windows下串口过滤

最新推荐文章于 2022-10-27 10:29:25 发布
最新推荐文章于 2022-10-27 10:29:25 发布
阅读量369 收藏 1
点赞数
分类专栏: Windows系统编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18059143/article/details/102692241
版权

主要参考windows内核安全与驱动开发的第七章

实现原理如下图

 

 源码如下

///
/// @file		comcap.c
/// @author	crazy_chu
/// @date		2008-6-18
/// 

#include <ntddk.h>
#define NTSTRSAFE_LIB
#include <ntstrsafe.h>

#ifndef SetFlag
#define SetFlag(_F,_SF)       ((_F) |= (_SF))
#endif
#ifndef ClearFlag
#define ClearFlag(_F,_SF)     ((_F) &= ~(_SF))
#endif
#define CCP_MAX_COM_ID 32

// 使能函数。
void cppSetEnable(BOOLEAN enable);

// 过滤掉所有的irp。对现有的irp
BOOLEAN ccpIrpFilter(PDEVICE_OBJECT device, PIRP irp, NTSTATUS *status);

// 在irp的时候过滤。如果返回TRUE则表示已经处理过的irp.
BOOLEAN ccpFileIrpFilter(
	PDEVICE_OBJECT next_dev,
	PIRP irp,
	PIO_STACK_LOCATION irpsp,
	NTSTATUS *status);

// 卸载的时候调用。可以解除绑定。
void ccpUnload();

// 这个函数在DriverEntry中调用,可以绑定所有的串口。
void ccpAttachAllComs(PDRIVER_OBJECT driver);

enum {
	CCP_IRP_PASS = 0,
	CCP_IRP_COMPLETED = 1,
	CCP_IRP_GO_ON = 2
};

extern int ccpIrpPreCallback(
	PDEVICE_OBJECT device,
	PDEVICE_OBJECT next_dev,
	PIRP irp, ULONG i,
	PVOID *context);

extern void ccpIrpPostCallback(
	PDEVICE_OBJECT device,
	PDEVICE_OBJECT next_dev,
	PIRP irp,
	PIO_STACK_LOCATION irpsp,
	ULONG i,
	PVOID context);

// 过滤设备和真实设备
static PDEVICE_OBJECT s_fltobj[CCP_MAX_COM_ID] = { 0 };
static PDEVICE_OBJECT s_nextobj[CCP_MAX_COM_ID] = { 0 };

// 打开一个端口设备
PDEVICE_OBJECT ccpOpenCom(ULONG id, NTSTATUS *status)
{
	UNICODE_STRING name_str;
	static WCHAR name[32] = { 0 };
	PFILE_OBJECT fileobj = NULL;
	PDEVICE_OBJECT devobj = NULL;

	// 输入字符串。
	memset(name, 0, sizeof(WCHAR)* 32);
	RtlStringCchPrintfW(
		name, 32,
		L"\\Device\\Serial%d", id);
	RtlInitUnicodeString(&name_str, name);

	// 打开设备对象
	*status = IoGetDeviceObjectPointer(&name_str, FILE_ALL_ACCESS, &fileobj, &devobj); 
	//如果文件对象打开了,一定要对文件对象解除引用
	if (*status == STATUS_SUCCESS)
		ObDereferenceObject(fileobj);

	return devobj;
}

NTSTATUS
ccpAttachDevice(
PDRIVER_OBJECT driver,
PDEVICE_OBJECT oldobj,
PDEVICE_OBJECT *fltobj,
PDEVICE_OBJECT *next)
{
	NTSTATUS status;
	PDEVICE_OBJECT topdev = NULL;

	// 生成虚拟设备,然后绑定之。
	status = IoCreateDevice(driver,
		0,
		NULL,
		oldobj->DeviceType,
		0,
		FALSE,
		fltobj);

	if (status != STATUS_SUCCESS)
		return status;

