
IOCTL_ENABLE_IOPM_ON_PROCESSID      equ 9C40240Ch
 
.code
 
start   proc
local   scp10_Handle:HANDLE
local   SchSCManager:SC_HANDLE  
local   schService:SC_HANDLE  ;
local   acDriverPath[MAX_PATH]:byte
local   hThread:HANDLE
local   Status:SERVICE_STATUS
local   BytesReturned:dword
 
    xor ebx,ebx;ebx:=0
;Install scp10 Driver
    push eax
    push esp
    lea edi,acDriverPath
    push edi
    push MAX_PATH
    push offset ascp10
    call _imp__GetFullPathNameA@16
        pop eax
 
;Open Handle to Service Control Manager 
        push SC_MANAGER_ALL_ACCESS;access required
    push ebx;lpDatabaseName (NULL == default)
    push ebx;lpMachineName (NULL == local)
    call _imp__OpenSCManagerA@12 ; Establish a connection to the service
; control manager on the specified computer and opens the specified database               
    mov SchSCManager,eax
 
;Create Service/Driver - This adds the appropriate registry keys in 
;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services - It doesn't  
;care if the driver exists, or if the path is correct.              
    push ebx; lpPassword == NULL no password
    push ebx; lpServiceStartName == NULL LocalSystem account
    push ebx; lpDependencies == NULL no dependencies
    push ebx; lpdwTagId == NULL no tag identifier
    push ebx; lpLoadOrderGroup == NULL no load ordering group
    push edi; lpBinaryPathName
 
    push SERVICE_ERROR_NORMAL;1 ; dwErrorControl error control type
    push SERVICE_DEMAND_START;3 ; dwStartType    start type
    push SERVICE_KERNEL_DRIVER;1; dwServiceType  service type
    push SERVICE_ALL_ACCESS; dwDesiredAccess     desired access
    mov ecx, offset ascp10 ;    "scp10"      name to display and name of service
    mov [ecx+5],ebx; делаю из "\\.\scp10.sys" "\\.\scp10"
    push ecx; lpDisplayName         name to display = scp10
    push ecx; lpServiceName         name of service = scp10
    push SchSCManager; hSCManager            SCManager database
    call _imp__CreateServiceA@52
        mov edi,_imp__GetLastError@0
    mov esi,_imp__MessageBoxA@16
 
