第一个驱动 入口 卸载分析

最新推荐文章于 2023-03-06 15:50:56 发布
最新推荐文章于 2023-03-06 15:50:56 发布
阅读量402 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daiviswang123/article/details/10242621
版权

我们知道每个驱动程序都有一个入口点

NTSTATUS DriverEntry(
    IN OUT PDRIVER_OBJECT   DriverObject,
    IN PUNICODE_STRING      RegistryPath
    );

那么我们就会疑惑 DriverObject 这个到底是个什么东西


kd> dt _DRIVER_OBJECT
nt!_DRIVER_OBJECT 
   +0x000 Type             : Int2B    
   +0x002 Size             : Int2B
   +0x004 DeviceObject     : Ptr32 _DEVICE_OBJECT //设备对象
   +0x008 Flags            : Uint4B
   +0x00c DriverStart      : Ptr32 Void
   +0x010 DriverSize       : Uint4B
   +0x014 DriverSection    : Ptr32 Void
   +0x018 DriverExtension  : Ptr32 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING
   +0x024 HardwareDatabase : Ptr32 _UNICODE_STRING
   +0x028 FastIoDispatch   : Ptr32 _FAST_IO_DISPATCH
   +0x02c DriverInit       : Ptr32     long 
   +0x030 DriverStartIo    : Ptr32     void 
   +0x034 DriverUnload     : Ptr32     void 
   +0x038 MajorFunction    : [28] Ptr32     long 

我们看到这个结构体说明了这个驱动的类型 大小 对应的设备 驱动的入口点 大小 SECTION  名字 


kd> dt PDRIVER_OBJECT f8af1c84
Major!PDRIVER_OBJECT
0x81fa6da0 
   +0x000 Type             : 0n4
   +0x002 Size             : 0n168
   +0x004 DeviceObject     : (null) 
   +0x008 Flags            : 2
   +0x00c DriverStart      : 0xf899a000 Void
   +0x010 DriverSize       : 0x7000
   +0x014 DriverSection    : 0x81fddef8 Void
   +0x018 DriverExtension  : 0x81fa6e48 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING "\Driver\Major.sys"
   +0x024 HardwareDatabase : 0x80671ae0 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x028 FastIoDispatch   : (null) 
   +0x02c DriverInit       : 0xf899e03e     long  Major!GsDriverEntry+0
   +0x030 DriverStartIo    : (null) 
   +0x034 DriverUnload     : (null) 
   +0x038 MajorFunction    : [28] 0x804f454a     long  nt!IopInvalidDeviceRequest+0


因为因为我们的驱动没有对应的设备 所以    +0x004 DeviceObject     : (null) 





入口点为   +0x00c DriverStart      : 0xf899a000 Void

来看下对不对

Major!DriverEntry+0x8:
f899b168 cc              int     3

我们定义的INT3断点 中断地址是  f899b168 cc      这里我们可以看到在驱动入口之前应该还有很多其他的代码 (干什么用的就不是很清楚了)


这个结构体中有驱动的名字 驱动的开始地址等信息



来看PUNICODE_STRING      


kd> dt PUNICODE_STRING
Major!PUNICODE_STRING
Ptr32    +0x000 Length           : Uint2B  //长度
   +0x002 MaximumLength    : Uint2B //最长长度
   +0x004 Buffer           : Ptr32 Uint2B //数据(unicode)



可以看到REGISTERPATH 中是我们驱动在注册表的位置


.....

接下来我们就要创建一个设备对象 创建这个设备对象主要是为了与3环通讯

kd> dt PDEVICE_OBJECT
Major!PDEVICE_OBJECT
Ptr32    +0x000 Type             : Int2B
   +0x002 Size             : Uint2B
   +0x004 ReferenceCount   : Int4B
   +0x008 DriverObject     : Ptr32 _DRIVER_OBJECT
   +0x00c NextDevice       : Ptr32 _DEVICE_OBJECT
   +0x010 AttachedDevice   : Ptr32 _DEVICE_OBJECT
   +0x014 CurrentIrp       : Ptr32 _IRP
   +0x018 Timer            : Ptr32 _IO_TIMER
   +0x01c Flags            : Uint4B
   +0x020 Characteristics  : Uint4B
   +0x024 Vpb              : Ptr32 _VPB
   +0x028 DeviceExtension  : Ptr32 Void
   +0x02c DeviceType       : Uint4B
   +0x030 StackSize        : Char
   +0x034 Queue            : <unnamed-tag>
   +0x05c AlignmentRequirement : Uint4B
   +0x060 DeviceQueue      : _KDEVICE_QUEUE
   +0x074 Dpc              : _KDPC
   +0x094 ActiveThreadCount : Uint4B
   +0x098 SecurityDescriptor : Ptr32 Void
   +0x09c DeviceLock       : _KEVENT
   +0x0ac SectorSize       : Uint2B
   +0x0ae Spare1           : Uint2B
   +0x0b0 DeviceObjectExtension : Ptr32 _DEVOBJ_EXTENSION
   +0x0b4 Reserved         : Ptr32 Void

