原始IAT的處理

 

    由于原驅動程序被加上了我們的驅動器外殼，所以原驅動程序的IAT表的填寫工作

 要由我們的驅動器外殼程序來完成。應用層殼一般通過兩個API來完成這個工作，或者自己實現(xiàn)這兩個API的功能。而驅動殼是要 隨驅動程序一起被加載到內核當中去的，但內核里沒有這兩個函數(shù)，我們

 自己對這兩個函數(shù)做內核的實現(xiàn)。當然也可以用函 數(shù)，不過它只能得到兩個模塊的函數(shù)，對于其它模塊則 無能為力了，影響殼的通用性。殼的函數(shù)可以通過遍t鏈表來實現(xiàn)，關于遍歷這個鏈表的方法可以參照Futo的代碼，通過DRIVEROBJECT的DriverSec tion成員來完成，而驅動對象可以從堆棧當中找到。

 

  殼的函數(shù)的實現(xiàn)就很簡單了，內核模塊本身也是PE文件，直接遍歷一下PE的導出表就ok了。 還有一點需要注意的就是UNICODE的轉換， 在給程序加殼的時候一般都要添加新節(jié)，用于存放殼的代碼，應用層程序 的節(jié)表的最后一項和第一個節(jié)之間一般是有一個很大的空間可以用來添加新的 節(jié)表項的，但一般情況下驅動程序節(jié)表的最后一項后面緊接著就是第一個節(jié)解決的方法有兩種，第一種

 將所有的節(jié)向后移動，而第二種方法則是將PE頭整體向前移動覆蓋掉部分無用的dos頭，留出足夠的空間存放新的節(jié)表項。

 

   重定位表的處理

 

    由于驅動程序是要被加載到內核空間中，所以外殼必須實現(xiàn)原來由系統(tǒng)完成的原驅動程序的重定位工作。原驅動程序的重定位表的處理方法跟應用層 DLL 文件的處理方法完全一樣,代碼如下： 需要注意的一點：驅動程序被加殼后必須要有重定位表，否則驅動加載會失敗，解決的方法需要自己構造一個假的重定位表來替換原始的重定位表。

     

   另外，由于驅動殼的特殊性，shell的編寫和驅動程序的編寫沒什么區(qū)別， 稍有錯誤就會藍屏。