Windows驱动开发(二)

最新推荐文章于 2025-05-23 14:24:05 发布
原创 最新推荐文章于 2025-05-23 14:24:05 发布 · 1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #驱动开发

1. NT和WDM式驱动

1. NT式驱动

传统的Windows系统驱动类型。NT式驱动的启动/停止/安装/卸载只能由 服务控制管理程序组件(SCM) 来完成的。
包括最简单的hello world,以及目前常用的文件过滤框架 minifilter 都是基于NT式实现的。
NT式驱动的最大特点即完全不依赖硬件支持即可工作在内核模式中。

VOID FilterUnload(PDRIVER_OBJECT DriverObject) {
    UNREFERENCED_PARAMETER(DriverObject);
}

VOID Initialize(PDRIVER_OBJECT pDriverObject) {
    pDriverObject->DriverUnload = FilterUnload;
    for (int i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++) {
        pDriverObject->MajorFunction[i] = DispatchAny;
    }
}

//
// DriverEntry
//
_Function_class_(DRIVER_INITIALIZE)
    _IRQL_requires_same_
    _IRQL_requires_(PASSIVE_LEVEL)
EXTERN_C NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT pDriverObject,
                              _In_ PUNICODE_STRING pusRegistryPath) {
    // Enable POOL_NX_OPTIN
    // Set NonPagedPool
    ExInitializeDriverRuntime(DrvRtPoolNxOptIn);

    //
    // Init global data
    //
    BOOLEAN fSuccess = FALSE;
    __try {
        Initialize(pDriverObject);
        LOGINFO3("Driver Load\n");
        fSuccess = true;

    } __finally {
        if (!fSuccess) {
            FilterUnload(pDriverObject);
        }
    }

    return STATUS_SUCCESS;
}

但是NT式驱动的缺点也正因如此,当需要用NT式驱动实现设备过滤时需要枚举每个需要的设备再附加到设备堆栈,例如早期的SFilter框架。

2.WDM驱动

支持即插即用(PNP)和电源管理功能的驱动类型,也是最常见的驱动类型,通常与硬件关联的驱动都是由WDM实现。
WDM驱动与NT式驱动的最大区别在于WDM驱动不支持SCM管理。虽然WDM驱动不支持SCM管理,但依然支持通过SCM启动,只是无法通过SCM停止。
在具体实现上,相比NT式驱动,WDM驱动必须额外注册AddDevice回调函数,此回调函数的作用是创建设备对象并由PNP管理器调用。
同时在IRP_MJ_POWERIRP_MJ_PNP中处理设备插拔和电源的IRP请求。

VOID FilterUnload(PDRIVER_OBJECT DriverObject) {
    UNREFERENCED_PARAMETER(DriverObject);
}

NTSTATUS DispatchPower(PDEVICE_OBJECT DeviceObject, PIRP Irp) {
    NTSTATUS Status = STATUS_INVALID_DEVICE_OBJECT_PARAMETER;
    PDEVICE_EXTENSION DevExt = NULL;
    do {
        DevExt = (PDEVICE_EXTENSION)(DeviceObject->DeviceExtension);
        IoAcquireRemoveLock(&DevExt->RemoveLock, Irp);
#if (NTDDI_VERSION < NTDDI_VISTA)
        PoStartNextPowerIrp(Irp);
        IoSkipCurrentIrpStackLocation(Irp);
        Status = PoCallDriver(DevExt->TargetDevice, Irp);
#else
        IoSkipCurrentIrpStackLocation(Irp);
        Status = IoCallDriver(DevExt->TargetDevice, Irp);
#endif
        IoReleaseRemoveLock(&DevExt->RemoveLock, Irp);
    } while (false);
    return Status;
}

