这里记载一些心得经验和想法(没有实验). 这里大多是血的教训!请大家谨记. 1.ExAllocatePoolWithTag不但检查成功否和释放ExFreePoolWithTag,更重要的是要RtlZeroMemory,不然会有乱码等奇怪的现象.最好立马使用,最近使用. 不会C++,没有C++的思想。不过写下面的两个函数倒有进步的思想。 #define TAG 'tset' //驱动在内存的标志,即test //new delete PVOID allocate(IN SIZE_T NumberOfBytes) /* 不建议对申请内存函数的封装,这样对内存泄漏不好定位. */ { PVOID p = NULL; //PAGED_CODE(); if (KeGetCurrentIrql() > DISPATCH_LEVEL) { KdBreakPoint();//DbgBreakPoint() } /* Callers of ExAllocatePoolWithTag must be executing at IRQL <= DISPATCH_LEVEL. A caller executing at DISPATCH_LEVEL must specify a NonPagedXxx value for PoolType. A caller executing at IRQL <= APC_LEVEL can specify any POOL_TYPE value, but the IRQL and environment must also be considered for determining the page type. */ p = ExAllocatePoolWithTag(NonPagedPool, NumberOfBytes, TAG); if (p == NULL ) { return p; } /* Warning Memory that ExAllocatePoolWithTag allocates is uninitialized. A kernel-mode driver must first zero this memory if it is going to make it visible to user-mode software (to avoid leaking potentially privileged contents). */ RtlZeroMemory(p, NumberOfBytes); return p; } VOID free(IN PVOID p) { unsigned long r; /* Callers of ExFreePoolWithTag must be running at IRQL <= DISPATCH_LEVEL. A caller at DISPATCH_LEVEL must have specified a NonPagedXxx PoolType when the memory was allocated. Otherwise, the caller must be running at IRQL <= APC_LEVEL. */ //PAGED_CODE(); if (KeGetCurrentIrql() > DISPATCH_LEVEL) { KdBreakPoint();//DbgBreakPoint() } if (p) //防止多次释放导致的蓝屏。 { __try //防止传入非法的地址。 { r = MmIsAddressValid(p); ExFreePoolWithTag(p, TAG);//KeGetCurrentIrql() > DISPATCH_LEVEL时依旧蓝屏。 } __except (EXCEPTION_EXECUTE_HANDLER) { r = GetExceptionCode();//啥也不做。 } p = NULL; } } 2.不可用BOOL与true或者TRUE比较,因为:typedef int BOOL; 所以: BOOL b = PathIsDirectory(buffer); //if (b == true) //00B4161A cmp dword ptr [ebp-268h],1 //if (b == TRUE) //00B4161A cmp dword ptr [ebp-268h],1 if (b) //cmp dword ptr [ebp-268h],0 3.要对用:RtlAppendUnicodeStringToString或者RtlAppendUnicodeToString或者RtlAppendStringToString对STRING或者UNICODE_STRING追加字符,原有字符结构必须有内存,不能是初始化的. 就是初始化的时候要使用:RtlInitEmptyUnicodeString,而不能使用:RtlInitUnicodeString(&us1,L"\\REGISTRY\\USER\\"); 系统生成的UNICODE_STRING,如文件对象(FileObject)里面的,这是最好传递UNICODE_STRING指针,前提是不能修改这个输入参数,如要修改请备份或者复制一份. 如果传递字符串的地址,再用RtlInitUnicodeString初始化,不仅麻烦而且易出错,因为:字符串的地址没有结束标志,且字符串后面的地址有可能不可以访问,所以会蓝屏. 如果非要传递字符串的地址,建议一定加上字符串的长度,用原始的方法初始UNICODE_STRING,不要用RtlInitUnicodeString了. 4.FltRegisterFilter函数返回STATUS_OBJECT_NAME_NOT_FOUND #define STATUS_OBJECT_NAME_NOT_FOUND ((NTSTATUS)0xC0000034L) 原因是注册表中没有如下内容: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\xxxxxx\Instances] "DefaultInstance"="xxxxxx" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\xxxxxx\Instances\xxxxxx] "Altitude"="371100" "Flags"=dword:00000000 并注意:Altitude的值和注册时要一致. 说明:必须有一个名为"Instances"的子项用于存放驱动的实例信息,该子项下面的字符串值"DefaultInstance"指定了默认实例的名称。 "Instances"项下面的每一个子项表示一个实例,每个实例子项必须有一个字符串值"Altitude"。 FltRegisterFilter函数执行时,如果在注册表中没有找到默认实例的"Altitude"值,将会返回STATUS_OBJECT_NAME_NOT_FOUND错误。 