NT驱动开发学习笔记001

最新推荐文章于 2024-11-01 12:18:35 发布
最新推荐文章于 2024-11-01 12:18:35 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 内核驱动编程学习 文章标签: extension 编译器 语言 开发工具 c 扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaojieChen/article/details/6395347
版权

 

题外话:

关于之前写的《内核编程学习笔记1-5》,那只是为了做某游戏的双开驱动而做的学习,所以比较肤浅(连NT式驱动和WDM式驱动都分不不清)。这次是一个系统的学习,会结合操作系统的知识来学习,是一个系统的学习过程,所以要重新写的学习笔记。加油吧~


NT驱动开发学习笔记一2011.05.04


关于头文件

#pragma once //表示这个头文件只会被包含一次,可以防止重复包含


②关于调用约定

#ifdef __cplusplus

extern "C"

{

#endif

#include <NTDDK.h>

#ifdef __cplusplus

}

#endif

从上面可以看出,在包含NTDDK.h这个头文件的时候用了extern "C",是因为C++C语言的编译器的编译后的函数符号不一致,可能会导致链接错误。下面详细说明:


各种调用约定

C语言调用约定 __cdecl 调用者清除堆栈,会在calladd esp,***

标准调用约定 __stdcall 被调用的子函数清除堆栈,最后ret ***

快速调用约定 __fastcall 参数在寄存器传递

C++ 类成员函数调用约定 __thiscall 用来方位类成员函数

C++ 托管函数调用约定 __clrcall 多用于.net技术


对于void Func(int a, int b) 这个函数,由于清除堆栈的方式不同

_cdecl 的这个函数在目标文件中产生的符号为 _Func

_stdcall 的这个函数在目标文件中产生的符号为 _Func@8

再举个例子:驱动入口DriverEntry这个函数的默认符号为 _DriverEntry@8,如果用的是_cdecl来编译,可想而知就会成了_DriverEntry,链接错误。


再说说C++为了方便重载技术的实现,会把上面说的Func函数编译成符号(导出名)_?Foo@@YGXHH@Z,就是把参数的类型都作为符号了,这样的话当然会出现链接错误了。

加上extern "C"就可以强制C++编译器按照C语言的方式来编译


③NT驱动编译后是一个PE格式的sys文件

所以在.text Segment(代码段)中有不同的Section(节)

INIT:初始化完成后释放

PAGE:位于可以进行分页交换的空间

PAGELK:位于不可进行分页交换的内存空间(默认不设置预编译)

通过下面的2种预编译可以使得代码编译出来后在sys文件的位置

第一种:

例如:#pragma alloc_text(INIT, DriverEntry)

第二种:

#define INITCODE code_seg("INIT")

#define PAGECODE code_seg("PAGE")

#define PAGELKCODE code_seg()

然后在DriverEntry的实现之前

#prama INITCODE


④关于设备扩展结构DEVICE_EXTENSION

typedef struct _DEVICE_EXTENSION

{//设备扩展结构

PDEVICE_OBJECT pDeviceObject; //设备对象指针

UNICODE_STRING szDeviceName; //设备名称

UNICODE_STRING szSymLinkName; //符号链接名称

}DEVICE_EXTENSION, *PDEVICE_EXTENSION;


DEVICE_OBJECT结构体里面有个成员 PVOID DeviceExtension;提供给程序员自己定义自己的结构体来生成对象传递某些信息,如变量,函数地址等,起到类似全局变量的作用,另外,在驱动程序中,应该尽量避免使用全局变量,使用全局变量可能会涉及不容易同步的问题。


⑤下面是一些函数的声明:

//驱动程序入口

NTSTATUS DriverEntry(

IN PDRIVER_OBJECT  pDriverObject, 

IN PUNICODE_STRING  pRegistryPath);


//卸载驱动例程

VOID myDDKUnload(IN PDRIVER_OBJECT  pDriverObject);


//驱动派遣例程

NTSTATUS myDDKDispatchRoutine(

    IN PDEVICE_OBJECT pDeviceObject,

IN PIRP pIrp);


//创建设备例程

NTSTATUS CreateDevice(IN PDRIVER_OBJECT  pDriverObject);