NTSTATUS DispatchPnp(PDEVICE_OBJECT DeviceObject, PIRP Irp) {
    NTSTATUS Status = STATUS_INVALID_DEVICE_OBJECT_PARAMETER;
    PDEVICE_EXTENSION DevExt = NULL;
    PDEVICE_OBJECT TargetDevice = NULL;
    PIO_STACK_LOCATION IrpStack = NULL;
    bool LockState = true;
    do {
        DevExt = (PDEVICE_EXTENSION)(DeviceObject->DeviceExtension);
        IoAcquireRemoveLock(&DevExt->RemoveLock, Irp);
        TargetDevice = DevExt->TargetDevice;  //
        IrpStack = IoGetCurrentIrpStackLocation(Irp);
        switch (IrpStack->MinorFunction) {
            case IRP_MN_START_DEVICE:  // 处理设备启动请求
                break;
            // case IRP_MN_QUERY_REMOVE_DEVICE: // 安全移除
            // case IRP_MN_SURPRISE_REMOVAL: // 强制移除
            case IRP_MN_REMOVE_DEVICE:  // 处理设备移除请求
                IoReleaseRemoveLockAndWait(&DevExt->RemoveLock, Irp);
                IoDetachDevice(DevExt->TargetDevice);  //
                IoDeleteDevice(DeviceObject);          //
                LockState = false;
                break;
        }
        //
        IoSkipCurrentIrpStackLocation(Irp);
        Status = IoCallDriver(DevExt->TargetDevice, Irp);
        if (LockState) {
            IoReleaseRemoveLock(&DevExt->RemoveLock, Irp);
        }
    } while (false);
    return Status;
}

NTSTATUS AddDevice(PDRIVER_OBJECT DriverObject, PDEVICE_OBJECT PDO) {
    NTSTATUS Status = STATUS_SUCCESS;
    PDEVICE_EXTENSION DevExt = NULL;
    PDEVICE_OBJECT FilterDevice = NULL;
    Status = IoCreateDevice(
        DriverObject, sizeof(DEVICE_EXTENSION),
        NULL, PDO->DeviceType,
        PDO->Characteristics, FALSE, &FilterDevice);
    if (!NT_SUCCESS(Status)) {
        LOGERROR(Status, "IoCreateDevice failed\n");
        return Status;
    }

    FilterDevice->Flags |= PDO->Flags;
    DevExt = (PDEVICE_EXTENSION)(FilterDevice->DeviceExtension);
    RtlZeroMemory(DevExt, sizeof(DEVICE_EXTENSION));
    IoInitializeRemoveLock(&DevExt->RemoveLock, c_nRmLockTag, 60, 0);
    DevExt->PDO = PDO;

    Status = IoAttachDeviceToDeviceStackSafe(
        FilterDevice,            //
        PDO,                     //
        &DevExt->TargetDevice);  //
    if (!NT_SUCCESS(Status)) {
        LOGERROR(Status, "IoAttachDeviceToDeviceStackSafe failed\n");
        IoDeleteDevice(FilterDevice);
        return Status;
    }

    FilterDevice->Flags |= DevExt->TargetDevice->Flags & (DO_DIRECT_IO | DO_BUFFERED_IO);
    FilterDevice->Flags &= ~DO_DEVICE_INITIALIZING;
    return STATUS_SUCCESS;
}

VOID Initialize(PDRIVER_OBJECT pDriverObject) {
    pDriverObject->DriverUnload = FilterUnload;
    for (int i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++) {
        pDriverObject->MajorFunction[i] = DispatchAny;
    }

    pDriverObject->MajorFunction[IRP_MJ_POWER] = DispatchPower;
    pDriverObject->MajorFunction[IRP_MJ_PNP] = DispatchPnp;
    pDriverObject->DriverExtension->AddDevice = AddDevice;
}

//
// DriverEntry
//
_Function_class_(DRIVER_INITIALIZE)
    _IRQL_requires_same_
    _IRQL_requires_(PASSIVE_LEVEL)
EXTERN_C NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT pDriverObject,
                              _In_ PUNICODE_STRING pusRegistryPath) {
    // Enable POOL_NX_OPTIN
    // Set NonPagedPool
    ExInitializeDriverRuntime(DrvRtPoolNxOptIn);

    //
    // Init global data
    //
    BOOLEAN fSuccess = FALSE;
    __try {
        Initialize(pDriverObject);
        LOGINFO3("Driver Load\n");
        fSuccess = true;
    } __finally {
        if (!fSuccess) {
            FilterUnload(pDriverObject);
        }
    }

    return STATUS_SUCCESS;
}

从上述的示例代码中可以看出,WDM驱动与NT式驱动的区。

2. 设备堆栈和IRP派遣

上图是USB存储设备的设备堆栈示例图,我们从下往上来看。
最下层是USB控制控制总线,由pci驱动创建设备的PDO(Physical Device Object)。
上一层是USB根控制器,由usbuhci驱动创建PDO,同时附加到下层的控制总线上。
更上层则是USB存储设备,由usbhub驱动创建PDO,附加到USB控制器。
最上层即实际的USB磁盘设备,由usbstor驱动创建PDO,附加到下一层的存储设备。
继续向上追溯的话,还有由disk驱动创建的磁盘分区,这里就不一一赘述了。
而所有的IRP请求都是由系统分发给最顶层的驱动程序,然后调用IoCallDriver向下分发,等待下层的执行的结果。
当然,实际的IO请求实际上是从卷设备开始分发的,而具体如何由卷设备派遣给磁盘设备的逻辑下次再说了。

