原始IAT的處理

 

    由于原驅(qū)動程序被加上了我們的驅(qū)動器外殼，所以原驅(qū)動程序的IAT表的填寫工作

 要由我們的驅(qū)動器外殼程序來完成。應(yīng)用層殼一般通過兩個API來完成這個工作，或者自己實現(xiàn)這兩個API的功能。而驅(qū)動殼是要 隨驅(qū)動程序一起被加載到內(nèi)核當(dāng)中去的，但內(nèi)核里沒有這兩個函數(shù)，我們

 自己對這兩個函數(shù)做內(nèi)核的實現(xiàn)。當(dāng)然也可以用函 數(shù)，不過它只能得到兩個模塊的函數(shù)，對于其它模塊則 無能為力了，影響殼的通用性。殼的函數(shù)可以通過遍t鏈表來實現(xiàn)，關(guān)于遍歷這個鏈表的方法可以參照Futo的代碼，通過DRIVEROBJECT的DriverSec tion成員來完成，而驅(qū)動對象可以從堆棧當(dāng)中找到。

 

  殼的函數(shù)的實現(xiàn)就很簡單了，內(nèi)核模塊本身也是PE文件，直接遍歷一下PE的導(dǎo)出表就ok了。 還有一點需要注意的就是UNICODE的轉(zhuǎn)換， 在給程序加殼的時候一般都要添加新節(jié)，用于存放殼的代碼，應(yīng)用層程序 的節(jié)表的最后一項和第一個節(jié)之間一般是有一個很大的空間可以用來添加新的 節(jié)表項的，但一般情況下驅(qū)動程序節(jié)表的最后一項后面緊接著就是第一個節(jié)解決的方法有兩種，第一種

 將所有的節(jié)向后移動，而第二種方法則是將PE頭整體向前移動覆蓋掉部分無用的dos頭，留出足夠的空間存放新的節(jié)表項。

 

   重定位表的處理

 

    由于驅(qū)動程序是要被加載到內(nèi)核空間中，所以外殼必須實現(xiàn)原來由系統(tǒng)完成的原驅(qū)動程序的重定位工作。原驅(qū)動程序的重定位表的處理方法跟應(yīng)用層 DLL 文件的處理方法完全一樣,代碼如下： 需要注意的一點：驅(qū)動程序被加殼后必須要有重定位表，否則驅(qū)動加載會失敗，解決的方法需要自己構(gòu)造一個假的重定位表來替換原始的重定位表。

     

   另外，由于驅(qū)動殼的特殊性，shell的編寫和驅(qū)動程序的編寫沒什么區(qū)別， 稍有錯誤就會藍(lán)屏。