Posted on 2006-01-03 10:08
任我行 閱讀(1752)
評論(0) 編輯 收藏 引用 所屬分類:
驅動開發
好啦,辛辛苦苦終于寫完了程序,讓我們編譯運行吧!按下Ctrl+F5(嘿嘿,讓我們先假設你習慣用VC來寫程序),我等啊等……疑?怎么毫無動靜的?再看看Output窗口,哇!有幾百個錯誤啊!!不禁頭大——這是怎么回事呢?
原來,WDM程序編譯出來的并不是我們常見的.exe,而是.sys文件,在未經設置編譯環境之前,是不能直接用VC來編譯的(這就是為什么會有幾百個錯誤了)。這種類型的文件你可以在WINNT\System32\Drivers里面找到很多。其實驅動程序也是一種PE文件,它同樣由DOS MZ header開頭,也有完整的DOS stub和PE header,同樣擁有Import table和Export table——……那跟普通的PE文件有什么不一樣呢?那么就讓我們先來做個小剖析,加深對.sys文件的認識吧
首先祭出Delphi里附帶的tdump.exe程序。讓我們鍵入:
C:\WINNT\System32\Drivers>tdump ccport.sys -em -ee
參數-em是列出Import table,-ee是列出Export table。回車之后,屏幕列出一大堆東西:
C:\WINNT\SYSTEM32\DRIVERS>tdump ccport.sys -em -ee
Turbo Dump Version 5.0.16.12 Copyright ? 1988, 2000 Inprise Corporation
Display of File CCPORT.SYS
IMPORT: NTOSKRNL.EXE={hint:011Fh}.’memcpy’
IMPORT: NTOSKRNL.EXE={hint:003Dh}.’IoDeleteDevice’
IMPORT: NTOSKRNL.EXE={hint:0030h}.’IoAttachDeviceToDeviceStack’
IMPORT: NTOSKRNL.EXE={hint:008Eh}.’KeSetEvent’
IMPORT: NTOSKRNL.EXE={hint:0068h}.’IofCallDriver’
IMPORT: NTOSKRNL.EXE={hint:0095h}.’KeWaitForSingleObject’
IMPORT: NTOSKRNL.EXE={hint:0074h}.’KeInitializeEvent’
IMPORT: NTOSKRNL.EXE={hint:003Fh}.’IoDetachDevice’
IMPORT: NTOSKRNL.EXE={hint:00D3h}.’RtlFreeUnicodeString’
IMPORT: NTOSKRNL.EXE={hint:0077h}.’KeInitializeSpinLock’
IMPORT: NTOSKRNL.EXE={hint:0129h}.’strcpy’
IMPORT: NTOSKRNL.EXE={hint:0121h}.’memset’
IMPORT: NTOSKRNL.EXE={hint:003Ch}.’IoCreateUnprotectedSymbolicLink’
IMPORT: NTOSKRNL.EXE={hint:0038h}.’IoCreateDevice’
IMPORT: NTOSKRNL.EXE={hint:00C2h}.’RtlAnsiStringToUnicodeString’
IMPORT: NTOSKRNL.EXE={hint:0069h}.’IofCompleteRequest’
IMPORT: NTOSKRNL.EXE={hint:0124h}.’sprintf’
IMPORT: NTOSKRNL.EXE={hint:003Eh}.’IoDeleteSymbolicLink’
IMPORT: NTOSKRNL.EXE={hint:0042h}.’IoFreeIrp’
IMPORT: NTOSKRNL.EXE={hint:004Dh}.’IoInitializeIrp’
IMPORT: NTOSKRNL.EXE={hint:002Dh}.’IoAllocateIrp’
IMPORT: NTOSKRNL.EXE={hint:0027h}.’InterlockedExchange’
