一些内核函数

最新推荐文章于 2022-01-20 12:02:20 发布
最新推荐文章于 2022-01-20 12:02:20 发布
阅读量3k 收藏 1
点赞数 1
文章标签: string object descriptor exception buffer integer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yl_wh/article/details/7950348
版权

 

内核模式下的字符串操作

KdPrint();  // 类似于C中的printf();


字符串结构体

typedef struct _STRING
{
 USHORT Length;     // 字符的长度
 USHORT MaximumLength;   // 整个字符缓冲区的最大长度
 PCHAR Buffer;     // 缓冲区的指针
}STRING;
typedef STRING ANSI_STRING;
typedef PSTRING PANSI_STRING;

typedef STRING OEM_STRING;
typedef PSTRING POEM_STRING;

typedef struct _UNICODE_STRING
{
 USHORT Length;    // 单位是字节, 如果是N个字符, 则长度为2N
 USHORT MaximumLength;  // 单位也是字节
 PWSTR Buffer;    // 缓冲区指针
}UNICODE_STRING;


VOID RtlInitAnsiString(
 IN OUT PANSI_STRING DestinationString, // 要初始化的ANSI_STRING字符串
 IN PCSZ SourceString     // 字符串内容
);

例如:

方法1:
 ANSI_STRING AnsiString1;
 CHAR *string1 = "hello";
 RtlinitAnsiString(&AnsiString1, string1);
 KdPrint(("AnsiString1:%z\n", &AnsiString1)); // 打印hello
 
 // 改变string1
 string[0] = 'H';
 
 // 改变string1, AnsiString1同样会导致变化
 KdPrint(("%Z\n", &AnsiString1));  // 打印Hello
 
方法2:

 #define BUFFER_SIZE 1024
 UNICODE_STRING UnicodeString1 = {0};
 
 // 设置缓冲区大小
 
 UnicodeString1.MaximumLength = BUFFER_SIZE;
 
 // 分配内存
 UnicodeString1.Buffer = (PWSTR)ExAllocatePool(PagedPool,
            BUFFER_SIZE);
 
 WCHAR *wideString = L"hello";
 
 //设置字符长度, 因为是宽字符, 所以是字符长度的2倍
 UnicodeString1.Length = 2 * wcslen(wideString);
 
 // 保证缓冲区足够大, 否则程序终止
 ASSERT(UnicodeString1.MaximumLength >= UnicodeString1.Length);
 
 // 内存复制
 RtlCopyMemory(UnicodeString1.Buffer,
     wideString,
     UnicodeString1.Length);
 
 
 KdPrint(("UnicodeString:%wZ\n", &UnicodeString1));
 
 // 清理内存
 ExFreePool(UnicodeString1.Buffer);
 UnicodeString.Buffer = NULL;
 UnicodeString1.Length = UnicodeString1.MaximumLength = 0;
 
 
 
 
字符串复制


VOID RtlCopyString(
 IN OUT PSTRING DestinationString, // 目的字符串
 IN PSTRING SourceString OPTIONAL // 源字符串
);

VOID RtlCopyUnicodeString
 IN OUT PUNICODE_STRING DestinationString,
 IN PUNCIDE_STRING SourceString
);


例子:

// 初始化UnicodeString1
UNICODE_STRING UnicodeString1;
RtlInitUnicodeString(&UnicodeString1, L"Hello World");

// 初始化UnicodeString2
UNICODE_STRING UnicodeString2 = {0};
UnicodeString2.Buffer = (PWSTR)ExAllocatePool(PagePool,
           BUFFER_SIZE);

// 将UnicodeString1复制到UnicodeString2
RtlCopyUnicodeString(&UnicodeString2, UnicodeString1);

// 分别显示
KdPrint(("UnicodeString1:%wZ\n", &UnicodeString1));
KdPrint(("UnicodeString2:%wZ\n", &UnicodeString2));

// 销毁UnicodeString2
// 注意! UnicodeString1不用销毁
RtlFreeUnicodeString(&UnicodeString2);


字符串比较

LONG RtlCompareSring(
 IN PSTRING String1,
 in PSTRING String2,
 BOOLEAN CaseInSensitve // 是否对大小写敏感
);
返回值:如果返回0, 表示两个字符串相等, 如果小于0, 则表示第一个
 字符串小于第二个字符串. 反之, 如果大于0, 则代表第一个字符串
 大于第二个字符串.

LONG RtlCompareUnicodeString(
 IN PUNICODE_STRING String1,
 IN PUNICODE_STRING String2,
 IN BOOLEAN CaseInSensitive; 
);


LONG RtlEqualString(
 IN PSTRING String1,
 in PSTRING String2,
 BOOLEAN CaseInSensitve // 是否对大小写敏感
);
返回值:非0代表相等, 零代表不相等.

