NT式驱动基本结构
1.对于NT式驱动来说,主要的函数是DriveEntry函数,卸载函数,以及各个IRP的派遣函数
2.驱动加载过程与驱动入口函数(DriverEntry)
NTSTATUS DriveEntry(IN PDRIVER_OBJECT pDriverobject,
IN PUNICODE_STRING pRegistryPath);//函数名可以自己定义
2.驱动加载过程与驱动入口函数(DriverEntry)
NTSTATUS DriveEntry(IN PDRIVER_OBJECT pDriverobject,
IN PUNICODE_STRING pRegistryPath);//函数名可以自己定义
DriverEntry主要是对驱动程序进行初始化工作,它由系统进程(System)调用。驱动加载的时候,System进程启动新的线程新的线程,调用执行体组件的对象管理器,创建一个驱动对象。另外,System进程调用执行体组件中的配置管理程序,查询此驱动程序对应的注册表中的项。System进程调用DriverEntry例程时,同时传进两个参数。pDriverobject 指向刚被创建驱动对象的指针,pRegistryPath指向设备服务键的键名字符串的指针。这个键名有时候需要保存下来,因为这个字符不是长期存在的(函数返回后可能消失)。如果以后想使用这个UNICODE 字符串就必须先把它复制到安全的地方。
下面是一个NT框架代码:
#include
//自己第一扩展DO结构体
typedef struct _DEVICE_EXTENSIONN
{
PDEVICE_OBJECT pDevObj;//指向DO
UNICODE_STRING ustrDevName;
UNICODE_STRING ustrLinkName;
}DEVICE_EXTENSION,*PDEVICE_EXTENSION;
void MyUnload(PDRIVER_OBJECT pDriverObj)
{
PDEVICE_OBJECT pNexObj;
DbgPrint("Enter DriverUnload");
pNexObj=pDriverObj->DeviceObject;
//枚举所有对象
while(pNexObj)
{
//得到设备扩展
PDEVICE_EXTENSION pDevEx=(PDEVICE_EXTENSION)pNexObj->DeviceExtension;
//删除符号链接
UNICODE_STRING ustrLinkName=pDevEx->ustrLinkName;
IoDeleteSymbolicLink(&ustrLinkName);
pNexObj=pNexObj->NextDevice;
//删除DO
IoDeleteDevice(pDevEx->pDevObj);
}
}
NTSTATUS CreateDevice(PDRIVER_OBJECT pDriverObj)
{
NTSTATUS status;
PDEVICE_OBJECT pDeviceObj;
PDEVICE_EXTENSION pDevEx;
//创建设备名称
UNICODE_STRING devName;
UNICODE_STRING ustrLinkName;
RtlInitUnicodeString(&devName,L"\\Device\\MyDevice");//A named device object has a name of the form \Device\DeviceName.
//This is known as the NT device name of the device object.
#ifdef DBG
_asm int 3;
#endif
// 创建设备
status=IoCreateDevice(pDriverObj,
sizeof(DEVICE_EXTENSION),
&devName,
FILE_DEVICE_UNKNOWN,
0,TRUE,
&pDeviceObj);
//判断设备是否创建成功
if(!NT_SUCCESS(status))
return status;
//将设备设置成缓冲区设备
pDeviceObj->Flags|=DO_BUFFERED_IO;
//得到设备扩展
pDevEx=(PDEVICE_EXTENSION)pDeviceObj->DeviceExtension;
//设置扩展对象的DO
pDevEx->pDevObj=pDeviceObj;
//设置扩展对象DO 名字
pDevEx->ustrDevName=devName;
//创建符号链接
RtlInitUnicodeString(&ustrLinkName,L"\\??\\MyDriverDes");
pDevEx->ustrLinkName=ustrLinkName;
status=IoCreateSymbolicLink(&ustrLinkName,&devName);
//判断是否成功创建符号链接
if(!NT_SUCCESS(status))
{
//IoDeleteSymbolicLink(&ustrLinkName);
IoDeleteDevice(pDeviceObj);
return status;
}
return status;
}
/*
* 函数功能:设置卸载函数和IRP派遣函数
*
*/
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj,
PUNICODE_STRING pRegPath)
{
NTSTATUS s;
UNREFERENCED_PARAMETER(pDriverObj);
UNREFERENCED_PARAMETER(pRegPath);
DbgPrint("Enter DriverEntry");
//注册其他调用函数入口
pDriverObj->DriverUnload=MyUnload;
//pDriverObj->MajorFunction[IRP_MJ_CREATE]=MyDispatchFun;
//pDriverObj->MajorFunction[IRP_MJ_CLOSE]=MyDispatchFun;
//pDriverObj->MajorFunction[IRP_MJ_WRITE]=MyDispatchFun;
//pDriverObj->MajorFunction[IRP_MJ_READ]=MyDispatchFun;
//创建DO
s=CreateDevice(pDriverObj);
DbgPrint("Enter DriverEntry End");
return s;
}
上面代码还有一点需要注意的:
1.IoCreateDevice 被调用时,如果指定了设备名,只能被内核模式下的其他驱动程序所识别。但是在用户模式下
的应用程序无法识别这个设备。让用户模式下的应用程序能识别设备有两种方法,第一种:通过符号链接找到设备,第二种通过设备接口找到设备。设备接口的办法在NT驱动中通常不用,符号链接可以理解为设备对象起了一个“别名”。设备对象名称只能被内核模式下的驱动识别,而别名也可以被用户名模式下的应用程序识别。例如,常说的c盘,D盘就是符号链接。所谓的C盘,指的是名为“C:”的符号链接,而真正的设备对象是"\Device\HarddiskVolume1","D:"所代表的真正设备对象是“\Device\HarddistVolume2”.创建符号链接的函数是IoCreateSymbolicLink.内核模式下是以"\??\"开头的或\DosDevices\。