01 驱动编写基础案列

已于 2023-05-06 17:02:02 修改
阅读量91 收藏
点赞数
分类专栏: 驱动开发 文章标签: 驱动开发
于 2023-04-27 15:26:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130401592
版权

WinDbg为什么可以轻松分析结构体?本质原因就是它有符号文件并且能够解析它,也就是PDB文件 上一篇中为什么需要把项目目录加到symbol下的原因

应用层编程使用 <windows.h> 提供的各种API函数 MSDN文档
内核编程使用<ntddk.h>提供的各种API函数 (已安装了WDK) WDK文档

未导出函数

WDK说明文档中只包含了内核模块导出的函数,对于未导出的函数,则不能直接使用

如果要使用未导出的函数,自己定义一个函数指针,并且为函数指针提供正确的函数地址就可以使用了。2种办法可以获取导出的函数地址

1.特征码搜索 (硬编码)
2.解析内核PDB文件

驱动基本类型

unsigned long length 不建议这样写

使用WDK自己的类型

ULONG(unsigned long)	PULONG(unsigned long*)
UINT(unsigned int)		PUINT(unsigned int*)
UCHAR(unsigned char)	PUCHAR(unsigned char*)
UVOID(void)				PUVOID(void*)


typedef signed char         INT8, *PINT8;
typedef signed short        INT16, *PINT16;
typedef signed int          INT32, *PINT32;
typedef signed __int64      INT64, *PINT64;
typedef unsigned char       UINT8, *PUINT8;
typedef unsigned short      UINT16, *PUINT16;
typedef unsigned int        UINT32, *PUINT32;
typedef unsigned __int64    UINT64, *PUINT64;

返回值

大部分内核函数的返回值都是NTSTATUS类型

//函数举例
NTSTATUS PsCreateSystemThread()
NTSTATUS ZwOpenProcess()
NTSTATUS ZwOpenEvent()
//返回值结果
STATUS_SUCCESS			 	0x00000000 成功
STATUS_INVALID_PARAMETER 	0xC000000D 参数无效
STATUS_BUFFER_OVERFLOW 		0x80000005 缓冲区长度不够
其它返回说明 : 参考 ntstatus.h

异常处理

__try {
//可能出错的代码
} __except(filter_value) {
//出错的时候要执行的代码
}

filter_value:
EXCEPTION_EXECUTE_HANDLER(1),代码进入except块
EXCEPTION_CONTINUE_SEARCH(0),不处理异常,由上一层调用函数处理
EXCEPTION_CONTINUE_EXECUTION(-1),回去继续执行错误处的代码

内核内存函数

C语言		内核
malloc		ExAllocatePool //非分页内存是常驻内存的,分页内存会被放到文件上
memset		RtFillMemory
memcpy		RtlMoveMemory
free		ExFreePool

内核字符串种类

CHAR(char)/WCHAR(wchar_t)/ANSI_STRING/UNICODE_STRING

ANSI_STRING :
typedef struct _STRING 
{
	USHORT Length;
	USHORT MaximumLength;
	PCHAR Buffer;
} STRING;

UNICODE_STRING :
typedef struct _UNICODE_STRING
{
	USHORT Length;
	USHORT MaximumLength;
	PCHAR Buffer;
} UNICODE_STRING;

内核字符串操作

创建、复制、比较、转换

ANSI_STRING 字符串		UNICODE_STRING 字符串
RtllnitAnsiString		RtllnitUnicodeString
RtlCopyString			RtlCopyUnicodeString
RtlCompareString		RtlCompareUnicodeString
RtlAnsiStringToUnicodeString RtlUnicodeStringToAnsiString

驱动代码详解

#include <ntddk.h>

NTSTATUS UnloadDriver(PDRIVER_OBJECT DriverObject)
{
    DbgPrint("Chapter Driver By WingSummer,Unloaded Successfully!");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    DbgPrint("Chapter Driver By WingSummer,Loaded Successfully!");
    DriverObject->DriverUnload = UnloadDriver;

    return STATUS_SUCCESS;
}

DriverEntry
DriverEntry是驱动程序的入口,如果驱动加载成功后,就像Dll加载成功调用DllMain函数一样,调用该函数。

PDRIVER_OBJECT
PDRIVER_OBJECT是驱动对象的指针

typedef struct _DRIVER_OBJECT {
    CSHORT Type;
    CSHORT Size;