LONG RtlEqualUnicodeString(
 IN PUNICODE_STRING String1,
 IN PUNICODE_STRING String2,
 IN BOOLEAN CaseInSensitive; 
);


字符串转换成大小

VOID RtlUpperString(
 IN OUT PSTRING DestinationString, // 目的字符串
 IN PSTRING SourceString    // 源字符串
);

NTSTATUS RtlUpcaseUnicodeString(
 IN OUT PUNICODE_STRING DestinationString OPTIONAL,
 IN PCUNICODE_STRING SourceString,
 IN BOOLEAN AllocateDestinationString // 是否为目的字符串分配NEC
);
返回值:转换是否成功.

字符串与整型数字相互转换

NTSTATUS RtlUnicodeStringToInteger(
 IN PUNICODE_STRING String, // 需要转换的字符串
 IN ULONG Base OPTIONAL,  // 转换的进制(2, 8, 10, 16)
 OUT PULONG Value   // 需要转的数字
);
返回值:指明是否转换成功

 

ANSI - UNICODE

NTSTATUS RtlUnicodeStringToAnsiString(
 IN OUT PANSI_STRING DestinationString,
 IN PUNICODE_STRING SourceString,
 IN BOOLEAN AllocateDestinationString
);

NTSTATUS RtlAnsiStringToUnicodeString(
 IN OUT PUNCODE_STRING DestinationString,
 IN PANSI_STRING SourceString,
 IN BOOLEAN AllocateDestinationString,

 

NTSTATUS ZwCreateFile(
    __out PHANDLE  FileHandle,   // 返回打开文件的句柄
    __in ACCESS_MASK  DesiredAccess,  // 对打开文件的操作描述, 一般指定为GENERIC_READ或GENERIC_WRITE
    __in POBJECT_ATTRIBUTES  ObjectAttributes, // OBJECT_ATTRIBUTES结构地址, 该结构包含要打开的文件名
    __out PIO_STATUS_BLOCK  IoStatusBlock, // IO_STATUS_BLOCK结构地址, 该结构接收ZwVCreateFile操作的结果状态
    __in_opt PLARGE_INTEGER  AllocationSize, // 指向一个64位整数, 该数指定文件初始分配时的大小,
      // 该参数仅关系到创建或重写文件操作, 如果忽略它, 那么文件长度将
      // 从0开始, 并随着写入而增长
    __in ULONG  FileAttributes,   // 0或FILE_ATTRIBUTE_NORMAL, 指定新创建文件的属性.
    __in ULONG  ShareAccess,   // FILE_SHARE_READ或0, 指定文件的共享方式. 如果仅为读数据而打开
      // 文件, 则可以与其他线程同时读取该文件. 如果为写数据而打开, 可
      // 能不希望其他线程访问该文件.
    __in ULONG  CreateDisposition,  // FILE_OPEN或FILE_OVERWRITE_IF, 表明当指定文件存在或不存在时
      // 应如何处理.
    __in ULONG  CreateOptions,   // FILE_SYNCHRONOUS_IO_NONALERT, 指定控制打开操作和句柄使用附加
      // 标志
    __in_opt PVOID  EaBuffer,   // 一个指针, 指向可选的扩展属性区.
    __in ULONG  EaLength   // 扩展属性区的长度
);

 


// 设置过滤钩子
NTSTATUS IoAttachDevice(
    IN PDEVICE_OBJECT  SourceDevice,    // 源设备对象
    IN PUNICODE_STRING  TargetDevice,    // 目标设备对象
    OUT PDEVICE_OBJECT  *AttachedDevice   // Attach上的设备对象
);

// 卸载过滤钩子
VOID IoDetachDevice(
    IN OUT PDEVICE_OBJECT  TargetDevice   // 为IoAttachDevice函数的第三个参数
);
 
 
// 指定的内存清零
VOID RtlZeroMemory(
 IN VOID UNALIGNED *Destination,
 IN SIZE_T Length
);


分配内核内存

//
PVOID ExAllocatePool(IN POOL_TYPE poolType,
     IN SIZE_T NumberOfBytes
);

//
PVOID ExAllocatePoolWithTag(IN POOL_TYE PoolType,
       IN SIZE_T NumberOfBytes,
       IN ULONG Tag
);

//
PVOID ExAllocatePoolWithQuota(IN POOL_TYPE PoolTye,
        IN SIZE_T NumberOfByts
);


//
PVOID ExAllocatePoolWithQuotaTag(IN POOL_TYPE PoolType,
        IN SIZE_T NumberOfBytes,
        IN ULONG Tag
);

参数:
PoolType
 是个枚举变量, 如果此值为NonPagedPool, 则分配非分页内存.
如果此值为PagePool, 则分配内存为分页内存.