Markhttp://www.osronline.com/

这个老外的网站,有很多驱动开发工具下载。

 

piaojieChen
关注
专栏目录
驱动开发学习笔记
07-29
本篇学习笔记将深入浅出地探讨驱动开发,尤其是针对Windows环境下的WDM(Windows Driver Model)。 首先,驱动程序是操作系统与硬件设备之间的桥梁,它的主要任务是管理和控制硬件设备,使其能够按照操作系统和应用...
windows驱动面试 基础
feixi7358的博客
09-29 1916
1、CreateFile从r3到r0所调用的函数 CreateFile-&gt;ZwCreateFile-&gt;NtCreateFile-&gt;IoCreateFile-&gt;IRP_MJ_CREATE 2、自旋锁和信号量在互斥使用时注意哪些? 使用自旋锁的进程不能睡眠,使用信号量的进程可以睡眠。中断服务例程中的互斥使用的是自旋锁 3、minifilter与sfilter的区别 解...
Filter驱动开发笔记
12-23
- **学习目标**:帮助开发者快速掌握NDIS Filter驱动开发的基础知识。 #### 18. VMware+Windgb+Win7内核驱动调试 - **调试环境**:使用VMware创建Win7虚拟机,在虚拟机中运行内核驱动程序,并利用Windgb进行调试。...
文件过滤系统驱动开发Filemon学习
09-27
### 文件过滤系统驱动开发Filemon学习 #### 一、文件过滤系统驱动简介 在Windows操作系统中,文件过滤系统驱动主要用于实现对文件系统操作的监控与干预。这些驱动程序能够拦截和处理各种文件系统请求(如读取、...
Windows驱动开发技术详解_读书笔记
03-23
通过以上内容的学习,我们可以了解到《Windows驱动开发技术详解》第一章主要介绍了Windows驱动开发的基础知识,包括DDK的安装与配置、NT驱动与WDM驱动的区别,以及一个简单的NT驱动实例。这些内容为后续章节更...
内核编程学习笔记(004) 对某某游戏的驱动双开的分析及其学习
飘之境界_puztion
04-23 3098
<br /><br />目前网络游戏,由于外(和谐)挂盛行,在游戏中加了很多很多的防护校验,我们耳熟能详的有TP,NP,HS,xtrap,apex等,在游戏加载前都可以看到它们的身影。<br /><br /><br /><br />作为一个初学内核驱动的菜鸟,看着高手们辗压各种驱动保护,心里真的是羡慕妒嫉恨啊。不过,现在还是要打好基础为最重要。先还是实现一个简单的驱动双开吧~<br /><br /><br /><br />某游戏要实现双开,说难不难,说容易不容易,主要是有一条技术分界线,那就是ring0级的
内核编程学习笔记(005) “天空很蓝”的5个教训
飘之境界_puztion
04-23 2721
<br /><br />某游戏的双开驱动虽然说是简单,本人在做这个工具的时候,蓝屏死机了n次,为了自己的电脑着想,特此把经验给记录下来。<br /><br />①寄存器没有平衡或平衡写错,低级错误打自己嘴巴。<br /><br />②页面保护欺骗逻辑与运算写错,低级错误。<br />and eax,not 00010000h<br />or eax,00010000h<br /><br />③对于SSDT里的Nt函数 整个操作系统都随时有可能会调用到,并不是只有自己心目中某程序想的时候才会用,就像NtCre
内核编程学习笔记(002) 利用API函数加载系统服务以加载驱动
飘之境界_puztion
02-27 1967
<br /><br />利用API函数加载系统服务以加载驱动<br /><br />基础知识:<br />一个服务由三部分组成,第一部分是Service Control Manager(SCM)。每个Windows NT/2000系统都有一个SCM,SCM存在于Service.exe中,在Windows启动的时候会自动运行,伴随着操作系统的启动和关闭而产生和终止。这个进程以系统特权运行,并且提供一个统一的、安全的手段去控制服务。它其实是一个RPC Server,因此我们可以远程安装和管理服务,不过这不在本文
NT驱动开发学习笔记005
飘之境界_puztion
05-07 817
<br /><br /> <br />题外话:<br />日日都睡午觉,睡午觉上瘾了,呵呵,希望自己能一直这样,做一个能睡午觉的程序员。<br /><br /><br />NT驱动开发学习笔记五2011.05.07<br />IO设备控制操作:<br />应用程序与驱动程序互交:正常来说,应用程序和驱动程序不是运行在同在同一个层上的,所以不能相互通讯。windows提供了ReadFile 、 WriteFile 和 DeviceIoControl等API,能让应用程序向底层发送IRP,达到和驱动程序互交的目
