当前位置：首页 > news >正文

WinX86内核02-驱动程序

news 2025/11/6 11:28:14

把昨天的程序改用 c++ 编译，改成 .cpp ，发现编译报错

原因是名称粉碎，因此可以直接 extern “C”声明一下这个函数或者用头文件（推荐）

因为在头文件中可以把头文件一起包含进去

#pragma once extern "C" { #include <Ntddk.h> /*驱动入口函数*/ NTSTATUS DriverEntry(__in struct _DRIVER_OBJECT* DriverObject, __in PUNICODE_STRING RegistryPath); /*驱动卸载函数*/ VOID Unload(__in struct _DRIVER_OBJECT* DriverObject); }

api

在驱动编程里面也可以面向对象编程，可以用class ，但是有很多功能是禁止的，例如 try catch 这是3环的机制，内核处理的方法不一样， malloc ， printf ，scanf，new 等基本的库函数和 3环的 api都不行因为内核有一套独立的内核空间，必须用微软提供的独立的内核api去申请 .操作系统会提供一套独立的内核专用的内核 api

Reference 里面就是所有的api

WDM（NT）驱动框架

我们前面写的算一个一个驱动程序（有打印功能），但不具备交互性，即不能跟驱动沟通

那么怎么让驱动具备交互性呢（跟3环程序作交互）

内核驱动一般不做界面功能，有3环程序来做，因为内核不能中出bug

因此内核驱动开发有一个原则，驱动里面3环能解决的问题就在3环解决，驱动里面只做内核才能做的事

1.
想要跟3环做交互，那就要按操作系统的设计来做这个框架

2.
如果不需要跟3环程序交互，可能不需要按操作系统的设计来

3.
卸载函数必须有，不然装上了就无法卸载（因为有些驱动可能是系统一定要用的，防止被误卸载了）如果是开机启动，重启也无法卸载，除非进安全模式

步骤

1.
实现驱动入口函数 DriverEntry

2.
创建设备

3.
注册派函数

4.
注册卸载函数 Unload

系统 =》驱动接口 =》硬件

因为将来的硬件我们也知道有什么，所以驱动接口必须支持现在的硬件，还要支持将来的硬件，因此驱动接口的设计就十分重要，必须抽象

驱动接口 => 抽象 =》硬件共同的特点 => 文件

应用程序 =》文件API => 系统 => 驱动操作接口(open read write close) Dispatch Routines =》硬件

写驱动就是想操作系统提供 open read write close 的接口，就是文件指针，这些函数就是派遣函数

设备对象 DEVICE_OBJECT 存放 open read write close 的接口

绑定

驱动对象 DRIVER_OBJECT 虚拟出来的，当操作系统加载驱动的时候，就会创建一个驱动对象来描述加载的驱动的所有信息 DriverObject

3环程序只需要操作设备对象，设备对象自然会跟驱动对象绑定

实现

实现驱动入口函数 DriverEntry

/*驱动入口函数*/ NTSTATUS DriverEntry( __in struct _DRIVER_OBJECT* DriverObject, __in PUNICODE_STRING RegistryPath) { return STATUS_SUCCESS; }

添加设备

操作系统会提供内核API 实现王操作系统添加一个设备

ms-help://MS.WDK.v10.7600.091201/Kernel_r/hh/Kernel_r/k104_1e38a631-7e65-4b4b-8d51-3150a8073511.xml.htm

最常用的就是 IoCreateDevice

参数：

1.
驱动对象 (一个驱动可以创建多个设备对象，他就会挂链表)

2.
设备口拓展大小（驱动对象结构体有一个空指针成员，可以用来存放用户申请的地址，对结构体进行拓展，用来取代全局变量），一般定义一个结构体，也可以不用

3.
设备名字（在内核中基本不用 3环的字符串格式char* 即不是'\0'结尾的字符串，而是用 UNICODE_STRING 结构体），名字有要求前面必须要有 \Device\ 。而且必须唯一，不可以与其他设备相同

