驱动程序安装之设备协安装器

win驱动 同时被 2 个专栏收录
45 篇文章 2 订阅
20 篇文章 1 订阅

    年前想把一个功能驱动和过滤驱动传到wu上,但是因为过滤驱动和第三方厂商驱动的hardwareid值相同,直接传到wu上后用户一旦更新会有问题。一个同事提到一个解决方案:把过滤驱动的hardwareid改成一个无关紧要的id,然后为功能驱动的inf文件附加一个协安装器(coinstaller),把他们一起传到wu上。这样,当用户更新功能驱动时,通过coinstaller启动过滤驱动安装程序来加载过滤驱动。

    这样说可能还是有点空洞,让我用前面的SampleChar驱动来解释同事的方法。SampleChar是一个功能驱动,这个驱动安装包中只有sys/inf文件(测试驱动不包含cat文件):SampleChar.sys/SampleChar.inf,用户通过inf来安装功能驱动。以下是SampleChar.inf的内容:

[Version]
Signature="$WINDOWS NT$"
Class=System
ClassGuid={4d36e97d-e325-11ce-bfc1-08002be10318}
Provider=%ProviderName%
DriverVer=12/19/2016,15.52.17.267
CatalogFile=SampleChar.cat

[DestinationDirs]
DefaultDestDir = 12

[SourceDisksNames]
1 = %DiskName%,,,""

[SourceDisksFiles]
SampleChar.sys = 1,,

[Manufacturer]
%ManufacturerName%=Standard

[Standard]
%SampleChar_Desc%=SampleChar_Device, ROOT\Sample

[SampleChar_Device.NT]
CopyFiles=Drivers_Dir

[SampleChar_Device.NT.HW]
AddReg=SampleChar_Device.NT.AddReg

[SampleChar_Device.NT.AddReg]
HKR,,DeviceCharacteristics,0x10001,0x0100         
HKR,,Security,,"D:P(A;;GA;;;BA)(A;;GA;;;SY)"      

[Drivers_Dir]
SampleChar.sys

[SampleChar_Device.NT.Services]
AddService=SampleChar,%SPSVCINST_ASSOCSERVICE%,SampleChar_Service_Inst

[SampleChar_Service_Inst]
DisplayName    = %sampleChar.SVCDESC%
ServiceType    = 1               ; SERVICE_KERNEL_DRIVER
StartType      = 3               ; SERVICE_DEMAND_START 
ErrorControl   = 1               ; SERVICE_ERROR_NORMAL
ServiceBinary  = %12%\SampleChar.sys
LoadOrderGroup = Extended Base

[Strings]
ManufacturerName="Eugen"
ClassName=""
DiskName="SampleChar Source Disk"
ProviderName="Eugen"
SampleChar_Desc="SampleChar"
sampleChar.SVCDESC="Sample char driver"
SPSVCINST_ASSOCSERVICE= 0x00000002
    为了能在安装SampleChar.sys过程中运行设备协安装器,就需要修改inf文件的内容,为drvinst.exe(windows驱动安装程序)指明安装过程中用到的协安装器文件名及其入口点。

[Version]
Signature="$WINDOWS NT$"
Class=System
ClassGuid={4d36e97d-e325-11ce-bfc1-08002be10318}
Provider=%ProviderName%
DriverVer=2016/11/18, 1.0.0
CatalogFile=SampleChar.cat

[DestinationDirs]
DefaultDestDir = 12
CoInstaller_CopyFiles=11 ;协安装器文件拷贝相关内容

[SourceDisksNames]
1 = %DiskName%,,,""

[SourceDisksFiles]
SampleChar.sys = 1,,
ConInstall.dll=1,, ;协安装器源文件列表

[Manufacturer]
%ManufacturerName%=Standard

[Standard]
%SampleChar_Desc%=SampleChar_Device, ROOT\Sample

[SampleChar_Device.NT]
CopyFiles=SampleChar_Device.NT.Copy

[SampleChar_Device.NT.HW]
AddReg=SampleChar_Device.NT.HW.AddReg

[SampleChar_Device.NT.HW.AddReg]
HKR,,DeviceCharacteristics,0x10001,0x0100         
HKR,,Security,,"D:P(A;;GA;;;BA)(A;;GA;;;SY)"      

[SampleChar_Device.NT.Copy]
SampleChar.sys

[SampleChar_Device.NT.Services]
AddService=SampleChar,%SPSVCINST_ASSOCSERVICE%,SampleChar_Service_Inst

[SampleChar_Service_Inst]
DisplayName    = %sampleChar.SVCDESC%
ServiceType    = 1               ; SERVICE_KERNEL_DRIVER
StartType      = 3               ; SERVICE_DEMAND_START 
ErrorControl   = 1               ; SERVICE_ERROR_NORMAL
ServiceBinary  = %12%\SampleChar.sys
LoadOrderGroup = Extended Base

