驱动开发之二:ntddk.h文件中函数的使用 如:PsSetCreateProcessNotifyRoutine

最新推荐文章于 2023-02-01 11:37:25 发布
最新推荐文章于 2023-02-01 11:37:25 发布
阅读量2.7k 收藏
点赞数
分类专栏: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dasgk/article/details/17564033
版权

笔者曾在网上搜索进程监视,大家都在使用PsSetCreateProcessNotifyRoutine,这个函数,但是在笔者的环境中使用时,总是出现未声明的标示符,查了下MSDN,是说在

”ntddk.h“文件中进行定义的,但是计算包含进来也是不能使用的!!!!于是进一步查看ntddk.h文件的使用,于是发现了,这个头文件仅仅使用#include“ntddk.h”还是不可以的

查了些资料,发现其使用方法如下

///
//文件包含
#include <wdm.h>
///

///
///数据类型定义
typedef  VOID (*PCREATE_PROCESS_NOTIFY_ROUTINE)( 
	                                           IN HANDLE  ParentId,
											   IN HANDLE  ProcessId,
											   IN BOOLEAN  Create);
///


///
///文件包含的整合
namespace NT {
    extern "C" {
#pragma warning(disable: 4005)  // macro redefinition
#pragma warning(disable: 4201)  // nonstandard extension
#include <ntddk.h>  // wre
#include <tdikrnl.h>
#pragma warning(default: 4005)
#pragma warning(default: 4201)
		
NTKERNELAPI
NTSTATUS
PsSetCreateProcessNotifyRoutine(
    __in PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
    __in BOOLEAN Remove
    );
    }
}
///
VOID logOperation (    IN HANDLE  ParentId,    IN HANDLE  ProcessId,    IN BOOLEAN  Create    )
{
	return;
}
extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{
	NTSTATUS status=0;
	NT::PsSetCreateProcessNotifyRoutine(logOperation,false);
	return status;
}

世纪殇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NTDDK 文件
03-02
包含常见头文件和库文件。头文件(usb100.h、usbdi.h、devioctl.h、basetsd.h、hidpi.h、hidusage.h、setupapi.h、hidpddi.h’等),LIB库包括(hid.lib、hidparse.lib、setupapi.lib、hidclass.lib)
NTDDK开发包(usb驱动开发相关)
06-27
先前CSDN上面那个开发包里面没有setupapi.h这个文件,我这个是添加了以后的,包含那个.h文件
如何include ntddk.h
Vanished Springs
11-19 6331
从安全焦点看到的。作者:ilsyntddk.h如果直接include进来会有问题的,应该这样做:namespace NT {    extern "C" {#pragma warning(disable: 4005)  // macro redefinition#pragma warning(disable: 4201)  // nonstandard extension#include   //
WDK cannot open include file ntddk.h 问题解决
OYJJ的专栏
01-30 4732
<br />sources文件缺少INCLUDES指令<br /> <br />第一行加上:INCLUDES=$(WDMROOT);$(DDK_INC_PATH)  即可编译通过。<br /> <br /> 
windows驱动编程(一) 先写个NTDDK例子
World-wang
10-28 1105
参考张帆的windows驱动开发技术详解,自学。。。 #pragma once #ifndef __HELLODDK__HH #define __HELLODDK__HH //包含ntddk.h文件使用c标准的方式编译 #ifdef __cplusplus extern "C" { #endif #include #ifdef __cplusplus }; #endif //
EPROCESS_ActiveProcessLinks.rar_eprocess.h_ntddk.h
09-14
这个EPROCESS结构在ntddk.h有定义,但是并未给出具体的结构,因此要得到EPROCESS一些重要的成员变量,只能通过偏移的方法,比如PID,ImageName等.这些偏移可以在Windbgdt _EPROCESS得到,但是不公开感觉还是不...
usbf驱动开发需要的setupapi.h和hidsid.h等
07-22
最后,虽然压缩包只列出了`NTDDK`,但通常在USB驱动开发,开发者还会依赖于其他的Windows Driver Kit(WDK)组件,如`wdm.h`、`ntddusb.h`等。WDK提供了一个完整的环境,包括编译器、调试工具以及各种驱动模型的...
知其所以然驱动开发教程:1.2.1.VC6环境下编译驱动.rar
05-29
- 包含必要的头文件,如wdm.h或ntddk.h,这些头文件包含了驱动开发所需的函数和数据结构定义。 5. **设置编译选项** - 在VC6的项目设置,配置编译器和链接器选项,确保编译为适合驱动的二进制格式,如SYS或DLL...
vs2022安装wdk之后仍然提示找不到ntddk.h
ma_de_hao_mei_le的博客
02-01 2293
everything搜索ntddk.h,复制全部路径。这个路径添加到项目的额外C++包含目录就行了。
winddk 01 (ntddk)
12-17
ntddk winddk 分卷压缩的文件大小65M 这里是分卷1
进程监视函数PsSetCreateProcessNotifyRoutine
ShadowAssassin的专栏
01-02 3390
这两天看书,看到这个函数,感觉挺有意思,就测试了下。从便面意思来看PsSetCreateProcessNotifyRoutine 设置创建进程通知的函数。 The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of
NTDDK 从两个最简单的驱动谈起
墨鱼菜鸡
09-23 359
第 1 章 从两个最简单的驱动谈起 Windows 驱动程序的编写,往往需要开发人员对 Windows 内核有深入了解和大量的内 核调试技巧,稍有不慎,就会造成系统的崩溃。因此,初次涉及 Windows 驱动程序开发的 程序员,即使拥有大量 Win32 程序的开发技巧,往往也很难入门。 本章向读者呈现两个最简单的 Windows 驱动程序,一个是 NT 式的驱动程序,另一个 是 WDM 式的...
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3188
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构,以便通过method_buffer方式传回应用层。 2、当
VS2017、2019驱动WDF开发环境找不到头文件#include <ntddk.h>
weixin_45935855的博客
10-07 1443
WDF环境配置遇到 “找不到头文件
Ntddk.h 和 Ntifs.h同时包含时的重复定义问题
Vinx Blog
04-27 3480
Wdm.h、Ntddk.h 和 Ntifs.h 的组织结构在 Windows Vista 版本的 WDK 之前,用于驱动程序开发的主要头文件为 Wdm.h、Ntddk.h 和 Ntifs.h,它们包含很多重复声明。 从 Windows Vista 版本的 WDK 开始,Wdm.h、Ntddk.h 和 Ntifs.h 将按层次结构来组织并且不包含重复信息。上层的文件将包含下层的文件。每个函数和结构声
windows驱动编译报错
qq_42931917的博客
09-04 1711
前言:在搭建完驱动开发环境之后,最想做的事情莫过于马上编译驱动,但是在这过程往往会遇到好多问题,标题就是其一个,这篇文章主要盘一盘,驱动编译报错那些事儿。 在虚拟机安装好VS2017+SDK10.0.16299.0之后,找出了之前在VS2015自己写的驱动demo,一编译,各种报错,解决一波。 先贴贴自己之前写的驱动demo,也是网上听着铁锤老师的课,动手码了码,还望各位大佬多多指教 #include <ntddk.h> #include <usbioctl.h> #defin
无法打开源文件ntddk.h
最新发布
05-22
如果你在Windows操作系统使用Visual Studio等IDE,可能需要安装Windows Driver Kit(WDK)才能访问...另外,需要注意的是,ntddk.h头文件只能在Windows驱动程序使用,如果你的程序不是驱动程序,则不能使用文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

世纪殇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值