第三讲：Windows驱动的结构

最近有点忙，一直没有时间来总结一下，好不容易逮着个有时间的星期天，静下心来，好好总结一下，完成未完成的系列教程，好了，废话少说，开题了。

现在进行Windows驱动开发，主要有两种框架，一种是NT框架的驱动，一种是WDM框架的驱动程序，微软后来为了区分WDM驱动的，又推出了KMDF和UMDF两种框架，KMDF是针对内核态的驱动程序开发的框架，而UMDF是用户态的驱动程序的开发框架，这两个框架对底层的API的封装程度又加重了一点，对于底层的安全软件的开发降低了控制的程度，就像微过滤驱动一样，不少安全厂商并不买账。

NT驱动主要工作在Windows 2000下，不支持即插即用和电源管理，大概包括三部分：入口函数(DriverEntry)、卸载历程(DriverUnload)、分发例程(Dispatch Function)。下面分别讲述这三个部分。

入口函数(DriverEntry)

驱动的入口函数主要是对驱动程序进行初始化工作，它是由系统进程所调用。在驱动程序初始化的时候，入口函数被加载进内存，进行初始化，完成之后，就要退出内存。一般入口函数的前边都要有这么一个标记

#pragma code_seg("INIT")标记驱动入口函数在内存中的位置。NT驱动的入口函数一般完成的工作也很简单，就是注册分发例程，下面是一个简单的代码示例：

#pragma code_seg("INIT") extern"C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS status; KdPrint(("Hello!welcome to the driver entry!/n")); pDriverObject->DriverUnload = DriverUnload; pDriverObject->MajorFunction[IRP_MJ_CREATE] = DispatchCreateClose; pDriverObject->MajorFunction[IRP_MJ_CLOSE] = DispatchCreateClose; pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchReadWrite; pDriverObject->MajorFunction[IRP_MJ_WRITE] = DispatchReadWrite; status = CreateDevice(pDriverObject); //创建设备对象，这个要另外实现 return status; }

卸载例程(DriverUnload)

卸载例程，顾名思义，就是负责驱动程序的卸载的。完成清扫的工作，删除符号链接，删除设备对象等等，下面是示例代码：

#pragma CodeSeg("PAGED") VOID DriverUnload (IN PDRIVER_OBJECT pDriverObject) { PDEVICE_OBJECT pNextObj; KdPrint(("Enter DriverUnload/n")); pNextObj = pDriverObject->DeviceObject; while (pNextObj != NULL) { PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION) pNextObj->DeviceExtension; //删除符号链接 UNICODE_STRING pLinkName = pDevExt->ustrSymLinkName; IoDeleteSymbolicLink(&pLinkName); pNextObj = pNextObj->NextDevice; IoDeleteDevice( pDevExt->pDevice ); } }

分发例程Dispatch

分发例程是驱动中真正进行功能实现的部分，系统产生的IRP都是由该部分进行处理，并且在执行的时候，分发函数运行在不同的进程中，存在于分页内存中，最最简单的处理函数可以参考上一篇文章中的示例代码，只是实现了转交的作用，具体想实现的功能，就要看用户的不同需求了，这里就不再赘述。

创建设备对象的函数代码：

#pragma code_seg("INIT") NTSTATUS CreateDevice ( IN PDRIVER_OBJECT pDriverObject) { NTSTATUS status; PDEVICE_OBJECT pDevObj; PDEVICE_EXTENSION pDevExt; //创建设备名称 UNICODE_STRING devName; RtlInitUnicodeString(&devName,L"//Device//MyDDKDevice"); //创建设备 status = IoCreateDevice( pDriverObject, sizeof(DEVICE_EXTENSION), &(UNICODE_STRING)devName, FILE_DEVICE_UNKNOWN, 0, TRUE, &pDevObj ); if (!NT_SUCCESS(status)) return status; pDevObj->Flags |= DO_BUFFERED_IO; pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension; pDevExt->pDevice = pDevObj; pDevExt->ustrDeviceName = devName; //创建符号链接 UNICODE_STRING symLinkName; RtlInitUnicodeString(&symLinkName,L"//??//HelloDDK"); pDevExt->ustrSymLinkName = symLinkName; status = IoCreateSymbolicLink( &symLinkName,&devName ); if (!NT_SUCCESS(status)) { IoDeleteDevice( pDevObj ); return status; } return STATUS_SUCCESS; }

