串口的过滤驱动例子

最新推荐文章于 2022-10-27 10:29:25 发布
最新推荐文章于 2022-10-27 10:29:25 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: driver_code 文章标签: object null filter file string delay

这里我们主要以串口1过滤驱动为例,例程:comtest
1、 先建好makefile文件和sources文件,因为用到RtlStringCchPrintfW函数,所以必须包含TARGETLIBS= $(DDK_LIB_PATH)/ntstrsafe.lib这句话,然后源文件(comtest.c)中加入
#define NTSTRSAFE_LIB
#include

2、程序部分我们先看DriverEntry函数,也就是整个驱动的入口程序
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver,PUNICODE_STRING reg_path)
{
ULONG i;
for (i = 0;i < IRP_MJ_MAXIMUM_FUNCTION;i ++)
{//遍历每个功能号
//本地函数 Dispatch 处理IRP请求
pDriver->MajorFunction = Dispatch;
}
pDriver->MajorFunction[IRP_MJ_POWER] = PowerDispatch;
pDriver->DriverUnload = DriverUnload;
//本地函数 AttachAllComs
AttachCom(pDriver);
return STATUS_SUCCESS;
}
pDriver->MajorFunction = Dispatch;这句是关联IRP函数,IRP_MJ_MAXIMUM_FUNCTION就是IRP请求的所有类别数,这里就是将所有类别的IRP请求关联到函数Dispatch,后面还有一句:
pDriver ->MajorFunction[IRP_MJ_POWER] = PowerDispatch;这句的意思也就是说,你也可以将个别的功能请求关联到其它函数,同时你从这几条语句也可以看出判断IRP主功能号的方法有两种,第一是关联特定函数,第二就是Dispatch函数中的判断方法。
pDriver ->DriverUnload = DriverUnload;这句是在动态卸载的时候调用的,里面一般放些内存和分配的设备的释放。
AttachCom(pDriver);这个函数是用来创建和加载过滤设备的(串口1)。

3、绑定要过滤的设备
void AttachCom(PDRIVER_OBJECT pDriver)
{
ULONG i;
PDEVICE_OBJECT com_dev_obj;
NTSTATUS status;
//本地函数 MyOpenCom 这里得到设备对象
status = MyOpenCom(&com_dev_obj);
if (com_dev_obj == NULL)
return;
//本地函数 AttachDevice
//这里创建空设备,并加入设备栈
//next_object 为 IoAttachDeviceToDeviceStack 的返回值
status = AttachDevice(pDriver,com_dev_obj,&filter_object,&next_object);
if (status != STATUS_SUCCESS)
{
//不做任何操作
}
}
status = MyOpenCom(&com_dev_obj);这句是获取上一级的串口设备对象,上一章已经说过,一个设备只有一个驱动对象,但可以有多个设备对象,上一章中的图,一个驱动程序就相当于一个设备对象,到此为止,相信大家对这些概念有点熟悉了。
status = AttachDevice(pDriver,com_dev_obj,&filter_object,&next_object);这句就是创建一个空设备,然后附加到上一级的串口设备对象上(变量com_dev_obj)。
后面还会讲到解除绑定和删除设备,就在DriverUnload函数中。
做个小结(中心思想):一般的驱动程序都会自已创建一个空的设备对象,然后附加到指定的设备上,大多数情况下新附加的程序会放在顶层。当然,在此之前,要做好处理IRP请求的准备工作(设定IRP处理函数,本例中的Dispatch函数)

4、AttachCom又包括两个函数 AttachDevice和MyOpenCom
打开下层串口设备对象
NTSTATUS MyOpenCom(PDEVICE_OBJECT * ppDeviceObject)
{
UNICODE_STRING uni_name;
PFILE_OBJECT FileObject = NULL;
NTSTATUS status;
* ppDeviceObject = NULL;//先初始化为NULL
//这里的"//Device//Serial1",指串口1,你可以通过设备查看器(WinObj)看到,你的硬件中带有几个串口
RtlInitUnicodeString(&uni_name,L"//Device//Serial1");
//根据名字得到文件对象和设备对象
status = IoGetDeviceObjectPointer(&uni_name,FILE_ALL_ACCESS,&FileObject,ppDeviceObject);
if (status == STATUS_SUCCESS)
ObDereferenceObject(FileObject);//解除文件对象的引用
return status;
}
RtlInitUnicodeString(&uni_name,L"//Device//Serial1");//前面有过说明,将宽字符串转换为UNICODE_STRING
status = IoGetDeviceObjectPointer(&uni_name,FILE_ALL_ACCESS,&FileObject,ppDeviceObject);//用于得到串口设备(当前顶层设备对象),调用后*ppDeviceObject就是得到的串口设备对象
ObDereferenceObject(FileObject);//当调用成功后,要注意解除文件对象引用,以节省内存空间,本章不讲文件对象,所以用不着

