驱动程序可以看成是一个特殊的DLL文件被应用程序加载到虚拟内存中,只不过加载地址是内核模式地址,而不是用户模式地址。它能访问的只是这个进程的虚拟内存,而不能是其他进程的虚拟地址,需要指出的是,Windows驱动程序里的不同例程运行在不同的进程中。DriverEntry例程和AddDevice例程是运行在系统(System)进程中的。这个进程是Windows中非常重要的进程,也是Windows第一个运行的进程。当需要加载的时候,这个进程中会有一个线程将驱动程序加载到内核模式地址空间内,并调佣DriverEntry例程。
而其他的一些例程,例如,IRP_MJ_READ和IRP_MJ_WRITE的派遣函数会运行于应用程序的“上下文”中。所谓运行在进程的“上下文”,指的是运行于某个进程的环境中,所能访问的虚拟地址是这个进程的虚拟地址。
我们可以在打印信息的时候,添加一个打印当前进程的log信息。如果当前进程是发起I/O请求的进程,则说明在进程“上下文”中。下面给出的函数可以显示处当前进程的进程名,我们可以在任意例程中调用这个函数。
void DisplayItsProcessName()
{
// 得到当前进程
PEPROCESS pEProcess = PsGetCurrentProcess();
// 得到当前进程名
PTSTR ProcessName = (PTSTR)((ULONG)pEProcess + 0x174);
KdPrint(("%s\n", ProcessName));
}
其中,PsGetCurrentProcess函数是得到当前运行的进程,它是EPROCESS的结构体,然而EPROCESS这个结构体是微软没有公开的结构体,其中0x174偏移的位置记录一个字符串指针。