NumberOfBytes
 是分配内存大小, 注意最好是4的倍数.

返回值:
 返回分配的内存地址, 一定是内核模式地址. 如果返回0, 则代表
分配失败.


 以上四个函数功能类似, 函数以WithQuota结尾的代表分配的是按
配额分配. 函数以WithTag结尾的函数, 和ExAllocatePool功能类似, 唯
一不同的是多了一个Tag参数, 系统在要求的内存外又额外地多分配了4
个字节的标签. 在调试的时候, 可以找出是否有标有这个标签的内存没
有被释放.
 以上4个函数都需要指定PoolType, 分别可以指定如下几种:
 1.NonPagedPool:指定要求分配非分页内存.
 2.PagedPool:指定要求分配分页内存.
 3.NnPagedPoolMustSucceed:指定分配非分页内存, 必须成功.
 4.DontUseThisType:未指定.
 5.NonPagedPoolCacheAligned:指定要求分配非分页内存, 而且必须内存对齐.
 6.PagedPoolCatcheAligned:指定分配分页内存, 而且必须内存对齐.
 7.NonPagedPoolCacheAlignedMustS:指定分配非分页内存, 而且必须内存对齐,
         且必须成功.
     

 将分配的内存, 进行回收的函数是ExFreePool和ExFreePoolWithTag, 它们的
原型是:

//
VOID ExFreePool(IN PVOID P);
   
//
NTKERENLAPI(VOID ExFreePoolWithTag(IN PVOID P,
        IN ULONG Tag
        );

 

 


重要函数学习:IoBuildDeviceIoControlRequest 收藏
重要函数学习:IoBuildDeviceIoControlRequest
这个函数主要用来构造一个用于设备i/o控制请求的irp包,该irp包将被同步处理,其原型如下:

参数解释:
       IoControlCode      
              提供i/o控制请求所需的i/o控制码。这个i/o控制码可以在msdn中查询到。
       DeviceObject
              指向下层驱动的设备对象的指针。这个就是构造的irp要被发向的目标对象。
       InputBuffer
指向输入缓冲区的指针,这个缓冲区中的内容是给下层驱动使用的。此指针可为NULL。
       InputBufferLength
              输入缓冲区的长度,按字节计算。如果InputBuffer为NULL,则此参数必须为0。
       OutputBuffer
指向输出缓冲区的指针,这个缓冲区是用于给下层驱动返回数据用的。此指针可为NULL。
       OutputBufferLength
              输出缓冲区的长度,按字节计算。如果OutputBuffer为NULL,则此参数必须为0。
       InternalDeviceIoControl
如果此参数为TRUE,这个函数设置所构造的irp的主函数码(major function code)为IRP_MJ_INTERNAL_DEVICE_CONTROL,否则这个函数设置所构造的irp的主函数码(major function code)为IRP_MJ _DEVICE_CONTROL。
       Event
提供一个指向事件对象的指针,该事件对象由调用者分配并初始化。当下层驱动程序完成这个irp请求时i/o管理器将此事件对象设置为通知状态(signaled)。当调用IoCallDriver后,调用者可以等待这个事件对象成为通知状态。
       IoStatusBlock
调用者指定一个i/o状态块,当这个irp完成时,下层驱动会把相应信息填入这个i/o状态块。

 

关于返回:
当这个函数调用成功时,将返回一个指向所构造的irp的指针并且下一层驱动的i/o堆栈会根据调用此函数提供的参数设置好,若调用失败,将返回NULL。
 

注意事项:
1、  此函数构造的irp包将被同步处理。当构造好irp包后,调用者调用IoCallDriver将这个irp发送给目标对象,如果IoCallDriver返回STATUS_PENDING,调用者必须调用KeWaitForSingleObject等待调用IoBuildDeviceIoControlRequest时所提供的那个Event。对于大多数的驱动程序我们不用给该irp设置完成函数。
2、  由IoBuildDeviceIoControlRequest构造的irp必须由某个驱动调用IoCompleteRequest来完成,并且注意调用IoBuildDeviceIoControlRequest的驱动程序不能调用IoFreeIrp来释放这些构造的irp,因为i/o管理器会在IoCompleteRequest被调用后自动释放这些irp。
3、  IoBuildDeviceIoControlRequest将把它构造的irp放在当前线程特有的一个irp队列上,如果当前线程退出,则i/o管理器将取消这些irp。
4、  InputBuffer和OutputBuffer这两个参数如何存放在所构造的irp中将取决于IoControlCode的TransferType,具体可查相关资料。
5、  IoBuildDeviceIoControlRequest的调用者必须运行在IRQL <= APC_LEVEL。
6、  这个函数并不初始化所构造irp中的FileObject指针,因此如果你在写和文件系统相关的驱动,你必须自己初始化这个指针。
7、  使用IoBuildDeviceIoControlRequest构造的irp其主函数代码只能是IRP_MJ_DEVICE_CONTROL 或IRP_MJ_INTERNAL_DEVICE_CONTROL。