5、AttachDevice创建和加载设备
NTSTATUS AttachDevice(PDRIVER_OBJECT pDriver,PDEVICE_OBJECT pOldObject,PDEVICE_OBJECT *ppFilterObject,PDEVICE_OBJECT *ppAddObject)
{
NTSTATUS status;
PDEVICE_OBJECT AddDevice = NULL;
//创建空设备
status = IoCreateDevice(pDriver,0,NULL,pOldObject->DeviceType,0,FALSE,ppFilterObject);
if (status != STATUS_SUCCESS)
return status;
//初始化空设备的标志位
if (pOldObject->Flags & DO_BUFFERED_IO)
(*ppFilterObject)->Flags |= DO_BUFFERED_IO;
if (pOldObject->Flags & DO_DIRECT_IO)
(*ppFilterObject)->Flags |= DO_DIRECT_IO;
if (pOldObject->Characteristics & FILE_DEVICE_SECURE_OPEN)
(*ppFilterObject)->Characteristics |= FILE_DEVICE_SECURE_OPEN;
(*ppFilterObject)->Flags |= DO_POWER_PAGABLE;
//将pOldObject绑定到*ppFilterObject设备上
AddDevice = IoAttachDeviceToDeviceStack(*ppFilterObject,pOldObject);
if (AddDevice == NULL)
{//绑定失败 则删除刚创建的设备
IoDeleteDevice(*ppFilterObject);
*ppFilterObject = NULL;
status = STATUS_UNSUCCESSFUL;
return status;
}
*ppAddObject = AddDevice;
//清除初始化标记
(*ppFilterObject)->Flags = (*ppFilterObject)->Flags & ~DO_DEVICE_INITIALIZING;
return STATUS_SUCCESS;
}
这个函数做了这么几件事:
① 创建空设备对象(IoCreateDevice)
② 复制下层设备对象(加载前是顶层)的标志,对本设备对象进行一系列初始化
③ 加载设备对象到下层设备中(IoAttachDeviceToDeviceStack)
④ 加载失败,则删除刚创建的设备(IoDeleteDevice)
注意:IoCreateDevice参数2是扩展结构的大小(字节数),具体参考WDK帮助,后面也会讲到

6、Dispatch函数(处理所有IRP的函数),在DriverEntry中调用pDriver->MajorFunction = Dispatch;
NTSTATUS Dispatch(PDEVICE_OBJECT pDevice,PIRP irp)
{
PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
NTSTATUS status;
ULONG i,j;
if (irpsp->MajorFunction == IRP_MJ_POWER)
{
PoStartNextPowerIrp(irp);
IoSkipCurrentIrpStackLocation(irp);//跳过当前栈空间,不对当前栈进行处理
return PoCallDriver(next_object,irp);//将电源IRP传递到指定的低级驱动中,从VISTA开始使用IoCallDriver
}
if (irpsp->MajorFunction == IRP_MJ_WRITE)
{//如果是写操作
ULONG len = irpsp->Parameters.Write.Length;//len 是写入的长度
PUCHAR buf = NULL;
if (irp->MdlAddress != NULL)//如果是直接方式(传输方式)
buf = (PUCHAR)MmGetSystemAddressForMdlSafe(irp->MdlAddress,NormalPagePriority);
else//如果是皆不是方式
buf = (PUCHAR)irp->UserBuffer;
if (buf == NULL)//缓冲方式
buf = (PUCHAR) irp->AssociatedIrp.SystemBuffer;
for (j = 0;j < len;++j)
{
DbgPrint("comcap: Send Data: %2x/r/n",buf[j]);//将写入的内容以16进制打印
}
}
IoSkipCurrentIrpStackLocation(irp);//跳过当前栈空间
return IoCallDriver(next_object,irp);//将除电源以外的IRP传递到指定的驱动中
}

① 获得当前IRP栈指针irpsp = IoGetCurrentIrpStackLocation(irp);
② 电源IRP处理(本程序中可以去除这部分,因为电源管理IRP被指定到PowerDispatch函数中)
PoStartNextPowerIrp(Irp);
IoSkipCurrentIrpStackLocation(irp);//跳过当前栈空间,不对当前栈进行处理
return PoCallDriver(next_object,irp);//将电源IRP传递到指定的低级驱动中,从VISTA开始使用IoCallDriver