5.ObRegisterCallbacks返回STATUS_ACCESS_DENIED (0xc0000022) 解决办法: 首选办法:sources里面加入:LINKER_FLAGS = $(LINKER_FLAGS)/INTEGRITYCHECK 第二个方案: 注册回调前加段代码,改一个比特位就解决了 代码: PLDR_DATA_TABLE_ENTRY pLdrEntry=(PLDR_DATA_TABLE_ENTRY)pDrvObj->DriverSection; pLdrEntry->Flags |=0x20; 6.如果有两个桌面,在内核中判断或者区分? 1.进程回调加父子关系。我是用链表实现了。 2.未公开的函数,详细的请查询http://doxygen.reactos.org。 3.判断进程内的某个类型的对象的值,即:DeskTop。 4.对象里面有个结构,就是使用这个对象的所有的进程的链表。 7.判断一个文件或者文件夹是不是在另一个文件夹里面。 应用层和驱动层通吃,这是一个方法和思路。 1.判断是不是这个文件夹,之前最好判断一下是不是目录。 2.如果待判断的文件或者目录的长度大于特定的目录,取代判断的目录或者文件夹的长度加一,然后和特定的目录加"\\"比较。 如果是miniFilter,有更方便的办法,因为它解析好了。 另外内核还有一些特殊的函数,至少三类: 1.以str,wcs,_wcs开头的函数。由内核导出,但是不建议使用,因为好多字符串不是以0x00结尾的. 2.刚开始还以为是:RtlLeftChild呢?后来发现了RtlPrefixUnicodeString,实验成功。不过要调用两次,后一次加一个\. 3.FsRtlIsNameInExpression或者FsRtlIsDbcsInExpression等。这个实验始终失败. 8.KeSetEvent使用的一个要点. LONG KeSetEvent(IN PRKEVENT Event, IN KPRIORITY Increment, IN BOOLEAN Wait); 最后一个参数为真,必须马上调用等待函数,不然蓝屏,注意IRQL还会升高,具体的看说明. 这是加班到凌晨4点才解决,后来才明白的. 9.UserMode or KernelMode 很多函数的说明中有这么一句话:Lower-level drivers should specify KernelMode. 实际要怎么做?其实大多说是UserMode.只有系统进程或者驱动专用的是KernelMode. 其实完美的办法是调用ObIsKernelHandle函数.ObOpenObjectByPointer这个函数有点麻烦. 彻底的解决办法是ExGetPreviousMode(VOID). 10.由于VS2013没有一键转换的功能,所以依旧用vs2012,但是要编译:Windows Driver Kit (WDK) 8.1 Preview Samples下的例子,要把工程的编译平台修改为8.0(WindowsKernelModeDriver8.0)即可,注意有两处.不然编译出错. error MSB8020: The builds tools for WindowsKernelModeDriver8.1 (Platform Toolset = 'WindowsKernelModeDriver8.1') cannot be found. To build using the WindowsKernelModeDriver8.1 build tools, either click the Project menu or right-click the solution, and then select "Update VC++ Projects...". Install WindowsKernelModeDriver8.1 to build using the WindowsKernelModeDriver8.1 build tools. 11.数字签名. 这个我也不太懂,有的要5级签名,微软的在最上等. 今天遇到一个,即使签名了也会出现:577 = 0x241 . 其含义为:Windows 无法验证此文件的数字签名。某软件或硬件最近有所更改,可能安装了签名错误或损毁的文件,或者安装的文件可能是来路不明的恶意软件。 改进办法是用命令行签名,最好加上时间信息,不过这又要开发环境了. 12.minifilter在卷挂载(PFLT_INSTANCE_SETUP_CALLBACK)的时候,获取卷设备的一些信息,更多信息请自己扩展. BOOLEAN PrintVolume(__in PCFLT_RELATED_OBJECTS FltObjects) /* 功能:打印挂载的卷的信息。 */ { NTSTATUS status; PVOID Buffer; BOOLEAN r = FALSE; ULONG BufferSizeNeeded; UNICODE_STRING Volume; status = FltGetVolumeName(FltObjects->Volume, NULL, &BufferSizeNeeded); if (status != STATUS_BUFFER_TOO_SMALL) { return FALSE; } Buffer = ExAllocatePoolWithTag(NonPagedPool, BufferSizeNeeded + 2, TAG); if (Buffer == NULL) { return FALSE; } RtlZeroMemory(Buffer,BufferSizeNeeded + 2); Volume.Buffer = Buffer; Volume.Length = (USHORT)BufferSizeNeeded; Volume.MaximumLength = (USHORT)BufferSizeNeeded + 2; status = FltGetVolumeName(FltObjects->Volume, &Volume, &BufferSizeNeeded);//最后一个参数为NULL失败。 if (!NT_SUCCESS(status)) { KdPrint(("FltGetVolumeName fail with error 0x%x!