  • 如何由卷设备追溯顶级的USB设备

1)通过IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS请求获取物理磁盘的编号。

bool GetPhysicalDrive(PDEVICE_OBJECT DeviceObject, PWCH pPhysicalDrive, ULONG size) {
    VOLUME_DISK_EXTENTS vde;
    NTSTATUS status = IoControl(DeviceObject, IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS, NULL, 0, &vde, sizeof(vde));
    swprintf_s(pPhysicalDrive, size, L"\\??\\PhysicalDrive%lu", vde.Extents[0].DiskNumber);
    return true;
}

2)由物理磁盘的编号获取文件系统设备对象

PFILE_OBJECT FileObj;
NTSTATUS status = IoGetDeviceObjectPointer(&usDiskWin32Name, FILE_READ_DATA, &FileObj, &DevObj);
ObDereferenceObject(FileObj);
// Find FileSystem From Device Stack
UNICODE_STRING usFileSystemDriver = RTL_CONSTANT_STRING(L"\\FileSystem\\RAW");
DevObj = GetTargetDeviceFromStackByDriver(DevObj, &usFileSystemDriver);

3)由文件系统设备对象获取磁盘设备对象

IoGetDiskDeviceObject(DevObj, &DiskObj);

4)由磁盘设备对象获取磁盘驱动器对象

PDEVICE_OBJECT GetTargetDeviceFromStackByDriver(PDEVICE_OBJECT DeviceObject, PUNICODE_STRING DriverName) {
    PDEVICE_OBJECT TargetDevice;
    TargetDevice = IoGetLowerDeviceObject(DeviceObject);
    while (TargetDevice) {
        if (0 == RtlCompareUnicodeString(&TargetDevice->DriverObject->DriverName, DriverName, TRUE)) {
            break;
        }

        DeviceObject = TargetDevice;
        TargetDevice = IoGetLowerDeviceObject(DeviceObject);
        ObDereferenceObject(DeviceObject);
    }
    return TargetDevice;
}