///
#include /
//这个宏定义为了使用静态的ntstrsafe库
//#define NTSTRSAFE_LIB
//#include /<ntstrsafe.h/>//包含这个库为了使用RtlStringCchPrintfW,sources文件中也必须包含

//这里的时间以100NS为1单位的,一般情况下使用负数,原因可以参考WDK帮助,这个在《寒江独钓》中没有提到
#define DELAY_ONE_MICROSECOND -10
#define DELAY_ONE_SECOND -10000000

static PDEVICE_OBJECT filter_object = NULL;
static PDEVICE_OBJECT next_object = NULL;

NTSTATUS MyOpenCom(PDEVICE_OBJECT * ppDeviceObject);
void DriverUnload(PDRIVER_OBJECT pDriver);

NTSTATUS AttachDevice(PDRIVER_OBJECT pDriver,PDEVICE_OBJECT pOldObject,PDEVICE_OBJECT *ppFilterObject,PDEVICE_OBJECT *ppAddObject)
{
NTSTATUS status;
PDEVICE_OBJECT AddDevice = NULL;

//创建空设备
status = IoCreateDevice(pDriver,0,NULL,pOldObject->DeviceType,0,FALSE,ppFilterObject);
if (status != STATUS_SUCCESS)
return status;

//初始化空设备的标志位
if (pOldObject->Flags & DO_BUFFERED_IO)
(*ppFilterObject)->Flags |= DO_BUFFERED_IO;
if (pOldObject->Flags & DO_DIRECT_IO)
(*ppFilterObject)->Flags |= DO_DIRECT_IO;
if (pOldObject->Characteristics & FILE_DEVICE_SECURE_OPEN)
(*ppFilterObject)->Characteristics |= FILE_DEVICE_SECURE_OPEN;
(*ppFilterObject)->Flags |= DO_POWER_PAGABLE;

//将pOldObject绑定到*ppFilterObject设备上
AddDevice = IoAttachDeviceToDeviceStack(*ppFilterObject,pOldObject);
if (AddDevice == NULL)
{//绑定失败 则删除刚创建的设备
IoDeleteDevice(*ppFilterObject);
*ppFilterObject = NULL;
status = STATUS_UNSUCCESSFUL;
return status;
}
*ppAddObject = AddDevice;

//清除初始化标记
(*ppFilterObject)->Flags = (*ppFilterObject)->Flags & ~DO_DEVICE_INITIALIZING;
return STATUS_SUCCESS;
}

NTSTATUS MyOpenCom(PDEVICE_OBJECT * ppDeviceObject)
{
UNICODE_STRING uni_name;
// static WCHAR name[32] = {0};
PFILE_OBJECT FileObject = NULL;
NTSTATUS status;

* ppDeviceObject = NULL;//先初始化为NULL
// memset(name,0,sizeof(WCHAR) * 32);
//这里的"//Device//Serial%d",你可以通过设备查看器(WinObj)看到,你的硬件中带有几个串口
// RtlStringCchPrintfW(name,32,L"//Device//Serial%d",com_id);//要包含 ntstrsafe.h 才可以用 因为在《寒江独钓》中要绑定32个设备,而本例只绑定串口1
RtlInitUnicodeString(&uni_name,L"//Device//Serial1");

//根据名字得到文件对象和设备对象
status = IoGetDeviceObjectPointer(&uni_name,FILE_ALL_ACCESS,&FileObject,ppDeviceObject);

if (status == STATUS_SUCCESS)
ObDereferenceObject(FileObject);//解除文件对象的引用

return status;
}

void AttachCom(PDRIVER_OBJECT pDriver)
{
ULONG i;
PDEVICE_OBJECT com_dev_obj;
NTSTATUS status;

//本地函数 MyOpenCom 这里得到设备对象
status = MyOpenCom(&com_dev_obj);
if (com_dev_obj == NULL)
return;
//本地函数 AttachDevice
//这里创建空设备,并加入设备栈
//next_object 为 IoAttachDeviceToDeviceStack 的返回值
status = AttachDevice(pDriver,com_dev_obj,&filter_object,&next_object);
if (status != STATUS_SUCCESS)
{
//不做任何操作
}
}

void DriverUnload(PDRIVER_OBJECT pDriver)
{
ULONG i;
LARGE_INTEGER interval;

if (next_object != NULL)
IoDetachDevice(next_object);//解除绑定

interval.QuadPart = 5 * DELAY_ONE_SECOND;
KeDelayExecutionThread(KernelMode,FALSE,&interval);//延迟5秒

if (filter_object != NULL)
IoDeleteDevice(filter_object);//删除设备
}

NTSTATUS Dispatch(PDEVICE_OBJECT pDevice,PIRP irp)
{
PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
NTSTATUS status;
ULONG i,j;

