S.l.e!ep.￠%

1. //========================驅(qū)動(dòng)入口函數(shù)
2. extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT??pDriverObject, IN PUNICODE_STRING??pRegistryPath)
3. {
4. ??DbgPrint("Entry Hook Function!\n");
6. ? ? ? ? pDriverObject->DriverUnload = Unload;
7. ???????
8. ? ? ? ? Hook();
9. ??
10. ??DbgPrint("Leave DriverEntry!\n");
11. ??
12. ? ? ? ? return STATUS_SUCCESS;
13. ??
14. }

DriverEntry() 只有當(dāng)?shù)谝淮渭虞d驅(qū)動(dòng)時(shí)會(huì)被調(diào)用，此時(shí) 執(zhí)行Hook();
DriverEntry is the first routine called after a driver is loaded, and is responsible for initializing the driver

DriverUnload (PDRIVER_UNLOAD) :指向DriverUnload入口函數(shù)的指針.在驅(qū)動(dòng)程序被從內(nèi)存中卸載時(shí),DriverUnload入口函數(shù)會(huì)被操作系統(tǒng)調(diào)用,你應(yīng)該在該函數(shù)內(nèi)部做一些與DriverEntry向?qū)?yīng)的資源清除工作.
此時(shí)執(zhí)行 UnHook();

DriverUnload函數(shù)的主要工作
刪除以鏈表形式掛接在驅(qū)動(dòng)對(duì)象上的一個(gè)或多個(gè) 設(shè)備對(duì)象.(只針對(duì)NT型驅(qū)動(dòng))
進(jìn)行與DriverEntry函數(shù)中相對(duì)應(yīng)的反初始化工作.例如如果在DriverEntry函數(shù)中申請(qǐng)了堆內(nèi)存,那么在DriverUnload函數(shù)中應(yīng)該釋放該堆內(nèi)存.

PDRIVER_OBJECT??成員
DriverStartIo (PDRIVER_STARTIO) : 指向StartIO入口函數(shù)的指針.
DriverUnload (PDRIVER_UNLOAD) :指向DriverUnload入口函數(shù)的指針.在驅(qū)動(dòng)程序被從內(nèi)存中卸載時(shí),DriverUnload入口函數(shù)會(huì)被操作系統(tǒng)調(diào)用,你應(yīng)該在該函數(shù)內(nèi)部做一些與DriverEntry向?qū)?yīng)的資源清除工作.
MajorFunction (一個(gè)數(shù)組,數(shù)組中每一元素又是一個(gè)指向函數(shù)的指針 PDRIVER_DISPATCH):數(shù)組中每一個(gè)指針指向一個(gè)入口函數(shù).在接收到不同的請(qǐng)求包(IRP)時(shí),OS會(huì)調(diào)用不同的入口函數(shù).
驅(qū)動(dòng)對(duì)象的一些關(guān)鍵字段(二)
DeviceObject (PDEVICE_OBJECT) : 指向一個(gè)鏈表的指針,該鏈表中每一個(gè)節(jié)點(diǎn)都存儲(chǔ)了一個(gè)FDO對(duì)象.每一個(gè)FDO都代表一個(gè)由該驅(qū)動(dòng)維護(hù)的硬件設(shè)備實(shí)例.在WDM模型中,該鏈表由OS自動(dòng)維護(hù).
DriverExtension (PDRIVER_EXTENSION) :指向另外一個(gè)結(jié)構(gòu)體,該結(jié)構(gòu)體中唯一有用的字段為 AddDevice .AddDevice字段指向一個(gè)入口函數(shù).在操作系統(tǒng)發(fā)現(xiàn)一個(gè)新的設(shè)備實(shí)例時(shí),它會(huì)自動(dòng)調(diào)用AddDevice函數(shù),你應(yīng)該在該函數(shù)中做一些與設(shè)備實(shí)例相關(guān)的初始化工作.