tiechui_lesson01_入口函数和卸载函数

主要讲解入口函数和卸载函数。

#include <ntifs.h>VOID 
nothing(HANDLE ppid, HANDLE mypid, BOOLEAN bcreate)
{UNREFERENCED_PARAMETER(ppid);UNREFERENCED_PARAMETER(mypid);UNREFERENCED_PARAMETER(bcreate);DbgPrint("processNotify\n");
}VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{UNREFERENCED_PARAMETER(DriverObject);//如果卸载清理的时候不做清理，那么系统会蓝屏(第二个参数设置为TRUE)PsSetCreateProcessNotifyRoutine(nothing, TRUE);DbgPrint("Unload\n");
}NTSTATUS
DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{DriverObject->DriverUnload = DriverUnload;PsSetCreateProcessNotifyRoutine(nothing, FALSE);DbgPrint("%wZ\n",RegistryPath);return 0;
}

PsSetCreateProcessNotifyRoutine 

在安装驱动的时候注册了一个进程通知回调，在系统中有进程创建或者关闭的时候，调用回调函数。第一个参数为注册的回调函数，第二个是添加和删除回调的布尔值。

[in] NotifyRoutine

指定调用方提供的进程创建回调例程的入口点。 请参阅 PCREATE_PROCESS_NOTIFY_ROUTINE。

[in] Remove

指示是否应从系统的通知例程列表中添加或删除 NotifyRoutine 指定的例程。 如果 为 FALSE，则指定例程将添加到列表中。 如果 为 TRUE，则从列表中删除指定的例程。

有一种蓝屏（BSOD）的情况，如果在卸载函数中没有设置删除设置个进程通知回调函数nothing，那么就会产生BSOD。因为操作系统中保有这个回调指针后，我们卸载掉驱动，那么这个指针所指的函数就不存在了，而操作系统仍然去试图访问这个函数那么就导致了蓝屏。所以需要在卸载驱动的时候调用：

PsSetCreateProcessNotifyRoutine(nothing, TRUE);

来将这个回调函数从操作系统删除掉，之后就不会蓝屏了。