内核函数们(1):

最新推荐文章于 2022-11-13 20:25:12 发布
最新推荐文章于 2022-11-13 20:25:12 发布
阅读量815 收藏 1
点赞数
文章标签: extension user io
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyberhero/article/details/3043460
版权
 

字符串:
RtlUpperString    ansic
RtlUpcaseUnicodeString    unicode
RtlInitUnicodeString Unicode
RtlUnicodeStringToInteger
RtlIntegerToUnicodeString
RtlFreeUnicodeString
RtlUnicodeStringToAnsiString
RtlAnsiStringToUnicodeString
RtlFreeAnsiString
RtlInitString
设备:
ZwCreatFile
InitializeObjectAttributes
ZwOpenFile
ZwClose
ZwSetInfomationFile
ZwQueryInformationFile
ZwWriteFile
内存:
PsGetCurrentProcess
ExAllocatePool
ExAllocatePoolWithTag
ExAllocatePoolWithQuota
ExAllocatePoolWithQuotaTag
ExFreePool
ExFreePoolWithTag
CONTANING_RECORD macro
ExInitializeNPagedLookasideList
ExInitializePagedLookasideList
ExAllocateFromNPagedLookasideList
ExAllocateFromPagedLookasideList
ExFreeToNPagedLookasideList
ExFreeToPagedLookasideList
ExDeleteNPagedLookasideList
ExDeletePageLookasideList

RtlCopyMemory
RtlMoveMemory
RtlFillMemory
RtlZeroMemory
RtlEqualMemory
RtlCompareMemory

IRP
IoCompleteRequest(pIrp,IO_NO_INCREMENT);
IoCreateSymbolicLink
IoGetCurrentIrpStackLocation(pIrp)
IoCreateDevice

IRP PCOCESS
PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
ULONG ulReadLength = stack->Parameters.Read.Length;
pIrp->IoStatus.Status = STATUS_SUCCESS;
pIrp->IoStatus.Information = ulReadLength;
memset(pIrp->AssociatedIrp.SystemBuffer,0xAA,ulReadLength);
IoCompleteRequest(pIrp,IO_NO_INCREMENT);

write size:

stack->Parameters.Write.Length

get offset:

(ULONG)stack->Parameter.Write.ByteOffset.QuadPart

write to Extension:

  1. memcpy(pDevExt->buffer+ulWriteOffset,pIrp->AssociatedIrp.SystemBuffer,ulWriteLength)

driver synchronization:

  1. KeGetCurrnetIrql()// get current IRQL
  2. // the lowest level in the user mode is PASSIVE_LEVEL, 
  3. // the highest DISPATCH_LEVEL.

IRQL adjusting functions:

  1. KeRaiseIrql()
  2. KeLowerIrql()

Spin Lock:

  1. KeInitializeSpinLock()
  2. //initialization 
  3. KeAcquireSpinLock()
  4. //application for mem 
  5. KeReleaseSpinLock()
  6. //release spin lock 
  7. KeAcquireSpinLockAtDpcLevel()
  8. KeReleaseSpinLockAtDpcLevel()
  9. //acquire and release spin lock without level changed when at DISPATCH_LEVEL 

Synchronize under user mode

  1. WaitForSingleObject()
  2. WaitMultipleObjects()
  3. CreateEvent()
  4. SetEvent()// to set the event usable
  5. /
  6. //sephamore
  7. /
  8. CreateSephamore()
  9. ReleaseSephamore()
  10. / sephamore can be waited by waitforsingleobject functions
  12. /
  13. //Mutex
  14. /
  15. CreateMutex()
  16. ReleaseMutex()
  17. /
  19. // the usage of WaitForMutipleObjects()
  20. HANDLE hThread[2];
  21. hThread[0] = (HANDLE)_beginthread(...);
  22. hThread[1] = (HANDLE)_beginthread(...);
  23. WaitForMutipleObjects(...);
  24.  end
  25. //

Synchronizing Objects under user mode:

  1. KeWaitForSingleObject(...)
  2. KeWaitForMutipleObjects(...)
  3. //Even
  1. //
  2. PsCreateSystemThread(...)
  3. IoGetCurrentProcess(...)
  4. PsTerminateSystemThread(...)
  5. //

Synchronizing Objects under kernel mode:

  1. // 
  2. KeInitializeEven(...)
  3. KeSetEvent(...)
  4. KeInitializeSephamore(...)
  5. KereleaseSephamore(...)
  6. KeReadStateSephamore(...)
  7. // 
  8. KeInitializeMutex(...)
  9. KeReleaseMutex(...)
  10. KeStallExecutionProcessor(time)
  11. //force the process stop for time. 
  12. //
  13. //