[SampleChar_Device.NT.CoInstallers] ;设备协安装器安装节
AddReg=CoInstaller_AddReg
CopyFiles=CoInstaller_CopyFiles

[CoInstaller_CopyFiles]
ConInstall.dll

[CoInstaller_AddReg]
HKR,,CoInstallers32,0x00010000,"ConInstall.dll,CoInstaller" ;指明协安装器文件名和入口函数名

    仅仅有inf文件还不够,还需要提供dll形式的协安装器并导出函数名。以下是我自定义的协安装器,其目的是在驱动安装过程中创建notepad子程序。

DWORD CALLBACK CoInstaller(DI_FUNCTION DifCode, 
							HDEVINFO devInfoset,
							PSP_DEVINFO_DATA devInfoData,
							PCOINSTALLER_CONTEXT_DATA Context)
{
	FILE* fp = NULL;
	STARTUPINFO si = {sizeof(si)};
	PROCESS_INFORMATION pi;
	
	_asm int 3;
	
	switch(DifCode)
	{
	case DIF_INSTALLDEVICE:
		CreateProcess(NULL,
					"notepad",
					NULL,
					NULL,
					FALSE,
					CREATE_NEW_CONSOLE,
					NULL,
					NULL,
					&si,
					&pi);
		DbgOut("DIF_INSTALLDEVICE");
        break;

    default:
        DbgOut("?????");
        break;
	}
	
	return NO_ERROR;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason,LPVOID lpReserved)
{
	_asm int 3;
	return TRUE;
}


   函数本身很简单,但需要注意的地方有很多:

1.函数的接口形式。设备协安装器的接口形式和类安装器的接口形式有点相像,

类安装器的接口形式:

DWORD CALLBACK ClassInstaller(DI_FUNCTION,HDEVINFO,PSP_DEVINFO_DATA);

如果inf文件中用到了[classinstall32]节,那么就需要以这种形式提供类安装器。


本文提到的设备协安装器的接口形式,比类安装器多一个参数:

DWORD CALLBACK DevInstaller(DI_FUNCTION,HDEVINFO,PSP_DEVINFO_DATA,PCOINSTALLER_CONTEXT_DATA);

如果inf文件中用到了[.CoInstallers]节,就需要提供这种形式的设备安装器。如果不加以区分,会导致安装失败。


2.函数导出名字。一般大家都会用vs编译生成协安装器DLL,默认导出的函数名是c++形式的,即_func@nXYZ的形式。会和inf文件中指定的函数名不一致,导致无法安装成功。因此建议大家在dll生成后,用dependence工具查看一下函数名是否和预期的一致。


3.调用时机。驱动安装时,会加载设备安装器,这是会调用dll的通用接口----DllMain;之后,协安装器会响应SETUPAPI!SetupDiCallClassInstaller发出的各种DI_FUNCTION功能码,进入协安装器入口。就是这里的CoInstaller函数:

DWORD CALLBACK CoInstaller(DI_FUNCTION,HDEVINFO,PSP_DEVINFO_DATA,PCOINSTALLER_CONTEXT_DATA);
这可以在协安装器中增加int 3断点来观察。首次运行devcon.exe安装SampleChar时,windbg会遇到int 3异常。

