读书笔记_windows内核编程基础_part 1

1. 数据类型的定义，一般使用重定义的方式，例如ULONG，UCHAR等，x86到x64平台，指针从4字节转变成8字节。

2. 大多数的内核API都返回一个状态，这个状态的类型为NTSTATUS。一般用宏NT_SUCCESS()来判断返回值是否成功

3. DbgPrint（）输出的字符串可以在debugview下观察到

UNICODE_STRING str = RTL_CONSTANT_STRING(L”first-ddddd”);,如此定义Unicode字符串

打印unicode字符串，利用%wZ, 因为这是一个结构指针。DbgPrint(“%wZ”,&str);

4. 驱动对象

Windows内核是面向对象，但是的是C语言

驱动对象的结构

typedef struct _DRIVER_OBJECT {

// 结构的类型和大小。

CSHORT Type;

CSHORT Size;

// 设备对象，这里实际上是一个设备对象的链表的开始。因为DeviceObject

// 中有相关链表信息。读下一小节“设备对象”会得到更多的信息。

PDEVICE_OBJECT DeviceObject;

……

// 驱动的名字

UNICODE_STRING DriverName;

……

// 快速IO 分发函数

PFAST_IO_DISPATCH FastIoDispatch;

……

// 驱动的卸载函数

PDRIVER_UNLOAD DriverUnload;

// 普通分发函数

PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;

内核模块不是一个进程，只是一组回调函数让windows来调用

有两个概念，“普通分发函数”和“快速IO分发函数”，引申的一个概念就是分发函数的Hook技术

5. IRP和设备对象DEVICE_OBJECT

DO用来接收IRP, IRP 都是发送给设备对象的，以下是wdm.h中定义的DEVICE_OBJECT的结构

Typedef struct DECLSPEC_ALLGN(MEMORY_ALLOCATION_ALIGNMENT)

_DEVICE_OBJECT{

CSHORT Type;

USHORT Size;

// 引用计数

ULONG ReferenceCount;

// 这个设备所属的驱动对象

Struct _DRIVER_OBJECT *DriverObject;

// 指向下一个设备对象，如果驱动对象中存在n个设备时，这些设备会组成一个单向链表。

Struct _DEVICE_OBJECT *NextDevice;

// 设备类型

DEVICE_TYPE DeviceType;

// IRP栈大小

HAR StackSize

}DEVICE_OBJECT

当Windows向设备对象发送请求时，驱动对象的分发函数中的某一个会被调用。分发函数的原型如下：

第一参数是请求目标的device，第二参数irp是请求的指针

NTSTATUS MyDispatch(PDEVICE_OBJECT deivce, PIRP irp);

IRP也是一个结构，这个结构很复杂，注意IRP栈空间。一个IRP往往需要传递n个设备才能完成，在传递过程中，有可能会一些“中间变换”，导致请求参数的变化，我们给每次“中转”都保留一个“栈空间”，用来保存中间参数，所以每个函数调用IRP都会分配一个空间。

6. WDK的函数

WDK的函数根据不同的分类，有着不同的前缀名，Ndis-开头都是网络启动开发相关的函数。

相对于windows API 比较常用的函数，WDK的函数对应为

ExAllocatePool 内存分配函数，相对于CRumTime库里的malloc

ExFreePool 内存释放，相对与CRunTime库里的free

ExAcquireFastMutex，获取一个快速互斥体，用于在多线程环境下的同步。

ExReleaseFastMutex，释放一个快速互斥体

ExRasieStatus，抛出一个异常，类似try exception。

Zw-和同名的Nt-函数有着同样的功能，中间实际上是从Zw-函数到Nt-函数的简单跳转关系。

常用的函数还包括Rtl-系列函数

RtlInitUnicodeString 初始化一个unicode字符串

RtlCopyUnicodeString 拷贝字符串

RtlAppendUnicodeToString 一个字符串追加到到另一个字符串后

RtlStringCbPrintf 打印字符串到另一个字符串中，相当与sprintf

RtlCopyMemory 内存数据块拷贝

RtlMoveMemory 内存数据移动

RtlZeroMemory 内存数据清零

RtlCompareMemory 比较内存

RtlGetVersion 获得当前windows的版本

Io-系列函数涉及IO管理器，所以它一般处于更低层，

IoCreateDevice，生成一个设备对象