 

  1. //
  2. //Fast Mutex
  3. ExAcquireFastMutex(...)
  4. ExReleaseFastMutex(...)
  5. ExInitializeFastMutex(...)
  6. //

 

cyberhero
关注
Linux系统调试课:内核函数调用堆栈打印方法汇总
内核笔记
03-23 1834
📢本篇将对驱动调试方法进行汇总学习。
Lookaside List 详解
yangdazhi的专栏
10-30 2293
使用 Lookaside List 分配内存 概述lookaside list 节点结构节点内存块 size初始化节点分配内存释放内存动态调整 lookaside list 节点深度 1. 概述 windows 提供了一种基于 lookaside list 的快速内存分配方案,区别于一般的使用 ExAllocatePoolWithTag() 系列函数的内存分配方式。每次从 loo
驱动的一点体会
不论你在什么时候开始,重要的是开始之后就不要停止。
10-20 3036
一.驱动程序介绍 Windows 环境下,应用程序访问硬件设备需要通过设备驱动程序。 在Windows 95/98下,驱动程序通常是一个Vxd文件;而在Windows NT下, 驱动程序则是一个Sys文件。虽然这两个操作系统都是出自微软门下, 但其使用的驱动程序结构是完全不同的,因此当一个硬件产品需要在以 上两种操作系统下都能运行时,就需要分别编写其特定环境下的驱驱 动程序。驱动程序的编写是一件相
[Win驱动3] Windows内核态的堆管理, LookAside,链表以及运行时函数
輚至消亡
10-08 503
内存机制简述 现代操作系统一般都有分页机制,其控制方式是通过Cr0控制寄存器中的PG位,如果PG位置位则表示分页机制开启,这种机制在还未进入保护模式时就已经确定了。在32位的CPU下,假设是4KB为一页,则4GB内存可以被分成2^20个页,并且通过页表来映射到各个进程或者磁盘上去。同一页可以映射到多个进程的虚拟内存空间中。 内核态堆空间分配 内核态中可以分配分页内存以及非分页的内存, 分页内存是CPU开启分页机制时才存在,如果没有开启分页机制,所有内存都是非分页的。 分页机制作用主要是为了给进程一个
win10驱动开发7——分页快查表(LOOKASIDE)
qq_41610493的博客
11-30 451
非分页 分页 ExInitializeNPagedLookasideLIst ExInitializePagedLookasideLIst ExAllocateFromNPagedLookasideList ExAllocateFromPagedLookasideList ExFreeToNPagedLookasideList ExFreeToPagedLookasideList ExDeleteNPagedLookasideList ExDeletePagedLookaside...
驱动程序的内存分配(关于锁定驱动代码和数据常驻内存 学习学习红色标记部分)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-16 1710
默认情况下,内核加载器会加载所有的代码部分和全局数据到非分页内存中。而且,加载器是一次加载整个驱动的可执行文件,包括相关的DLL。加载后,内核加载器关闭驱动程序文件,甚至你可以删除当前正在执行的驱动文件。 但是,你可以告诉加载器你希望驱动的哪部分是可分页,所谓可分页,就是可能会被换页出内存(Page out)。可以使用下面的指令来实现: #define ALLOC_PRAGMA
parasolid内核函数(库和头文件)
10-25
例如,"入门第1课 pk创建一个长方体在ug显示"展示了如何使用Parasolid内核创建长方体实体,并在UG用户界面中展示出来。这通常涉及到初始化PK内核,定义长方体的几何参数,然后调用相应的函数创建实体,最后将实体...
kmod_hooking:使用异常表进行内核函数挂钩
05-13
给定具有原型typeof(X)的内核函数X ,让我们看看如何对其进行挂钩: 使用DECLARE_KHOOK(X)宏声明钩子 使用khook_X函数名称和typeof(X)作为原型来编写hook的主体 使用KHOOK_ORIGIN(X, args)宏作为X函数调用的包装器 ...
linux c语言内核函数手册,Linux C函数实例速查手册
weixin_42515295的博客
04-30 1704
函数学习目录:第1章 初级I/O函数1.1 close函数:关闭已经打开的文件1.2 creat函数:创建一个文件1.3 dup函数:复制文件描述符1.4 dup2函数:复制文件描述符到指定的位置1.5 fcntl函数:改变文件的状态1.6 fsync函数:将缓冲区数据回写到磁盘文件1.7 Lseek函数:移动文件的读写位置1.8 open函数:打开一个文件1.9 read函数:读取文件的数据1....
Linux内核延时研究与函数代码分析
07-29
