WinX86内核02-驱动程序

把昨天的程序改用 c++ 编译，改成 .cpp ，发现编译报错

原因是名称粉碎，因此可以直接 extern “C”声明一下这个函数 或者用 头文件（推荐）

因为 在头文件中 可以把 头文件一起包含进去

 #pragma once  extern "C" {  #include <Ntddk.h>  ​   /*驱动入口函数*/  NTSTATUS DriverEntry(__in struct _DRIVER_OBJECT* DriverObject,          __in PUNICODE_STRING  RegistryPath);  ​  /*驱动卸载函数*/  VOID Unload(__in struct _DRIVER_OBJECT* DriverObject);  ​  }

api

在驱动编程里面也可以面向对象编程，可以用class ，但是有很多功能是禁止的 ，例如 try catch 这是3环的机制，内核处理的方法不一样， malloc ， printf ，scanf，new 等 基本的库函数 和 3环 的 api都不行 因为 内核有一套独立的内核空间，必须用微软提供的独立的内核api去申请 .操作系统会提供一套独立的 内核专用的 内核 api

Reference 里面就是所有的api

WDM（NT）驱动框架

我们前面写的算一个一个驱动程序 （有打印功能），但不具备交互性，即不能跟驱动沟通

那么怎么让驱动具备交互性呢（跟3环程序作交互）

内核驱动一般不做界面功能，有3环程序来做，因为内核不能中出bug

因此 内核驱动开发有一个原则，驱动里面3环能解决的问题就在3环解决，驱动里面只做内核才能做的事

• 1.

  想要跟3环做交互，那就要按操作系统的设计来做这个框架

• 2.

  如果不需要跟3环程序交互，可能不需要 按 操作系统的设计来

• 3.

  卸载函数必须有，不然装上了就无法卸载 （因为有些驱动可能是系统一定要用的，防止被误卸载了）如果是开机启动，重启也无法卸载，除非进安全模式

步骤

• 1.

  实现驱动入口函数 DriverEntry

• 2.

  创建设备

• 3.

  注册派函数

• 4.

  注册卸载函数 Unload

系统 =》 驱动接口 =》 硬件

因为将来的硬件我们也知道有什么，所以驱动接口必须支持现在的硬件，还要支持将来的硬件，因此驱动接口的设计就十分重要，必须抽象

驱动接口 => 抽象 =》 硬件共同的特点 => 文件

应用程序 =》 文件API => 系统 => 驱动操作接口(open read write close) Dispatch Routines =》 硬件

写驱动就是想操作系统提供 open read write close 的接口，就是文件指针，这些函数就是派遣函数

设备对象 DEVICE_OBJECT 存放 open read write close 的接口

绑定

驱动对象 DRIVER_OBJECT 虚拟出来的，当操作系统加载驱动的时候，就会创建一个驱动对象来描述加载的驱动的所有信息 DriverObject

3环程序只需要 操作设备对象 ，设备对象自然会跟驱动对象绑定

实现

实现驱动入口函数 DriverEntry

 /*驱动入口函数*/  NTSTATUS DriverEntry(      __in struct _DRIVER_OBJECT* DriverObject,      __in PUNICODE_STRING  RegistryPath)  {  ​      return STATUS_SUCCESS;  }

添加设备

操作系统会提供内核API 实现王操作系统添加一个设备

ms-help://MS.WDK.v10.7600.091201/Kernel_r/hh/Kernel_r/k104_1e38a631-7e65-4b4b-8d51-3150a8073511.xml.htm

最常用的就是 IoCreateDevice

参数：

• 1.

  驱动对象 (一个驱动可以创建多个设备对象，他就会挂链表)

• 2.

  设备口拓展大小 （驱动对象结构体有一个空指针成员，可以用来存放用户申请的地址，对结构体进行拓展，用来取代全局变量），一般定义一个结构体，也可以不用

• 3.

  设备名字 （在内核中基本不用 3环的字符串格式char* 即不是'\0'结尾的字符串，而是用 UNICODE_STRING 结构体），名字有要求 前面必须要有 \Device\ 。而且必须唯一，不可以与其他设备相同

• 4.

  设备种类，不能为NULL

• 5.

  是否独占 一般是false true表示独占：该软件使用时，其他软件无法使用

• 6.

  返回的设备对象

不用char* 是因容易字符串一处造成漏洞

内核中有些库函数还是可以用的 如： strlen strcpy但不推荐，因为不是 "\0" 结尾

windows整个操作系统是由C语言 + 汇编写的，但他整个设计用的是面向对象的思想的

内核里面基本返回值统一，这样调 api 可以统一检查 ，通过宏 NT_SUCCESS 检查

驱动卸载下次在安装将创建不了，因为名称被占用了，因此需要在upload 中 删除对象设备

#define DEVICE_NAME L"\\Device\\CR42" UNICODE_STRING ustrDevName; //ustrDevName.Length = 8; //ustrDevName.MaximumLength = 10; //ustrDevName.Buffer = L"CR42"; RtlInitUnicodeString(&ustrDevName, DEVICE_NAME); //该函数就是实现上面3 行代码 PDEVICE_OBJECT pDevObj = NULL; NTSTATUS Status = IoCreateDevice(DriverObject, sizeof(MyDeviceExt), &ustrDevName, FILE_DEVICE_UNKNOWN, //不知道的设备类型 FILE_DEVICE_SECURE_OPEN, FALSE, //独占 &pDevObj); if (!NT_SUCCESS(Status)) { //检查错误 DbgPrint("[51asm] IoCreateDevice Status:%p\n", Status); return Status; //失败返回 状态码 }

注册派遣函数

驱动对象最后一项是一个函数指针数组，我们驱动有什么功能就填什么功能，而且通过宏说明了每个下标分别放什么功能

一般对一内核驱动来说 必须提供 打开 关闭 控制 3个功能

这些函数就是派遣函数，也可以称回调函数

 NTSTATUS DispatchCreate(    _In_ struct _DEVICE_OBJECT* DeviceObject,    _Inout_ struct _IRP* Irp  );  ​  NTSTATUS DispatchClose(    _In_ struct _DEVICE_OBJECT* DeviceObject,    _Inout_ struct _IRP* Irp  );  ​  NTSTATUS DispatchRead(    _In_ struct _DEVICE_OBJECT* DeviceObject,    _Inout_ struct _IRP* Ir