实现驱动最早启动

已于 2022-06-27 18:50:50 修改
阅读量812 收藏 3
点赞数 1
分类专栏: 内核安全编程 文章标签: 驱动开发
于 2020-08-21 16:53:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108121193
版权

内核驱动加载顺序

内核的驱动是分组的,系统启动时是根据组来加载的.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 这个注册表项记录了组的启动顺序,可以从下图看出最早启动的组是System Reserved
在这里插入图片描述

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList 此注册表项记录了每一个组内不同服务的启动顺序

在这里插入图片描述
GroupOrderList 的每一各组内的数据是4字节的,记录的是组内服务的tag值,系统启动时会先查找组然后查找组内对应的值,如果服务的tag和这个值相等,就加载这个服务.
在这里插入图片描述

要让我们的驱动实现最早启动,需要有以下几点注意的地方
1:驱动文件的目录需要在system32目录下
2:把驱动目录前面的路径删除,剩下以system32开头的目录
在这里插入图片描述

3:打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LoadFirst 把start改成 0 表示系统引导启动
4:新建一个字符串值,键名:Group 键值 System Reserved
在这里插入图片描述
重启系统就可以看见,我们自己的驱动模块是在第5个位置加载的.
在这里插入图片描述

程序安装实现驱动最早启动

创建服务的方式

VOID ServiceInstall()
{

	SC_HANDLE hSCmanager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
	SC_HANDLE hService;
	DWORD dwTag = 1;
	hService = CreateService(hSCmanager,
		TEXT("loadfirst"),
		TEXT("loadfirst"),
		SERVICE_ALL_ACCESS,
		SERVICE_KERNEL_DRIVER,
		SERVICE_BOOT_START,
		SERVICE_ERROR_IGNORE,
		TEXT("System32\\Drivers\\loadfirst.sys"),	//驱动的路径
		TEXT("System Reserved"),
		&dwTag, NULL, NULL, NULL
		);
	// 	if (hService != NULL)
	// 	{
	// 		StartService(hService,NULL,NULL);
	// 	}
	CloseServiceHandle(hSCmanager);
	CloseServiceHandle(hService);


}

直接修改注册表方式

//需要静态引入DLL
#include <shlwapi.h>
#pragma comment(lib,"Shlwapi.lib")

VOID ServiceInstall()
{
	//HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\loadfirst
	DWORD dwStart = SERVICE_BOOT_START;
	DWORD dwType = SERVICE_KERNEL_DRIVER;
	DWORD dwTag = 1;
	SHSetValue(HKEY_LOCAL_MACHINE, TEXT("SYSTEM\\CurrentControlSet\\Services\\loadfirst"), TEXT("ImagePath"), REG_EXPAND_SZ, TEXT("\\SystemRoot\\System32\\Drivers\\.aaa%I64x.sys"), (lstrlen(TEXT("\\SystemRoot\\System32\\Drivers\\.aaa%I64x.sys")) + 1)*sizeof(TCHAR));
	SHSetValue(HKEY_LOCAL_MACHINE, TEXT("SYSTEM\\CurrentControlSet\\Services\\loadfirst"), TEXT("Group"), REG_EXPAND_SZ, TEXT("System Reserved"), (lstrlen(TEXT("System Reserved")) + 1)*sizeof(TCHAR));
	SHSetValue(HKEY_LOCAL_MACHINE, TEXT("SYSTEM\\CurrentControlSet\\Services\\loadfirst"), TEXT("Start"), REG_DWORD, &dwStart, sizeof(dwStart));
	SHSetValue(HKEY_LOCAL_MACHINE, TEXT("SYSTEM\\CurrentControlSet\\Services\\loadfirst"), TEXT("Type"), REG_DWORD, &dwType, sizeof(dwType));

