NT式驱动程序的基本结构

最新推荐文章于 2023-07-17 14:49:55 发布
最新推荐文章于 2023-07-17 14:49:55 发布
阅读量728 收藏
点赞数
分类专栏: windows驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsgxiaomianao/article/details/17558633
版权
NT式驱动程序的基本结构:


驱动对象:每个驱动程序会有唯一的驱动对象与之对应,这个驱动对象时在驱动加载的时候,被内核中的对象管理程序所创建的,由内核中的IO管理器进行加载。
typedef struct _DRIVER_OBJECT {
    CSHORT Type;
    CSHORT Size;


    //
    // The following links all of the devices created by a single driver
    // together on a list, and the Flags word provides an extensible flag
    // location for driver objects.
    //
/*DeviceObject是设备对象的链表,设备对象由程序员创建的,驱动卸载的时候遍历每一个设备对象,将其删除。*/
    PDEVICE_OBJECT DeviceObject;
    ULONG Flags;


    //
    // The following section describes where the driver is loaded.  The count
    // field is used to count the number of times the driver has had its
    // registered reinitialization routine invoked.
    //


    PVOID DriverStart;
    ULONG DriverSize;
    PVOID DriverSection;
    PDRIVER_EXTENSION DriverExtension;


    //
    // The driver name field is used by the error log thread
    // determine the name of the driver that an I/O request is/was bound.
    //


/*驱动程序的名称,UNICODE字符串,格式为\Driver\[驱动名称]*/
    UNICODE_STRING DriverName;


    //
    // The following section is for registry support.  Thise is a pointer
    // to the path to the hardware information in the registry
    //


/*设备的硬件数据库键名,*/
    PUNICODE_STRING HardwareDatabase;


    //
    // The following section contains the optional pointer to an array of
    // alternate entry points to a driver for "fast I/O" support.  Fast I/O
    // is performed by invoking the driver routine directly with separate
    // parameters, rather than using the standard IRP call mechanism.  Note
    // that these functions may only be used for synchronous I/O, and when
    // the file is cached.
    //


    PFAST_IO_DISPATCH FastIoDispatch;/*文件驱动中用到的派遣函数*/


    //
    // The following section describes the entry points to this particular
    // driver.  Note that the major function dispatch table must be the last
    // field in the object so that it remains extensible.
    //


    PDRIVER_INITIALIZE DriverInit;
    PDRIVER_STARTIO DriverStartIo;/*记录StartIO例程的函数地址,用于串行化操作*/
    PDRIVER_UNLOAD DriverUnload;/*驱动卸载时所用的回调函数地址*/
    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];/*记录着一个函数指针数组,每一个指针指向一个函数,每个函数就是处理IRP的派遣函数。*/


} DRIVER_OBJECT;
typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT; 




设备对象:每个驱动程序会创建一个或多个设备对象,用DEVICE_OBJECT数据结构体表示,每个设备对象都会有一个指针指向下一个设备对象,形成一个设备链,第一个设备由DRIVER_OBJECT结构体中指明。


typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _DEVICE_OBJECT {
    CSHORT Type;
    USHORT Size;
    LONG ReferenceCount;
    struct _DRIVER_OBJECT *DriverObject;/*指向驱动程序中的驱动对象,同一个驱动程序对象中的设备指向统一的驱动对象*/
    struct _DEVICE_OBJECT *NextDevice;/*指向下一个设备对象,下一个对象是指同一个驱动程序创建的若干设备对象*/
    struct _DEVICE_OBJECT *AttachedDevice;/*指向下一个设备对象,这里指的是,若有更高一层的驱动附件到这个驱动的时候,AttachedDevice指向的是那个更高一层的驱动的设备对象*/
    struct _IRP *CurrentIrp;/*使用StartIO例程的时候,指向的是当前IRP结构*/
    PIO_TIMER Timer;
    ULONG Flags;                                // See above:  DO_...
/*
#define DO_BUFFERED_IO 0x00000004 // 读写操作使用缓冲方式(系统复制缓冲区)访问用户模式数据  
#define DO_EXCLUSIVE 0x00000008 //一次只允许一个线程打开设备句柄   
#define DO_DIRECT_IO 0x00000010 //读写操作使用直接方式(内存描述符表)访问用户模式数据       
#define DO_DEVICE_INITIALIZING 0x00000080 //设备正在初始化
#define DO_POWER_PAGABLE 0x00002000 //必须在PASSIVE_LEVEL级别上处理IRP_MJ_PNP请求
#define DO_POWER_INRUSH 0x00004000 //设备上电期间需要大量电流