    PDEVICE_OBJECT DeviceObject;
    ULONG Flags;

    PVOID DriverStart;
    ULONG DriverSize;
    PVOID DriverSection;
    PDRIVER_EXTENSION DriverExtension;

    UNICODE_STRING DriverName;
    PUNICODE_STRING HardwareDatabase;
    PFAST_IO_DISPATCH FastIoDispatch;

    PDRIVER_INITIALIZE DriverInit;
    PDRIVER_STARTIO DriverStartIo;
    PDRIVER_UNLOAD DriverUnload;
    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;

我们看看这个结构 :

kd> dt _DRIVER_OBJECT 89B7FA20
ntdll!_DRIVER_OBJECT
   +0x000 Type             : 0n4
   +0x002 Size             : 0n168
   +0x004 DeviceObject     : (null)
   +0x008 Flags            : 0x12
   +0x00c DriverStart      : 0xbab50000 Void
   +0x010 DriverSize       : 0x6000
   +0x014 DriverSection    : 0x89936678 Void
   +0x018 DriverExtension  : 0x89b7fac8 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING "\Driver\HelloDriver"
   +0x024 HardwareDatabase : 0x80671ae0 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x028 FastIoDispatch   : (null)
   +0x02c DriverInit       : 0xbab54000     long  HelloDriver!GsDriverEntry+0
   +0x030 DriverStartIo    : (null)
   +0x034 DriverUnload     : 0xbab51040     void  HelloDriver!UnloadDriver+0
   +0x038 MajorFunction    : [28] 0x804f454a     long  nt!IopInvalidDeviceRequest+0

DriverStart :驱动对象加载后的起始地址

DriverSize : 驱动对象加载后的内存大小

DriverName : 驱动对象的名字

DriverUnload : 驱动对象的卸载地址

DriverSection : 存储目前所有已加载的驱动程序信息相关的LDR_DATA_TABLE_ENTRY结构体的双向循环链表。通过这个东西来实现把它们全部串起来,通过这个我们也可以进行遍历

kd> dt _LDR_DATA_TABLE_ENTRY 0x89936678
ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ 0x80554fc0 - 0x89b80d58 ]
   +0x008 InMemoryOrderLinks : _LIST_ENTRY [ 0xffffffff - 0xffffffff ]
   +0x010 InInitializationOrderLinks : _LIST_ENTRY [ 0x630069 - 0x0 ]
   +0x018 DllBase          : 0xbab50000 Void
   +0x01c EntryPoint       : 0xbab54000 Void
   +0x020 SizeOfImage      : 0x6000
   +0x024 FullDllName      : _UNICODE_STRING "\??\C:\Documents and Settings\wingsummer\桌面\HelloDriver.sys"
   +0x02c BaseDllName      : _UNICODE_STRING "HelloDriver.sys"
   +0x034 Flags            : 0x9104000
   +0x038 LoadCount        : 1
   +0x03a TlsIndex         : 0x49
   +0x03c HashLinks        : _LIST_ENTRY [ 0xffffffff - 0x1055c ]
   +0x03c SectionPointer   : 0xffffffff Void
   +0x040 CheckSum         : 0x1055c
   +0x044 TimeDateStamp    : 0xfffffffe
   +0x044 LoadedImports    : 0xfffffffe Void
   +0x048 EntryPointActivationContext : (null)
   +0x04c PatchInformation : 0x00650048 Void

