闲来无事，逆向一下自己写的驱动，加深下认识。
  这里把逆向的驱动分为Debug版，Release版和加载PDB版。三个版本的特点是：
  Debug版不会被编译器优化，比较适合学习逆向。
  Release版是发布对外的，逆向时很多结构体和反汇编都被优化变形了，只能说是有原来代码的特征。
  加载PDB版就几乎等同于阅读源码了，没什么挑战。

  所以这里学习重点讲的是逆向Debug版编译的自己的驱动。

Debug版

  首先拖入IDA识别的DriverEntry并不是我们实际的DriverEntry函数。而是sub_401250。
  注意入口处DestinationString结构的赋值以及WdfVersionBind函数都是编译后系统添加上去的。
  具体初始化都是些什么函数可以加载PDB后看下，这里意义不大。

  主函数注册回调函数sub_4012F0为DriverUnload,注册回调函数sub_401210为MajorFunction。

  这个可以看出来是在遍历双向链表，但是未必能猜得出来这是LDR_DATA_TABLE_ENTRY结构体。因为DriverObject+0x14处是DriverSection，这里是驱动的模块链表。

  逆向派遣函数时根据MajorFunction的数组索引可以确认IRP的类型，定位需要认真研究的派遣分发函数。这些派遣函数的第一个参数大多是DriverObject或者DeviceObject。
  加载PDB后发现sub401bc0是__CheckForDebuggerJustMyCode。

DriverObject结构体是非常重要的，这里要正反向看下。
源码中MajorFunction的元素个数是0x1B，0x1B+1=0x1Ch,也就是图中的十进制28。占用28x4=112。即是HEX值70h，所以DriverObject的大小是A8h大小。

typedef struct _IO_STACK_LOCATION {
    
    
    UCHAR MajorFunction;
    UCHAR MinorFunction;
    UCHAR Flags;
UCHAR Control;
Union{
    
    }Parameters;
PDEVICE_OBJECT DeviceObject;
PFILE_OBJECT FileObject;
PIO_COMPLETION_ROUTINE CompletionRoutine;
PVOID Context;
} IO_STACK_LOCATION, *PIO_STACK_LOCATION;

  IDA中只有Windows Driver Kit 7/10 32 bit的签名，部分Wdm.h中定义的函数没有被识别出来,造成了逆向的困难。

  源代码中的ReadCompleteRoutine函数，想破解该函数猜出a2是PIRP结构是关键。逆向的关键就是猜对结构体。第一要有开发经验，这样可以更好地摸索上下文的意图。第二，要熟悉写代码时的一些常用的系统结构体。

  IRP+0X18h是IoStatus。IPR+0xCh是一个指针AssociatedIrp。源代码中是指向SystemBuffer的指针。

union {
    
    
        struct _IRP *MasterIrp;
        __volatile LONG IrpCount;
        PVOID SystemBuffer;
} AssociatedIrp;

  偏移0x1Ch的地方并没有猜到,看下_IO_STATUS_BLOCK结构。

typedef struct _IO_STATUS_BLOCK {
    
    
    union {
    
    
        NTSTATUS Status;
        PVOID Pointer;
    } DUMMYUNIONNAME;

    ULONG_PTR Information;
} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;

  偏移0x1Ch地址处就是0X18h再偏移0x4h地址处，可以看出是IO_STATUS_BLOCK结构。说白了只要猜对结构体，或者猜对了结构体中那一项数据的含义，代码的意图就能正确被看出来。
  最后附属下sub_401AB0函数即ReadCompleteRoutine函数的源代码：

NTSTATUS ReadCompleteRoutine(PDEVICE_OBJECT pDevObj, PIRP pIrp, PVOID pContext)
{
    
    
	NTSTATUS status = pIrp->IoStatus.Status;
	PKEYBOARD_INPUT_DATA pKeyboardInputData = NULL;
	ULONG ulKeyCount = 0, i = 0;

	if (NT_SUCCESS(status))
	{
    
    
		pKeyboardInputData = (PKEYBOARD_INPUT_DATA)pIrp->AssociatedIrp.SystemBuffer;
		ulKeyCount = (ULONG)pIrp->IoStatus.Information / sizeof(KEYBOARD_INPUT_DATA);

		// 获取按键数据
		for (i = 0; i < ulKeyCount; i++)
		{
    
    
			// Key Press
			if (KEY_MAKE == pKeyboardInputData[i].Flags)
			{
    
    
				// 按键扫描码
				DbgPrint("[Down][0x%X]\n", pKeyboardInputData[i].MakeCode);
			}
			// Key Release
			else if (KEY_BREAK == pKeyboardInputData[i].Flags)
			{
    
    
				// 按键扫描码
				DbgPrint("[Up][0x%X]\n", pKeyboardInputData[i].MakeCode);
			}
			//可以添加上这这一句，然后按键全部被改为了 按下 A
//			pKeyboardInputData[i].MakeCode = 0x1e;
		}
	}

	if (pIrp->PendingReturned)
	{
    
    
		IoMarkIrpPending(pIrp);
	}

	// 减少IRP在队列的数量
	((PDEVICE_EXTENSION)pDevObj->DeviceExtension)->ulIrpInQuene--;

	status = pIrp->IoStatus.Status;
	return status;
}