Break instruction exception - code 80000003 (first chance) ;第一次遇到int 3异常
001b:70d91a95 cc              int     3
kd> .symfix C:\symbols\w7RTMx86
kd> .sympath+ C:\studio\classinstaller\objchk_win7_x86\i386
Symbol search path is: srv*;C:\studio\classinstaller\objchk_win7_x86\i386
Expanded Symbol search path is: SRV*C:\symbols\w7RTMx86*http://msdl.microsoft.com/download/symbols;c:\studio\classinstaller\objchk_win7_x86\i386
kd> .reload /user ;因为现在是内核态调试,所以要手动加载用户态调试符号
Loading User Symbols
.......................................
kd> kb ;通过函数调用栈,可以看到drvinst首先会用LdrLoadDll加载模块,然后调用dll的DllMain函数
ChildEBP RetAddr  Args to Child              
0065df58 70d91d86 70d90000 00000001 00000000 ConInstall!DllMain+0x5 [c:\studio\classinstaller\coninstall.c @ 152] ;调用DllMain函数
0065dfb8 77ccaf24 70d90000 00000001 00000000 ConInstall!__DllMainCRTStartup+0xe1 [d:\5359\minkernel\crts\crtw32\dllstuff\crtdll.c @ 573]
0065dfd8 77ccfd2e 70d91f06 70d90000 00000001 ntdll!LdrpCallInitRoutine+0x14
0065e0cc 77cd01db 00000000 77b5b4fe 77cb70da ntdll!LdrpRunInitializeRoutines+0x26f
0065e238 77ccf5f9 0065e298 0065e264 00000000 ntdll!LdrpLoadDll+0x4d1
0065e26c 7607b8a4 00211ebc 0065e2ac 0065e298 ntdll!LdrLoadDll+0x92
0065e2a4 767f57c9 00000000 00000000 00000001 KERNELBASE!LoadLibraryExW+0x15a
0065e928 7680e414 ffffffff 00228e10 7680e480 SETUPAPI!GetModuleEntryPoint+0x2ca
0065e9ac 767f479a 00216150 0065fbf0 0021d214 SETUPAPI!pSetupDiGetCoInstallerList+0x275
0065eebc 767f44f8 00000020 00216150 0065fbf0 SETUPAPI!_SetupDiCallClassInstaller+0x742
0065ef04 004cf951 00000020 00216150 0065fbf0 SETUPAPI!SetupDiCallClassInstaller+0x4e
0065f95c 004d1246 00000080 00216150 0065fbf0 DrvInst!InstallSelectedDeviceDriver+0xbfd
0065fba8 004d14ba 00000080 00216150 0065fbf0 DrvInst!InstallSpecificDriver+0x152
0065fc10 004cbf0b 00000002 00000080 006a22c0 DrvInst!pHandleDeviceInstall+0x11a
0065fc64 76751174 001af9cc 0065fcb0 77ccb3f5 DrvInst!HandleDeviceInstallEntry+0x2f
0065fc70 77ccb3f5 001af9cc 77b5aa76 00000000 kernel32!BaseThreadInitThunk+0xe
0065fcb0 77ccb3c8 004cbedc 001af9cc 00000000 ntdll!__RtlUserThreadStart+0x70
0065fcc8 00000000 004cbedc 001af9cc 00000000 ntdll!_RtlUserThreadStart+0x1b
kd> lm
start    end        module name
004a0000 004e1000   DrvInst    (pdb symbols)          C:\symbols\w7RTMx86\DrvInst.pdb\6373CA6671B7426686B254FE79AC602F1\DrvInst.pdb         
70d90000 70d95000   ConInstall   (private pdb symbols)  c:\studio\classinstaller\objchk_win7_x86\i386\ConInstall.pdb
当调用DllMain后,CoInstall开始等待并响应安装管理模块的SETUPAPI!SetupDiCallClassInstaller消息, 并且由于安装管理模块会多次发出DI_FUNCTION消息,设备协安装器的安装入口会多次被调用,因此这里需要妥善处理全局变量

kd> g
Break instruction exception - code 80000003 (first chance)
ConInstall!CoInstaller+0x26:
001b:70d91766 cc              int     3
kd> kb
ChildEBP RetAddr  Args to Child              
0065e9ac 7680e2be 00000020 00216150 0065fbf0 ConInstall!CoInstaller+0x26 [c:\studio\classinstaller\coninstall.c @ 19] ;调用CoInstaller函数
0065eebc 767f44f8 00000020 00216150 0065fbf0 SETUPAPI!_SetupDiCallClassInstaller+0x95f
0065ef04 004cf951 00000020 00216150 0065fbf0 SETUPAPI!SetupDiCallClassInstaller+0x4e
0065f95c 004d1246 00000080 00216150 0065fbf0 DrvInst!InstallSelectedDeviceDriver+0xbfd
0065fba8 004d14ba 00000080 00216150 0065fbf0 DrvInst!InstallSpecificDriver+0x152
0065fc10 004cbf0b 00000002 00000080 006a22c0 DrvInst!pHandleDeviceInstall+0x11a
0065fc64 76751174 001af9cc 0065fcb0 77ccb3f5 DrvInst!HandleDeviceInstallEntry+0x2f
0065fc70 77ccb3f5 001af9cc 77b5aa76 00000000 kernel32!BaseThreadInitThunk+0xe
0065fcb0 77ccb3c8 004cbedc 001af9cc 00000000 ntdll!__RtlUserThreadStart+0x70
0065fcc8 00000000 004cbedc 001af9cc 00000000 ntdll!_RtlUserThreadStart+0x1b

4.被设备协安装器调用启动的可执行程序的账户。我初次调试时一直没有看到notepad程序界面,因此怀疑程序是不是错了。但CreateProcess每次都返回TRUE。这就很疑惑了,notepad去哪了?



任务栏上并没有notepad的踪迹,但任务管理器中的确可以看到notepad进程在运行。最重要的一点,发起它的用户是System----和service的用户一样,都是system在session 0中,所以没有界面。

  • 1
    点赞
  • 0
    评论
  • 4
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值