LyShark

在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了KernelMapFile()内存映射函数，在之后的章节中这个函数会被多次用到，为了减少代码冗余，后期文章只列出重要部分，读者可以自行去前面的文章中寻找特定的片段。

本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到`《驱动开发：内核解析PE结构导出表》`中所封装的`KernelMapFile()`映射函数，在映射后对其PE格式进行相应的解析，并实现转换函数。

在笔者的上一篇文章`《驱动开发：内核特征码扫描PE代码段》`中`LyShark`带大家通过封装好的`LySharkToolsUtilKernelBase`函数实现了动态获取内核模块基址，并通过`ntimage.h`头文件中提供的系列函数解析了指定内核模块的`PE节表`参数，本章将继续延申这个话题，实现对PE文件导出表的解析任务，导出表无法动态获取，解析导出表则必须读入内核模块到内存才可继续解析，所以我们需要分两步走，首先读入内核磁盘文件到内存，然后再通过`ntimage.h`中的系列函数解析即可。

如前所述，在前几章内容中笔者简单介绍了`内存读写`的基本实现方式，这其中包括了`CR3切换`读写，`MDL映射`读写，`内存拷贝`读写，本章将在如前所述的读写函数进一步封装，并以此来实现驱动读写内存浮点数的目的。内存`浮点数`的读写依赖于`读写内存字节`的实现，因为浮点数本质上也可以看作是一个字节集，对于`单精度浮点数`来说这个字节集列表是4字节，而对于`双精度浮点数`，此列表长度则为8字节。

关于内存管理和分页模式，不同的操作系统和体系结构可能会有略微不同的实现方式。9-9-9-9-12的分页模式是一种常见的分页方案，其中物理地址被分成四级页表：PXE（Page Directory Pointer Table Entry）、PPE（Page Directory Entry）、PDE（Page Table Entry）和PTE（Page Table Entry）。这种分页模式可以支持大量的物理内存地址映射到虚拟内存地址空间中。每个级别的页表都负责将虚拟地址映射到更具体的物理地址。通过这种层次化的页表结构，操作系统可以更有效地管理和分配内存。

在笔者上一篇文章`《驱动开发内核MDL读写进程内存》`简单介绍了如何通过MDL映射的方式实现进程读写操作，本章将通过如上案例实现远程进程反汇编功能，此类功能也是ARK工具中最常见的功能之一，通常此类功能的实现分为两部分，内核部分只负责读写字节集，应用层部分则配合反汇编引擎对字节集进行解码，此处我们将运用`capstone`引擎实现这个功能。

在前面的文章`《驱动开发运用MDL映射实现多次通信》`LyShark教大家使用`MDL`的方式灵活的实现了内核态多次输出结构体的效果，但是此种方法并不推荐大家使用原因很简单首先内核空间比较宝贵，其次内核里面不能分配太大且每次传出的结构体最大不能超过`1024`个，而最终这些内存由于无法得到更好的释放从而导致坏堆的产生，这样的程序显然是无法在生产环境中使用的，如下`LyShark`将教大家通过在应用层申请空间来实现同等效果，此类传递方式也是多数ARK反内核工具中最常采用的一种。

在开始学习内核内存读写篇之前，我们先来实现一个简单的内存分配销毁堆的功能，在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间，一般而言内核中提供了`ZwAllocateVirtualMemory`这个函数用于专门分配虚拟空间，而与之相对应的则是`ZwFreeVirtualMemory`此函数则用于销毁堆内存，当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作，接下来`LyShark`将从API开始介绍如何运用这两个函数实现内存分配与使用，并以此来作为驱动读写篇的入门知识。

在前几篇文章中`LyShark`通过多种方式实现了驱动程序与应用层之间的通信，这其中就包括了通过运用`SystemBuf`缓冲区通信，运用`ReadFile`读写通信，运用`PIPE`管道通信，以及运用`ASYNC`反向通信，这些通信方式在应对`一收一发`模式的时候效率极高，但往往我们需要实现一次性吐出多种数据，例如ARK工具中当我们枚举内核模块时，往往应用层例程中可以返回几条甚至是几十条结果，如下案例所示，这对于开发一款ARK反内核工具是必须要有的功能。

本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差异，本章将简单介绍`IO/DPC`这两种定时器的使用技巧。