     

 

KdPrint使用方法类似printf,注意KdPrint((" ",  ));使用的是双括号。

用KdPrint(())来代替printf 输出信息。这些信息可以在DbgView 中看到。KdPrint(())自身是一个宏,
为了完整传入参数所以使用了两重括弧。这个比DbgPrint 调用要稍好。因为在free 版不被编译。

DebugPrint格式说明符

         格式说明符                 类型

%c ANSI字符                  char
%C 宽字符                    wchar_t
%d,%i 十进制有符号整数   int
%D 十进制__int64             __int64
%I IRP主功能代码和次功能代码  PIRP
%l 十六进制的__int64         __int64
%L 十六进制的LARGE_INTEGER    LARGE_INTEGER
%s NULL终止的ANSI字符串       char *
%S NULL终止的宽字符串        wchar_t *
%T UNICODE_STRING           PUNICODE_STRING
%wZ UNICODE_STRING    PUNICODE_STRING
%u  十进制的ULONG             ULONG
%x  十六进制的ULONG           ULONG

 

DDK常用函数列表

(A)

ASSERT
ASSERTMSG

(C)


CM_FULL_RESOURCE_DESCRIPTOR
CM_PARTIAL_RESOURCE_DESCRIPTOR
CM_PARTIAL_RESOURCE_LIST
CM_RESOURCE_LIST
CONFIGURATION_INFORMATION
CONTAINING_RECORD
CONTROLLER_OBJECT

(D)


DbgBreakPoint
DbgPrint
DEVICE_DESCRIPTION
DEVICE_OBJECT
DriverEntry
DRIVER_OBJECT

(E)


ExAcquireFastMutex
ExAcquireFastMutexUnsafe
ExAcquireResourceExclusiveLite
ExAcquireResourceSharedLite
ExAcquireSharedStarveExclusive
ExAcquireSharedWaitForExclusive
ExAllocateFromNPagedLookasideList
ExAllocateFromPagedLookasideList
ExAllocatePool
ExAllocatePoolWithQuota
ExAllocatePoolWithQuotaTag
ExAllocatePoolWithTag
ExConvertExclusiveToSharedLite
ExDeleteNPagedLookasideList
ExDeletePagedLookasideList
ExDeleteResourceLite
ExFreePool
ExFreeToNPagedLookasideList
ExFreeToPagedLookasideList
ExGetCurrentResourceThread
ExInitializeFastMutex
ExInitializeNPagedLookasideList
ExInitializePagedLookasideList
ExInitializeResourceLite
ExInitializeWorkItem
ExInterlockedInsertHeadList
ExInterlockedInsertTailList
ExInterlockedRemoveHeadList
ExIsResourceAcquiredExclusiveLite
ExIsResourceAcquiredSharedLite
ExQueueWorkItem
ExReleaseFastMutex
ExReleaseFastMutexUnsafe
ExReleaseResourceForThreadLite
ExTryToAcquireFastMutex
ExTryToAcquireResourceExclusiveLite

(H)


HalAssignSlotResources
HalGetAdapter
HalGetBusData
HalGetBusDataByOffset
HalGetInterruptVector
HalSetBusData
HalSetBusDataByOffset
HalTranslateBusAddress
HKEY_LOCAL_MACHINE

(I)


InitializeListHead
InitializeObjectAttributes
InsertHeadList
InsertTailList
INTERFACE_TYPE
InterlockedDecrement
InterlockedExchange
InterlockedExchangeAdd
InterlockedIncrement
IoAcquireCancelSpinLock
IoAllocateAdapterChannel
IoAllocateController
IoAllocateErrorLogEntry
IoAllocateIrp
IoAllocateMdl
IoAssignResources
IoAttachDevice
IoAttachDeviceToDeviceStack
IoBuildAsynchronousFsdRequest
IoBuildDeviceIoControlRequest
IoBuildPartialMdl
IoBuildSynchronousFSDRequest
IoCallDriver
IoCancelIrp
IoCompleteRequest
IoConnectInterrupt
IoCopyCurrentIrpStackLocationToNext
IoCreateController
IoCreateDevice
IoCreateNotificationEvent
IoCreateSymbolicLink
IoCreateSynchronizationEvent
IoDeleteController
IoDeleteDevice
IoDeleteSymbolicLink
IoDetachDevice
IoDisconnectInterrupt
IO_ERROR_LOG_PACKET
IoFlushAdapterBuffers
IoFreeAdapterChannel
IoFreeController
IoFreeIrp
IoFreeMapRegisters
IoFreeMdl
IoGetConfiguationInformation
IoGetCurrentIrpStackLocation
IoGetCurrentProcess
IoGetDeviceObjectPointer
IoGetNextIrpStackLocation
IoInitializeDpcRequest
IoInitializeIrp
IoInitializeTimer
IoMakeAssociatedIrp
IoMapTransfer
IoMarkIrpPending
IoRegisterShutdownNotification
IoReleaseCancelSpinLock
IoRequestDpc
IO_RESOURCE_DESCRIPTOR
IO_RESOURCE_LIST
IO_RESOURCE_REQUIREMENTS_LIST
IoSetCancelRoutine
IoSetCompletionRoutine
IoSetNextIrpStackLocation
IoSizeOfIrp
IoSkipCurrentIrpStackLocation
IO_STACK_LOCATION
IoStartNextPacket
IoStartNextPacketByKey
IoStartPacket
IoStartTimer
IO_STATUS_BLOCK
IoStopTimer
IoUnregisterShutdownNotification
IoWriteErrorLogEntry
IsListEmpty
IRP

