• Windows驱动开发(一)第一个驱动程序


    首先我们需要了解,在操作系统中,是分两种权限的,一种是内核态,我们也称为0环,一种是用户态,称之为3环。而在我们的电脑中,驱动程序是运行在内核态的,这意味着和操作系统内核是在同一权限的,而普通的应用程序的权限是最低的。高权限谁不想拥有呢,因此驱动程序是很有必要了解与学习的。比如我们熟知的防病毒软件,游戏保护等,现在都在利用内核驱动技术来保护自己的数据。

    windows提供了好几种驱动框架模型,这里我们采用WDM模型,这是自winodws 2000来提供给开发者的一种框架,我们用来开发NT驱动。下面我们介绍驱动程序该如何编写,其实驱动程序和普通的应用程序C语言没什么特别大的区别,在C语言中我们需要一个main函数作为入口,那么在驱动程序中DriverEntry就是主函数入口,下面我们来实现一个hello,world版本的驱动程序,代码如下:

    1. #include
    2. void Unload(IN PDRIVER_OBJECT DriverObject)
    3. {
    4. UNREFERENCED_PARAMETER(DriverObject);
    5. DbgPrint("Unload\n");
    6. }
    7. }
    8. NTSTATUS DriverEntry(
    9. IN PDRIVER_OBJECT DriverObject,
    10. IN PUNICODE_STRING RegistryPathName)
    11. {
    12. UNREFERENCED_PARAMETER(RegistryPathName);
    13. DbgPrint("Hello Driver!!\n");
    14. DriverObject->DriverUnload = Unload;
    15. return STATUS_SUCCESS;
    16. }

    我第一次接触这段代码的时候非常陌生和惶恐,竟然没有一句看懂的,但是只要我们耐下性子来研究这个东西,没什么难的。我们再写一个C语言版本的helo,world来对比研究:

    1. #include
    2. int main(){
    3. printf("hello,world!");
    4. return 0;
    5. }

     在编写一个程序时我们需要一个主函数,而且需要一个返回值来表示程序的结束。在驱动中返回值一般都是NTSTATUS,这是一种状态码,成功的时候需要返回STATUS_SUCCESS。相当于C语言中的return 0。接着看驱动程序主函数中有两个参数,第一个是一个驱动对象。在内核中,系统管理的都是对象。一些重要的数据结构都是以对象为主体来操控的。我们写的是驱动程序,自然需要一个驱动对象。PDRIVER_OBJECT是一个指针,指向一个驱动对象。这个驱动对象就是对应着我们写的这个驱动程序。是系统帮我们规划好的模板,按照这个模板写程序就行了。因此我们可以看看这个驱动对象的样子:

    1. typedef struct _DRIVER_OBJECT {
    2. CSHORT Type;
    3. CSHORT Size;
    4. //
    5. // The following links all of the devices created by a single driver
    6. // together on a list, and the Flags word provides an extensible flag
    7. // location for driver objects.
    8. //
    9. PDEVICE_OBJECT DeviceObject;
    10. ULONG Flags;
    11. //
    12. // The following section describes where the driver is loaded. The count
    13. // field is used to count the number of times the driver has had its
    14. // registered reinitialization routine invoked.
    15. //
    16. PVOID DriverStart;
    17. ULONG DriverSize;
    18. PVOID DriverSection;
    19. PDRIVER_EXTENSION DriverExtension;
    20. //
    21. // The driver name field is used by the error log thread
    22. // determine the name of the driver that an I/O request is/was bound.
    23. //
    24. UNICODE_STRING DriverName;
    25. //
    26. // The following section is for registry support. This is a pointer
    27. // to the path to the hardware information in the registry
    28. //
    29. PUNICODE_STRING HardwareDatabase;
    30. //
    31. // The following section contains the optional pointer to an array of
    32. // alternate entry points to a driver for "fast I/O" support. Fast I/O
    33. // is performed by invoking the driver routine directly with separate
    34. // parameters, rather than using the standard IRP call mechanism. Note
    35. // that these functions may only be used for synchronous I/O, and when
    36. // the file is cached.
    37. //
    38. PFAST_IO_DISPATCH FastIoDispatch;
    39. //
    40. // The following section describes the entry points to this particular
    41. // driver. Note that the major function dispatch table must be the last
    42. // field in the object so that it remains extensible.
    43. //
    44. PDRIVER_INITIALIZE DriverInit;
    45. PDRIVER_STARTIO DriverStartIo;
    46. PDRIVER_UNLOAD DriverUnload;
    47. PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
    48. } DRIVER_OBJECT;
    49. typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

            这是WDK里面跟进去看到的驱动对象。学过C语言的一定看得懂,其实就是个结构体。虽然在winodws内核中是用纯C写的,但是却用到了面向对象的思想。只用C语言的结构体,一样可以实现面向对象编程。这个对象是什么时候生成的呢?这也是我在学习驱动时候的好奇。后来我想明白了,在我们想要加载我们的驱动程序的时候,操作系统其实为我们做好了初始化,为我们创建一个驱动对象。如果创建成功将把这个驱动对象的地址返回给我们,因此我们就能拿着这个地址对这个驱动对象做很多事了。接下来介绍第二个参数RegistryPathName。这个参数指的是在注册表中的位置。返回给我们的也是一个指针,告诉我们它在注册表何处。接着我们用内核提供的"printf"打印一句话--Hello Driver!!。到这里和C语言相同的地方我们就讲的差不多了。下面还有一些区别于C语言的东西。

            现在我们知道驱动程序加载是在内核空间的。内核空间不像用户空间那么随意,有些东西想关就关,想开就开。稍不留神可能就造成电脑蓝屏。因此我们可能还需要提供一个卸载的功能,否则这个驱动将无法卸载。但是其实这个也不是必要的。很多商用的软件并不想别人把它关掉,自然不会提供这么一个卸载功能。这就像为啥有些杀软删不掉的原因(懂得都懂)。但是我们在做测试过程中,还是要提供这么一个卸载函数。这个函数是我们自己写的。驱动对象中会记录这个回调函数。可以参考下上面驱动对象中有一个成员叫DriverUnload,这就是指向我们提供的卸载函数的指针。因此通过驱动对象指针能访问到它。将它设置为我们提供的卸载函数。在我们提供的卸载函数中,我们目前也只提供打印一句话的功能。卸载驱动的过程是操作系统为我们隐式做的。当系统检测到驱动对象中有这么个卸载函数,将去执行我们提供的回调函数。并把我们的驱动从内核中卸载。大致了解这个过程就OK了。因此,到目前为止,我们的第一个驱动程序就完成了。我们在XP下试验一下:

    我们在测试工具中看到了Hello Driver,后面两句不用管那是后续实现的功能。我们再看卸载后的状态:

    我们看到停止驱动后,系统会调用我们提供的卸载回调函数,并打印了一句Unload。证明我们的驱动是没问题的。

  • 相关阅读:
    labview数组精讲
    在Winform开发中,使用Async-Awati异步任务处理代替BackgroundWorker
    计算机网络 | 数据链路层
    后Kubernetes时代的虚拟机管理技术之Virtual-Kubelet篇
    CTF7靶机搜索不到ip问题
    私有化部署AI智能客服,解放企业成本,提升服务效率
    MySQL·SQL优化
    deeplearning4j使用vgg19图片向量比对springboot+es环境
    spring 绑定数据,国际化处理,上传下载文件
    Redis的常用命令&集群节点管理
  • 原文地址:https://blog.csdn.net/qq_30528603/article/details/132867263