Wdf框架:FxDriverEntry----驱动程序的入口函数

最新推荐文章于 2024-09-26 11:01:02 发布
最新推荐文章于 2024-09-26 11:01:02 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: win驱动 WDF框架分析 文章标签: 内核 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/78639922
版权
本文解析了FxDriverEntry及其内部FxDriverEntryWorker函数的功能。详细介绍了FxDriverEntryWorker如何通过WdfVersionBind设置Wdf框架信息,并关联WdfDriverGlobals变量。最终调用DriverEntry作为驱动程序的入口。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    在前面的文章<Wdf框架中WdfDriverGlobals对象的创建>中简单的提到过WdfVersionBind函数的作用,但是没有来得及分析这个函数的调用处。今天得空,借这篇文章写下WdfVersionBind函数的调用者:FxDriverEntry。

    在写这篇文章前,我被WdfLdr.sys的名字误导,以为这个sys文件是内核的加载器,用于加载整个内核启动(Ldr是Loader的缩写)。所以,当时我很粗浅的认为这个驱动只在系统引导阶段才被调用,之后就靠边站了。然而事实却是,当系统启动后,只要加载基于WDF框架的驱动,就会中断在WdfVersionBind函数上。以登录到系统后,加载WinDDK中WdfSimple.sys驱动(toast驱动的WDF版本)为例:

kd> bp WDFLDR!WdfVersionBind
kd> g
Breakpoint 1 hit
WDFLDR!WdfVersionBind:
fffff802`9598d2d0 488bc4          mov     rax,rsp
kd> kb
RetAddr           : Args to Child                                                           : Call Site
fffff802`98a414a3 : ffff8881`fc86f000 ffff8881`fbf2c750 00000000`00000000 ffff327f`24cdc304 : WDFLDR!WdfVersionBind 
fffff802`5ab053e9 : 00000000`00000000 ffffd381`a819d460 ffff8881`fbf2c750 ffffffff`00000000 : wdfsimple!FxDriverEntryWorker+0x7f
fffff802`5abab13e : 00000000`00000000 00000000`00000000 00000000`00000004 ffffc285`00000004 : nt!IopLoadDriver+0x521
fffff802`5ab04495 : ffffd381`a819da01 ffffd381`a819d6c8 00000000`c0000000 ffffd381`a819d6a4 : nt!PipCallDriverAddDeviceQueryRoutine+0x1b6
fffff802`5ab03e93 : 00000000`00000000 00000000`00000014 00000000`c0000034 ffff8881`fbd6cd30 : nt!PnpCallDriverQueryServiceHelper+0xbd
fffff802`5ab0323d : ffff8881`fbd6cd30 ffffd381`a819d8e0 ffff8881`fbd6cd30 00000000`00000000 : nt!PipCallDriverAddDevice+0x317
fffff802`5acd5eda : ffff8881`fbd6cd30 00000000`00000001 ffffd381`a819db19 fffff802`5ab0397b : nt!PipProcessDevNodeTree+0x1cd
fffff802`5a824d9e : 00000001`00000003 00000000`00000000 ffffd381`a819daf0 00000000`00000000 : nt!PiRestartDevice+0xba
fffff802`5a6e0d79 : ffff8881`f97af040 fffff802`5a9a5320 fffff802`5aa46280 fffff802`5aa46280 : nt! ?? ::FNODOBFM::`string'+0x42bde
fffff802`5a7254bd : fffff802`5a9cb180 00000000`00000080 ffff8881`f88af6c0 ffff8881`f97af040 : nt!ExpWorkerThread+0xe9
fffff802`5a7d8456 : fffff802`5a9cb180 ffff8881`f97af040 fffff802`5a72547c 43ffff41`04080003 : nt!PspSystemThreadStartup+0x41
00000000`00000000 : ffffd381`a819e000 ffffd381`a8198000 00000000`00000000 00000000`00000000 : nt!KxStartSystemThread+0x16
图1:

图1结合调试输出显示,在登录系统后,加载驱动也会中断到WdfVersionBind。由此可见,OS会为每个Wdf驱动设置WDF框架的版本号等信息。这些内容属于上一篇文章的延伸,我要借助它引出这篇文章的主题:FxDriverEntry。

    上面的函数调用栈中只有frame 1与我们的驱动模块有关,但名字却是FxDriverEntryWorker。整份Sample源码中没有调用这个函数,可见,它是由编译器插入的。这就又引出2个疑问:

1.驱动入口DriverEntry在FxDriverEntryWorker函数执行完后调用;