    mov schService,eax;    schService = CreateService (,,,,,)
    test eax,eax
    jnz short a4
    call edi;_imp__GetLastError@0
    cmp eax,ERROR_SERVICE_EXISTS;431h
    push ebx;0
    push ebx;0
    jnz short @f
    push offset err1 ; "Driver already exists. No action taken"
    jmp short a1
; ---------------------------------------------------------------------------
@@: push offset err2 ; "Unknown error while creating Service"
a1: push ebx;0
    call esi;_imp__MessageBoxA@16
; ---------------------------------------------------------------------------
a4: lea ecx,Status
    push ecx;&Status
    push schService
    call _imp__QueryServiceStatus@8
;Start the scp10 Driver. Errors will occur here if scp10.SYS file doesn't exist */
    push ebx;pointer to arguments
    push ebx;number of arguments
    push schService;service identifier
    call _imp__StartServiceA@12
    test eax,eax
    jnz a5
    call edi ; GetLastError
    cmp eax,ERROR_SERVICE_ALREADY_RUNNING   
    push ebx; if (err == ERROR_SERVICE_ALREADY_RUNNING)
    push ebx;print("The driver is already running")
        jnz @f
    push offset err3; "The driver is already running"
    jmp short a3
;-------------------------------------------------------------------------
@@: push offset err4;"Unknown error while starting driver service"
a3: push ebx
    call esi;_imp__MessageBoxA@16
;Then try to open once more, before failing
a5: push ebx        ; hTemplateFile
    push FILE_ATTRIBUTE_NORMAL; dwFlagsAndAttributes
    push OPEN_EXISTING  ; dwCreationDisposition
    push ebx        ; lpSecurityAttributes
    push ebx        ; dwShareMode
    push GENERIC_READ   ; dwDesiredAccess
    push offset a_scp10 ; "\\\\.\\scp10"; lpFileName
    call _imp__CreateFileA@28
    inc eax;cmp eax,INVALID_HANDLE_VALUE
    jnz @f
a2: push ebx;if(scp10_Handle == INVALID_HANDLE_VALUE) 
    push ebx;print("Couldn't access driver, please ensure driver is loaded"
    push offset err5
    push ebx
    call esi;_imp__MessageBoxA@16
    jmp a0
@@: dec eax
    mov scp10_Handle,eax
    call _imp__GetCurrentProcessId@0
    mov pi.dwProcessId,eax
    push ebx        ; lpOverlapped
    lea ecx,BytesReturned
    push ecx        ; lpBytesReturned
    push ebx        ; nOutBufferSize
    push ebx        ; lpOutBuffer
    push 4          ; nInBufferSize
    push offset pi.dwProcessId; lpInBuffer
    push IOCTL_ENABLE_IOPM_ON_PROCESSID; dwIoControlCode
    push scp10_Handle   ; hDevice
    call _imp__DeviceIoControl@32
;----------------------------------------------------------------------------
;драйвер сделал IOPL=3 у процесса, создаем поток, для этого нового потока IOPL 
;обновится, а после переключения задач обновится и IOPL в EFLAGS
;Создаем поток
    lea ecx,hThread
    push ecx;указатель на переменную куда помещен дескриптор потока.
        PUSH ebx;флаг определяющий состояние потока. Если флаг равен 0, то 
;выполнение потока начинается немедленно. Если значение флага потока равно 
;CREATE_SUSPENDED, то поток находится в состоянии ожидания и запускается по 
;выполнению функции ResumeThread
        PUSH ebx;Параметр для потоковой функции
        PUSH offset Play_musik ;указатель на потоковую функцию, с вызова которой 
;начинается исполнение потока
        PUSH ebx;размер стека потока. Если параметр равен 0, то берется размер 
;стека по умолчанию, равный размеру стека родительского потока
        PUSH ebx;указатель на структуру атрибутов доступа, обычно 0
        CALL _imp__CreateThread@24 
@@:     cmp flag,0  ; задержка, чтобы отыграла мелодия
    jnz @b
;Удаляем поток
        PUSH ebx;0
        PUSH hThread
        CALL _imp__TerminateThread@8
;-----------------------------------------------------------            
    mov edi,_imp__MessageBoxA@16
        push scp10_Handle   ; hObject
    call _imp__CloseHandle@4; CloseHandle(scp10_Handle)
; ---------------------------------------------------------------------------
    lea ecx,Status
    push ecx        ; lpServiceStatus
    push SERVICE_CONTROL_STOP   ; dwControl
    push schService         ; hService
    call _imp__ControlService@12 ; Send a control code to a Win32 service   
    test eax,eax
    jnz short @f
; ---------------------------------------------------------------------------
    push ebx
    push ebx
    push offset err6; "Unknown error while stopping driver service"
    push ebx
    call edi;_imp__MessageBoxA@16
@@: push schService;esi
    call _imp__DeleteService@4
    push ebx
    push ebx
    test eax,eax
    jnz short @f
; ---------------------------------------------------------------------------
    push ebx
    push ebx
    push offset err7; "Error removing driver service - driver hasn't been successfully removed"
    push ebx
    call edi;_imp__MessageBoxA@16
@@: mov edi,_imp__CloseServiceHandle@4 
    push SchSCManager   ; hSCObject
    call edi;_imp__CloseServiceHandle@4
; Close handle to Service Control Manager
    push schService ; hSCObject
    call edi;_imp__CloseServiceHandle@4 
a0: push ebx
    call _imp__ExitProcess@4
start endp
;----------------------------------------------------------------
Play_musik:: in al,61h;текущее состояние порта 61h в AL
    or al,00000011b;установить биты 0 и 1 в 1
    out 61h,al ;теперь динамик включен
    mov al,0B6h
    out 43h,al  
    mov esi,offset melody; данные 
    mov ecx,size_melody  ; счетчик
    mov dx,42h ;Timer 8253-5 (AT: 8254.2).
@@: push edx   
    push ecx   
    push 40    ; задержка в 40 мСек
    call _imp__Sleep@4     
    pop ecx   
    pop edx   ;Команда выводит данные в порт ввода-вывода, 
    outsb     ;номер которого загружен в регистр DX, 
    loop @b  ;из ячейки памяти по адресу DS:ESI
    in al,61h
    and al,11111100b;теперь динамик выключен
    out 61h,al  
    and flag,0;можно удалить поток
    retn
;-----------------------------------------------------------------
.data
melody  dw 2 dup(354h),2,2,2 dup(387h),2,2,2 dup(3BDh),2 dup(387h),2 dup(3BDh)
dw 2 dup(3F5h),2 dup(432h),2,2,2 dup(472h),2,2,4 dup(4B5h),4 dup(472h),2 dup(3F5h)
dw 2,2,2 dup(432h),2,2,2 dup(472h),2 dup(432h),2 dup(472h),2 dup(4B5h),2 dup(4FDh)
dw 2,2,2 dup(549h),2,2,4 dup(599h),4 dup(549h),2 dup(472h),2,2,2 dup(5EEh,2)
dw 4 dup(649h),4 dup(5EEh),2 dup(472h),2,2,2 dup(5EEh,2),4 dup(649h),4 dup(5EEh)
dw 2 dup(70Eh),2 dup(6A8h),2 dup(649h),2 dup(5EEh),2 dup(599h),2 dup(549h)
dw 2 dup(4FDh),2 dup(4B5h),2 dup(472h),2,2,2 dup(432h),2,2,2 dup(3F5h),2,2
dw 2 dup(387h),2,2,8 dup(354h),2
size_melody = $ - melody
;----------------------------------------------------------------
flag    db 1
pi PROCESS_INFORMATION <>;   /* Process Info Structure - Contains Process ID Information
a_scp10 db "\\.\scp10.sys",0
err1    db "Driver already exists. No action taken",0
err2    db "Unknown error while creating Service",0
err3    db "Driver is already running",0
err4    db "Unknown error while starting driver service",0
err5    db "Couldn't access Driver, please ensure driver is loaded",0
err6    db "Unknown error while stopping driver service",0
err7    db "Error removing driver service - Driver hasn't been successfully removed",0
end start