\n",status)); ExFreePoolWithTag(Buffer, TAG); return FALSE; } KdPrint(("挂载的卷为:%wZ\n",&Volume)); ExFreePoolWithTag(Buffer, TAG); return r; } 打印信息有: 挂载的卷为:\Device\Mup 挂载的卷为:\Device\HarddiskVolume1 挂载的卷为:\Device\HarddiskVolume2 挂载的卷为:\Device\HarddiskVolume4 挂载的卷为:\Device\HarddiskVolume3 挂载的卷为:\Device\HarddiskVolume5 挂载的卷为:\Device\CdRom0 13. BOOLEAN IsMyVolume(__in PCFLT_RELATED_OBJECTS FltObjects) { BOOLEAN b = FALSE; PFILE_OBJECT FileObject; UNICODE_STRING uni_disk; UNICODE_STRING Hide_name; NTSTATUS status = STATUS_SUCCESS; FileObject = FltObjects->FileObject;//sp->FileObject; //On Windows Vista and later operating systems, you must ensure that APCs are not disabled before calling this routine. //Call KeAreAllApcsDisabled for this purpose. //ObReferenceObjectByPointer((PVOID)FileObject,0,NULL,KernelMode); status = IoVolumeDeviceToDosName(FileObject->DeviceObject,&uni_disk);//RtlVolumeDeviceToDosName 支持xp之前,但是prefast警告. //ObDereferenceObject(FileObject); if (!NT_SUCCESS( status )) //如果失败了puni_disk->buffer == 0,下面的比较会蓝屏. { return b; } RtlInitUnicodeString(&Hide_name,L"X:"); if (RtlEqualUnicodeString(&Hide_name,&uni_disk,TRUE)) { b = TRUE; } ExFreePool(uni_disk.Buffer);//或者下面的办法. //RtlFreeUnicodeString(&uni_disk); return b; } 14.OACR的使用. 正常情况下,编译之后,双击图标即可显示. 但是非正常情况下: 1.编译驱动 2.check now -> 选项. 3.view warnings -> 选项. 以上是个人理解,并非正确. 15.C和CPP与布尔变量的关系。 C中默认情况下只能使用大写的布尔变量。 C++中注意这是两种不同的数据类型。 在C中测试效果如下: BOOLEAN BX;//BYTE //BOOL B;//int //bool b; BOOLEAN BX1 = TRUE; //BOOLEAN BX2 = true; 注意注释的是错误的,不过在CPP中是都可以的。 谨记,这是一会开发驱动程序,一会写应用层代码所得的。 16.再论UNICODE_STRING。 // // Unicode strings are counted 16-bit character strings. If they are // NULL terminated, Length does not include trailing NULL. // typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; #ifdef MIDL_PASS [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer; #else // MIDL_PASS _Field_size_bytes_part_(MaximumLength, Length) PWCH Buffer; #endif // MIDL_PASS } UNICODE_STRING; //上面是文件中的定义。 //下面是文档中的说明。 typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *PUNICODE_STRING; Length The length in bytes of the string stored in Buffer. MaximumLength The length in bytes of Buffer. Buffer Pointer to a buffer used to contain a string of wide characters. If the string is NULL-terminated, Length does not include the trailing NULL. 个人理解: 上面的必须看懂并记住。 尽管微软所这是安全的字符串,不会出所谓的问题。 但是使用不当还是会出现蓝屏和莫名奇怪的问题。 因为好像没有函数检验字符串的有效性。 至少在WINDBG的本地变量里面显示的字符串和长度是可以不相符的。 反过来说,理解了这个结构,可以写出一些技巧的代码。 再次重复,长度是字节的长度, 所以在内存地址中定位字符的时候要除以Buffer的单位再减一。 所以复制的时候千万不要长度再乘以Buffer的单位。 这些问题很难发现和定位,费了我两天的时间,才解决,所以写此心得。 17.看《windows内核情景分析》的9.12MDL章节: 更喜欢叫DeviceObject->Flags的: DO_BUFFERED_IO为复制方式,特点:系统申请非分页内存,然后再复制。 DO_DIRECT_IO为映射方式,特点:获取用户地址的物理地址的内核地址。 neither buffered nor direct I/O为直接方式,特点:很少使用或者直接使用,注意DPC/ISR中不可以用。 更多的官方信息: http://msdn.microsoft.com/en-us/library/windows/hardware/ff550869(v=vs.85).aspx Neither I/O Operations http://msdn.microsoft.com/en-us/library/windows/hardware/ff565381(v=vs.85).aspx Using Direct I/O with PIO http://msdn.microsoft.com/en-us/library/windows/hardware/ff565374(v=vs.85).aspx Using Direct I/O with DMA http://msdn.microsoft.com/en-us/library/windows/hardware/ff565356(v=vs.85).aspx Using Buffered I/O 具体的例子可看:\7600.16385.1\src\general\ioctl\wdm\sys。