(K)


KdPrint
KeAcquireSpinLock
KeAcquireSpinLockAtDpcLevel
KeBugCheck
KeBugCheckEx
KeCancelTimer
KeClearEvent
KeDelayExecutionThread
KeDeregisterBugCheckCallback
KeFlushIoBuffers
KeGetCurrentIrql
KeGetCurrentProcessorNumber
KeGetDcacheFillSize
KeInitializeCallbackRecord
KeInitializeDeviceQueue
KeInitializeDpc
KeInitializeEvent
KeInitializeMutex
KeInitializeSemaphore
KeInitializeSpinLock
KeInitializeTimer
KeInitializeTimerEx
KeInsertByKeyDeviceQueue
KeInsertDeviceQueue
KeInsertQueueDpc
KeLowerIrql
KeNumberProcessors
KeQueryPerformanceCounter
KeQuerySystemTime
KeQueryTickCount
KeQueryTimeIncrement
KeRaiseIrql
KeReadStateEvent
KeReadStateMutex
KeReadStateSemaphore
KeReadStateTimer
KeRegisterBugCheckCallback
KeReleaseMutex
KeReleaseSemaphore
KeReleaseSpinLock
KeReleaseSpinLockFromDpcLevel
KeRemoveByKeyDeviceQueue
KeRemoveDeviceQueue
KeRemoveEntryDeviceQueue
KeRemoveQueueDpc
KeResetEvent
KeSetEvent
KeSetPriorityThread
KeSetTimer
KeSetTimerEx
KeStallExecutionProcessor
KeSynchronizeExecution
KeWaitForMultipleObjects
KeWaitForMutexObject
KeWaitForSingleObject
KEY_BASIC_INFORMATION
KEY_FULL_INFORMATION
KEY_NODE_INFORMATION
KEY_VALUE_BASIC_INFORMATION
KEY_VALUE_FULL_INFORMATION
KEY_VALUE_PARTIAL_INFORMATION
KIRQL
KSYNCHRONIZE_ROUTINE

(L)


LARGE_INTEGER

(M)


MmAllocateContiguousMemory
MmAllocateNonCachedMemory
MmCreateMdl
MmFreeContiguousMemory
MmFreeNonCachedMemory
MmGetMdlByteCount
MmGetMdlByteOffset
MmGetMdlVirtualAddress
MmGetPhysicalAddress
MmGetSystemAddressForMdl
MmInitializeMdl
MmIsAddressValid
MmMapIoSpace
MmMapLockedPages
MmPrepareMdlForReuse
MmProbeAndLockPages
MmQuerySystemSize
MmSizeOfMdl
MmUnlockPages
MmUnlockPagableImageSection
MmUnmapIoSpace
MmUnmapLockedPages

(N)


NTSTATUS

(O)


ObDereferenceObject
ObReferenceObjectByHandle
ObReferenceObjectByPointer

(P)


PCI_COMMON_CONFIG
PCI_SLOT_NUMBER
PDRIVER_CONTROL
PIO_DPC_ROUTINE
PIO_TIMER_ROUTINE
PKDEFERRED_ROUTINE
PKSTART_ROUTINE
PsCreateSystemThread
PsGetCurrentProcess
PsGetCurrentThread
PsTerminateSystemThread

(R)


READ_PORT_BUFFER_type
READ_PORT_type
READ_REGISTER_BUFFER_type
READ_REGISTER_type
RemoveEntryList
RemoveHeadList
RemoveTailList
RtlInitUnicodeString
RtlMoveMemory
RTL_QUERY_REGISTRY_ROUTINE
RTL_QUERY_REGISTRY_TABLE
RtlQueryRegistryValues
RtlUnicodeStringToAnsiString
RtlZeroMemory