	// 拷贝重要标志位。
	if (oldobj->Flags & DO_BUFFERED_IO)
		(*fltobj)->Flags |= DO_BUFFERED_IO;
	if (oldobj->Flags & DO_DIRECT_IO)
		(*fltobj)->Flags |= DO_DIRECT_IO;
	if (oldobj->Flags & DO_BUFFERED_IO)
		(*fltobj)->Flags |= DO_BUFFERED_IO;
	if (oldobj->Characteristics & FILE_DEVICE_SECURE_OPEN)
		(*fltobj)->Characteristics |= FILE_DEVICE_SECURE_OPEN;
	(*fltobj)->Flags |= DO_POWER_PAGABLE;
	// 绑定一个设备到另一个设备上
	topdev = IoAttachDeviceToDeviceStack(*fltobj, oldobj);
	if (topdev == NULL)
	{
		// 如果绑定失败了,销毁设备,重新来过。
		IoDeleteDevice(*fltobj);
		*fltobj = NULL;
		status = STATUS_UNSUCCESSFUL;
		return status;
	}
	*next = topdev;

	// 设置这个设备已经启动。
	(*fltobj)->Flags = (*fltobj)->Flags & ~DO_DEVICE_INITIALIZING;
	return STATUS_SUCCESS;
}

// 这个函数绑定所有的串口。
void ccpAttachAllComs(PDRIVER_OBJECT driver)
{
	ULONG i;
	PDEVICE_OBJECT com_ob;
	NTSTATUS status;
	for (i = 0; i<CCP_MAX_COM_ID; i++)
	{
		// 获得object引用。
		com_ob = ccpOpenCom(i, &status);
		if (com_ob == NULL)
			continue;
		// 在这里绑定。并不管绑定是否成功。
		ccpAttachDevice(driver, com_ob, &s_fltobj[i], &s_nextobj[i]);
		// 取消object引用。
	}
}

#define  DELAY_ONE_MICROSECOND  (-10)
#define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
#define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)

void ccpUnload(PDRIVER_OBJECT drv)
{
	DbgPrint("unload driver_test5");

	ULONG i;
	LARGE_INTEGER interval;

	// 首先解除绑定
	for (i = 0; i<CCP_MAX_COM_ID; i++)
	{
		if (s_nextobj[i] != NULL)
			IoDetachDevice(s_nextobj[i]);
	}

	// 睡眠5秒。等待所有irp处理结束
	interval.QuadPart = (5 * 1000 * DELAY_ONE_MILLISECOND);
	KeDelayExecutionThread(KernelMode, FALSE, &interval);

	// 删除这些设备
	for (i = 0; i<CCP_MAX_COM_ID; i++)
	{
		if (s_fltobj[i] != NULL)
			IoDeleteDevice(s_fltobj[i]);
	}
}

NTSTATUS ccpDispatch(PDEVICE_OBJECT device, PIRP irp)
{
	PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
	NTSTATUS status;
	ULONG i, j;

	// 首先得知道发送给了哪个设备。设备一共最多CCP_MAX_COM_ID
	// 个,是前面的代码保存好的,都在s_fltobj中。
	for (i = 0; i<CCP_MAX_COM_ID; i++)
	{
		if (s_fltobj[i] == device)
		{
			// 所有电源操作,全部直接放过。
			if (irpsp->MajorFunction == IRP_MJ_POWER)
			{
				// 直接发送,然后返回说已经被处理了。
				PoStartNextPowerIrp(irp);
				IoSkipCurrentIrpStackLocation(irp);
				return PoCallDriver(s_nextobj[i], irp);
			}
			// 此外我们只过滤写请求。写请求的话,获得缓冲区以及其长度。
			// 然后打印一下。
			if (irpsp->MajorFunction == IRP_MJ_WRITE)
			{
				// 如果是写,先获得长度
				ULONG len = irpsp->Parameters.Write.Length;
				// 然后获得缓冲区
				PUCHAR buf = NULL;
				if (irp->MdlAddress != NULL)
					buf =
					(PUCHAR)
					MmGetSystemAddressForMdlSafe(irp->MdlAddress, NormalPagePriority);
				else
					buf = (PUCHAR)irp->UserBuffer;
				if (buf == NULL)
					buf = (PUCHAR)irp->AssociatedIrp.SystemBuffer;

				// 打印内容
				for (j = 0; j<len; ++j)
				{
					DbgPrint("comcap: Send Data: %2x\r\n",
						buf[j]);
				}
			}