当我们创建完对设备象后(IoCreateDevice)

kd> dt PDEVICE_OBJECT f8af1c78
Major!PDEVICE_OBJECT
0x81fbbf18 
   +0x000 Type             : 0n3
   +0x002 Size             : 0xb8
   +0x004 ReferenceCount   : 0n0
   +0x008 DriverObject     : 0x81fa6da0 _DRIVER_OBJECT
   +0x00c NextDevice       : (null) 
   +0x010 AttachedDevice   : (null) 
   +0x014 CurrentIrp       : (null) 
   +0x018 Timer            : (null) 
   +0x01c Flags            : 0xc0
   +0x020 Characteristics  : 0x100
   +0x024 Vpb              : (null) 
   +0x028 DeviceExtension  : (null) 
   +0x02c DeviceType       : 0x22
   +0x030 StackSize        : 1 ''
   +0x034 Queue            : <unnamed-tag>
   +0x05c AlignmentRequirement : 0
   +0x060 DeviceQueue      : _KDEVICE_QUEUE
   +0x074 Dpc              : _KDPC
   +0x094 ActiveThreadCount : 0
   +0x098 SecurityDescriptor : 0xe1000518 Void
   +0x09c DeviceLock       : _KEVENT
   +0x0ac SectorSize       : 0
   +0x0ae Spare1           : 0
   +0x0b0 DeviceObjectExtension : 0x81fbbfd0 _DEVOBJ_EXTENSION
   +0x0b4 Reserved         : (null) 



可以看到当我们调用IoCreateDevice 后  就让我们创建的设备与我们的驱动联系在一起了()


接下来就是创建符号链接     IoCreateSymbolicLink



到目前为止我们已经在内核中创建了一个设备对象 一个驱动对象

那么这些设备对象是干什么用的呢? 比如我们的应用程序想使用这个驱动我们要怎么做?


    DriverObject->MajorFunction[IRP_MJ_CREATE] =     
    DriverObject->MajorFunction[IRP_MJ_CLOSE] = MAJOR_DispatchCreateClose;
    DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MAJOR_DispatchDeviceControl;
    DriverObject->DriverUnload = MAJOR_DriverUnload;


上面的代码就是想操作系统申请(就是告诉OS 应用程序如何使用这些驱动)



kd> dt _DRIVER_OBJECT 0x81fa6da0 
nt!_DRIVER_OBJECT
   +0x000 Type             : 0n4
   +0x002 Size             : 0n168
   +0x004 DeviceObject     : 0x81fbbf18 _DEVICE_OBJECT
   +0x008 Flags            : 2
   +0x00c DriverStart      : 0xf899a000 Void
   +0x010 DriverSize       : 0x7000
   +0x014 DriverSection    : 0x81fddef8 Void
   +0x018 DriverExtension  : 0x81fa6e48 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING "\Driver\Major.sys"
   +0x024 HardwareDatabase : 0x80671ae0 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x028 FastIoDispatch   : (null) 
   +0x02c DriverInit       : 0xf899e03e     long  Major!GsDriverEntry+0
   +0x030 DriverStartIo    : (null) 
   +0x034 DriverUnload     : 0xf899b110     void  Major!MAJOR_DriverUnload+0
   +0x038 MajorFunction    : [28] 0xf899b010     long  Major!MAJOR_DispatchCreateClose+0


其实就是将_DRIVER_OBJECT  这个结构体的一些成员填上我们告诉OS的值




这些处理完了 我们的驱动就常驻内存中了 除非重启动或者卸载 



我们来看下卸载例程


VOID MAJOR_DriverUnload(
    IN PDRIVER_OBJECT DriverObject
    )
{
KdBreakPoint();


    PDEVICE_OBJECT pdoNextDeviceObj = pdoGlobalDrvObj->DeviceObject;
    IoDeleteSymbolicLink(&usSymlinkName);