// Find USBSTOR From Device Stack
UNICODE_STRING usUsbstorDriver = RTL_CONSTANT_STRING(L"\\Driver\\USBSTOR");
DevObj = GetTargetDeviceFromStackByDriver(DiskObj, &usUsbstorDriver);
Windows驱动开发入门系列教程
02-02 1万+
 从事驱动开发也有一段时间了,从最初的无头苍蝇到懵懵懂懂,到入门,直至今天,感觉一路走来,走了不少的弯路,只因为没有人引导。前几天,一个朋友问到我怎么学习Windows驱动开发,我就想到把我学习Windows驱动开发的过程分享一下,也算我的一点总结。我总结了一下,大概分为这么几部分内容:第一讲:开发环境与工具篇主要讲述驱动开发的工具、调试的工具,开发环境的配置等知识,通过本篇的学习,您
Windows驱动开发技术详解-EPUB 格式
01-16
Windows驱动开发技术详解》是一本深入探讨Windows操作系统驱动程序开发的专业书籍,旨在帮助读者理解并掌握构建高效、稳定的驱动程序所需的技术。Windows驱动程序是操作系统的核心组成部分,它们提供了硬件设备与...
windows驱动开发-内核编程技术汇总()
苏洛的博客
05-04 1172
内核编程技术汇编
Windows驱动开发技术详解与示例分析
最新发布
weixin_35516273的博客
05-23 898
Windows操作系统提供了多种驱动模型,以满足不同硬件和软件需求。在诸多驱动类型中,WDM(Windows Driver Model)、KMDF(Kernel-Mode Driver Framework)和UMDF(User-Mode Driver Framework)是最常见且被广泛使用的驱动模型。WDM(Windows Driver Model)是微软为开发Windows设备驱动程序而设计的一种驱动模型。
[Windows驱动开发](一)序言
热门推荐
baggiowangyu的专栏
07-29 5万+
笔者学习驱动编程是从两本书入门的。它们分别是《寒江独钓——内核安全编程》和《Windows驱动开发技术详解》。两本书分别从不同的角度介绍了驱动程序的制作方法。     在我理解,驱动程序可分为两类三种:     第一类:传统型驱动         传统型驱动的特点就是所有的IRP都需要自己去处理,自己实现针对不同IRP的派发函数。其可以分为以下两种:         1. Nt式驱
windows驱动开发
weixin_34187862的博客
10-18 318
[作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都以英文为主,这样让很多驱动初学者很头疼.本人从事驱动开发时间不长也不短,大概也就3~4年时间.大多数人都认为会驱动开发的都是牛人,高手之类的.其实高手,牛人不是这样定义的.我们在学习驱动开发之前...
Windows驱动开发(一)
qq_38933606的博客
09-12 3215
总结来说,WDM是早期的Windows驱动开发模型,需要开发人员直接操作底层硬件资源,而WDF是在WDM之上的高级和抽象的驱动程序开发框架,提供了更简化和自动化的开发方式。注意:在极少数情况下,你需要编写注意到 PnP 或电源事件的软件驱动程序,并且驱动程序需要访问无法通过 KMDF 获取的数据,你必须使用 WDM。WDF提供了更多的自动化和简化功能,减少了驱动程序开发的复杂性和错误,提高了开发效率和稳定性。WDM驱动程序以核心驱动程序、功能驱动程序和过滤器驱动程序为基础,涵盖了广泛的硬件设备类型。
Windows驱动开发
07-11 1689
Windows驱动开发的准备工作。
Windows_7设备驱动程序开发_window设备程序开发_windows驱动开发_
10-03
4. **硬件抽象层(HAL)**:了解HAL如何在通用Windows驱动程序与特定硬件之间起到中介作用,实现跨平台兼容性。 5. **调试技术**:掌握使用WinDbg等工具进行驱动程序调试的方法,以识别和修复错误。 6. **安全编程...
【由浅入深】windows驱动开发技术详解教程 pdf笔记下载
05-31
《由浅入深》Windows驱动开发技术详解教程是一份针对初学者精心编撰的资源,旨在帮助读者逐步掌握Windows驱动程序开发的核心技能。这本笔记不仅涵盖了基础理论,还提供了丰富的实例,使得学习过程更加直观和实践化。...
Windows驱动开发系列之一:小白入门经典.pdf
11-09
#### Windows驱动开发环境搭建 - **开发工具**: - **Visual Studio 2015**: 主要的开发环境,支持C/C++编程。 - **Windows Driver Kit (WDK) 10**: 提供了必要的工具和文档来编写驱动程序。 - **Virtual ...
Windows驱动开发基础视频教程.txt
12-20