*/
    ULONG Characteristics;                      // See ntioapi:  FILE_...
    __volatile PVPB Vpb;
    PVOID DeviceExtension;/*设备扩展对象,记录的是设备自己特殊定义的结构体,尽量避免使用全局变量*/
    DEVICE_TYPE DeviceType;/*指明设备类型,当制作虚拟设备时,应选择FILE_DEVICE_UNKNOWN*/
    CCHAR StackSize;/*在多层驱动的情况下,驱动与驱动之间会形成类似堆栈的结构,IRP会依次从最高层传递到最底层。该值记录堆栈的层数*/
    union {
        LIST_ENTRY ListEntry;
        WAIT_CONTEXT_BLOCK Wcb;
    } Queue;
    ULONG AlignmentRequirement;/*设备在大容量传输的时候,需要内存对齐,以保证传输速度*/
    KDEVICE_QUEUE DeviceQueue;
    KDPC Dpc;


    //
    //  The following field is for exclusive use by the filesystem to keep
    //  track of the number of Fsp threads currently using the device
    //


    ULONG ActiveThreadCount;
    PSECURITY_DESCRIPTOR SecurityDescriptor;
    KEVENT DeviceLock;


    USHORT SectorSize;
    USHORT Spare1;


    struct _DEVOBJ_EXTENSION  *DeviceObjectExtension;
    PVOID  Reserved;


} DEVICE_OBJECT;


typedef struct _DEVICE_OBJECT *PDEVICE_OBJECT; 




UNICODE结构体:宽字符集,每个字符占16位
//
// Unicode strings are counted 16-bit character strings. If they are
// NULL terminated, Length does not include trailing NULL.
//
typedef struct _UNICODE_STRING {
    USHORT Length;//记录字符串长度,若有N个字符,则此数值为N*2
    USHORT MaximumLength;//记录容纳字符串的最大长度,
#ifdef MIDL_PASS
    [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer;
#else // MIDL_PASS
    __field_bcount_part(MaximumLength, Length) PWCH   Buffer; //记录字符串的指针
#endif // MIDL_PASS
} UNICODE_STRING;
typedef UNICODE_STRING *PUNICODE_STRING;
typedef const UNICODE_STRING *PCUNICODE_STRING;


NTSTATUS:32位无符号长整型,0~0X7FFFFFFF被认为是正确的状态,0X80000000~0XFFFFFFFF被认为是错误的状态。使用宏NT_SUCCESS来检测状态是否正确。


//创建设备
NTSTATUS  IoCreateDevice(
    IN PDRIVER_OBJECT  DriverObject,/*驱动对象的指针*/
    IN ULONG  DeviceExtensionSize,/*指定设备扩展的大小,IO管理器根据此数值在内存中创建设备扩展,并和驱动对象关联(驱动对象能找到是哪个设备对象的扩展对象吧)*/
    IN PUNICODE_STRING  DeviceName  OPTIONAL,/*设备对象的名字*/
    IN DEVICE_TYPE  DeviceType,/**/
    IN ULONG  DeviceCharacteristics,/*设备对象的特制,一般为FILE_DEVICE_SECURE_OPEN*/
    IN BOOLEAN  Exclusive,/*设置设备对象是否在内核模式下使用,一般设置为TRUE*/
    OUT PDEVICE_OBJECT  *DeviceObject/*IO管理器负责创建这个设备对象,此参数表示返回的创建设备对象的指针*/
    );