4.
设备种类，不能为NULL

5.
是否独占一般是false true表示独占：该软件使用时，其他软件无法使用

6.
返回的设备对象

不用char* 是因容易字符串一处造成漏洞

内核中有些库函数还是可以用的如： strlen strcpy但不推荐，因为不是 "\0" 结尾

windows整个操作系统是由C语言 + 汇编写的，但他整个设计用的是面向对象的思想的

内核里面基本返回值统一，这样调 api 可以统一检查，通过宏 NT_SUCCESS 检查

驱动卸载下次在安装将创建不了，因为名称被占用了，因此需要在upload 中删除对象设备

#define DEVICE_NAME L"\\Device\\CR42" UNICODE_STRING ustrDevName; //ustrDevName.Length = 8; //ustrDevName.MaximumLength = 10; //ustrDevName.Buffer = L"CR42"; RtlInitUnicodeString(&ustrDevName, DEVICE_NAME); //该函数就是实现上面3 行代码 PDEVICE_OBJECT pDevObj = NULL; NTSTATUS Status = IoCreateDevice(DriverObject, sizeof(MyDeviceExt), &ustrDevName, FILE_DEVICE_UNKNOWN, //不知道的设备类型 FILE_DEVICE_SECURE_OPEN, FALSE, //独占 &pDevObj); if (!NT_SUCCESS(Status)) { //检查错误 DbgPrint("[51asm] IoCreateDevice Status:%p\n", Status); return Status; //失败返回状态码 }

注册派遣函数

驱动对象最后一项是一个函数指针数组，我们驱动有什么功能就填什么功能，而且通过宏说明了每个下标分别放什么功能

一般对一内核驱动来说必须提供打开关闭控制 3个功能

这些函数就是派遣函数，也可以称回调函数

NTSTATUS DispatchCreate( _In_ struct _DEVICE_OBJECT* DeviceObject, _Inout_ struct _IRP* Irp ); NTSTATUS DispatchClose( _In_ struct _DEVICE_OBJECT* DeviceObject, _Inout_ struct _IRP* Irp ); NTSTATUS DispatchRead( _In_ struct _DEVICE_OBJECT* DeviceObject, _Inout_ struct _IRP* Ir

WinX86内核02-驱动程序

api

WDM（NT）驱动框架

步骤

实现

实现驱动入口函数 DriverEntry

添加设备

注册派遣函数

相关文章：

WinX86内核02-驱动程序

基于SpringBoot+Vue的体育馆场地预约系统

【WebGIS】Cesium：天地图加载

[产品管理-46]：产品组合管理中的项目平衡与管道平衡的区别

【MySQL】MySQL的简单了解详解SQL分类数据库的操纵方法

【Python爬虫实战】正则：从基础字符匹配到复杂文本处理的全面指南

10.18Python基础迭代器生成器_函数式编程

HttpPost 类（构建 HTTP POST 请求）

xtu oj 原根

Java Spring 中常用的 @PostConstruct 注解使用总结

Visual Studio--VS安装配置使用教程

什么叫CMS？如何使用CMS来制作网站？

如何获取谷歌浏览器窗口句柄并将其设置为Qt的父窗口

牛客小白月赛102:最短？路径（分层bfs）

JSON字符串转成java的Map对象

重读《人月神话》（8）-为什么巴比伦塔会失败？（Why Did the Tower of Babel Fail?）

STL源码剖析：Hashtable

spring-boot学习（2）

《案例》—— OpenCV 实现2B铅笔填涂的答题卡答案识别

新员工入职流程指南_完整入职流程解析

在软件开发中正确使用MySQL日期时间类型的深度解析

日语学习-日语知识点小记-构建基础-JLPT-N4阶段（33）：にする

Java-41 深入浅出 Spring - 声明式事务的支持事务配置 XML模式 XML+注解模式

成都鼎讯硬核科技！雷达目标与干扰模拟器，以卓越性能制胜电磁频谱战

智能分布式爬虫的数据处理流水线优化：基于深度强化学习的数据质量控制

python执行测试用例，allure报乱码且未成功生成报告

Linux C语言网络编程详细入门教程：如何一步步实现TCP服务端与客户端通信

技术栈RabbitMq的介绍和使用

视频行为标注工具BehaviLabel（源码+使用介绍+Windows.Exe版本）

《C++ 模板》