内核编程学习笔记(001)
飘之境界_puztion
02-26 800
<br /><br />1. WDK windows Driver Kit 下载并安装在本机上,安装路径要避免有空格,最新版本还会集成了WinDbg,很方便<br /> <br /> <br />2. 然后编写第一个工程<br /> <br />******驱动主程序myfirst.c<br /> <br /> <br />#include <ntddk.h><br /> <br /> <br />//卸载函数<br /> <br />VOID DriverUnload(PDRIVER_OBJECT dri
NT驱动开发学习笔记002
飘之境界_puztion
05-05 713
题外话:今天继续坚持写笔记,原来例程的意思就是没有返回值的函数啊,呵呵。NT驱动开发学习笔记二2011.05.05NT驱动的入口函数DriverEntry:NTSTATUS DriverEntry(IN PDRIVER_OBJECT  pDriverObject, //驱动对象指针IN PUNICODE_STRING  pRegistryPath) //设备服务在注册表中键名的字符串(全路径)本函数主要是要对驱动程序初始化工作,由系统进程调用,系统进程就是任务管理器看到的一个名为System的进程。在驱动
NT驱动开发学习笔记003
飘之境界_puztion
05-05 690
<br /><br /> <br />题外话:<br />坚持写笔记,慢慢形成习惯,劳逸结合,Go,Go,Go。<br /><br /><br />NT驱动开发学习笔记三2011.05.05<br /><br /><br />NT驱动的卸载例程DriverUnload:<br />A driver's Unload routine, if supplied, should be named XxxUnload, where Xxx is a driver-specific prefix. The drive
NT驱动开发学习笔记004
飘之境界_puztion
05-06 588
题外话:“我什么时候能长胖一点?”午觉刚醒,我看着自己竹竿似的手臂轻笑道。今天下午还是悠闲点,了解一下一些windos系统内核驱动的概念吧,操作固然重要,概念真的是不能少的。NT驱动开发学习笔记四2011.05.06基本概念:Windows两个模式:内核模式(Kernel Mode)和用户模式(User Mode)。对比起Linux系统的单一内核,这样Linux的速度就会很快,可是单一内核的耦合性太高了。CPU的4个特权层(i386):分别是Ring0 到 Ring3,其中Ring0最高,Ring3最低。W
如何光明正大地“编数据“
weixin_47195452的博客
10-28 727
在R语言中,缺失值(NA,Not Available)是数据分析中常见的问题(尤其在处理大型数据集时)。在数据处理过程中,直接删除或认为填写缺失值都是错误的行为,我们需要利用R语言科学的"填写"缺失值处理。R提供了多种方法来检测、处理和替换缺失值,以确保分析结果的准确性和完整性。1) 需要用到的包。
基于SSM医药进出口交易系统的设计
最新发布
2401_83198589的博客
11-01 179
管理员账户功能包括:系统首页,个人中心,商品信息管理,仓储部门管理,供应部门管理,业务部门管理,客户管理,财务部管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。业务部门账号功能包括:系统首页,个人中心,采购订单管理,销售订单管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
玩转PyCharm:常用操作和快捷键
weixin_73060959的博客
10-23 1189
在上图所示的界面在,我们可以选择新建虚拟环境(New environment using Virtualenv),这里的“Virtualenv”是PyCharm默认选择的创建虚拟环境的工具,我们就保留这个默认的选项就可以了。PyCharm的菜单项中有一个非常有用的“Code”菜单,菜单中提供了自动生成代码、自动补全代码、格式化代码、移动代码等选项,这些功能对开发者来说是非常有用的,大家可以尝试使用这些菜单项或者记住它们对应的快捷键,例如在macOS上,格式化代码这个菜单项对应的快捷键是。
Windows驱动程序开发学习笔记
"Windows驱动程序开发学习笔记,由作者灰狐分享,可在多个社区和博客找到。内容涵盖驱动开发的基础知识、实践经验和个人心得。作者强调书籍的非营利性质,并提供了联系方式和相关链接。" 在Windows操作系统中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值