}
qq_857305819
关注
专栏目录
Windows驱动的加载顺序
摔不死的笨鸟的博客
11-02 2323
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。 Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载的驱动优先获得到更早的权限,拿到主机的权限。 2017年出现的Rootkit狼人杀就把.
全志V3S嵌入式驱动开发(spi-nand驱动,升级到5.2 kernel)
嵌入式-老费,一个分享专业嵌入式知识的blog
06-16 1948
【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】 nand flash相信大家并不陌生,特别是现在很多的固态硬盘上面,有很多的nand flash。只不过根据存储的大小,分成slc、mlc和tlc三种。早在差不多20年前,那个时候大家还都是学习s3c2440的时候,标准的核心板就是soc+ddr+nandflash,或者是soc+ddr+norflash。那个时候,norflash一般是spi接口的,nandflash一般是专门的i
驱动加载顺序
Lydia的博客
08-25 2359
第一阶段:系统加电自检POST过程。POST是Power On Self Test的缩写,也就是加电自检的意思,微机执行内存FFFF0H处的程序(这里是一段固化的ROM程序),对系统的硬件(包括内存)进行检查。  第二阶段:读取DPT和MBR。当微机检查到硬件正常并与CMOS设置相符后,按照CMOS设置从相应设备启动(我们这里假设从硬盘启动),读取硬盘的分区表(DPT)和主引导记录(MBR)。 
Windows启动阶段驱动程序加载顺序
wangjiabin2007的专栏
09-01 5210
驱动程序在注册表中键值的设置,可以定制驱动程序的加载顺序。牵涉到的注册表的键值Type,Start,Tage,Group。其中Group,tag值的使用这里进行了详细的解释。type类型在前面的文章中已经有描述了,start类型应该就不用再多讲了。
注册表中HKEY_LOCAL_MACHINE\SYSTEM\下的CurrentControlSet ControlSet001 ControlSet002 的区别
babytiger的专栏
04-25 3348
是第一个备份控制集,是在安装Windows操作系统时创建的,包含默认的系统配置信息,也就是系统初始状态下的配置信息。这三个注册表项都是Windows操作系统中的主要部分,存储了系统配置和设置。是用于备份系统配置信息的,以确保在系统崩溃或需要回滚到先前的状态时可以快速恢复系统配置。进行的更新,当对系统进行重要的更改时,Windows会自动将当前配置信息保存在。是当前正在运行的控制集,包含当前正在使用的系统配置信息,即当前的系统配置。是第二个备份控制集,也是在安装Windows操作系统时创建的。
如何控制设备驱动程序的加载顺序
aasa2的专栏
11-16 1991
设计 Windows NT 时所采用的概念是:第一个提出占有某设备的驱动程序获得该设备的所有权。这个所有权可以共享,也可以独占,这由提出占有要求的设备驱动程序决定。如果设备驱动程序对设备提出了独占占有要求,则由以后加载的设备驱动程序对该设备尝试提出的任何占有要求都将失败。因此,设备驱动程序的加载顺序必须可以由设备驱动程序的作者进行修改。本文介绍可用于控制设备驱动程序加载顺序的两种方法。
windows内核情景分析 --- 服务管理
maomao171314的专栏
04-04 914
随时可以看到任务管理器中有一个services.exe进程,这个就是系统的服务控制管理进程,简称SCM 这个进程专门用来管理服务(启动、停止、删除、配置等操作) 系统中所有注册的服务都登记在\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services键下,这个键专门叫做‘服务键’,服务键下面的每个子键代表一个服务,记录了各个服务的信息。
python事件驱动event实现详解
12-25
脚本型:脚本型的程序包括最早的批处理文件以及使用Python做交易策略回测等等,这类程序的特点是在用户启动后会按照编程时设计好的步骤一步步运行,所有步骤运行完后自动退出。 连续运行型:连续运行型的程序包含了...
Uport1100驱动
06-28
首先,RS-232是最早的串行通信标准,常用于短距离通信,如连接键盘、鼠标或调制解调器。RS-422和RS-485则在RS-232的基础上提高了数据传输速率和距离,尤其适合多点通信网络,例如工业自动化、安防监控和远程数据采集...