2.反之,驱动入口DriverEntry在FxDriverEntryWorker函数之前执行。

如果属于情况2,可能我要重启或者重新加载驱动。怕麻烦的我最终选择用IDA加载wdfsimple.sys分析了函数流程。下图是在IDA中对DriverEntry函数执行"XRefs graph to"后生成的调用图,调用次序依次为FxDriverEntry->FxDriverEntryWorker->DriverEntry:


    FxDriverEntry只是一个包装函数,真正的工作全交由FxDriverEntryWorker完成。下面的代码是IDA对FxDriverEntryWorker函数反汇编后生成的伪代码。FxDriverEntryWorker首先为WdfSimple驱动对象DriverObject调用WdfVersionBind,设置Wdf框架信息并关联WdfDriverGlobals这个重要的全局变量。如果WdfVersionBind调用成功,则会调用DriverEntry进入我们程序的入口。这才是原来WDM模型中驱动程序的入口。

int __fastcall FxDriverEntryWorker(_DRIVER_OBJECT *DriverObject, _UNICODE_STRING *RegistryPath)
{
  _UNICODE_STRING *v2; // rsi@1
  _DRIVER_OBJECT *v3; // rdi@1
  int result; // eax@2
  int v5; // ebx@4
  void (__cdecl *v6)(_DRIVER_OBJECT *); // rax@7

  v2 = RegistryPath;
  v3 = DriverObject;
  if ( DriverObject )
  {
    result = WdfVersionBind_0(v3, &WdfDriverStubRegistryPath, &WdfBindInfo, &WdfDriverGlobals);
    if ( result >= 0 )
    {
      v5 = FxStubBindClasses(&WdfBindInfo);
      if ( v5 < 0 || (FxStubInitTypes(), v5 = DriverEntry(v3, v2), v5 < 0) )  //WdfVersionBind执行成功后,调用DrvierEntry
      {
      }
    本篇完



