Windows内核编程(三)-内核驱动运行与调试

内核驱动运行与调试

驱动的运行

驱动的运行通过服务来实现。

微软规定，驱动文件必须经过微软的数字签名后，才可以运行在64位系统上，如果把没有经过签名的驱动直接放在64位操作系统中运行，结果是驱动加载失败，失败原因是驱动没有签名。
解决方法：

1. 把操作系统配置成调试模式，调式模式的系统，默认允许未签名的驱动运行
2. l临时关闭系统驱动签名校验，在开机时修改启动参数

对于Windows 7操作系统来说，开机时可以在键盘上按 F8 键，选择禁用驱动程序签名强制
对于Windows 10 系统来说，可以在高级重启中设置，具体操作为: 开始菜单 → 设置 → 更新安全 → 恢复，在高级启动下点击 立即重新启动 按钮，然后在出现的界面中选择 疑难解答 → 高级选项 → 启动设置 ，点击 重启 按钮，系统开始重启，在启动过程中会显示启动选项，在键盘上输入数字 7，即选择 禁用驱动程序强制签名。

3. 还可以把系统驱动程序强制签名永久去掉，但是这样会大大降低系统的安全性，不建议使用。

把驱动程序放在系统的C盘下，以管理员权限运行cmd(命令提示符)，在cmd中输入注册驱动的命令：
sc create MyDriver binPath="C:\MyDriver.sys" type= kernel start= demand

其中 sc create 表示创建一个服务，binPath 指驱动文件所在磁盘位置，type 表示驱动的类型，start 表示该服务启动类型，demand 表示手动启动。
注意：在上面的命令中，等号(=)后面需要有一个空格(测试没有也行，不知道是不是微软修复了这个bug)。

sc 命令内部也是通过服务的 API 对服务进行注册，与直接通过API创建服务的效果相同，通过sc命令，可以省区编写注册服务的代码。

成功创建后，使用sc命令来启动服务，命令如下：
sc start MyDriver
其中MyDriver为服务名，对应sc create后面的名字，这个命令的功能等同于StartService函数，服务成功运行后，命令行上显示创建的信息

驱动的调试

驱动运行之后，没有在代码中打印的调试信息没有显示，使用工具DbgView.exe进行调试，下载地址

以管理员权限打开Dbgview.exe，在菜单上选择 Capture，依次勾选"Capture Kernel" 以及 “Enable Verbose Kernel Output”。

由于MyDriver已经运行，如果需要观察DriverEntry的日志，首先需要停止驱动服务，然后再次启动驱动服务，停止驱动服务的命令为：sc stop MyDriver

成功执行停止命令后，保持DbgView不关闭，再次执行sc start MyDriver，可以在DbgView的窗口中看到以下日志

可以通过sc delete MyDriver命令删除先前已注册和创建的服务。