			// 这些请求直接下发执行即可。我们并不禁止或者改变它。
			IoSkipCurrentIrpStackLocation(irp);
			return IoCallDriver(s_nextobj[i], irp);
		}
	}

	// 如果根本就不在被绑定的设备中,那是有问题的,直接返回参数错误。
	irp->IoStatus.Information = 0;
	irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
	IoCompleteRequest(irp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	DbgPrint("start driver_test5");

	size_t i;
	// 所有的分发函数都设置成一样的。
	for (i = 0; i<IRP_MJ_MAXIMUM_FUNCTION; i++)
	{
		driver->MajorFunction[i] = ccpDispatch;
	}

	// 支持动态卸载。
	driver->DriverUnload = ccpUnload;

	// 绑定所有的串口。
	ccpAttachAllComs(driver);

	// 直接返回成功即可。
	return STATUS_SUCCESS;
}

效果验证
由于我没有串口设备,也没使用作者说的超级终端,所以我在虚拟机中安装了串口调试助手sscom5.13.1.exe(此前我的虚拟机已经搭建好双机调试环境,可以在虚拟机中的串口调试助手看见串口)。如果在串口助手中发送数据,则在debugView中可以捕获相关打印,如下图

windows驱动过滤-串口过滤
weixin_42071117的博客
03-26 471
#include <ntddk.h> #include <ntstrsafe.h> // 设定计算机上只有32个串口 #define CCP_MAX_COM_ID 32 #define DELAY_ONE_MICROSECOND (-10) #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND * 1000) #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND * 1000) // 保
Windows驱动开发-串口过滤
weixin_42071117的博客
04-15 462
// driver.c #include <ntddk.h> typedef struct _DeviceExtension { PDEVICE_OBJECT AttachDevice; IO_REMOVE_LOCK RemoveLock; } DeviceExtension, *PDeviceExtension; // 卸载函数 VOID DriverUnload(IN PDRIVER_OBJECT DriverObject); // 根据名称获取设备对象 PDEVICE_OBJEC
Windows内核安全编程》第三章 串口过滤
冰糖葫芦的夏天的博客
10-27 827
IoAttachDevice只能用来绑定具有名称的设备,且总是会绑定设备栈上最顶层的那个设备。在获得后不用时,必须通过ObDereferenceObject解除引用,否则内存泄漏。IRP都具有一个主功能号和一个次功能号。:调用者生成的用来过滤的虚拟设备。:字符串,要被绑定的设备的名字。:返回被绑定的设备对象的指针。:指针,要被绑定的设备的指针。:返回最终被绑定的设备。
串口过滤
svtanto的专栏
11-01 1121
 /* 描述 : 串口过滤 */#include // 过滤设备的设备扩展typedef struct _COM_FILTER_DEV_EXT { // 串口号 USHORT ComId; // 设备栈上位于过滤设备下一层的设备对象,卸载过滤设备时用 PDEVICE_OBJECT LowerDeviceObject;} COM_FILTER_DEV_EXT,
<读书笔记> windows内核安全 --- 串口过滤(1)
一泓清水
03-02 1218
一直从事windows驱动相关的工作,不过没有怎么梳理过整体的知识系统,最近又把这本寒江独钓再看一遍,并将一些所得所想记录下来,梳理一下相关内容。        串口是啥?串口就是串口呗,呵呵。随着PC机的更新换代,很多的电脑已经没有串口的身影,尤其是笔记本电脑,很少看见有带串口的电脑。没有归没有,但是用处还是挺大的,很多开发板都是通过串口将调试信息反馈到PC,给开发人员多了一种调试方法,还有驱
CommMonitor10.0.3串口过滤工具(serial port monitor)
diannong7521的博客
11-09 604
CommMonitor串行端口监视精灵是用于RS232 / RS422 / RS485端口监控的专业强大的系统实用程序软件。CommMonitor监视显示,记录和分析系统中的所有串行端口活动。这是追踪应用程序或驱动程序开发,串行设备测试和优化等过程中可能出现的问题的理想方法。还提供过滤、搜索、数据导出和强大的数据拦截功能,可以将指定端口的数据流、控制流信息拦截并保存下来,供分析之用。...