我们可以看下一个成员

kd> dt _LDR_DATA_TABLE_ENTRY 0x89b80d58
ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ 0x89936678 - 0x89b45e98 ]
   +0x008 InMemoryOrderLinks : _LIST_ENTRY [ 0xb8183850 - 0x1 ]
   +0x010 InInitializationOrderLinks : _LIST_ENTRY [ 0xe - 0x0 ]
   +0x018 DllBase          : 0xb817e000 Void
   +0x01c EntryPoint       : 0xb81a6105 Void
   +0x020 SizeOfImage      : 0x2b000
   +0x024 FullDllName      : _UNICODE_STRING "\SystemRoot\system32\drivers\kmixer.sys"
   +0x02c BaseDllName      : _UNICODE_STRING "kmixer.sys"
   +0x034 Flags            : 0x9104000
   +0x038 LoadCount        : 1
   +0x03a TlsIndex         : 0x74
   +0x03c HashLinks        : _LIST_ENTRY [ 0xffffffff - 0x2f580 ]
   +0x03c SectionPointer   : 0xffffffff Void
   +0x040 CheckSum         : 0x2f580
   +0x044 TimeDateStamp    : 0xe1786190
   +0x044 LoadedImports    : 0xe1786190 Void
   +0x048 EntryPointActivationContext : (null)
   +0x04c PatchInformation : 0x006d006b Void

IRQL

IRQL全称Interrupt Request Level,即中断执行的优先级。它是Windows自己定义的一套优先级方案,与CPU无关,数值越大权限越高。中断包括了硬中断和软中断,硬中断是由硬件产生,而软中断则是完全虚拟出来的。