//创建设备连接名
NTSTATUS   IoCreateSymbolicLink(
    IN PUNICODE_STRING  SymbolicLinkName,//设备连接名
    IN PUNICODE_STRING  DeviceName //设备名
    );









wsgxiaomianao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动程序基本结构
yaoxiaokui的专栏
01-25 1372
1、Windows驱动程序中重要的数据结构 数据结构是计算机程序的核心,I/O管理器定义了一些数据结构,这些数据结构是编写驱动程序时必须掌握的。驱动程序要经常创建和维护这些数据结构的实例。 1.1驱动对象(DRIVER_OBJECT) 每个驱动程序会有唯一一个驱动对象与它相对应,并且这个驱动对象是在驱动加载的时候,被内核中的对象管理程序所创建。 驱动对象用DRIVER_OBJECT
NT驱动基本结构
BpLife
12-04 1136
1.对于NT驱动来说,主要的函数是DriveEntry函数,卸载函数,以及各个IRP的派遣函数 2.驱动加载过程与驱动入口函数(DriverEntry)    NTSTATUS DriveEntry(IN PDRIVER_OBJECT pDriverobject,   IN PUNICODE_STRING pRegistryPath);//函数名可以自己定义 DriverEntry主
Windows NT 驱动程序的编译、安装、调试
最新发布
跑不了的你的博客
07-17 1479
Windows 驱动分为两类,一类是从 Windows NT 遗留下来的驱动模型称为传统的 Windows NT 驱动程序模型,另一类是 Windows 添加了电源管理后的 KMDF (WDM)驱动程序。本文这里首先以最简单的 Windows NT 驱动模型为例介绍 Windows 驱动的简单编写、编译、安装及调试。
Windows驱动开发技术详解第四章(驱动程序基本结构
冰糖葫芦的夏天的博客
12-26 496
重要概念 每个驱动程序都会有一个或多个设备对象 驱动程序中的每个设备对象都有一个指针指向下一个设备对象(也属于当前驱动),最后一个设备对象指向空 驱动程序中尽量不要使用全局变量,而是将全局变量定义在设备扩展里 设备对象记录通用设备的信息,另外一些特殊信息记录在设备扩展(由程序员设计)里 驱动程序中,字符串都使用UNICODE编码(16位为一个字符) 可以使用NT_SUCCESS宏来判断NTSTATUS是否为成功typedef struct _UNICODE_STRING { USHORT Length
NT驱动的基本结构
yaoxiaokui的专栏
01-25 1114
1、NT驱动的基本结构 对于NT驱动,主要的函数是DriverEntry例程、卸载例程以及各个IRP的派遣例程。 1.1、驱动加载过程与驱动入口函数(DriverEntry) 驱动程序有一个入口函数,也就是首先被执行的函数。这个函数通常被命名为DriverEntry,也可以指定另外的名字。 函数原型: NTSTATUS   DriverEntry( IN PDRIVER_OBJECT
nt驱动程序架子
07-25
1. **驱动程序结构**: - 驱动程序通常由多个部分组成,包括初始化代码、设备对象、IRP处理函数等。初始化代码负责设置驱动程序的环境,设备对象则代表了硬件设备或者逻辑设备,IRP(I/O请求包)处理函数则用于响应...
Windows+NT设备驱动程序设计指南
08-04
《Windows NT 设备驱动程序设计指南》是一本深入探讨Windows NT操作系统下设备驱动程序开发的专业书籍。这本书的主要目标是帮助开发者理解和创建高效、稳定的设备驱动程序,以确保硬件与操作系统的无缝集成。以下是...
Windows设备驱动程序设计概述.pptx
11-21
涵盖虚拟设备驱动程序(VDD)、内核模驱动程序、文件系统驱动程序、保留设备驱动程序、PnP驱动程序以及显示驱动程序,重点介绍WDM驱动程序及其结构。 虚拟设备驱动程序(VDD)是一种特殊类型的驱动程序,它允许...
NT驱动加载器源码
06-25
NT驱动加载器主要任务是解析驱动程序文件,验证其完整性,加载到内存中,并确保其正确初始化。这个过程涉及到多个关键步骤: 1. 驱动文件解析:驱动加载器首先读取驱动程序的二进制文件,识别其格,通常为.sys...
WIN2000驱动程序设计
07-23
3. **驱动程序结构**:一个完整的驱动通常由初始化代码、设备对象管理、IRP(I/O请求包)处理、中断处理和设备控制等部分组成。开发者需要熟悉这些组件及其交互方。 4. **IRP处理**:IRP是驱动程序处理I/O请求的...
