本文主要是介绍NT式驱动的基本结构 一,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
对于NT式驱动来说,主要的函数是 DriverEntry 例程、卸载例程及各个IRP的派例程。
驱动加载过程与驱动入口函数(DriverEntry)和编写普通应用程序一样,驱动程序有个入口函数,也就是首先被执行的函数。这个函数通常被命名为DriverEntry,也可以指定另外的名字,但最好遵循这个名字。该函数的原型如下:
#pragma INITCODE
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject,
IN PUNICODE_STRING pRegistryPath)
DriverEntry主要是对驱动程序进行初始化工作,它是由系统进程所调用的。在Windows中有个特殊的进程叫做系统进程,打开进程管理器,里面有个名为 System 的进程就是系统进程。系统进程在系统启动的时候,就已经被创建了。
驱动加载的时候,系统进程启动新的线程,调用执行体组件中的对象管理器,创建一个驱动对象。这个驱动对象是一个 DRIVER_OBJECT 的结构体。另外,系统进程调用执行体组件中的配置管理程序,查询此驱动程序对应的注册表中的项。
系统线程调用驱动程序的 DriverEntry 例程时,同时传进两个参数,分别是pDriverObject和pRegistryPath。其中,一个是指向刚才被创建驱动对象的指针,另外一个是指向设备服务键的键名字符串的指针。在 DriverEnty 中,主要功能是对系统进程创建的驱动对象进行初始化。另外,设备服务键的键名有时候需要保存下来,因为这个字符串不是长期存在的(函数返回后可能消失)。如果以后想使用这个UNICODE 字符串就必须先把它复制到安全的地方。
这个字符串的内容一般是\REGISTRY\MACHINE\SYSTEM\ControlSet\lServices\[服务名]。在驱动程序中,字符串用UNICODE字符串来表示。UNICODE 是宽字符集,每个字符用16位表示。
其中,UNICODE用数据结构UNICODE_STRING表示:
typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWCH Buffer;
} UNICODE_STRING;
1. Length:记录这个字符串用多少字节记录。如果字符串有 N个字符,那么 Length将会是N的2倍。
2. MaximumLength:记录 buffer 的大小,也就是这个结构最大能记录的字节数,MaximumLength要大于或等于Length。
3. Buffer:记录字符串的指针。与ASCII字符串不同,这里的字符串每个字符都是16位。
在驱动中可以使用 KdPrint 打印UNICODE的信息。其语法是:
KdPrint(("%S\n",pRegistryPath->Buffer));
KdPrint(("%ws\n",pRegistryPath->Buffer));
DriverEnty 返回值是NTSTATUS的数据,NTSTATUS是被定义为32位的无符号长整型。在驱动程序开发中,大家都习惯用NTSTATUS 返回状态。其中0-0X7FEFEEEEF,被认为是正确的状态,而 0X80000000-0XFFFFFFEF,被认为是错误的状态。有个非常有用的宏——NT_SUCCESS,被用来检测状态是否正确。
常用的NTSTATUS值有:
#define STATUS_SUCCESS ((NTSTATUS)0x00000000L)
#define STATUS_BUFFER_OVERFLOW ((NTSTATUS)0X80000005L)
#define STATTS UNSUCCESSFUL ((NTSTATUS)0Xc0000001L)
#define STATUS NOT_IMPLEMENTED ((NTSTATUS)0Xc0000002L)
#define STATUS_ACCESS_VIOLATION ((NTSTATUS)0Xc0000005L)
#define STATUS_INVALID_HANDLE ((NTSTATUS)0Xc0000008L)
#define STAT0S_INVALID_PARAMETE ((NTSTATUS)0Xc000000dL)
DriverEinty 的返回值如果表示成功,则意味着加驱动成功,否则意味者加载驱动失败,调用对象管理程序销毁驱动对象。
DriverEnrty 参数的修饰“IN”。“IN、“OUT”、“INOUT”在DDK中都被定义成空串,它们的功能类似于程序注释,当看到一个“IN”参数时,应该认定该参数是纯粹用于输入目的。“OUT”参数代表这个参数仅用于函数的输出参数。“INOUT用于既可以输入又可以输出的参数。例如 DriverEntry 例程,它的 DriverObjct 指针是IN参数,即使用者不能改变这个指针本身,但完全可以改变它指向的对象。
#pragma INITCODE
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject,IN PUNICODE_STRING pRegistryPath)
{NTSTATUS ntStatus = STATUS_SUCCESS;pDriverObject->DriverExtension->AddDevice = XHB1509A_AddDevice;pDriverObject->MajorFunction[IRP_MJ_PNP] = MJ_Pnp;pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MJ_DispatchControlp;pDriverObject->MajorFunction[IRP_MJ_CREATE] = MJ_Create;pDriverObject->MajorFunction[IRP_MJ_CLOSE] = MJ_Close;pDriverObject->MajorFunction[IRP_MJ_READ] = MJ_WriteRead;pDriverObject->MajorFunction[IRP_MJ_WRITE] = MJ_WriteRead;pDriverObject->MajorFunction[IRP_MJ_POWER] = MJ_Power;pDriverObject->MajorFunction[IRP_MJ_CLEANUP] = MJ_CleanUp;pDriverObject->DriverUnload = MJ_Unload;return STATUS_SUCCESS;
}
在 DrverEntry 函数中,一般设置卸载例程数和IRP的派函数,另外还有一部分代码负责创建设备对象。设置卸载例程和设置派遣函数都是对驱动对象的设置。设备对象中的MajorFunction 是一个函数指针数组,IRP_MJ_CREATE、IRP_MJ_CLOSE、IRP_MJ_WRITE 代表数组的第几个元素。
这篇关于NT式驱动的基本结构 一的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