Linux内核延时研究与函数代码分析 Linux内核延时研究是Linux系统中一个重要的概念,主要涉及到驱动程序的延时处理和函数代码的分析。在Linux系统中,驱动程序需要与硬件同步,需要非常短的延迟来实现同步。 Linux...
线程同步(2) - 内核模式下的线程同步
收集学习过程中对自己有帮助的牛人文章
11-29 2046
转载自:http://mzf2008.blog.163.com/blog/static/355997862010112041821953/ 1.内核模式下的等待 NTSTATUS    KeWaitForSingleObject(     IN PVOID  Object,     IN KWAIT_REASON  WaitReason,     IN KPROCE
线程同步(5):windows下各种锁
wentianyao的专栏
05-13 4225
windows下的线程同步方式有以下几种: 用户方式下的:原子锁,关键代码段                                                                       内核方式下的: 事件内核对象,可等待计时器,互斥量,信号量 以上在MSDN中都可以找到相应的函数和使用方法及针对的事务;当然还有一些比如原子操作,自旋锁,互斥锁等等,其中有些需要
reactos操作系统实现(123)
大坡3D软件开发
11-02 1509
 目前,Reactos主要使用FAT的文件系统,因此下面就先来分析这个文件系统,以便了解这个文件系统的功能。这个文件系统的实现是在驱动程序FASTFAT.SYS里实现的,所以来分析这个驱动程序的源码,就可以了解FAT文件系统了。 6.2.1 FAT文件系统驱动程序入口函数FAT的文件系统是当作一个驱动程序来加载到系统里,因此它也有驱动程序的形式了,也就是它的入口点函数,还是Driver
SwapBuffer分析
jimk1983的专栏
10-25 4025
将原先自己的博客迁移! 介绍 自己开辟一块缓存,将文件进行缓存交换,后续都是操作该缓存,例如加密解密等,等待操作完成后,再将缓存交换回去。(https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ifs/file-system-minifilter-drivers)         修改示例代码的INF文件,将相关的swap
windows内核驱动内存管理之Lookaside使用
Geons的花园阳台
03-27 1487
Windows内存管理中使用了类似于容器的东西,叫做Lookaside对象,每次程序员申请内存都会从Lookaside里面申请,只有不足的时候,Lookaside才会向内存又一次申请内存空间,这样减少了频繁申请内存而导致的内存碎片。 当Lookaside对象内部有大量没有使用的内存时候,它会自动让windows回收一部分内存,总之,Lookaside很智能。 一般Lookaside用于以下情况
Windows驱动开发(2) - Windows内存管理
Vinx Blog
04-10 3086
Windows驱动开发(2) - Windows内存管理1、内存管理概念1.1 物理内存32位的CPU的寻址能力为4GB(2^32)个字节。用户最多可以使用4GB的真实物理内存。PC中的很多设备都提供了自己的设备内存,这部分的内存会映射到PC的物理内存上。1.2 虚拟内存Windows的所有程序(ring0,ring3),可以操作的都是虚拟内存。CPU中寄存器CR0一个位PG位来告诉系统是否分页的。
Windows内存管理(2)--Lookaside结构 和 运行时函数
com_xpp的专栏
12-14 167
1. Lookaside结构 频繁的申请和回收内存,会导致在内存上产生大量的内存“空洞”,从而导致最终无法申请内存。DDK为程序员提供了Lookaside结构来解决这个问题。 我们可以将Lookaside对象看成是一个内存容器。在初始化的时候,它先向Windows申请了一块比较大的内存。以后程序员每次申请内存的时候,不是直接向Windows申请内存,而是想Lookaside对象申请内存。Loo...
windows同步原理与调试(PPT)
Changju博客
10-11 1081
最近在公司做了一次关于windows同步方面的培训,以下是本次培训的PPT文字。      Windows同步原理与调试      richard     2012.10.9    主要内容与讲解方式 ..用户态同步技术  ..内核态同步技术  ..使用windbg调试用户态线程死锁  ..讲解不面面俱到,不讲API使用  ..讲原理的同时穿插windbg的使
驱动基础----内核字符串常用函数和常用的内核内存函数
最新发布
weixin_41725706的博客
11-13 620
驱动编程内核字符串函数等
内核开发宝典:全面解读Nt内核函数
Nt内核函数大全是一份全面的文档,旨在为内核开发者提供详细的Windows NT内核函数参考。NT(New Technology)内核是微软Windows操作系统的核心部分,这些函数涵盖了服务控制管理、设备驱动加载与卸载、性能监控、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值