【适合小白入门】深入掌握Windows操作系统原理,提升程序开发水平,为学习驱动开发,内核安全打下基础。学完本课程可以轻松的理解Windows内核,开阔思路,对没有底层开发基础的人起到有非常好的指导作用。在此基础上可以开发出有趣且功能强大的软件。 课程目录: 第1章windows驱动基础 第一课 认识windows驱动课 在虚拟机里安装windows操作系统 第三课 windows操作系统基本概念 第四课 操作系统的分层结构 第2章windowsw驱动编译环境配置、安装及调试 第五课 安装驱动开发环境 第六课 安装驱动开发环境 第七课 实战:编写驱动程序加载器 第3章驱动程序的基本结构 第八课 复习c语言的指针和数据结构 第九课 windows驱动程序的基本结构 第十课 编程实战-创建设备对象 第4章windows内存管理 第十一课 内存管理操作 第十驱动开发中使用链表 第十三课 驱动开发中使用快查表 第十四课 在驱动中使用c++中内存管理操作-newdelet 第十六课 驱动开发中宏与断言的使用 第5章应用程序与驱动程序通信 第十六课 irp与派遣函数 第十七课 缓冲区读写操作 第十五课 在驱动中使用结构化异常处理 第十八课 缓冲区读写操作 第十九课 模拟文件 第三十课 直接方式与其它方式读写操作 第三十一课 io设备控制操作 第三十课 io设备控制操作 第6章windows内核函数 第十七课 内核模式下的字符串操作1 第十八课 内核模式下的字符串操作 第十九课 内核模式下的字符串操作 第十课 内核模式下的文件操作 第十一课 内核模式下的文件操作 第课 内核模式下注册表操作 第十三课 内核模式下注册表操作 第十四课 内核模式下注册表操作 第十五课 内核模式下注册表操作 第7章驱动程序的同步处理 第三十三课 内核模式下的同步与异步操作 第三十四课 用户模式下的同步对象1_事件 第三十五课 用户模式下的同步对象2_线程信号量与互斥体 第三十六课 内核模式下的同步对象3_系统线程创建与普 第三十七课 内核模式下的同步对象4_信号量与互斥体 第三十八课 内核模式与用户模式间的同步操作 第三十九课 其它内核同步要素 第8章IRP的同步与异步 第四十课 应用程序的对文件同步与异步操作 第四十一课 irp异步完成 第四十课 irp的取消与startio函数 第四十三课 自定义startio函数 第9章定时器54分钟3节 第四十四课 io定时器与dpc定时器 第四十五课 内核模式下的等待操作 第四十六课 时间函数与irp超时处理 第10章驱动程序调用驱动程序1小时3节 第四十七课 通过设备句柄调用驱动程序 第四十八课 设备指针调用驱动程序 第四十九课 自定义irp与ObReferenceObject 第11章分层过滤驱动 第五十课 分层驱动:枚举设备栈上的设备对象 第五十一课 编写过滤驱动程序 第五十课 irp完成函数 第12章驱动程序开发高级技能 第五十三课 驱动程序的兼容性 第五十五课 驱动调试之windbg与vmware 第五十六课 驱动调试vs vmware 第五十四课 驱动签名证书原理及制作 第五十七课 驱动调试神器virtualkd 第五十八课 汇编语言编写驱动之环境搭建 第五十九课 用汇编语言开发32与64位驱动程序
深入浅出Windows驱动开发
01-08
压缩包内容: 竹林蹊径 深入浅出Windows驱动开发-添加228页.pdf
Windows驱动开发技术详解_高清pdf
03-19
Windows驱动开发技术详解》是一本深度探讨Windows操作系统驱动程序开发的专业书籍,旨在帮助读者掌握在Windows环境下构建和调试驱动程序的关键技能。该书详细阐述了驱动开发的基础理论、实践方法以及常见问题的...
Windows 驱动开发 新手入门(一)
Doub1's Blog
02-12 2万+
Windows 驱动开发 新手入门(一)引言驱动介绍Win10 WDK建立一个驱动项目建立MyDriver.cpp理论知识驱动入口派遣函数 MajorFunctionDevice和SymbolicLinkDeviceExtensionIRP 引言 本文是对Windows下的驱动开发有一个简单的介绍,我尽可能写的小白文一些,因为大多数的驱动开发书籍对新手来说还是过于难理解。 驱动介绍 在介绍驱动开发之前,先了解一下基础知识,驱动是什么的? 驱动这个词是由Driver直译的,这和平常开发中的测试驱动开发(TD
Windows驱动开发深入指南
weixin_36382073的博客
09-10 2506
本文还有配套的精品资源,点击获取 简介:Windows驱动开发是IT领域中一项关键的技术工作,它确保操作系统与硬件设备的正确交互。本文将深入探讨Windows驱动开发的不同方面,包括Windows 2000时代的驱动模型、Windows Driver Model (WDM)、文件系统过滤驱动开发,以及驱动程序开发的环境搭建和调试技巧等。开发者将需要掌握C/C++编程,对Wi...
Windows驱动开发详解 第三章(Windows驱动编译环境配置、安装及调试)
冰糖葫芦的夏天的博客
12-25 1159
由于微软的WDK驱动开发工具包,只提供了C、C++语言的库和头文件,因此最好使用C/C++来编写驱动文件 函数调用约定 函数调用步骤: 将函数的返回地址压入堆栈 将函数的参数压入堆栈(有四种方式) _cdecl:C语言调用约定 _stdcall:标准调用约定 _fastcall:快速调用约定 thiscall:C++类成员函数调用约定 调用函数(即call 函数地址) 函数执行结束退出时对栈进行平衡(同样四种方式,与参数入栈对应) Windows驱动程序,编写需要使用标准调用约定(_stdcall).
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值