    // Delete all the device objects
    while(pdoNextDeviceObj)
    {
        PDEVICE_OBJECT pdoThisDeviceObj = pdoNextDeviceObj;
        pdoNextDeviceObj = pdoThisDeviceObj->NextDevice;
        IoDeleteDevice(pdoThisDeviceObj);
    }
}

pdoGlobalDrvObj 就是我们的驱动对象 


kd> dt _DRIVER_OBJECT 81fa6da0 
nt!_DRIVER_OBJECT
   +0x000 Type             : 0n4
   +0x002 Size             : 0n168
   +0x004 DeviceObject     : 0x81d0b030 _DEVICE_OBJECT
   +0x008 Flags            : 0x13
   +0x00c DriverStart      : 0xf8a0a000 Void
   +0x010 DriverSize       : 0x7000
   +0x014 DriverSection    : 0x81fa6120 Void
   +0x018 DriverExtension  : 0x81fa6e48 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING "\Driver\Major.sys"
   +0x024 HardwareDatabase : 0x80671ae0 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x028 FastIoDispatch   : (null) 
   +0x02c DriverInit       : 0xf8a0e03e     long  Major!GsDriverEntry+0
   +0x030 DriverStartIo    : (null) 
   +0x034 DriverUnload     : 0xf8a0b110     void  Major!MAJOR_DriverUnload+0
   +0x038 MajorFunction    : [28] 0xf8a0b010     long  Major!MAJOR_DispatchCreateClose+0


    while(pdoNextDeviceObj)
    {
        PDEVICE_OBJECT pdoThisDeviceObj = pdoNextDeviceObj;
        pdoNextDeviceObj = pdoThisDeviceObj->NextDevice;
        IoDeleteDevice(pdoThisDeviceObj);
    }

