驱动的DriverUnload函数

最新推荐文章于 2024-01-29 11:08:03 发布
最新推荐文章于 2024-01-29 11:08:03 发布
阅读量1k 收藏
点赞数
分类专栏: Windows内核编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouyingge1104/article/details/119151251
版权

对于一个Windows驱动来说,一般需要提供DriverUnload函数,有了这个函数,驱动对应的服务(service)就能被停止。

驱动是已服务的方式运行的,服务停止的实质是系统把该驱动模块对应在内核地址空间中的代码以及数据移除了。

同时,开发者可以在DriverUnload函数中进行一些清理相关的工作。例如驱动Driver A内部有一个线程B,如果开发者没有在DriverUnload函数中停止线程B,一旦驱动A被停止,则线程B对应与驱动A的代码就被系统删除了,线程B执行就会发生异常,从而引起系统异常。

但DriverUnload函数并不是必须的,因此,有些软件就不提供DriverUnload函数,服务就只能启动而不能停止,这一特性被很多软件(例如安全软件)利用,避免驱动被恶意停止。

参考:《Windows内核编程》- 谭文,陈铭霖

小鹰信息技术服务部
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[Windows驱动开发](三)基础知识——驱动例程
baggiowangyu的专栏
08-07 1万+
一、NT式驱动的基本例程 1. 驱动入口函数——DriverEntry // 驱动程序的一般性定义 NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath); // DriverEntry的主要工作是对驱动程序进行初始化。它由系统进程System调用的。 驱动被加
驱动学习一
weixin_41693985的博客
10-26 114
#include<ntddk.h> #define DRIVER_NAME L"\\Device\\MyfirstDevice" #define SYM_NAME L"\\??\\MyfirstDevice" void DrvUnload(PDRIVER_OBJECT pdriver) { DbgPrint("驱动已经卸载"); if (pdriver->DeviceObject) { IoDeleteDevice(pdriver->DeviceOb
驱动学习4
weixin_30342209的博客
01-01 122
1.驱动对象. typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; // // The following links all of the devices created by a single driver // together on a list, and the Flags...
NT式驱动的基本结构3 - DriverUnload例程
最新发布
wendyWJGU的博客
01-29 226
NT式驱动的基本结构3 - DriverUnload例程
驱动程序调用驱动程序
qq_41490873的博客
07-29 842
1
windows 驱动与内核调试 学习2
不会写代码的丝丽
10-29 925
我们知道我们驱动存在的意义往往是用于驱动硬件,而一个硬件读写大多数操作系统都是为文件io。既然是文件那么必然涉及到文件打开,读写等。我们看看在内核驱动该如何实现这些逻辑操作。当函数卸载的时候一定要记得删除驱动文件哦我们贴出完成相关代码我们利用工具将驱动文件进行加载然后我们在利用winobj查看我们注册驱动文件我们最后执行卸载操作。上面的注册驱动文件不能在ring3 进行文件读写,如果你期望ring3也可以驱动需要额外注册一个另一个映射名(符号链接 )相关代码如下同样我们加载驱动
NDIS驱动开发函数简明手册
08-07
`DriverUnload()`则用于卸载驱动,释放分配的资源。 - **操作请求处理**:`MiniportInitializeEx()`用于初始化微型端口驱动,处理网络设备的初始化工作。`MiniportResetEx()`执行设备复位操作。 - **数据传输**:`...
易语言驱动编写模板
07-22
易语言驱动编写模板源码,驱动编写模板,DriverUnload,DispatchCreate,DispatchClose,DispatchDeviceControl,DriverEntry,SDK_Hook,SDK_初始化Hook,SDK_取原始函数地址,SSDT_HOOK,Get_KeServiceDescriptorTable_...
驱动与应用程序
04-08
在示例代码中,`StartDriver()` 和 `StopDriver()` 分别用于启动和结束服务,这相当于调用驱动的 `DriverEntry` 和 `DriverUnload` 函数。`DriverEntry` 是驱动程序的入口点,当驱动被加载时执行;`DriverUnload` 是...
Windows驱动开发技术
01-16
pDriverObject->DriverUnload = HelloDDKUnload; //设置派遣函数 for (int i = 0; i (pDriverObject->MajorFunction); ++i) pDriverObject->MajorFunction[i] = HelloDDKDispatchRoutin; pDriverObject->...
windows驱动开发环境
10-23
DriverEntry 函数中,我们需要设置 DriverUnload 函数,以便在驱动程序卸载时被调用。我们可以使用 DbgPrint 函数来打印输出信息。在 DriverUnload 函数中,我们可以释放驱动程序占用的资源。 编译驱动程序时,...
郁金香驱动学习>第二课:为驱动添加卸载功能
ymxkybqw的博客
07-20 564
//通过这个buildchk_w2K_x86.log文件可以查看出错信息 //为驱动添加卸载功能 #include //定义个INITCODE宏,这个宏表示 初始化的时候载入内存,然后可以从内存中卸载掉 #define INITCODE code_seg("INIT") //;注意这里是不能加分号的 //卸载函数的前置说明 VOID DDK_Unload(IN PDRIVER_OBJEC
电脑蓝屏了,错误代码:0x000000CE: DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS
chainling的专栏
09-12 2万+
