驱动开发基础知识.doc

第六章：内核编程介绍 一、内核开发入门 （一）内核编程的环境准备 从现在开始如何编写内核程序和一些注意事项，内核程序运行在R0层，拥有最高权限，在这里我假设你有足够的VC开发上层应用程序的经验。 开发内核程序需要准备的开发环境：Visual Studio 6/2005/2010均可，微软的驱动程序开发包DDK（Driver Development Kit），随着Vista版本的发布这个开发包升级为WDK（Windows Driver Kit） 开发内核程序需要准备的调试环境：虚拟机系统，Windbg调试程序, Dbgview.exe查看日志程序。 （二）编写第一个驱动程序 与普通的应用程序相比，在一个内核程序工程中，需要增加如下两个文件： Sources文件内容如下： TARGETNAME=collector //编译出来的目标文件文件名 TARGETPATH=. //目标文件路径“.”默认路径 TARGETTYPE=DRIVER DRIVERTYPE=FS TARGETLIBS= $(DDK_LIB_PATH)\wdmsec.lib\ ..\lib\drvlib.lib //静态库 INCLUDES=$(DDK_INC_PATH);\ ..\include //头文件 SOURCES=filespy.c\ //源文件 drv.rc 其他更详细的信息，请到网上查阅相关资料。 Makefile文件内容如下： # # DO NOT EDIT THIS FILE!!! Edit .\sources. if you want to add a new source # file to this component. This file merely indirects to the real make file # that is shared by all the driver components of the Windows NT DDK # !INCLUDE $(NTMAKEENV)\makefile.def 没有仔细研究过，写成这样就可以编译通过。更多细节请查阅相关资料。 看看驱动的DriverEntry函数： NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { DbgPrint(OK,this is DriverEntry!); . . . DbgPrint(DriverEntry is over\n); return STATUS_SUCCESS; } 当然这个程序什么也没有做，只是进去打了两句日志就退出了。通过Dbgview可以查看到本程序打印出来的日志。 二、驱动开发基础 （一）浅谈驱动对象、设备对象与请求 首先，谈谈驱动对象（DRIVER_OBJECT），可以说驱动对象代表的是一个驱动程序（或者叫内核模块）。在写内核程序时，必须要填写这样一种结构，来告诉Windows程序提供的功能。内核程序并不生成进程，它们有系统的System进程加载，可以存在于任何的进程。 设备对象（DEVICE_OBJECT）可以是一个具体的物理设备，如：键盘、硬盘等；也可以是一个虚拟的“设备”，如：用于进程间通信的管道。设备对象由驱动对象创建，一个驱动对象可以创建很多个设备对象。这些设备对象储存在一个设备栈中，这些设备对象是用链表连接在一起的，当新的设备对象产生时应该是用的尾插入（和人理解）。 对于请求，我们可以理解为Windows SDK程序设计里的消息。一般都是以IRP方式传递的。而设备对象是唯一可以接受请求的实体。然而一个驱动对象中可能会有很多个设备对象，那么是由哪一个设备对象来处理呢？ 我的理解是：就像MFC中的消息传递机制一样，会有一个消息的接收顺序；IRP请求也是这样，它先发送到设备栈中最上面的一个设备（必威体育精装版加入），没有被处理就继续向下发送，如果到最后都还是没有被处理，我认为会有一个默认的处理。 （二）IoCallDriver函数与PoCallDriver函数 首先来看这两个函数的原型： NTSTATUS IoCallDriver( IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp ); NTSTATUS