这个循环变量这个驱动对象的所有设备对象 然后删除 怎么遍历的呢

原来没个设备对象都有一个指向下一个对象的指针,也就是OS会将我们创建的设备对象做成一个链表链接起来




daiviswang123
关注
Linux——Linux驱动之最简驱动的实现全流程总结(最简Linux驱动的编写、驱动模块的编译、驱动模块的加载查看和卸载
数字世界 万物互联
04-25 623
目录 0 引言 1 最简Linux驱动的编写 2 驱动模块的编译 3 驱动模块测试 4 小结 0 引言 前面博文中铺垫了很多,又讲到Linux的体系架构、Linux内核、Linux源码目录等,那么驱动程序具体是怎么写的?本博文中就从最简单的Linux驱动入手,整体看下实现Linux驱动的套路是怎么样的。 1 最简Linux驱动的编写 此处实现个最简单的Linux驱动,在加载驱动时打印字符串信息,关注点包括以下几个部分: 驱动程序:头文件、声明模块信息、模块驱动入口和出口、功能区;
驱动编程学习4/第一个驱动程序的编写
Oldpudding的博客
11-19 681
1.进入vs2019,选择Kernel Mode Driver Empty,点击下一步 如果找不到,重新下载WDK,https://docs.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk 默认安装即可(主要是安装VSIX) 2.进入项目后,新增一个.c的文件 (必须是c文件,cpp会报错) 3.内核驱动有一个统一的入口函数,为DriverEntry,原型如下 NTSTATUS DriverEntry( PDRIVER_OBJ
[驱动程序WDM] 驱动程序从哪里开始
馋嘴猪没胃口
04-18 746
无论是WIN32还是控制台程序,都有一个主函数,也就是程序的入口,当主函数结束,也就意味着整个程序结束。同样的,驱动程序也有一个入口主函数,不同的是,驱动程序的主函数结束后,驱动程序并没有结束,因为驱动程序是被动调用的。驱动程序入口函数的原型有固定的格式,内部的程序结构也有固定的形式:extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT Dr
【规范】万字集大成的C编写规范
空有精品无人问,倒也自然
01-12 1566
"低耦合,可重用,参数化,注释全",个人总结的抽象层面非常实用部分的集大成者。
信噪比SNR , Eb/N0 , Es/N0区别与联系之深入剖析
热门推荐
stubben_bear的专栏
11-29 3万+
通信方向在做仿真时经常用到信噪比这个参数,而对于不同形式的信号所用到的信噪比的形式往往不同,所以有必要信噪比这一概念做深入的区分,避免混淆。   首先明确几个符号的意义 : S:信号的平均功率                               N: 噪声的平均功率 Eb: 每bit信号能量                              N0:噪声的功率谱密度 E
C++程序设计——九
KAI_ZHAN的博客
05-08 937
草稿
windows驱动开发3:第一个驱动及调试
longkuis的专栏
04-29 1909
第一个驱动helloworld编写及双机调试
嵌入式LINUX内核驱动进阶班第6天(字符设备驱动
12-18
字符设备驱动是Linux内核中的一个模块,它负责处理硬件的低级操作,如初始化、读写操作、中断处理等。在Linux中,所有设备都被抽象为文件,字符设备驱动则对应于字符设备文件。通过open、read、write、close等系统...
Windows驱动开发之第一个驱动程序
enjoy5512的博客
07-05 1万+
一个简单的驱动程序
游戏安全反外挂-驱动的认识
最新发布
douluo998的博客
03-06 739
define IO_IS_OK_TEST CTL_CODE(FILE_DEVICE_UNKNOWN, 0x803, METHOD_BUFFERED,FILE_ANY_ACCESS) //测试。KdPrint((“yjx:驱动设备对象 %wZ 创建失败,准备删除Device -----------\n”, &uzDriverName));////重叠操作结构指针。KdPrint((“yjx:驱动设备对象 %wZ 创建成功,OK -----------\n”, &uzDriverName));
算法-01-分治
weixin_33939380的博客
05-19 101
分治思想 DevideConquer(P){ if(|P|&lt;=n0) return solve(P); // 小规模问题,直接求解 for (i=1; i&lt;=k; i++) yi = DevideConquer(Pi); // 分解,治理求解 return merge(y1,...,yk); //合并后解原问题 } ...
windows 驱动开发入门——驱动中的数据结构
Masimaro的专栏
09-24 3426
最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书——《独钓寒江 windows安全编程》 和 《windows驱动开发技术详解》。 驱动开发过程中,主要使用的C语言,虽说C中定义了许多数据类型,但是一般来说在编码上还是习惯与使用WDK的规范,虽说这个不是必须的,比如有这样一句unsigned long ul = 0;这个数据的大小
Device Lock 封USB 解决办法
luozhangqian的专栏
11-10 3046
   启动vfloppy15,此软件为虚拟软驱,目的为在进入系统之前删除相关文件,以达到干掉usb限制的目的。若没取得权限,可能会死机,不要点应用。根据自己的系统盘选择NTFS.img或BOOTDISK.img,前者适用于NTFS的文件格        式,后者自然适用FAT文件系统。查看系统盘文件格式如下图:3.5        若软件还需帮助,请查看软件详细使用方法见vFloppy.chm
ntoskrnl.exe implementation
08-25 1163
 https://lliurex.net/projects/valencia/lliurex-pool-ng/browser/ubuntu-mods/trunk/wine/dlls/ntoskrnl.exe/ntoskrnl.c?rev=4358&format=txt/* * ntoskrnl.exe implementation * * Copyright (C) 2007 Alexandr
Windbg内核调试之三: 调试驱动
mergerly的专栏
09-26 2771
这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分钟的系统响应.有关双机调试的基本设置,请参考:htt
驱动开发(8)处理设备I/O控制函数DeviceIoControl
zuishikonghuan的博客
01-03 8546
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 在上面的两篇博文中,介绍了IRP与派遣函数,以及我们通过了一个例子“磁盘设备的绝对读写”来演示了在应用程序中是如何向一个设备发出I/O请求的。这篇博文将演示在驱动程序中处理一个非常简单的I/O请求——由DeviceIoControl这个Win32API经过一系列的调用,在内核中
ADB报“no device”提示的解决方法
WEBCODE
02-24 4475
有些时候尽管有Android模拟器正在运行,但是ADB却会报“no device”. 解决方法:尝试重启adb,即通过adb kill-server关闭adb,然后用任何adb命令重启它.
驱动程序的取消IRP
zacklin的专栏
05-29 9051
当应用层发出的IRP请求很久得不到处理的时候,有时需要把IRP请求取消,每一个IRP都可以对应一个取消例程,通过IoSetCancelRoutine(pIrp,CancelReadIRP);函数把IRP与取消例程进行关联,当要删除取消例程时,把第二个参数设为空即IoSetCancelRoutine(pIrp,NULL);即可。程序员可以用IoCancelIrp函数取消IRP的请求,该函数在内部通过
Linux字符设备驱动卸载与注册详解
在提供的描述中,我们看到一个名为`xxx_exit`的卸载函数,这是一个标准的Linux设备驱动模块卸载入口。在设备不再使用时,这个函数会被调用来清理驱动占用的资源。`unregister_chrdev_region`函数用于释放之前分配的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值