NT驱动三种加载方详解(工具+手动+代码)
01-15
本文为自己整理的NT驱动加载方,主要是通过学习《驱动开发技术详解》所做的笔记和实验,详细介绍了工具加载、手动加载以及代码加载三种NT驱动加载方。并附有自己截取的图片以及编写的代码。
NT驱动开发基本框架
01-09
用于进行NT驱动开发的基础框架,比较适合App扩展到Ring0使用,附带源码,内有注释和说明,无版权,任何人可随意修改随意使用,当然最好也能发出来共享,要分是因为俺这账号要供多个懒人下载,请各位见谅!:-)
NT驱动
收集学习过程中对自己有帮助的牛人文章
11-29 631
转载自:http://mzf2008.blog.163.com/blog/static/35599786201011733440667/ //Driver.h  #pragma once #ifdef __cplusplus  extern "C" { #endif #include //NT驱动包含此头文件 #ifdef __cplusplus
windows驱动编程中的DO_DIRECT_IO和DO_BUFFERED_IO标志位
苞米地里捉小鸡的博客
05-27 1235
在学习《寒江独钓》这本书第3章的时候,书上说虚拟绑定设备需要拷贝真实设备对象的标志位,所以什么是标志位 PDEVICE_OBJECT pDo; pDo->Flags; DO_DIRECT_IO和DO_BUFFERED_IO是什么标志位? 在MSDN对DEVICE_OBJECT的介绍中有下面一段话: MSDN-DEVICE_OBJECT DO_BUFFERED_IO or DO_DIRECT_IO Specifies the type of buffering that is used b
NT驱动框架及主要函数、宏
zyorz的博客
05-08 1251
主要函数DriverEntry和DriverUnload在单线程环境运行,处于System进程上下文。IRP分发函数DispatchCreate()对应IRP_MJ_CREATE DispatchRead()对应IRP_MJ_READ DispatchWrite()对应IRP_MJ_WRITE DispatchControl()对应IRP_MJ_DEVICE_CONTROLDispatchCl
Windows 驱动开发基础(六)NT驱动的基本结构
ikerpeng
08-25 2479
Windows 驱动开发基础系列,转载请标明出处: NT类型的驱动即不是即插即用的驱动,主要包括3部分:DriverEntry函数,CreateDevice函数,DriverUnload函数.其实还有IRP派遣函数,但是这里先不做介绍。 接下来详细的说明一下。 系统启动的时候,就创建了系统进程;驱动加载的时候,系统启动一个新的线程,创建一个驱动对象。而当系统线程调用Drive
NT驱动加载方
whatday的专栏
08-09 4407
摘要: 最近在分析一个驱动级别的脱壳器OllyBonE(OllyDbg的一个插件), 遂即对驱动做了简单的了解,驱动程序主要分为两类:一类是不支持即插即用的NT驱动程序NTDDK.h;另外一类是支持即插即用的WDM驱动程序,如WDM.h。 由于OllyBonE是一个NT驱动,所以仅仅熟悉了NT驱动的相关知识。本文主要对NT驱动的三类加载方:工具加载、手动加载、程序加载,并通过具体实验
NT驱动程序的helloworld
raiky的专栏
06-23 1323
驱动程序的HelloWorld:/*first.c*/#include VOID DriverUnload(PDRIVER_OBJECT driver){DbgPrint("first: Our driver is unloading/r/n");}NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg_path){DbgPrint("first: hello my future!");driver->DriverUnload=Drive
驱动开发之 加载NT驱动程序实例
Lydia的博客
07-09 1604
下面是Driver.cpp #include "Driver.h" /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来
Windows NT 设备驱动程序开发基础
02-06
Windows NT 设备驱动程序是为 Windows NT 操作系统开发的特殊类型的软件,用于控制计算机硬件和设备。它们运行在内核模下,并直接与硬件交互,提供操作系统和其他软件访问硬件的方。 开发 Windows NT 设备驱动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值