(U)
UNICODE_STRING
_URB_CONTROL_DESCRIPTOR_REQUEST
_URB_HEADER
UsbBuildGetDescriptorRequest

(W)


WRITE_PORT_BUFFER_type
WRITE_PORT_type
WRITE_REGISTER_BUFFER_type
WRITE_REGISTER_type

(Z)
ZwClose
ZwCreateFile
ZwCreateKey
ZwDeleteKey
ZwEnumerateKey
ZwEnumerateValueKey
ZwFlushKey
ZwMapViewOfSection
ZwOpenKey
ZwOpenSection
ZwQueryKey
ZwQueryValueKey
ZwSetInformationThread
ZwSetValueKey
ZwUnmapViewOfSection

 

 

// 内存间复制(非重叠)
VOID RtlCopyMmeory(
 IN VOID UNALIGNED *Destination,   // 复制内存的目的地址
 IN CONST VOID UNALIGNED *Source,  // 复制内存的源地址
 IN SIZE_T Length      // 表示要复制的字节数
);


// 内存间复制(可重叠)
VOID RtlMoveMemory(
 IN VOID UNALIGNED *Destination,   
 IN CONST VOID UNALIGNED *Source,
 IN SIZE_T Length
);


// 填充内存
VOID RtlFillMemory(
 IN VOID UNALIGNED *Destination,   // 目的地址
 IN SIZE_T Length,      // 长度
 IN UCHAR Fill       // 需要填充的字节
);

// 填充0字节
VOID RtlZeroMemory(
 IN VOID UNALIGNED *Destination,
 IN SIZE_T Length
);


// 内存比较
UNLONG RtlEqualMemory(
 CONST VOID *Source1,   // 比较的第1个内存地址
 const void *Sourcd2,   // 比较的第2个内存地址
 SIZE_T Length     // 比较的长度, 单位为字节
);
返回值:相等的字节数

 

// 判断内存是否可读
VOID ProbeForRead(
 IN CONST VOID *Address,  // 被检查内存地址
 IN SIZE_T Length,   // 需要被检查的内存的字节数
 IN ULONG Alignment   // 描述该段内存是以多少字节对齐的
);


// 判断内存是否可写
VOID ProbeForWrite(
 IN CONST VOID *Address,
 IN SIZE_T Length,
 IN ULONG Alignment
);

 这两个函数不是返回该段内存是否可读写, 而是当不可读写是, 引
发一个异常(Excetpiton).

异常处理

__try
{
}
__except(filter_value)
{

}
filter_value的数值有三种可能:
(1)EXCEPTION_EXECUTE_HANDLER, 该数值为1. 进入到__except进行错误
   处理, 处理完后不再回到__try{}块中, 转而继续执行.
 
(2)EXCEPTION_CONTINUE_SEARCH, 该数值为0. 不使用__excep块中的异常
   处理, 转而向上一层回卷. 如果已经是最外层, 则向操作系统请求异常
   处理函数.
 
(3)EXCEPTION_CONTINUE_EXECUTION, 该数值为-1. 重复先前错误的指令,
   这个在驱动程序中很少用到.
  
  
 ProbeForRead和ProbeForWrite函数可以和try_except块配合, 用来检查
某段内存是否可读写.
 例如:
 
VOID ProbeTest()
{
 PVOID badPointer = NULL;
 KdPrint(("Enter ProbeTest\n"));
 
 __try
 {
  KdPritn(("Enter __try block\n"));
  
  // 判断空指针是否可读, 显然会导致异常
  ProbeForWrite(badPointer, 100, 4);
  
  // 由于上面引发异常, 所以下面这句不会被执行
  KdPrint(("Leave __try block\n"));
 }
 __except(EXCEPTION_EXECUTE_HANDLER)
 {
  KdPrint(("Catch the exception\n"));
  KdPrint(("The program will keep going\n"));
 }
 
 KdPrint(("Leave ProbeTest\n"));
}

触发异常函数
ExRaiseStatus   // 用指定状态代码触发异常
ExRaiseAccessViolation // 触发STATUS_ACCESS_VIOLATION异常
ExRaiseDatatypeMisalignment // 触发STATUS_DATATYPE_MISALIGNMENT异常

__try
{
}
__finally
{

}

断言
NTSTATUS Foo(PCHAR *str)
{
 ASSERT(str != NULL);
}

 

 

 

NTSTATUS IoCreateDevice(
    IN PDRIVER_OBJECT  DriverObject,  // 本驱动的驱动对象
    IN ULONG  DeviceExtensionSize,  // 设备扩展, 简单传入0
    IN PUNICODE_STRING  DeviceName  OPTIONAL, // 设备名, 过滤设备一般不需要名称, 所以传入NULL即可.
    IN DEVICE_TYPE  DeviceType,   // 设备类型, 保持和被绑定设备类型一致即可.
    IN ULONG  DeviceCharacteristics,  // 设备特征, 填0
    IN BOOLEAN  Exclusive,   // 是否排斥, 一般FALSE
    OUT PDEVICE_OBJECT  *DeviceObject  // 返回的过滤设备
);