mkinitcpio-archlogo:将彩色的Arch Linux ASCII艺术徽标添加到早期启动过程
05-24
这个工具的主要任务是创建一个包含内核启动所需最小驱动程序和实用程序的临时文件系统,这个文件系统会在系统引导时加载到内存中,直到根文件系统可用。`mkinitcpio`通过一组称为“hooks”的脚本来实现这一功能,...
如何启动和拓展平台型业务(3):12种驱动供给侧增长的杠杆 .doc
03-13
平台型业务的启动和拓展是互联网领域中的一个重要话题,尤其对于计算机技术和互联网行业而言,创建一个成功的平台意味着连接供需两侧并实现快速成长。本篇文章主要探讨了如何驱动供给侧增长,这是构建平台业务的关键...
windows驱动加载顺序
┌LiHoo┐
07-08 3143
CreateService的dwStartType 形参 有几个选项值 SERVICE_BOOT_START SERVICE_AUTO_START SERVICE_SYSTEM_START   我们一般都只用SERVICE_DEMAND_START 那么其他几个值的含义呢? 参考MSDN windows驱动加载顺序: 1. 判断StartType,依次按SERVICE_BOOT_ST
关闭睿频提升续航静音运行
攻城狮·正
02-25 3368
现在的笔记本性能越来越高,通过睿频技术短时间内让CPU快速运行。在提高处理速度带来的负面影响就是温度升高,风扇呼呼作响,特别影响心情。有时候我们只是浏览网页和写文档,默认频率下的性能完全足够。 平时我在夜晚会关闭CPU睿频,使用体验和正常睿频下的速度几乎没差别,但电脑安静很多,风扇转声小,使用电池的情况下续航多了近两小时。 品牌笔记本一般都带电源管理软件,我使用的是Dell笔记本,CPU是i7-8565U,官方基准频率是1.80GHz,睿频能达到4.4GHz。Dell可能对该CPU性能有做优化,这颗CP
改变Windows服务的启动顺序
ALCAT的专栏
01-13 5715
要改变Windows服务的启动顺序,只要修改Windows的注册表就可 以了。任何Windows服务的注册信息可以在注册表的HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\\键下找到。下面就介绍几个与服务启动顺序相关的服务的值:   Group值:一个REG_SZ类型的值。它用来描述服务属于那一个服务组。如果服务没有这一项,那么它
ControlSet 和 CurrentControlSet 注册表
最新发布
木偶不哭不笑的博客
03-05 574
一个 control set 包含系统配置信息,例如设备驱动和服务。在查看注册表时,可能会看到多个 control sets。一些是其他的拷贝或者镜像,一些是单独的。control sets 在子键下,可能有多个 control sets,具体取决于更改系统设置的频率或选择的设置出现问题的频率。通常会有以下四个可能是启动时最后使用的控制集。可能是最后一次已知的良好的控制集,或者是上次成功启动 Windows NT 的控制集。子项实际上是指向其中一个键的指针。Clone是。
修改windows远程桌面端口
yang_yulin的博客
08-31 731
1、打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],修改右边PortNamber的值,其默认值是3389,修改成所希望的端口即可,例如3309 2、再打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Con
使用TraceView观察Windows PCIE驱动设备加载和卸载过程
u013218636的博客
08-06 772
本文主要结合TraceView.exe工具,介绍一个典型的KMDF驱动程序的加载和卸载过程。相关理论主要来自《Win7设备驱动程序开发》一书。关于TraceView.exe的使用,可以参考我之前的博客:点击打开链接。 一、启动和加载顺序 在《Win7设备驱动程序开发》的7.2节——“设备的枚举和启动”中,提到:为了准备操作设备,KMDF将按固定顺序调用驱动程序的...
GBA串口驱动代码实现启动执行方法
3. 启动执行:描述中提到的“可以启动的时候执行”指的是驱动代码或相关程序在GBA设备加电启动时,自动加载并运行,实现串口通信的功能。 4. 压缩包中的文件:文件名称列表中提供了几个关键文件,这表明压缩包内...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值