CPU任何时刻必须处于某一个等级
在同一处理器上,等级高的程序可以打断等级低的程序

在这里插入图片描述
HOOK的时候使用的程序等级是 2
缺页异常的 分页处理程序 等级是 2
所以HOOK必须使用非分页内存 分页内存可能遇到缺页异常的情况

柠檬的泪是酸的@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件系统驱动编写基础
10-17
【文件系统驱动编写基础】 文件系统驱动是操作系统的核心组成部分,负责管理和访问存储设备上的数据。在Windows操作系统中,文件系统驱动通常与NTFS、FAT32或ReFS等文件系统紧密关联,处理文件的创建、读取、写入和...
详解linux驱动编写(入门)
09-15
2. 学习内核API:熟悉如printk、module_init、module_exit等内核编程接口,它们是驱动程序的基础。 3. 硬件知识:了解你要驱动的硬件设备的工作原理,如I2C、SPI、GPIO等总线协议。 4. 编译内核:学会如何获取、编译...
使用hooks语法,抽离逻辑,复用代码,效率更高,抽离分页逻辑
weixin_61662162的博客
04-25 103
【代码】使用hooks语法,抽离逻辑,复用代码,效率更高,抽离分页逻辑。
react hook ts 实现 列表的滚动分页加载,多参数混合混合搜索
Zhooson的博客
11-14 811
这个搜索页面的,有多个参数,有的参数改变是立刻fetch一下接口,有的参数改变是要点击按钮才能fetch一下,这样导致你在useEffect无法统一检测搜索参数变化。InfiniteScroll 的组件见: https://blog.csdn.net/Zhooson/article/details/134396945。然而,React会保证在同一次事件处理函数中的所有状态更新都在同一次渲染中完成。解释: 1. 当前的hook执行都是异步,会不会存在先执行完先渲染?但是它们的状态更新会在同一次渲染中完成。
react 自定义hook实现前端分页
个人学习笔记,勿喷!!
11-22 139
react项目中通过自定义hook实现前端分页。适用于一次从接口获取列表全部内容的情况。
hooks分页减少请求优化
zhangyubababa的博客
01-24 499
import React, { useState, useEffect } from 'react' import { Row, Col, Form, Input, Select, Pagination, Empty } from 'antd'; import { useIntl, connect, history, Link, getLocale } from 'umi'; import { SearchOutlined } from '@ant-design/icons'; import Header.
vue3 + element-plus + hooks实现完整的带分页的表格组件
qq_16139383的博客
06-05 2202
很早之前写了一篇《vue + element-ui二次封装Table组件,实现表格内容的完全自定义》的文章,这篇文章仅仅阐述了vue2基于element-ui如何实现一个通用化的表格,而没有写如何更优美的去获取表格数据以及分页。由于项目一直使用react,最近才有项目使用到vue3,那借着这个机会,给大家分享一下实现一个完整的带分页的表格的二次封装。
Linux驱动基础开发
01-27
(1)Linux应用软件工程师(ApplicationSoftwareEngineer):主要利用C库函数和LinuxAPI进行应用软件的编写;从事这方面的开发工作,主要需要学习:符合linuxposix标准的API函数及系统调用,linux的多任务编程技巧:...
嵌入式ADC驱动编写及测试
08-10
嵌入式ADC驱动编写及测试 嵌入式ADC驱动编写是一种常见的编程任务,它涉及到对设备驱动编写和测试。在本文中,我们将讲述如何编写一个字符驱动程序来获取ADC通道0的电压值,并掌握ADC设备驱动编写及平台设备...
组态王驱动编写
04-25
在组态王驱动编写过程中,最主要的工作是在开发包的模板下,对一些接口函数进行修改,以符合具体硬件的要求,以下列出了驱动函数向上向下发送数据时需要调用及被调用的关系,能够方便驱动编写
WDF驱动开发-中断处理(一)
苏洛坷的博客
06-20 1318
WDF驱动开发,中断的处理
WDF驱动开发-硬件资源(三)
苏洛坷的博客
06-20 380
WDF 硬件资源处理和释放
【stm32单片机应用】基于I2C协议的OLED显示(利用U82G库)
m0_74833863的博客
06-16 1038
U8g2是一个用于单色和彩色显示的嵌入式图形库,特别适用于单色OLED、LCD显示屏的驱动。它是对早期U8g库的扩展和改进,提供了更多功能和更广泛的硬件支持。U8g2作为一款强大而灵活的嵌入式图形库,提供了丰富的功能和广泛的硬件支持,使得开发者可以方便地实现各种显示需求。它的设计目标是尽可能简化开发过程,同时提供高效和可靠的显示解决方案,非常适合于需要显示图形和文字的嵌入式应用程序开发
WDF驱动开发-内存缓冲区
苏洛坷的博客
06-16 1060
WDF框架的内存对象
WDF驱动开发-工作项
苏洛坷的博客
06-17 1174
WDF工作项
MS1112驱动开发(iio框架)
小比特的博客
06-17 1102
本文章是介绍iio框架,并基于之前ms1112的i2c驱动框架进行改写及测试
Gone框架介绍27 - 再讲 Goner 和 依赖注入
雁过留痕
06-16 1093
本文介绍Gone框架的依赖注入设计逻辑
地县级城市建设道路清扫保洁面积 道路清扫保洁面积道路机械化清扫保洁面积 省份 城市.xlsx
06-22
数据含省份、行政区划级别(细分省级、地级市、县级市)两个变量,便于多个角度的筛选与应用 数据年度:2002-2022 数据范围:全693个地级市、县级市、直辖市城市,含各省级的汇总tongji数据 数据文件包原始数据(由于多年度指标不同存在缺失值)、线性插值、回归填补三个版本,提供您参考使用。 其中,回归填补无缺失值。 填补说明: 线性插值。利用数据的线性趋势,对各年份中间的缺失部分进行填充,得到线性插值版数据,这也是学者最常用的插值方式。 回归填补。基于ARIMA模型,利用同一地区的时间序列数据,对缺失值进行预测填补。 包含的主要城市: 通州 石家庄 藁城 鹿泉 辛集 晋州 新乐 唐山 开平 遵化 迁安 秦皇岛 邯郸 武安 邢台 南宫 沙河 保定 涿州 定州 安国 高碑店 张家口 承德 沧州 泊头 任丘 黄骅 河间 廊坊 霸州 三河 衡水 冀州 深州 太原 古交 大同 阳泉 长治 潞城 晋城 高平 朔州 晋中 介休 运城 永济 .... 等693个地级市、县级市,含省级汇总 主要指标:
从网站上学习到了路由的一系列代码
最新发布
06-22
今天的学习圆满了
如何写驱动程序 案列讲解
05-24
驱动程序一般由硬件设备的制造商编写,以便在操作系统中正确地管理和操作设备。 下面是一个简单的案例讲解,展示如何编写一个简单的驱动程序。 假设我们要编写一个驱动程序来管理一个虚拟的 LED 设备。该设备有两...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值