在Windows系统上与安全软件相关的驱动开发过程中,“过滤(filter)”是极其重要的一个概念。过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件和下层的真实驱动,就加入了新的功能。
过滤的概念和基础
1.设备绑定的内核API之一
进行过滤的最主要方法是对一个设备对象(Device Object)进行绑定。通过编程生成一个虚拟设备,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则本来操作系统发送给真实设备的请求,就会首先发送的这个虚拟设备。
在WDK中,有多个内核API能实现绑定功能。下面是其中一个函数的原型:
NTSTATUS
IoAttachDevice(
IN PDEVICE_OBJECT SourceDevice,
IN PUNICODE_STRING TargetDevice,
OUT PDEVICE_OBJECT *AttachedDevice
);
IoAttachDevice的参数如下:
SouceDevice是调用者生成的用来过滤的虚拟设备;而TargetDevice是要被绑定的目标设备。请注意这里的TargetDevice并不是一个PDEVICE_OBJECT,而是设备的名字。
如果一个设备被其他设备绑定了,他们在一起的一组设备,被称为设备栈。实际上,IoAttachDevice总会绑定设备栈最上层的那个设备。
AttachedDevice是一个用来返回的指针的指针。绑定成功后,被绑定的设备的指针返回到这个地址。
下面这个例子绑定串口1。之所以这里绑定很方便,是因为在Windows中,串口设备有固定的名字。第一个串口名字为“\Device\Serial0”,第二个为“\Device\Serial1”,以此类推。请注意实际编程时C语言中的“\”要写成“\\”。
UNICODE_STRING com_name = RLT_CONSTANT_STRING(L"\\Device\\Serial0");
NTSTATUS status = IoAttachDevice(
com_filter_device, //生成的过滤设备
&com_device_name, //串口的设备名
&attached_device //被绑定的设备指针返回到这里
);
2.绑定设备的内核API之二
并不是所有设备都有设备名字,所以依靠IoAttachDevice无法绑定没有名字的设备。另外还有两个API:一个是IoAttachDeviceToDeviceStack,另一个是IoAttachDeivceToDeviceStackSafe。这两个函数功能一样,都是根据设备对象的指针(而不是名字)进行绑定;区别是后者更加安全,而且只有在Windows2000SP4和Windows XP以上的系统中才有。
NTSTATUS
IoAttachDeviceToDeviceStackSafe(
IN PDEVICE_OBJECT SourceDevice, //过滤设备
IN PDEVICE_OBJECT TargetDevice, //要被绑定的设备
IN OUT PDEVICE_OBJECT *AttachedToDeviceObject //返回最终绑定的设备
);
和第一个API类似,只是TargetDevice换成了一个指针。另外,AttachedToDeviceObject同样也是返回最终被绑定的设备,实际上也就是之前设备栈上最顶端的那个设备。
3.生成过滤设备并绑定
在绑定一个设备之前,先要知道如何生成一个用于过滤的过滤设备。函数IoCreateDevice被用于生成设备:
NTSTATUS
IoCreateDevice(
IN PDRIVER_OBJECT DriverObject,
IN ULONG DeviceExtensionSize,
IN PUNICODE_STRING DeviceName,
IN 
最低0.47元/天 解锁文章
1083
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