串口驱动_串口驱动过滤_串口过滤_简单串口过滤驱动_
09-30
在开发串口过滤驱动时,开发者需要熟悉Windows Driver Model (WDM) 或者通用Windows驱动模型 (Universal Windows Driver, UWD),这些模型提供了驱动程序开发的框架。使用Visual Studio 2017,你可以创建一个驱动项目...
串口过滤工具 FilterTerminal
最新发布
09-13
**串口过滤工具 FilterTerminal** 是一款专为IT专业人士设计的强大工具,它主要用于串行通信数据的监控和分析。该工具的突出特点是其内置的过滤功能,允许用户通过设置关键字来筛选和过滤串口传输的数据,从而提高...
Windows串口调试助手
05-07
Windows串口调试助手深度解析》 在计算机硬件与嵌入式系统开发领域,串口通信作为一种简单而实用的数据传输方式,一直被广泛应用。在Windows操作系统环境下,开发者需要借助特定的工具进行串口调试,以查看...
串口过滤工具FilterTerminal(含使用说明).zip
11-03
非常好用的串口工具,最主要是支持串口日志的关键字过滤和自动日志文件存储, ZIP包中含了本人亲测的操作说明,亲民积分。(刚打开exe提示的错误信息可忽略,能正常使用)
串口过滤程序
07-05
串口过滤程序 对所有端口进行串口过滤,COM1~COM255
FilterTerminal--支持关键字过滤串口工具
10-18
很强大的串口工具,支持使用常规的TAG过滤串口数据,以及支持以正则表达式的形式的过滤,非常强大!!谁用谁知道!!FilterTerminal
串口过滤驱动及应用程序
03-16
完整的串口驱动过滤驱动及测试程序,有这方面需求的可以下载。提醒没有驱动编程经验的人,观看代码可能有些吃力.
Windows下虚拟串口的源代码
09-19
Windows下虚拟串口的源代码 Windows下虚拟串口的源代码
SSCOM32好用的串口调试工具,丁丁开发,可自定义要发送的内容
11-08
SSCOM32好用的串口调试工具,丁丁开发,可自定义要发送的内容(扩展部分),相当好用。
串口过滤(寒江独钓第3章笔记)
weixin_34357267的博客
06-21 104
绑定设备的内核API函数: NTSTATUS IoAttachDevice( IN PDEVICE_OBJECT SourceDevice , //调用者生成的用来过滤的虚拟设备 IN PUNICODE_STRING TargetDevice , //要被绑定的目标设备(设备名字) OUT PDEVICE_OBJECT *AttachedDevice//返回指针的指针...
[内核编程] 串口过滤
weixin_30897233的博客
08-29 233
一、过滤的概念:   过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真是驱动程序,就加入了新的功能。 1.1 设备绑定的内核API   进行过滤的最主要的方法是对一个设备对象(Device Object)进行绑定。通过编程可以生成一个虚拟设备对象,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则本来操作系统发送给真实设...
寒江独钓第3章——串口过滤
苞米地里捉小鸡的博客
05-25 372
一、过滤的概念:   过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真是驱动程序,就加入了新的功能。 1.1 设备绑定的内核API   进行过滤的最主要的方法是对一个设备对象(Device Object)进行绑定。通过编程可以生成一个虚拟设备对象,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则本来操作系统发送给真实设备的请求,就会首先发送到这个虚拟设备。   在WDK中,有多个内核API能实现绑定的功能。以下三个绑定API是
[内核安全1]串口过滤
輚至消亡
10-21 646
串口过滤是通过编写一个过滤驱动, 将其加载到计算机上,通过附着到所有串口设备的驱动上来实现对串口设备通信的监控。由于Windows上的串口设备名都是形如: \\Device\\Serial1 \\Device\\Serial2 \\Device\\Serial3 .... \\Device\\SerialN 所以可以通过枚举所有的串口设备名来把新的过滤驱动附着到上面。先来看一下下面的代码: PDEVICE_OBJECT ccpOpenCom(ULONG id, NTSTATUS *status)
Windows串口监视过滤驱动技术解析
在系统架构分析中,串口过滤驱动位于Windows串口驱动程序之上,其作用在于拦截并分析通过串口数据。这种驱动程序包含了必要的函数,如DriverEntry和AddDevice,以及一系列调度函数,用于处理来自系统的IRP请求。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值