IMPORT: NTOSKRNL.EXE={hint:0025h}.’InterlockedCompareExchange’
IMPORT: NTOSKRNL.EXE={hint:0035h}.’IoCancelIrp’
IMPORT: NTOSKRNL.EXE={hint:012Ah}.’strlen’
IMPORT: NTOSKRNL.EXE={hint:0126h}.’strcat’
IMPORT: NTOSKRNL.EXE={hint:0114h}.’atoi’
IMPORT: NTOSKRNL.EXE={hint:0128h}.’strcmp’
IMPORT: NTOSKRNL.EXE={hint:0034h}.’IoBuildSynchronousFsdRequest’
IMPORT: NTOSKRNL.EXE={hint:00D5h}.’RtlInitAnsiString’
IMPORT: HAL.DLL={hint:0006h}.’KfAcquireSpinLock’
IMPORT: HAL.DLL={hint:0009h}.’KfReleaseSpinLock’
EXPORT ord:0001=’Vcomm_DriverControl’
|
看到了嗎?它主要調用了NTOSKRNL.EXE和HAL.DLL文件(實際上你會發現,幾乎所有的WDM驅動程序都會調用NTOSKRNL.EXE文件,從它的名字你可以看出為什么了吧?),并且輸出了一個函數“Vcomm_DriverControl”。這表明,其實.sys跟.exe文件一樣,都是一種PE文件來的。不同的是,.sys文件Import的通常是NTOSKRNL.EXE,而.exe文件Import的通常是KERNEL32.DLL和USER32.DLL。
知道了這些有什么用呢?實際上,由于.sys通常不調用KERNEL32.DLL和USER32.DLL,所以你是不能在設備驅動程序里面調用任何C、C++和Win32函數的,而且也不能用C++關鍵字new和delete等(可以用malloc和free來代替),而必須使用大量的內核函數。另外,你應該也能看到她調用了像IoDeleteDevice、IoAttachDeviceToDeviceStack等等函數,這些你以前可能沒有見過的函數都是些內核函數。為了讀者的方便,下面我列出一些常見的驅動程序可用的內核函數:
Ex… 執行支持
Hal… 硬件抽象層(僅NT/Windows 2000)
Io… I/O管理器(包括即插即用函數)
Ke… 內核
Ks… 內核流IRP管理函數
Mm… 內存管理器
Ob… 對象管理器
Po… 電源管理
Ps… 進程結構
Rtl… 運行時庫
Se… 安全引用監視
Zw… 其他函數
|
最后讓我們再來看看,寫設備驅動程序時必須注意的一些問題:
1、內核宏
如果查看DDK頭文件,會發現有幾個內核函數是以宏的方式實現的。這種宏中有幾個宏的定義是相當糟糕的。例如,我們看到RemoveHeadList的定義如下:
#define RemoveHeadList(ListHead)
(ListHead)->Flink;
{RemoveEntryList((ListHead)->Flink)}
|
如果以以下方式調用RemoveHeadList,則將編譯錯誤的代碼:
if(SomethingInList)
Entry = RemoveHeadList(list);
|
使這個調用安全的唯一方法是使用花括號:
if(SomethingInList)
{
Entry = RemoveHeadList(list);
}
|
所以我們切勿為了貪圖一時的方便,而使用不太規范的寫法,最好是在所有的if、for和while等語句中使用花括號。
2、驅動程序函數名稱
跟C/C++的main()函數一樣,設備驅動程序也有一個必須存在,而且只能以DriverEntry()為名稱的入口函數。然而,除此之外,我們可以使用任何名字來給其他函數命名——只要你自己記得就行了,當然,最好符合某些特定的規范啦,例如匈牙利命名法……
3、安裝時的問題
·在Windows98中驅動程序可執行文件必須是8.3文件名。(別問我為什么,我也不知道,我只能建議你去問比爾該死)
·如果INF文件中含有非法節的詳細資料,Windows將不使用這個INF文件。
本節羅羅嗦嗦講了一大堆,跟實際的編程卻并沒有太大的關系,前傳嘛!就是這樣的啦!