NTSTATUS IoAttachDevice(
    IN PDEVICE_OBJECT  SourceDevice,  // 过滤设备
    IN PUNICODE_STRING  TargetDevice,  // 要绑定的目标设备的名称
    OUT PDEVICE_OBJECT  *AttachedDevice  // 被绑定的设备指针被返回到这个地址
);


NTSTATUS IoAttachDeviceToDeviceStackSafe(
    IN PDEVICE_OBJECT  SourceDevice,   // 过滤设备
    IN PDEVICE_OBJECT  TargetDevice,   // 要绑定的目标设备的名称
    IN OUT PDEVICE_OBJECT  *AttachedToDeviceObject  // 返回最终被绑定的设备
);


// 在win2000下
PDEVICE_OBJECT IoAttachDeviceToDeviceStack(
    IN PDEVICE_OBJECT  SourceDevice,  // 过滤设备
    IN PDEVICE_OBJECT  TargetDevice  // 要绑定的目标设备的名称
);

返回值:返回最终被绑定的设备, NULL表示绑定失败.


NTSTATUS IoCallDriver(
    IN PDEVICE_OBJECT  DeviceObject, // 设备对象
    IN OUT PIRP  Irp   // 设备对象相应的IRP
);
在这之前先调用
IoSkipCurrentIrpStackLocation(irp);

 


PIRP  TdiBuildInternalDeviceControlIrp(
    IN CCHAR  IrpSubFunction,  //
    IN PDEVICE_OBJECT  DeviceObject, // 指向被过滤设备绑定的那个设备
    IN PFILE_OBJECT  FileObject,
    IN PKEVENT  Event,
    IN PIO_STATUS_BLOCK  IoStatusBlock
    );
返回值:一块分配的IRP堆栈空间

 

 

 