if (irpsp->MajorFunction == IRP_MJ_POWER)
{
PoStartNextPowerIrp(irp);
IoSkipCurrentIrpStackLocation(irp);//跳过当前栈空间,不对当前栈进行处理
return PoCallDriver(next_object,irp);//将电源IRP传递到指定的低级驱动中,从VISTA开始使用IoCallDriver
}

if (irpsp->MajorFunction == IRP_MJ_WRITE)
{//如果是写操作
ULONG len = irpsp->Parameters.Write.Length;//len 是写入的长度
PUCHAR buf = NULL;
if (irp->MdlAddress != NULL)//如果是直接方式(传输方式)
buf = (PUCHAR)MmGetSystemAddressForMdlSafe(irp->MdlAddress,NormalPagePriority);
else//如果是皆不是方式
buf = (PUCHAR)irp->UserBuffer;
if (buf == NULL)//缓冲方式
buf = (PUCHAR) irp->AssociatedIrp.SystemBuffer;

for (j = 0;j < len;++j)
{
DbgPrint("comcap: Send Data: %2x/r/n",buf[j]);//将写入的内容以16进制打印
}
}

IoSkipCurrentIrpStackLocation(irp);//跳过当前栈空间
return IoCallDriver(next_object,irp);//将除电源以外的IRP传递到指定的驱动中
}

NTSTATUS PowerDispatch(PDEVICE_OBJECT pDevice,PIRP irp)
{
ULONG i;

#if (NTDDI_VERSION < NTDDI_VISTA)
PoStartNextPowerIrp(irp);
IoSkipCurrentIrpStackLocation(irp);//跳过当前栈空间,不对当前栈进行处理
return PoCallDriver(next_object,irp);//将电源IRP传递到指定的低级驱动中,从VISTA开始使用IoCallDriver
#else
IoSkipCurrentIrpStackLocation(irp);
return IoCallDriver(next_object,irp);
#endif
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver,PUNICODE_STRING reg_path)
{
ULONG i;

for (i = 0;i < IRP_MJ_MAXIMUM_FUNCTION;i ++)
{//遍历每个功能号
//本地函数 Dispatch 处理IRP请求
pDriver->MajorFunction = Dispatch;
}
pDriver->MajorFunction[IRP_MJ_POWER] = PowerDispatch;

pDriver->DriverUnload = DriverUnload;
//本地函数 AttachAllComs
AttachCom(pDriver);

