windows内核-驱动设备与符号链接 (二)

已于 2023-11-20 12:18:34 修改
阅读量127 收藏
点赞数
分类专栏: 内核学习笔记 文章标签: windows
于 2023-11-20 12:07:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosykee/article/details/134504616
版权

创建驱动设备与符号链接


#include<ntifs.h> //ntddk.h

//创建驱动设备对象
NTSTATUS CreateDevice(PDRIVER_OBJECT driver)
{
	NTSTATUS status;
	UNICODE_STRING MyDriver;
	PDEVICE_OBJECT device;//用于存放设备对象
	RtlInitUnicodeString(&MyDriver, L"\\DEVICE\\MyDriver");//驱动设备名字

	status = IoCreateDevice(driver, sizeof(driver->DriverExtension), &MyDriver, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &device);

	if (status == STATUS_SUCCESS)//STATUS_SUCCESS)
	{
		KdPrint(("驱动设备对象创建成功,OK \n"));
		//创建符号链接
		UNICODE_STRING uzSymbolName; //符号链接名字		 
		RtlInitUnicodeString(&uzSymbolName, L"\\??\\MyDriver"); //CreateFile
		status = IoCreateSymbolicLink(&uzSymbolName, &MyDriver);
		if (status == STATUS_SUCCESS)
		{
			KdPrint(("创建符号链接 %wZ 成功 ", &uzSymbolName));
		}
		else
		{
			KdPrint(("创建符号链接 %wZ 失败 status=%X", &uzSymbolName, status));
		}
	}
	else
	{

		KdPrint(("驱动设备对象创建失败,删除设备\n"));
		IoDeleteDevice(device);
	}
	return status;
}

NTSTATUS IRP_CALL(PDEVICE_OBJECT device, PIRP pirp)
{
	device;
	KdPrint(("进入派遣函数"));
	PIO_STACK_LOCATION irpStackL;

	irpStackL = IoGetCurrentIrpStackLocation(pirp); //获取应用层传来的参数

	switch (irpStackL->MajorFunction)
	{
	case IRP_MJ_DEVICE_CONTROL: //DeviceIoControl
	{
		KdPrint(("用户层调用了 DeviceIoControl"));
		break;
	}
	case IRP_MJ_CREATE: //CreateFile
	{
		KdPrint(("用户层调用了 CreateFile"));
		break;
	}
	case IRP_MJ_CLOSE: //CloseHandle
	{
		KdPrint(("用户层调用了 CloseHandle"));
		break;
	}
	}

	pirp->IoStatus.Status = STATUS_SUCCESS;
//	pirp->IoStatus.Information = 4;//返回给DeviceIoControl中的 倒数第二个参数lpBytesReturned
	IoCompleteRequest(pirp, IO_NO_INCREMENT);//调用方已完成所有I/O请求处理操作 并且不增加优先级 
	KdPrint(("离开派遣函数"));
	return STATUS_SUCCESS;  //0 返回成功
}


//卸载驱动时会被调用
void DriverUnload(PDRIVER_OBJECT DriverObject)
{
	KdPrint(("进入卸载例程DriverObject=%p 行号=%d ", DriverObject, __LINE__));
	if (DriverObject->DeviceObject)
	{
		//删除符号链接
		UNICODE_STRING uzSymbolName; //符号链接名字		 
		RtlInitUnicodeString(&uzSymbolName, L"\\??\\MyDriver"); //CreateFile
		KdPrint(("删除符号链接=%wZ", &uzSymbolName));
		IoDeleteSymbolicLink(&uzSymbolName);
		//
		KdPrint(("删除驱动设备"));
		IoDeleteDevice(DriverObject->DeviceObject);//删除设备对象
	}
	KdPrint(("退出 DriverUnLoad例程"));
}

//加载驱动时 会被调用
NTSTATUS
DriverEntry(
	_In_ PDRIVER_OBJECT  DriverObject,
	_In_ PUNICODE_STRING RegistryPath
)
{
	KdPrint(("进入 DriverEntry入口点 DriverObject=%p 行号=%d\n", DriverObject, __LINE__)); //Debug

	DriverObject->DriverUnload = DriverUnload; //注册卸载例程 回调函数
	
	NTSTATUS status = CreateDevice(DriverObject);为驱动对象创建一个设备
	status;

	DriverObject->MajorFunction[IRP_MJ_CREATE] = IRP_CALL;
	DriverObject->MajorFunction[IRP_MJ_CLOSE] = IRP_CALL;
	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = IRP_CALL;

	
	//KdPrint((" RegistryPath=%s\n", RegistryPath->Buffer)); //多字节字符集
	KdPrint((" RegistryPath=%ws\n", RegistryPath->Buffer)); //Unicode 宽字符
	return 0; //成功
}

