NT驱动框架及主要函数、宏

主要函数

DriverEntry和DriverUnload在单线程环境运行，处于System进程上下文。

IRP分发函数

DispatchCreate()对应IRP_MJ_CREATE
DispatchRead()对应IRP_MJ_READ
DispatchWrite()对应IRP_MJ_WRITE
DispatchControl()对应IRP_MJ_DEVICE_CONTROL

DispatchClose()对应IRP_MJ_CLOSE(FileObject引用为0时发送该IRP）
DispatchClean()对应IRP_MJ_CLEANUP（Handle引用为0时发送该IRP）

设备对象名称及符号链接

设备对象名称一般为：L"\device\XXX"
符号链接名称一般为：L"\dosdevices\XXX"或L"\??\XXX"
编译时SOURCES文件内TARGETNAME也应写为XXX与上面的名称相同。

主要函数、宏以及标志

NT_SUCCESS(ntStatus)：判断NTSTATUS标志。不成功返回FALSE【该标志可查表找失败原因】

IRP_MJ_MAXIMUM_FUNCTION：该常量为分发函数个数

IoCreateDevice：用于创建设备对象。参1为驱动内核对象，参2为设备扩展，参3为名称，参4为对象类型，参5位属性，参6为是否排斥其他线程打开，参7为存返回地址指针

pDeviceObject->Flags：创建设备后通过该属性可设置R3与该设备通信时读写的方式。分别为：1.buffered IO【DO_BUFFERED_IO，IO管理器直接双向拷贝。安全速度慢】2.direct IO【DO_DIRECT_IO，用MDL机制将R3的虚拟内存对应的物理内存映射到R0的虚拟内存中】3.neither IO【DO_FORCE_NEITHER_IO，R0直接访问R3内存。缺点是需要R3R0在同一个进程上下文】使用时|=标志即可
三种方式操作的内存区域都可以在IRP头部获取到
还可设置为DO_DEVICE_INITIALIZING防止其他组件在设备对象初始化之前发送请求。DriverEntry创建的设备对象由IO管理器负责清除该标志，其他地方由程序本身清除。

IoCreateSymbolicLink：创建符号链接。参1为符号链接名，参2为设备对象名称

IoGetCurrentIrpStackLocation(pIrp)：获取当前设备对象对应的IRP站指针

IRP头部的IoStatus结构内Status为返回给r3函数是否成功，Information为操作的字节数

IRP栈中Parameters联合体保存着读、写或控制的R0传下来的