 在Windows 2000出现之后，微软又加入了新的驱动模型--WDM驱动模型，主要添加了对即插即用和电源管理的支持。驱动的大概结构和NT驱动很类似，新增了添加设备例程，类似于上面的CreateDevice函数，因为在NT驱动中，不少开发者直接把CreateDevice的实现放在了DriverEntry中了，而我只是把它单拿出来了。

入口函数(DriverEntry)

WDM驱动程序的入口函数和上面的差不多，通用的代码中加入下边一句话就行了：

pDriverObject->DriverExtension->AddDevice = MyDeviceAdd;

添加设备例程(AddDevice)

AddDevice类似于NT驱动中DriverEntry创建设备对象函数，但是略有不同，参数的个数不同，DriverObject是I/O管理器创建的驱动对象，PhysicalDeviceObject是底层总线驱动创建的PDO对象。大概的步骤是这样的：

首先通过IoCreateDevice创建设备对象，然后保存设备对象的地址，接下来将创建的设备对象FDO附加在底层PDO上面，最后设置FDO的flags子域。示例代码：

#pragma CodeSeg("PAGED") NTSTATUS AddDevice(IN PDRIVER_OBJECT DriverObject, IN PDEVICE_OBJECT PhysicalDeviceObject) { PAGED_CODE(); KdPrint(("Enter AddDevice/n")); NTSTATUS status; PDEVICE_OBJECT fdo; UNICODE_STRING devName; RtlInitUnicodeString(&devName,L"//Device//MyWDMDevice"); status = IoCreateDevice( DriverObject, sizeof(DEVICE_EXTENSION), &(UNICODE_STRING)devName, FILE_DEVICE_UNKNOWN, 0, FALSE, &fdo); if( !NT_SUCCESS(status)) return status; PDEVICE_EXTENSION pdx = (PDEVICE_EXTENSION)fdo->DeviceExtension; pdx->fdo = fdo; pdx->NextStackDevice = IoAttachDeviceToDeviceStack(fdo, PhysicalDeviceObject); UNICODE_STRING symLinkName; RtlInitUnicodeString(&symLinkName,L"//DosDevices//MyWDM"); pdx->ustrDeviceName = devName; pdx->ustrSymLinkName = symLinkName; status = IoCreateSymbolicLink(&(UNICODE_STRING)symLinkName,&(UNICODE_STRING)devName); if( !NT_SUCCESS(status)) { IoDeleteSymbolicLink(&pdx->ustrSymLinkName); status = IoCreateSymbolicLink(&symLinkName,&devName); if( !NT_SUCCESS(status)) { return status; } } fdo->Flags |= DO_BUFFERED_IO | DO_POWER_PAGABLE; fdo->Flags &= ~DO_DEVICE_INITIALIZING; KdPrint(("Leave AddDevice/n")); return STATUS_SUCCESS; }

分发例程(Dispatch Function)

通用的分发例程就不在介绍了，跟上面NT驱动的一样，没什么区别，下面介绍一下PNP。

即插即用例程Pnp

即插即用IRP，即IRP_MJ_PNP，一般是由即插即用管理器发送给WDM驱动程序的。关于即插即用，用户可以查看更加详细的资料，这里主要讲述一个IRP的处理，对IRP_MN_REMOVE_DEVICE IRP进行处理，这个例程主要实现了原来DriverUnload所实现的功能。原理很简单，看一下示例代码：

NTSTATUS HandleRemoveDevice(PDEVICE_EXTENSION pdx, PIRP Irp) { PAGED_CODE(); KdPrint(("Enter HandleRemoveDevice/n")); Irp->IoStatus.Status = STATUS_SUCCESS; NTSTATUS status = DefaultPnpHandler(pdx, Irp); IoDeleteSymbolicLink(&(UNICODE_STRING)pdx->ustrSymLinkName); //调用IoDetachDevice()把fdo从设备栈中脱开： if (pdx->NextStackDevice) IoDetachDevice(pdx->NextStackDevice); //删除fdo： IoDeleteDevice(pdx->fdo); KdPrint(("Leave HandleRemoveDevice/n")); return status; }

卸载历程(DriverUnload)

卸载例程现在显得可有可无了，给一个简单的示例吧，其实什么都没实现

void DriverUnload(IN PDRIVER_OBJECT DriverObject) { PAGED_CODE(); KdPrint(("Enter DriverUnload/n")); KdPrint(("Leave DriverUnload/n")); }  

这一点就说到这吧，本来还想说说驱动栈的结构，因为需要用图表比较清晰，现在无法上传图片，就不讲了。