        
        
windows下的设备是以"/Device/[设备名]”形式命名的。

例如磁盘分区的c盘,d盘的设备名称就是"/Device/HarddiskVolume1”,"/Device/HarddiskVolume2”, 当然也可以不指定设备名称。如果IoCreateDevice中没有指定设备名称,那么I/O管理器会自动分配一个数字作为设备的名称。例如"/Device/00000001"。/Device/[设备名],不容易记忆,通常符号链接可以理解为设备的别名,更重要的是设备名,只能被内核模式下的其他驱动所识别,而别名可以被用户模式下的应用程序识别,例如c盘,就是名为"c:"的符号链接,其真正的设备对象是"/Device/HarddiskVolume1”,所以在写驱动时候,一般我们创建符号链接,即使驱动中没有用到,这也算是一个好的习惯吧。


驱动中符号链接名是这样写的
L"//??//HelloDDK" --->/??/HelloDDK
L"//DosDevices//HelloDDK"--->/DosDevices/HelloDDK
在应用程序中,符号链接名:
L".//HelloDDK"-->//./HelloDDK

winobj和DeviceTree可以用来查看这些信息。

DosDevices的符号链接名就是??, 所以"//DosDevices//XXXX"其实就是"//??//XXXX"

rosykee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IoCreateDevice简单分析
仙人Immortal的博客
01-11 1096
IoCreateDevice简单分析介绍大体流程存储参数扩展大小计算设备属性组计算判断设备属性组判断设备类型一些其他计算创建对象申请内存初始化设备队列插入对象传入模板 介绍 简单分析一下 大体流程 1.判断设备属性组 2.设备属性为0调用IopCreateDefaultDeviceSecurityDescriptor 3.判断设备类型 4.ObCreateObject 5.判断设备类型 6.FILE_DEVICE_UNKNOWN类型调用IopCreateVpb和KeInitializeEvent 7.KeI
驱动开发:驱动与应用的通信
CSDN
09-23 5937
驱动程序与应用程序的通信离不开派遣函数,派遣函数是Windows驱动编程中的重要概念,一般情况下驱动程序负责处理I/O特权请求,而大部分IO的处理请求是在派遣函数中处理的,当用户请求数据时,操作系统会提前处理好请求,并将其派遣到指定的内核函数中执行,接下来将详细说明派遣函数的使用并通过派遣函数读取Shadow SSDT中的内容。先来简单介绍一下。
IoCreateDevice
05-02 1417
调用IoCreateDevice函数创建设备对象,例如: PDEVICE_OBJECT fdo; NTSTATUS status = IoCreateDevice(DriverObject, sizeof(DEVICE_EXTENSION), NULL, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, ...
转:驱动开发函数IoCreateDevice /IoCreateSymbolicLink / IoDeleteDevice
spiderlily的专栏
01-18 6967
转自:http://hi.baidu.com/alalmn/item/f02d5c866fc2d6eae496e089 IoCreateDevice驱动创建一个设备对象 格式如下: NTSTATUS   IoCreateDevice(    IN  PDRIVER_OBJECT  DriverObject,    IN  ULONG  DeviceExtensionSize,
寒江独钓第3章——串口过滤
苞米地里捉小鸡的博客
05-25 344
一、过滤的概念:   过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真是驱动程序,就加入了新的功能。 1.1 设备绑定的内核API   进行过滤的最主要的方法是对一个设备对象(Device Object)进行绑定。通过编程可以生成一个虚拟设备对象,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则本来操作系统发送给真实设备的请求,就会首先发送到这个虚拟设备。   在WDK中,有多个内核API能实现绑定的功能。以下三个绑定API是
ReacOS源代码阅读之驱动--IoCreateDevice
faithzzf的专栏
01-09 798
ReacOS源代码阅读之驱动--IoCreateDevice的实现。
RtlInitUnicodeString、IoCreateDeviceIoCreateSymbolicLink、IoDeleteDevice 四个 API 驱动函数的使用...
weixin_30763397的博客
11-19 473
要解释“驱动对象”,就得先从 DriverEntry() 说起: 做过C语言开发的都知道程序是从 main() 函数开始执行。在进行 Windows 驱动程序开发的时候没有 main() 函数作为函数入口,取而代之的是 DriverEntry(). DriverEntry() 的原型如下: extern "C" NTSTATUS DriverEntry...