return STATUS_SUCCESS;
}

Iqian1314
关注
专栏目录
串口过滤驱动及应用程序
03-16
完整串口驱动过滤驱动及测试程序,有这方面需求的可以下载。提醒没有驱动编程经验的人,观看代码可能有些吃力.
串口过滤驱动(过滤所有的串口)
svtanto的专栏
04-11 1653
/* 描述:对目标驱动对象的所有设备对象挂载过滤设备对象 */#include // 目标驱动对象PDRIVER_OBJECT DestDriverObject;// 过滤设备对象扩展typedef struct _FILTER_EXT{ PDEVICE_OBJECT LowerDeviceObject;} FILTER_EXT, *PFILTER_EXT;
《Windows内核安全编程》第三章 串口过滤
冰糖葫芦的夏天的博客
10-27 803
IoAttachDevice只能用来绑定具有名称的设备,且总是会绑定设备栈上最顶层的那个设备。在获得后不用时,必须通过ObDereferenceObject解除引用,否则内存泄漏。IRP都具有一个主功能号和一个次功能号。:调用者生成的用来过滤的虚拟设备。:字符串,要被绑定的设备的名字。:返回被绑定的设备对象的指针。:指针,要被绑定的设备的指针。:返回最终被绑定的设备。
驱动开发笔记4—串口过滤
qq_42814021的博客
10-27 1207
文章目录串口过滤生成过滤设备对象获得目标设备对象绑定设备串口过滤 串口 串口是Windows中的一种设备,它比较简单,且有固定名字。第一个串口名为"\Device\Serial0",第二个为"\Device\Serial1",以此类推。 过滤 **过滤:**在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。 实现过滤:首先生成一个过滤设备(虚拟的设备对象),将其绑定在一个真实的设备上。一旦绑定,则原本操作系统要发送给真实
[内核安全1]串口过滤
輚至消亡
10-21 629
串口过滤是通过编写一个过滤驱动, 将其加载到计算机上,通过附着到所有串口设备的驱动上来实现对串口设备通信的监控。由于Windows上的串口设备名都是形如: \\Device\\Serial1 \\Device\\Serial2 \\Device\\Serial3 .... \\Device\\SerialN 所以可以通过枚举所有的串口设备名来把新的过滤驱动附着到上面。先来看一下下面的代码: PDEVICE_OBJECT ccpOpenCom(ULONG id, NTSTATUS *status)
透明底层文件过滤驱动加密技术.rar
03-18
透明底层文件过滤驱动加密技术是一种高效且安全的文件保护手段,尤其在企业环境中广泛应用。它主要基于操作系统内核层的文件系统驱动,实现对文件的实时、无感知的加解密过程,确保数据的安全性与用户的操作便利性。...
键盘过滤驱动程序源代码
04-23
标题中的“键盘过滤驱动程序源代码”指的是一个用于监控或拦截键盘输入的内核级驱动程序,这种程序通常被编写成设备驱动的形式,以便在操作系统级别处理键盘事件。这类驱动程序能够捕获用户按下和释放的键,有时用于...
C#写的实时曲线控制例子
最新发布
12-29
串口接收到的数据需要进行适当的处理,如转换、过滤等,然后将处理后的数据映射到图表坐标上。开发者可能使用数组或列表来存储数据,每次定时器触发时,都会将新数据添加到这些结构中,并更新图表上的点或线。 6. ...
windows驱动开发技术详解-part2
07-06
、虚拟串口驱动程序、摄像头驱动程序、SDIO驱动程序进行了详细的介绍,本书最大的特色在于每一节 的例子都是经过精挑细选的,具有很强的针对性。力求让读者通过亲自动手实验,掌握各类Windows驱动 程序的开发技巧...
C#.net_经典编程例子400个
05-17
279 7.1 启动相关 280 实例195 进入Windows前发出警告 280 实例196 实现注销、关闭和重启计算机 281 7.2 获得磁盘属性 284 实例197 获得硬盘序列号 284 实例198 获取映射驱动器路径 ...
串口驱动_串口驱动过滤_串口过滤_简单串口过滤驱动_
09-30
简单的串口过滤驱动,使用VS2017可以成功编译,使用windbg进行查看输出。附带调试的串口工具
串口设备过滤驱动程序
08-19
Serenum enumerates Plug-n-Play RS-232 devices that are compliant with the current revision of Plug and Play External COM Device.It loads as an upper filter driver to many different RS-232 device drivers that are compliant with its requirements and performs this service for them.
串口过滤驱动源代码实现
01-10
采用C书写的串口过滤驱动,可以实现对串口数据的监控和禁用的效果。
VC++串口过滤驱动源代码
08-09
你是不是现在想学习底层驱动开发?串口源代码是入门的最好材料,它会帮助你快速入门!赶快下载学习吧!
s3c2410uart驱动实例
07-30
s3c2410的uart详细驱动实例(S3C2410串口硬件)
制作linux下netfilter过滤驱动程序
Win32FanEx 的专栏
06-16 982
centos下网包过滤
windows驱动过滤-串口过滤
weixin_42071117的博客
03-26 458
#include <ntddk.h> #include <ntstrsafe.h> // 设定计算机上只有32个串口 #define CCP_MAX_COM_ID 32 #define DELAY_ONE_MICROSECOND (-10) #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND * 1000) #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND * 1000) // 保
<读书笔记>Windows内核安全 ---- 串口过滤(2)
一泓清水
03-09 1220
上篇讲到书中实现串口过滤的方式,不过想想这里面有些不是很灵活的地方,例如这个针对已经有串口的电脑才能使用,如果是USB转串口类型需要先接入USB之后,启动该过滤驱动才能实现过滤的作用,而且对串口的编号枚举是从1~32之间进行处理,那假设真的会有32以后的呢(当然从未见过这样变态的串口号),不过串口的高级设定里面是可以显示到32以后的,那这样就带来了一些问题,这些设备该如何去使用该驱动呢。
linux内核态串口读写程序,Linux串口(serial、uart)驱动程序设计
weixin_34999698的博客
05-03 2878
一、核心数据结构串口驱动有3个核心数据结构,它们都定义在1、uart_driveruart_driver包含了串口设备名、串口驱动名、主次设备号、串口控制台(可选)等信息,还封装了tty_driver(底层串口驱动无需关心tty_driver)。struct uart_driver {struct module *owner;/* 拥有该uart_driver的模块,...
Windows串口监视过滤驱动技术解析
首先,系统由两大部分构成:串口过滤驱动程序和串行数据监视显示应用程序。串口过滤驱动是基于Windows Driver Model (WDM) 的,WDM允许有多个驱动程序管理同一硬件设备,通过设备对象堆栈实现驱动的分层。过滤驱动...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值