Posted on 2010-02-19 14:32
S.l.e!ep.¢% 閱讀(1011)
評論(0) 編輯 收藏 引用 所屬分類:
Windows WDM
驅動的入口 DriverEntry() 函數
NTSTATUS?DriverEntry(IN?PDRIVER_OBJECT?DriverObject,?IN?PUNICODE_STRING?RegistryPath)
{
}
1. 驅動對象 DriverObject
DRIVER_OBJECT 對應 .sys? 文件?
DRIVER_OBJECT?對象是操作系統在加載驅動時所分配的.
RegisteryPath 也是操作系統用于記錄驅動相關參數的注冊表路徑.
DriverObject 重要之處,在于它有一組函數指針,稱之為 dispatch functions
開發驅動的主要任務就是自己實現這些 dispatch functions, 當系統用到你的驅動時,就會向你的驅動發送 IRP, 可以在 dispatch functions 中處理這些 IRP, 可以讓IRP 失敗,也可以讓它返回成功,甚至可以修改或自己發出IRP。(如何把驅動關聯到系統中,讓它可以通知到呢?)
2. 設備對象 DeviceObject 簡稱?DO?
IRP 是由 DeviceObject 發出的,只有針對該驅動所生成的 DeviceObject? 的 IRP,操作系統才會發給該驅動來處理。具體的 dispatch function 決定于 DeviceObject? 下的 DriverObject 成員
3. 文件系統 File System 簡稱 FS
4. 控制設備 Control Device Object?簡稱 CDO
??? CDO主要任務是修改整個驅動的內部配置,因此一個驅動只對應一個 CDO
5. Symbolic Link 符號鏈接
??? 可以通過 Symbolic links viewer 工具查看操作系統的所有符號鏈接
??? 可以看到 C:?? 對應 \Device\HarddiskVolume1
??? 這里可以看出,文件系統驅動是針對每個 Volume 來生成一個 DeviceObject ,則不是針對文件。實際上對某個 Volume? 的文件讀寫,都發到這個 Volume 設備對象上面去了.
6. 可以使用 IoCreateDevice() 函數來創建 控制設備對象(控制設備對象的作用?)
7. 指定 DriverObject 的處理函數
??? for(i = 0; i<= IRP_MJ_MAXIMUM_FUNCTION; i++)
??? {
??????? DriverObject->MajorFunction[i] = SfPassThrough;
??? }
??? 處理函數里面最簡單的處理就是什么都不做,傳給操作系統的其它驅動處理,使用下面的代碼
??? IoSkipCurrentIrpStackLocation(Irp);
??? return IoCallDriver( ((PSFILTER_DEVICE_EXTENSION)DeviceObject->DeviceExtension)->AttachedToDeviceObject, Irp);
8. 文件系統的驅動,除了要處理正常的IRP之外,還要處理 FastIo
??? (a. FastIo 是操作系統的 Cache Manager 調用所觸發的沒有 IRP 的請求
???? b. FastIo 是獨立于普通IRP分發函數之外的另一組接口,作用跟普通的IRP是一樣的
???? c. 如果是一個文件過濾驅動,那么普通的IRP分發函數 和 FastIo 都有可能被調用,所以最好是同時過濾這兩套接口
???? d. fastio 的分發函數直接返回 FALSE 不做任何事,這樣這些請求都會通過IRP重新發送,有一定的效率損失,但不是很大。? )
???
FastIo 的函數可以通過 Driver->FastIoDispatch 來指定
9. 驅動中的內存分配
??? 并不是簡單的 new, 而是調用函數 ExAllocatePoolWithTag() 函數來分配
??? 內存清零則使用 RtlZeroMemory() 函數
10. 操作系統 保存了 目前所有的驅動設備對象,并且用類似于“鏈表”的方式,這個“鏈表”稱為設備棧
任何來自應用層(Ring3)的請求,都會被 Windows?系統的 IO管理器翻譯成 IRP,然后發給設備棧中最頂端的那個設備
原始 IRP????????????????????????? IRP????????????????????????????? IRP
-------------->???????????? ----------->????????????????? --------->
??????????????????? 最頂端的設備?????????? 排第二的設備??????????????? ....
<--------------???????????? <-----------????????????????? <---------
原始IRP返回????????????????? IRP返回???????????????????? IRP返回
箭頭表示IRP請求的發送過程
a.?只要我們在這個設備棧的頂端再綁定一個設備,那么發給這個設備的請求,自然就會先發給我們的設備來處理(可以通過 IoAttachDeviceToDeviceStack)
11. 某些 dispatch function 里開頭有 PAGED_CODE();?的作用是?
?????
12. 先用 IoCreateDevice() 創建一個 Device Object?, 然后調用 IoAttachDeviceToDeviceStack() 綁定到? \Device\HarddiskVolume1? 這個設備,那么所有發給 C:\ 的IRP,都必然先發送給我們的驅動,這樣一來就可以捕獲所有對文件的操作了。
13. 當一個新的存儲媒介被系統發現(如U盤)并生成一個Volume的過程稱為? Mounting, 此時,文件系統的CDO會得到一個IRP, 這個IRP是 IRP_MJ_FILE_SYSTEM_CONTROL, MinorFunctionCode == IRP_MN_MOUNT
14. IoRegisterFsRegistrationChange() 注冊一個回調函數,當操作系統中有任何文件系統被激活或者是被注銷時,注冊過的回調函數會被調用。
(注意,這里說的文件系統是指 NTFS, FAT32, CDFS 這些文件系統
win2k以前的系統,對已經激活的文件系統不會調用回調,但2K以后的系統會對已經存在的文件系統重新枚舉一次, 所以在2K下需要自己枚舉已經加載的文件系統)
(注冊這個回調有什么作用?直接綁定 RawDisk 和處理 IRP_MN_MOUNT
?不就得了?)
15. 當收到文件系統的 notify 時,綁定設備前,需要一個宏的判斷是否是文件系統類型的設備
#define IS_DESIRED_DEVICE_TYPE(_type) \
??? (((_type) == FILE_DEVICE_DISK_FILE_SYSTEM) || \
???? ((_type) == FILE_DEVICE_CD_ROM_FILE_SYSTEM) || \
???? ((_type) == FILE_DEVICE_NETWORK_FILE_SYSTEM))
(難道阿貓阿狗的設備增加時,都會觸發 fs system notify?)
15. 初始化完后,需要設置一個標志位
????? DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;
????? 作用?原因?