windows 驱动内核调试 学习2
不会写代码的丝丽
10-29 929
我们知道我们驱动存在的意义往往是用于驱动硬件,而一个硬件读写大多数操作系统都是为文件io。既然是文件那么必然涉及到文件打开,读写等。我们看看在内核驱动该如何实现这些逻辑操作。当函数卸载的时候一定要记得删除驱动文件哦我们贴出完成相关代码我们利用工具将驱动文件进行加载然后我们在利用winobj查看我们注册驱动文件我们最后执行卸载操作。上面的注册驱动文件不能在ring3 进行文件读写,如果你期望ring3也可以驱动需要额外注册一个另一个映射名(符号链接 )相关代码如下同样我们加载驱动
DO_DEVICE_INITIALIZING 创建设备 iocreatedevice windows内核开发
baund的专栏
12-04 2191
deviceobject->flag &= ~DO_DEVICE_INITIALIZING; 当设置DO_DEVICE_INITIALIZING标志时,I/O管理器将拒绝所有打开该设备句柄的请求以及向该设备对象上附着其他设备对象。 故驱动程序完成初始化后,须清除该标志。 在IoCreateDevice创建设备完成后,默认devieobject->flags==0xc0,是包含DO_D
windows内核原理与实现读书笔记之驱动程序对象和设备对象
maomao171314的专栏
11-09 360
I/O管理器加载设备驱动程序时,会创建一个驱动程序对象,该对象在对象管理器目录中的路径为:\Driver\<DriverName> 或\FileSystem\<DriverName>。如果时文件系统类型的驱动程序则放在”\FileSystem”目录下,否则放在“\Driver”目录下。 与驱动程序相关的时设备对象,有两种途径创建设备对象:即插即用在检测到设备时,通过AddDevice 创建设备对象;非即插即用设备在初始化例程中创建设备对象。设备对象是通过IoCreateDevice
linux驱动说开去(六)--驱动模块函数与内核符号表的连接
一只拖鞋
02-27 169
http://blog.csdn.net/trochiluses/article/details/9446955
linux内核符号
zhaoqiaoshi的专栏
03-25 1789
[转自] : http://www.delnabla.cn/article.asp?id=30内核符号表可以分为“私有”和“公共”。平常所说的内核符号表指的是“公共内核符号表”。           我们知道,驱动存在于内核空间,它的每一个函数每一个变量都会有对应的符号,这部分符号也可以称作内核符号,它们不导出的话就只能为自身所用,导出后就可以成为公用,对于导出的那部分的内核符号就是我们常说的
Linux内核符号
热门推荐
wuyongpeng的专栏
07-03 1万+
一,什么是符号(Symbols)?     什么是Symbol?  其实就是kernel中的变量(Variable Name)或函数名称(Function Name),     这样可以方便程序员在写程序时可以直接参照这一份Symbol的索引文件,找到所需要的kernel信息,这一份Symbol的索引文件又称为kernel symbol table。      内核符号表(Kernel
内核符号表详解——如何在module中利用内核符号
河西无名式
07-24 1万+
前言:在内核开发中,有时候我们必须检查某些内核状态,或者我们想冲用某些内核功能,我们需要得到(read,write,exe)内核符号。本文主要为你介绍内核如何保存这些符号表,我们怎样应用这些内核符号表。本文仅仅是阅读内核源码的一个guide,通过阅读内核源码,我们将有更深入的理解。
System.map符号表解析
欢迎来到等待等待等待的博客
08-11 949
System.map是内核符号表文件,是由“nm vmlinux”命令产生的,位于源码根目录。 所谓“符号”就是函数名,全局变量名等东东,这个表就记录的这些“符号”在内核中的运行地址。(这个地址是Effective Address,虚地址) 下面是文件的一个片段:
Linux内核分析——第七章 链接
weixin_30715523的博客
04-09 95
              第七章——链接   1、链接是将各种代码和数据部分收集起来并组合成为一个单一文件的过程,这个文件可被加载到存储器并执行。   2、链接可以执行于编译时,加载时,运行时。 7.1编译器驱动程序   1、大多数编译系统提供编译驱动程序,它代表用户在需要时调用语言预处理器、编译器、汇编器和链接器。 7.2 静态链接   1、像Unix ld程序这样的静态链接器以一...
linux 符号链接攻击防御简介
whatday的专栏
11-01 2921
前言 IBM下有两款大型关系型数据库,分别是Informix和DB2。早在2001年和2003年两款数据库就被爆出存在符号链攻击提权的问题。尤其2003年Snosoft一口气发布了DB2数个关键工具存在符号链接攻击提权的问题。 符号链攻击虽然是一种本地攻击,但符号链攻击会造成非常严重的安全问题。例如:替换SSH公钥文件、操作系统敏感信息泄露甚至直接夺取操作系统root权限。 经过十余年的发展...
Linux 硬链接符号链接
最新发布
小立仔
05-18 1645
Linux 硬链接符号链接的简介以及他们的区别
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值