简要分析Windows驱动加载

最新推荐文章于 2023-06-17 19:46:01 发布
最新推荐文章于 2023-06-17 19:46:01 发布
阅读量7.5k 收藏 16
点赞数 1
分类专栏: Window 内核和驱动 Windows编译、链接、调试 文章标签: Windows 内核 驱动 加载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faithzzf/article/details/51388074
版权

        一般windows下驱动加载一是通过inf文件或者命令行sc命令动态加载驱动,二是通过系统启动的时候加载。那么windows内核是如何加载驱动呢?通过简要分析 ReactOS 系统源码可以看到大体的驱动加载过程。分析加载过程,可以加深对驱动程序的理解,我们也可以通过windbg下载系统函数断点 或者 hook驱动加载函数,监控我们的系统安装了哪些驱动程序,分析哪些驱动程序可能存在风险等。

         我自己以系统启动session管理驱动为例子。

         函数 BOOL InitSessionManager (HANDLE Children[])中有如下片段:

   /* Load the kernel mode driver win32k.sys */
   RtlInitUnicodeString (&CmdLineW,
			 L"\\SystemRoot\\system32\\drivers\\win32k.sys");
   Status = NtLoadDriver (&CmdLineW);

       如上,启动的系统驱动image文件路径是入口参数。调用NtLoadDriver函数(在device.c中)。 

      NTSTATUS
      STDCALL
      NtLoadDriver (
		PUNICODE_STRING	DriverServiceName
		)
      {
	  /* FIXME: this should lookup the filename from the registry and then call LdrLoadDriver  */
	  return  LdrLoadDriver (DriverServiceName);
      }

        NtLoadDrver调用LdrLoadDriver函数,LdrLoadDriver需要先加载模块文件,通过imgae路径,然后通过IO管理器,调用驱动程序的EntryPoint函数,即

        通常情况下的DriverEntry函数。   

	NTSTATUS LdrLoadDriver(PUNICODE_STRING Filename)
	{
	  PMODULE_OBJECT  ModuleObject;

	  ModuleObject = LdrLoadModule(Filename);
	  if (ModuleObject == 0)
		{
		  return  STATUS_UNSUCCESSFUL;
		}

	  /* FIXME: should we dereference the ModuleObject here?  */

	  return IoInitializeDriver(ModuleObject->EntryPoint);
	}

        如下IoInitializeDriver 函数,首先为PDRIVER_OBJECT 分配内存同时初始化,包括驱动类型和默认的派遣函数等。最后通过 Status = DriverEntry(DriverObject, NULL); 调用到驱动程序的入口,执行驱动程序的初始化操作或者注册PNP事件等。

	NTSTATUS 
	IoInitializeDriver(PDRIVER_INITIALIZE DriverEntry)
	/*
	 * FUNCTION: Called to initalize a loaded driver
	 * ARGUMENTS:
	 */
	{
	   NTSTATUS Status;
	   PDRIVER_OBJECT DriverObject;
	   ULONG i;
	   
	   DriverObject = ExAllocatePool(NonPagedPool,sizeof(DRIVER_OBJECT));
	   if (DriverObject == NULL)
		 {
		return STATUS_INSUFFICIENT_RESOURCES;
		 }
	   memset(DriverObject, 0, sizeof(DRIVER_OBJECT));
	   
	   DriverObject->Type = InternalDriverType;
	   
	   for (i=0; i<=IRP_MJ_MAXIMUM_FUNCTION; i++)
		 {
		DriverObject->MajorFunction[i] = IopDefaultDispatchFunction;
		 }

	   DPRINT("Calling driver entrypoint at %08lx\n", DriverEntry);
	   Status = DriverEntry(DriverObject, NULL);
	   if (!NT_SUCCESS(Status))
		 {
		ExFreePool(DriverObject);
		return(Status);
		 }