Cannot load settings from file:PyCharm打开本地项目显示项目文件
风口IT猪的成长录
08-10 2970
PyCharm:Cannot load settings from file.1. Cannot load settings from file.2. 打开本地项目显示项目文件 1. Cannot load settings from file. 使用 PyCharm 时,Project Structure 存在多余空的Project时,每次打开 PyCharm ,都会显示 Cannot load settings from file. 原因:可能是由于Project创建时的root切换,或者为空,
PyCharm打开本地项目重启后消失(解决Project能删除问题)
风口IT猪的成长录
08-10 2284
PyCharm打开本地项目重启后消失问题描述解决办法删除Project 问题描述 从本地导入一个项目,在原来的 Project 修改 root 目录,并修改编译器,重启后该项目消失。 解决办法 新建一个Project导入项目所在目录,重新attach当前WorkSpace,即可搞定! 删除Project 当我们创建的project过多时,有时候想用,但是发现PyCharm能删除,只能重命名。如果你想删除的话,可以在下一次创建项目时,覆盖原来的项目,之后可以rename,也算一种删除,这样就用每次都
PyCharm问题:PyCharm打开本地项目显示项目文件
weixin_42580692的博客
01-09 1924
软件:PyCharm 2016.3。
Pycharm加载项目时异常,看到自己的项目文件
綦枫Maple的博客
11-08 2385
最近看到一个朋友问,他把项目导入pycharm为什么项目的包项目显示,只在projects file显示
Pycharm项目目录显示,只有文件没有文件夹了,左侧栏颜色黄色
2301_79485441的博客
09-26 3051
找到文件夹下的idea文件夹,删除,重新打开项目文件。关机重启电脑,重新打开pycharm。可能是项目文件配置出错了。
pycharm文件夹未显示
weixin_45191158的博客
07-26 1065
【代码】pycharm文件夹未显示
PyCharm设置“中没有“项目“选项
m0_52547482的博客
07-07 868
PyCharm软件"设置"中没有"项目"选项。
Pycharm打开已有项目配置python环境的方法
12-17
本文将详细介绍如何在PyCharm打开已有项目并配置Python编译环境。 首先,打开PyCharm进行项目导入。启动PyCharm,点击菜单栏的“File” -> “Open...”,然后在弹出的对话框中选择你要打开项目根路径。这样,...
解决pycharm导入本地py文件时,模块下方出现红色波浪线的问题
09-16
在使用PyCharm进行Python开发的过程中,可能会遇到这样的情况:当你尝试导入一个位于本地项目的其他py文件时,虽然导入语句能够正常执行,但在编辑器中却会看到该导入语句下方出现了红色波浪线。这种情况可能会让人...
详解pycharm的newproject左侧没有出现项目选项的情况下创建Django项目的解决方法/社区版pycharm创建django项目的方法
09-24
在使用PyCharm社区版创建Django项目时,有时会遇到“New Project”左侧未显示Django选项的情况。这通常是由于PyCharm社区版直接内置Django支持导致的。以下是一步步解决这个问题并手动创建Django项目的方法: 1. ...
pycharm无法导入自己写的包以及Project栏中显示项目文件
我亦无他,唯手熟尔
12-15 1273
pycharm无法导入自己写的包以及Project栏中显示项目文件解决方案
pycharm运行正确,部分内容无法显示问题解决
LJL_python的博客
12-22 793
结束。
python程序编译之后、找到生成的pyc文件_浅谈python编译pyc工程--导包问题解决...
weixin_36455001的博客
02-04 850
利用python 编译工程,生产pyc文件pyc文件好处:是一种二进制机器码,并且隐藏了源文件代码,但是有和py文件一样的功能(可以理解为效果一样)所以可以将代码隐藏,便于商业价值,保护代码隐私还能和py文件一样可运行import compileallcompileall.compile_dir(r'/path')所以在一些情况下,需将源文件工程批量生成pyc文件来隐藏代码。上面代码即为 批量生成...
PyCharm 打开本地项目显示项目文件
热门推荐
huang.xiao的专栏
10-11 1万+
一、问题现象 PyCharm之前一直正常。 从github克隆了一个项目本地。 用PyCharm打开,发现打开显示项目文件。 问题排查: 本地新建项目发现可以显示项目文件 通过file–>settings–>project stucture—>选中自己的项目路径,然后将其标记成Sourses和Excluded,但是还是能看到项目文件。 二、解决办法 问题分析 PyCharm打开本地项目面有.idea目录,这个目录时PyCharm对应的项目配置。 同版本的PyCha
pycharm导入项目后,目录结构及文件显示灰色,执行脚本后提示ModuleNotFoundError
weixin_32906197的博客
03-10 1111
新导入python项目,需要Setting 下 添加项目结构,如图点击+,选中根目录即可。
常见Python运行时错误
程序猿的视界
12-19 3188
当初学 Python 时,想要弄懂 Python 的错误信息的含义可能有点复杂。这列出了常见的的一些让你程序 crash 的运行时错误。 1)忘记在 if , elif , else , for , while , class ,def 声明末尾添加 :(导致 “SyntaxError :invalid syntax”) 该错误将发生在类似如下代码中: if spam == 4
pycharm目录下的文件没有显示出来,可能是一下配置
qq_15821487的博客
10-17 3744
找到被排除的文件、取消被排除即可显示
为什么用PyCharm打开某个项目,有些项目显示Git工具栏,而有些项目没有?
m0_52848925的博客
06-09 5228
如果项目的 .git 文件夹被删了,PyCharm则会通过 .gitignore 文件或者 .gitmodules 文件来识别项目关联的Git仓库,并显示Git工具栏。②被修改过的文件的颜色会变,再是黑色了,会变成蓝色(修改了内容)、红色(新增的文件,但没有git add)、绿色(新增的文件,且已经git add,没有commit)。②PyCharm显示Git工具栏,但如果你对项目进行了修改,它会提示你进行git add和commit(就是将新改的信息记录到 .git 文件)。
pycharm打开文件
最新发布
02-14
### PyCharm 打开文件显示全的解决方案 当遇到PyCharm打开文件显示全的情况时,可以尝试以下几种方法来解决问题。 #### 方法一:清理缓存并重启IDE 有时IDE内部缓存可能导致文件加载异常。通过清除缓存再启动程序能够有效改善此状况。具体操作路径为`File -> Invalidate Caches / Restart...`,之后按照提示完成相应动作即可[^1]。 #### 方法二:调整编辑器字体设置 如果是因为字体原因造成的内容显示问题,则可以通过修改编辑区内的文字样式来进行修复。进入`Settings/Preferences | Editor | Font`选项卡内更改合适的字号大小以及启用抗锯齿功能等参数配置[^2]。 #### 方法三:检查项目结构配置 对于某些特定场景下的源码视图缺失现象,可能是由于当前工作空间未能正确识别全部模块所引起。此时应该核查Project Structure的Content Roots设定项是否涵盖了整个工程根目录;必要时可手动添加遗漏部分,并保存变更生效[^3]。 ```python # 示例代码用于展示如何获取当前项目的根路径,在实际应用中可根据需求调用该函数辅助排查问题 import os def get_project_root(): current_file = os.path.abspath(__file__) project_dir = os.path.dirname(current_file) while not os.path.exists(os.path.join(project_dir, '.idea')): parent_dir = os.path.dirname(project_dir) if parent_dir == project_dir: break project_dir = parent_dir return project_dir print(f"Current Project Root Directory is {get_project_root()}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值