YL_WH
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 内核态调试函数
01-09
 作用:一些内核调用可以用来方便标记bug,提供断言并输出信息。常用的两个是BUG()和BUG_ON()。  当被调用的时候,它们会引发oops,导致栈的回溯和错误信息的打印。为什么这些声明会导致 oops跟硬件的体系结构 ...
内核中的函数
Edidaughter的博客
12-17 168
基于linux-4.15.1内核 E:\004-代码\002-内核源码\linux-4.15.1\linux-4.15.1\include\linux\decompress\mm.h #define malloc(a) kmalloc(a, GFP_KERNEL) E:\004-代码\002-内核源码\linux-4.15.1\linux-4.15.1\include\linux\slab.h static __always_inline void *kmalloc(size_t size, ..
Windows 驱动发展基金会(九)内核函数
weixin_33670786的博客
10-02 88
Windows 驱动发展基金会系列,转载请注明出处:http://blog.csdn.net/ikerpeng/article/details/38849861 这里主要介绍3类Windows的内核函数:字符串处理函数,文件操作函数, 注冊表读写函数。(这些函数都是执行时函数,所以都有Rtl字样) 1 字符串处理函数 首先驱动程序中,经常使用的字符串包含4种:CH...
一些内核操作函数
sqzxwq的博客
09-03 2629
#ifdef __cplusplus extern "C" { #endif #define DELAY_ONE_MICRO (-10) #define DELAY_ONE_MILLI (DELAY_ONE_MICRO*1000) #include #include NTSTATUS DriverEntry(IN PDRIVER_OBJECT objDriver,IN PUNICODE_
一些基本的内核函数
m0_37166404的博客
05-28 2608
snprintf(),函数原型为int snprintf(char *str, size_t size, const char *format, …) 将可变个参数(…)按照format格式化成字符串,然后将其复制到str中 (1) 如果格式化后的字符串长度 &amp;lt; size,则将此字符串全部复制到str中,并给其后添加一个字符串结束符(‘\0’); (2) 如果格式化后的字符串长度 &amp;g...
内核函数系列
zacklin的专栏
04-12 1225
如果我们了解系统调用表有关知识,也已知道如何拦截系统调用表中的函数,那么下面,我们再来了解一下我们要钩取的函数:目标函数。这方面,如果我们不仅了解系统调用表中有哪些函数,还知道这些函数的工作机制就最好了。但实际上,ntdll.dll 中的导出函数有好几百个,别说一个一个的探究,就是把它们都列出来,看着看着头都大了。幸运的是,我们不必了解每个函数,只要了解其所在的系列就行了。为什么这么说?因为微软已
windows内核函数详解
06-16
详细介绍windows内核函数作用及调用关系
Linux 内核函数调用关系的验证方法
10-17
作为最流行的开源操作系统,Linux在各行各业得到了广泛的应用。因此了解Linux 内核的架构及工作机制就显得非常重要。...通过此方法可以动态地观察Linux内核函数调用情况,以及CPU寄存器值等动态信息。
Nt内核函数大全
11-23
Nt内核函数大全 Nt内核函数功能和函数原型定义
LiteOS内核函数解析-RTOS内核原理
10-28
以前学习LiteOS内核的时候写的一点对内核源码的理解,LiteOS内核版本不是最新的,但是基本原理是相通的。
常见内核函数
weixin_48006170的博客
01-20 2700
container of 函数简介 linux内核中likely与unlikely likely和unlikely 参考/include/linux/compiler.h */ # define likely(x) __builtin_expect(!!(x), 1) # define unlikely(x) __builtin_expect(!!(x), 0) 两次 !! 翻转非逻辑值(比如1、2、3等数值,或某个指针等等)转化位逻辑值0或1,方便比较。 if分支跳转语句会降低cpu效率,lik
内核函数(宏)总结
guogaofeng1219的专栏
12-29 1914
从2.6.32 移植到 2.6.18内核 上碰到的一个问题   当我们判断某个 红黑树节点 或者  list_node 没有被 加到红黑树(或者list)上时,我们会用 RB_EMPTY_NODE list_empty_careful if(!RB_EMPTY_NODE
内核函数 __print_symbol
yldfree的博客
07-03 2194
void __print_symbol(const char *fmt, unsigned long address);功能: 根据地址返回符号的基本信息 符号名 大小等fmt:格式化字符串 address:地址头文件: #include  &lt;linux/kallsyms.h&gt;内核中实现如下:void __print_symbol(const char *fmt, unsigned l...
linux内核函数解析(一)
lintong137的专栏
01-23 828
1:int free_page_tables(unsigned long from,unsigned long size)          这个函数的作用是用于释放一个以页目录项为单位的连续内存块,当然了这指的是虚拟地址,但是linux32位的虚拟地址又被分成三个部分,从第31~22位用于确定页目录表中的页目录项(可以从CR3寄存器获取页目录表的基地址,然后将此相对偏移地址加上基地址就可以得到
【Linux网络内核】常用函数总结
colorfulshark
01-20 913
以下函数全部基于3.10.90版本的内核,对于更老或者更新的内核,可能会有所区别。 用于LOG输出的宏 LOG宏的使用方式与printk完全相同 可以自定义tag,用于在dmesg输出的日志中过滤出属于本模块的信息 可以通过debug宏控制是否输出日志,当关闭日志后,所有日志代码不会被编译 #define debug 1 #define MOD_TAG "custom tag"
Linux内核开发常见的函数
u010304442的博客
06-18 2981
做Linux驱动开发经常要使用到内核相关的函数,本篇只要介绍在做驱动开发的过程中用到的内核函数,为以后开发查询提供方便。 本篇覆盖函数如下 copy_from_user与copy_to_user函数 down_interruptible与down函数 writeX与readX宏函数 1. copy_from_user与copy_to_user函数 copy_from_user:从用户空间拷贝数据...
LINUX 系统调用
xxdong1260的专栏
03-05 439
什么是系统调用   顾名思意,系统调用说的是操作系统提供给用户程序调用的一组“特殊”接口。用户程序可以通过这组“特殊”接口来获得操作系统内核提供的服务,比如用户可以通过文件系统相关的调用请求系统打开文件、关闭文件或读写文件,可以通过时钟相关的系统调用获得系统时间或设置系统时间等。 从逻辑上来说,系统调用可被看成是一个内核与用户空间程序交互的接口——它好比一个中间人,把用户进程的请求传达给内
内核字符串处理函数和IRQL
张佩的技术库
12-21 3562
内核字符串处理函数和IRQL --by 张佩 系统中断级(IRQL) 借助于IRQL机制,系统实现了任务抢占功能。高中断级任务可以任意抢占低中断级任务的系统执行权,而低中断级任务必须等待所有高中断级任务都完成后,才能获取执行机会和相应系统资源。在单核系统中,系统中断级还被用做实现系统同步机制的手段,因为一颗核心的CPU在同一时刻,仅能运行一个线程,所以只要把当前正在使用Critical资
常用内核函数积累
lvxingzhe123456的专栏
12-07 376
1.获得操作系统版本 PsGetVersion() RtlGetVersion() 2.字符串指针 PCWSTR =  WChar *
Verilog内核函数
最新发布
08-29
在Verilog中,内核函数是一种特殊的函数类型,用于实现硬件描述语言中的内部操作。它们通常用于实现模块内部的逻辑和功能,而不是在模块外部调用。 Verilog中的内核函数具有以下特点: 1. 内核函数可以包含多个输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值