一个简单的NT驱动之驱动入口函数(DriverEntry)

一个简单的NT驱动之驱动入口函数(DriverEntry)
2011年12月16日
   选了本驱动开发方面的书《Windows驱动开发技术详解》,这本书类似于MFC方面孙鑫的《VC++深入详解》,看了一部分感觉还不错。
  在开始看这本书之前查了许多资料,是想看看自己的实际需求需要看些哪方面的书,但发现要学的技术太多了,汇编要学,操作系统要学。还是不管了,先找本书来看看再说。
  像学SDK时一样,照着书上的代码敲出了第一个驱动程序,称之为HelloDDK。
  在开发驱动程序之前,有些概念是需要了解的,但我了解得不多,反正把环境架设好,可以写驱动程序了。首先在微软的官方网站上下载了WDK,许多资料中都是让装DDK,其实WDK只是DDK的升级版本而已,性质跟SDK一样,属于开发包之列。
  这个驱动程序包含了三个函数:DriverEntry、HelloDDKUnload和HelloDDKDispatchRoutine。其中DriverEntry是驱动程序的入口函数,相当于C/C++程序的main函数,HelloDDKUnload函数是驱动卸载函数。而HelloDDKDispatchRuntine则是IRP的派遣函数,因为驱动程序主要是处理IO请求,而IO请求大多是在派遣函数中处理的。
  先来看看这个驱动程序的第一个函数:DriverEntry
  /****************************************************************
  * 函数名称:DriverEntry
  * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象
  * 参数列表:
  pDriverObject:从I/O管理器中传来的驱动对象
  pRegistryPath:驱动程序在注册表中的路径
  * 返回值:返回初始化驱动状态
  ****************************************************************/
  #pragma INITCODE
  extern "C" NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject,
  IN PUNICODE_STRING pRegistryPath )
  {
  NTSTATUS status;
  KdPrint( ( "Enter DriverEntry!\n" ) );
  //注册其它驱动调用函数入口
  pDriverObject->DriverUnload = ( PDRIVER_UNLOAD ) HelloDDKUnload;
  pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
  pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine;
  pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine;
  pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKDispatchRoutine;
  //创建驱动设备对象
  status = CreateDeivce( pDriverObject );
  KdPrint( ( "DriverEntry end!\n" ) );
  return status;
  }
  这个函数的第一句代码是一个#pragma预处理指令:
  #pragma INITCODE
  这段代码表明将此函数加入INIT内存区域。
  在函数头中的“extern "C"”是指定编译器的编译方式,若不加此修饰,编译器则会按C++的编译方式来编译,会导致编译错误。
  NTSTATUS是函数的返回状态,用来检测函数的状态是否正确,常用的NTSTATUS值有:
  #define STATUS_SUCCESS
  #define STATUS_BUFFER_OVERFLOW
  #define STATUS_UNSUCCESSFUL
  #define STATUS_NOT_IMPLEMENTED
  #define STATUS_ACCESS_VIOLATION
  #define STATUS_INVALID_HANDLE
  #define STATUS_INVALID_PARAMETER
  接着是函数参数中的IN修饰,该修饰是定义参数的类型,“IN”修饰表示是一个输入参数,“OUT”修饰表示是一个输出参数,“INOUT”修饰表示是一个输入输出参数。
  接下来就得了解了解驱动程序中的第一个结构体:PDRIVER_OBJECT,该结构体我在帮助文档里找了半天也没找到,最后在“wdm.h”中找到了其定义:
  typedef struct _DRIVER_OBJECT {
  CSHORT Type;
  CSHORT Size;
  PDEVICE_OBJECT DeviceObject;
  ULONG Flags;
  PVOID DriverStart;
  ULONG DriverSize;
  PVOID DriverSection;
  PDRIVER_EXTENSION DriverExtension;
  UNICODE_STRING DriverName;
  PUNICODE_STRING HardwareDatabase;
  PFAST_IO_DISPATCH FastIoDispatch;
  PDRIVER_INITIALIZE DriverInit;
  PDRIVER_STARTIO DriverStartIo;
  PDRIVER_UNLOAD DriverUnload;
  PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
  } DRIVER_OBJECT;
  typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;
  该结构体共有15个成员,这个结构体表示的是一个驱动对象,是驱动的一个实例,类似于用户模式下的线程句柄一类。该对象在DriverEntry函数中被始化,然后由内核中的I/O管理器来加载,确切的加载函数是IoCreateDevice。
  下面要说说该结构体中的几个重要成员:
  DeviceObject:这是一个设备对象的结构体。一个驱动程序会创建多个设备对象,每个设备对象都有指向下一个设备对象的指针,最后一个设备象的指针为空。此处的DeviceObject指向驱动程序的第一个设备对象,
  DriverName:驱动名称。其数据类型为UNICODE_STRING,该字符串一般为“\\driver\\[驱动名称]”,UNICODE_STRING字符串的赋值用RtlInitUnicodeString函数。
  DriverUnload:指定驱动卸载时使用的回调函数地址。
  MajorFunction:该成员是一个PDRIVER_DISPATCH结构体组数指针,其定义如下:
  __drv_functionClass(DRIVER_DISPATCH)
  __drv_requiresIRQL(PASSIVE_LEVEL)
  __drv_sameIRQL
  typedef
  NTSTATUS
  DRIVER_DISPATCH (
  __in struct _DEVICE_OBJECT *DeviceObject,
  __inout struct _IRP *Irp
  );
  typedef DRIVER_DISPATCH *PDRIVER_DISPATCH;
  每个指针指向一个函数,这个函数就是处理IRP的派遣函数。
  FastIoDispatch:文件驱动中用到的派遣函数。
  派遣函数相当于WIN32子系统下的事件响应函数,驱动程序的主要功能是负责处理IO请求,而绝大多数的IO请求是在派遣函数中处理的。关于IRP派遣函数的相关解释另作笔记。
  在PDRIVER_OBJECT中有一个PDEVICE_OBJECT成员,下面再来说说这个结构体,其定义在“wdm.h”中。该结构体保存的是设备对象指针链表,其成员包含了当前设备对象指针和下一个设备对象指针。在卸载驱动时要遍历驱动程序的所有设备对象,并用IoDeleteDevice来删除所有设备对象。
  好了,再来看看DriverEntry的函数体,在对以上的几个概念作了了解后,函数体的作用就容易理解了。函数体只有两个功能,一是初始化DRIVER_OBJECT结构体,二是创建设备对象。
  糊里糊涂的写完了这篇笔记,没想一个只有十来行的驱动函数涉及的内容居然如此之多。虽然还是云里雾里的,但对驱动对象PDRIVER_OBJECT还是有了一点了解,在下一篇笔记中再来好好研究研究CreateDevice函数。
  在敲这第一个驱动程序的代码时,老把Driver和Device敲错,到不是不知道这两个单词的意思,只是不知道在哪些地方该用驱动对象(DRIVER_OBJET),哪些地方用设备对象(DEVICE_OBJECT)。

你可能感兴趣的:(技术杂绘)