0x000000CE 文件名称或扩展名太长。 引起蓝屏故障硬件方面的原因有: (1)硬件超频。 (2)硬件设备兼容性不好。 (3)硬件设备老化。 (4)硬件设备中的芯片质量不好。 (5)硬件散热不好。 (6)硬件设备重突。 (7)操作不当。 引起蓝屏故障软件方面的原因有: (1)系统无法打开文件。 (2)不正确的函数运算。 (3)运行的文件数量太多。 (4)内存拒绝存
驱动程序的初始化与清除
zkzqlove的专栏
03-05 1176
驱动程序的DriverUnload例程主要负责删除设备与取消符号连接,同时也可释放在DriverEntry中所分配的资源。当数据包捕获驱动程序卸载时,操作系统调用NPF_Unload函数。调用IoDeleteSymbolicLink函数删除符号连接,调用IoDeleteDevice函数删除设备对象,并调用NdisDeregisterProtocol函数从NDIS中取消注册,并释放各相关资源。  
WDF驱动开发(1)- 一个简单的WDF驱动(non-pnp)
热门推荐
zj510的专栏
11-27 2万+
最近因为工作关系,接触了一下WDF驱动开发。 WDF驱动其实是微软公司提供的一套驱动开发的框架。有了这个框架之后,开发驱动会简单一些。WDF本身是从WDM基础上封装而成的。WDF里面封装了很多对象,如WDFDRIVER等。如果要学习使用WDF来开发驱动,个人感觉还是需要WDM的一些基础,不然很多东西挺难理解的。 写了一个简单的WDF驱动(非pnp),基本步骤如下: 创建framework 驱
驱动代码中获取NtFlushKey函数地址
06-03
在 Windows 内核模式下,我们可以使用 Zw 拦截函数来获取 NtFlushKey 函数的地址。Zw 拦截函数是 Windows 内核中的一种机制,它可以拦截用户态进程调用的系统调用,并将其转换为内核态下的函数调用。因此,我们可以通过 Zw 拦截函数来获取 NtFlushKey 函数的地址。 以下是一个示例代码,用于在 Windows 内核模式下获取 NtFlushKey 函数的地址: ```cpp #include <ntddk.h> // 定义 NtFlushKey 函数原型 typedef NTSTATUS (__stdcall* PFN_NTFLUSHKEY)(HANDLE); // 定义全局变量保存 NtFlushKey 函数地址 PFN_NTFLUSHKEY g_NtFlushKey = NULL; // Zw 拦截函数,用于获取 NtFlushKey 函数地址 NTSTATUS MyZwFlushKey(HANDLE KeyHandle) { // 获取 NtFlushKey 函数地址 if (g_NtFlushKey == NULL) { UNICODE_STRING functionName; RtlInitUnicodeString(&functionName, L"NtFlushKey"); g_NtFlushKey = (PFN_NTFLUSHKEY)MmGetSystemRoutineAddress(&functionName); if (g_NtFlushKey == NULL) { DbgPrint("Failed to get address of NtFlushKey\n"); return STATUS_UNSUCCESSFUL; } DbgPrint("Address of NtFlushKey: %p\n", g_NtFlushKey); } // 调用 NtFlushKey 函数 return g_NtFlushKey(KeyHandle); } // 驱动入口函数 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { // 注册 ZwFlushKey 拦截函数 UNICODE_STRING functionName; RtlInitUnicodeString(&functionName, L"ZwFlushKey"); DriverObject->MajorFunction[IRP_MJ_CREATE] = NULL; DriverObject->MajorFunction[IRP_MJ_CLOSE] = NULL; DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = NULL; DriverObject->MajorFunction[IRP_MJ_SYSTEM_CONTROL] = NULL; DriverObject->DriverUnload = NULL; DriverObject->MajorFunction[IRP_MJ_CREATE] = NULL; DriverObject->MajorFunction[IRP_MJ_CLOSE] = NULL; DriverObject->MajorFunction[IRP_MJ_CLEANUP] = NULL; DriverObject->MajorFunction[IRP_MJ_SHUTDOWN] = NULL; DriverObject->MajorFunction[IRP_MJ_PNP] = NULL; DriverObject->MajorFunction[IRP_MJ_POWER] = NULL; DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MyZwFlushKey; IoCreateDevice(DriverObject, 0, NULL, FILE_DEVICE_UNKNOWN, 0, FALSE, NULL); IoCreateSymbolicLink(RtlInitUnicodeString(&functionName, L"\\??\\MyZwFlushKey"), RtlInitUnicodeString(&functionName, L"\\Device\\MyZwFlushKey")); return STATUS_SUCCESS; } ``` 上面的代码定义了 MyZwFlushKey 函数作为 ZwFlushKey 的拦截函数,在第一次调用该函数时获取 NtFlushKey 函数的地址,并保存到全局变量 g_NtFlushKey 中。在后面的调用中,直接使用 g_NtFlushKey 函数指针调用 NtFlushKey 函数。注意,在驱动入口函数中,我们需要将 ZwFlushKey 拦截函数注册到 IRP_MJ_DEVICE_CONTROL 处理函数中,以便驱动程序能够接收到系统调用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小鹰信息技术服务部

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值