Windows内核开发-2-开始内核开发-2-内核开发入门
Windows内核开发-2-开始内核开发-2-内核开发入门
Windows内核开发-2-开始内核开发-2-
第一个驱动程序:
直接采用vs2019中的Empty WDM Driver 模块创建:
初始的项目文件夹中有一个Driver Files里面会有一个.inf的文件,没用直接删除就好,然后在源文件里面创建一个.cpp的源文件。
DriverEntry和Unload Routines
DriverEntry:
每个驱动都有一个入口点,叫做DriverEntry,就好比平常写的C/C++代码里面的main函数。DriverEntry是由一个叫做IRQL_PASSIVE_LEVEL(0)的系统进程调用出来的。DriverEntry函数原型:
NTSTATUS
DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING
RegistryPath);
代码原型里的_In _是源代码注释语言(SAL)中的一部分,用来描述函数如何使用其参数,SAL对于编译器来说可以直接忽略,但是对程序员很有帮助。
相关链接:
这里的最小的DriverEntry示例可以只返回一个状态,比如:
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
return STATUS_SUCCESS;
}
该DriverEntry函数包含在<ntddk.h>头文件中,但是添加了头文件后仍然是编译失败的,因为编译器会把警告当场错误来报错,但是不建议删除该功能,因为有时候警告就是会导致错误诞生:
可以对应修改这些警告,比如这里将形参删除,但是这样仅对于C++好用,因为C++有函数重载,所以这里用不上。这里有一个很经典的解决办法,就是采用一个宏函数:
UNREFERENCED_PARAMETER();
这样就可以暂时解决掉前面的报错说形参没有使用了:
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
UNREFERENCED_PARAMETER(DriverObject);
UNREFERENCED_PARAMETER(RegistryPath);
return STATUS_SUCCESS;
}
但是这样仍然不行:
可以很明显得看出,编译器没问题,但是Linker链接器出了问题,DriverEntry是一个C函数,必须用C的linker来link,但是这里我们采用的是C++的默认,所以必须给该函数设置为C的默认LInker才行
。
extern "C"
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
UNREFERENCED_PARAMETER(DriverObject);
UNREFERENCED_PARAMETER(RegistryPath);
return STATUS_SUCCESS;
}
这样最简单的驱动程序的源代码就写好了,就相当于C语言中的:
#include<stdio.h>
int main()
{
return 0;
}
Unload Routines:
这是一个驱动的卸载函数,就相当于C++中类的析构函数一样,当驱动被卸载的时候就会自动调用该函数。在DriverEntry函数中创建的东西需要由Unload Routines来释放,这就非常像C++类中的构造函数和析构函数的关系了。如果没有该函数来释放驱动加载时所开辟的内容就会导致泄露,直到下次电脑重启时内核产生的泄露才会清楚。
该函数的函数指针,必须在DriverEntry给DriverEntry的参数DriverObject中的DriverUnload字段赋值才行。Unload函数和DriverEntry函数一样都需要接受一个_In _ PDRIVER_OBJECT DriverObject 参数,但是Unload函数不需要返回值,直接用void 定义就好。
比如:
#include <ntddk.h>
void SampleUnload(_In_ PDRIVER_OBJECT DriverObject)
{
UNREFERENCED_PARAMETER(DriverObject);
}
extern "C"
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
DriverObject->DriverUnload = SampleUnload;
UNREFERENCED_PARAMETER(RegistryPath);
return STATUS_SUCCESS;
}
就是一个非常简单但是可以用的驱动了。
部署驱动程序Deploying the Driver
前面已经写好了一个驱动程序,但是我们还需要把它跑起来,驱动程序不像平时写的普通程序一样,采用IDE就可以正常使用了,需要将其加载到系统里面,通常为了避免风险,采用虚拟机来部署驱动程序。
安装驱动程序就像是在User用户态安装服务.exe一样,需要调用CreateService API或者采用现有的工具,这里采用比较常用的Sc.exe来进行部署内核驱动。
注册驱动
采用管理员权限的命令行:
sc create sample type=kernel binPath=C:\DriverTest\MyDriver3.sys
其中 sample是创建的名字,然后type表示创建的权限,binPath后面的是驱动的路径。如果没问天会弹出一个成功的标识符。
并且可以在注册表里面查到:
使用Win+R的弹出框里面输入regedit.exe,查看路径\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sample,这就是我们刚刚写好且用sc创造的驱动:
启动驱动
前面是注册了该驱动,还得使用它。这里也和User用户态的服务Service类似,需要采用StartService API来使用或者采用一些软件,这里也可以用Sc.exe来继续使用。
sc start sample
这里的sample就是前面注册的驱动的名字。
但是这个通常会失效,因为对于64bit位的windows系统,加载驱动必须得要有驱动的签名才行,这里为了学习方便,避开签名这个东西,可以直接把系统置为测试版本。
bcdedit /set testsigning on
如果你要生成除了Windows10以外的版本,可以在项目属性里面配置你的驱动要部署在的系统环境里面:
最后再使用前面sc来加载驱动时会看到一个关于驱动的输出:
有了这个输出就表明我们的驱动已经成功加载了,可以使用Process Explorer工具来确认是否加载成功(下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer)
这里的驱动名称是你自己的sys驱动名称。
卸载驱动
不用了将驱动程序卸下,同样的可以采用 ControlService API或者Sc.exe来处理。Sc指令:
sc stop sample
就OK了。
简单跟踪
为了确保函数有确切被调用,这里提供一种基础的跟踪办法来确保函数被使用,驱动采用KdPrint这个宏来输出类似于printf风格的文本,该宏的内容可以被内核的调试器,或者其它工具查看到。
KdPrint这个宏只在debug模式下采用,它的底层调用的其实是DbgPrint 内核Kernel API。
下面更新一下DriverEntry和Unload函数:
void SampleUnload(_In_ PDRIVER_OBJECT DriverObject)
{
UNREFERENCED_PARAMETER(DriverObject);
KdPrint(("Sample driver Unload called! \n"));
}
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
DriverObject->DriverUnload = SampleUnload;
UNREFERENCED_PARAMETER(RegistryPath);
KdPrint(("Sample driver initialized successfully\n !"));
return STATUS_SUCCESS;
}
需要注意的是该宏函数在调用时采用了两个括号,因为它是一个宏函数,但是又显然它是可以接受任意变量的,由于宏函数不能接受可变的变量参数,所以编译器实际上调用的是DbgPrint函数。这里理解不了没关系,先这样用着就行。
重新生成驱动并加载来查看这些Print信息,这里需要采用一个内核的调试器才行,但是为了方便,先采用一个系统的内部工具:DebugView来查看。在使用DebugView之前,需要先给它在注册表里面配置内容不然用不上。
在\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\里新建一个Key(项)Key名为DebugPrintFilter,并且添加一个DWORD类型的值名为DEFAULT,这个DEFAULT要和默认的一个值区别开来,后面那个默认的值是注册表中的每一个项都有的,那个值暂时先不用管,然后给该名为DEFAULT类型为DWORD的变量赋值为8,如下图所示:
然后下载DebugView(
这样,再使用Sc.exe来重新加载驱动就可以看到KdPrint打印的内容了。
总结Summary