	   return(Status);
	}
          至此,驱动程序基本初始化完成。

faithzzf
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows驱动加载工具DriverMonitor
01-10
Windwos驱动加载工具DriverMonitor,非常的好用。DriverStudio下的DriverMonitor.exe驱动加载调试工具。密码123
windows驱动加载工具32-64.zip
01-08
该工具适合windows平台加载驱动使用。非常强大。适合window32位和64位操作系统,加载驱动很强大很牛逼
Windows启动阶段驱动程序加载顺序
wangjiabin2007的专栏
09-01 5080
驱动程序在注册表中键值的设置,可以定制驱动程序的加载顺序。牵涉到的注册表的键值Type,Start,Tage,Group。其中Group,tag值的使用这里进行了详细的解释。type类型在前面的文章中已经有描述了,start类型应该就不用再多讲了。
Windows驱动程序的加载
Commander
07-21 7124
NT式驱动程序的加载 1. 用DriverMonitor工具加载NT式驱动 2. 在注册表中填写相应的字段,Windows对NT式驱动程序的加载,是基于服务的方式加载的,类似于Windows服务程序的加载。设备驱动程序的动态加载主要是基于服务控制程序(Service Control Manager,SCM)系统组件完成的。 SCM组件为Windows中运行的组件提供许多服务,例如,启动,停止
Windows驱动(加载驱动)
GNAIXGNAHZ的博客
02-08 1370
Windows驱动(加载驱动)
Windows CE下流驱动的动态加载
aristolto的专栏
08-15 668
Windows CE下流驱动的动态加载     我想很多WinCE的开发人员,尤其是刚入门并且做驱动开发的工程师,都曾碰到这样一个问题,要编写一个外围设备的驱动,拿最简单的GPIO驱动来说,编写驱动本身可能只花了一会儿功夫,可要把编译生成的DLL打包到先前做好的操作系统映像当中,最简单也得MakeImg一下,还要修改BIB文件、注册表文件,以让系统启动的时候就加载驱动,所有工作都做完了,还得花
windows加载驱动
cs309086543的博客
11-06 218
帮朋友弄一台imac,最后卡在输入用户名时键盘鼠标都不能使用这一步了。网上说是usb3.0驱动的问题。 还想装win7,在上网找资料,有了意外的发现! 网上的方法应该可以适用服务器安装的时候不能加载raid卡,加载usb3....
理解Windows内核驱动加载和初始化过程
# 章节一:Windows内核驱动的作用和分类 Windows内核驱动是一种特殊类型的软件,用于与硬件交互以及提供操作系统核心功能。它们负责管理设备、文件系统、网络通信以及处理系统调用等任务。根据其功能和作用,内核...
WINDOWS 内部原理(十)驱动和硬件的管理
01-06
加载器(NTLDR或WinLoad)开始工作到Windows子系统准备就绪,中间经历了若干个复杂的步骤,包括内核和执行体的初始化,创建系统进程和线程,对象管理器初始化基本对象,I/O管理器枚举设备并安装驱动程序,启动SMSS...
Windows内核分析资料
09-27
1. **Win 2000系统引导过程详解[多图]**:文档详细阐述了Windows 2000系统的启动流程,包括BIOS自检、加载MBR、启动扇区加载NTLDR、加载NTDETECT.COM和Boot.ini,最后是内核及HAL的加载。这个过程涉及到的不仅是硬件...
动态加载驱动程序源代码
06-14
源代码包含三种不同的驱动加载方法,使用ZwSetSystemInformation函数加载驱动,使用NtLoadDriver函数加载驱动,使用服务控制管理器加载驱动,还包括三种线程注入技术,使用RtlCreateUserThread 函数注入线程,使用CreateRemoteThread函数注入线程,使用NtCreateThreadEx函数注入线程,源代码包含C,C#的demo
Windows驱动程序中的文件系统过滤器
文件系统过滤器是一种用于在操作系统级别拦截和修改文件系统请求的驱动程序。它可以在文件系统层面上进行拦截、过滤或修改文件的访问和操作。文件系统过滤器可以截获文件系统请求并自定义处理逻辑,从而实现对文件...
Windows设备驱动开发简介
什么是设备驱动 ## 1.1 设备驱动的定义和作用 设备驱动是指控制计算机与外部硬件设备之间进行通信和交互的软件程序。它作为操作系统与硬件设备之间的桥梁,使得操作系统能够正确地识别、管理和控制硬件设备。设备...
Windows x64中加载驱动
fyfy
04-13 1350
http://bbs.pediy.com/thread-188472.htm  x64系统的强制数字签名以及PatchGuard一直阻碍着咱们研究64位驱动,因为加载不上,很是闹心,下面我就介绍给大家一些工具和手法,使得能够加载自己编写的驱动。     针对于Windows 7 x64系统,网上放出了破解补丁,打补丁后就能够加载,非常简单,不需要签名,顺带废除了PatchGuard。仅
win驱动开发笔记-驱动加载
weixin_30265103的博客
04-11 245
手动加载 代码加载(win32) /*安装驱动程序流程: 1、调用OpenSCManager()打开服务控制管理器 2、调用CreateService()创建一个服务,服务类型为内核驱动 3、调用OpenService()取得服务句柄 启动服务 4、调用StartService()启动服务 停止服务 4、调用ControlService()停止...
windows驱动加载顺序
┌LiHoo┐
07-08 3098
CreateService的dwStartType 形参 有几个选项值 SERVICE_BOOT_START SERVICE_AUTO_START SERVICE_SYSTEM_START   我们一般都只用SERVICE_DEMAND_START 那么其他几个值的含义呢? 参考MSDN windows驱动加载顺序: 1. 判断StartType,依次按SERVICE_BOOT_ST
32位/64位WINDOWS驱动开发之驱动加载
最新发布
a756598009的博客
06-17 819
加载驱动过程1、用OpenSCManager 打开服务控制管理器2、用CreateService创建对应服务3、如果驱动服务已经创建过,则用OpenService打开服务4、用StartService加载启动驱动服务5、清理工作,用CloseServiceHandle关闭释放句柄MFC操作如下应用层:首先加两个按钮 加载驱动 ID IDC_BUTTON2_LOAD_SYS卸载驱动 ID IDC_BUTTON1_UNLOAD_SYS。
加载windows驱动的几种方式
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
02-24 961
windows api加载驱动的几种方式:
windows10驱动 x64--- 3环代码加载驱动(二)
weixin_41725706的博客
11-07 1309
平时调试.sys 我们都是用的驱动加载工具:open(打开驱动文件) —start(加载驱动) —stop(卸载驱动)—remove service(删除所在驱动的服务表)这些驱动加载工具也是用代码实现的,如下示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值