Windows 内核编程初涉

最新推荐文章于 2017-10-27 10:04:39 发布
转载 最新推荐文章于 2017-10-27 10:04:39 发布 · 546 阅读 · 1
文章标签:

#内核

本文介绍了Windows内核编程的关键概念,包括基本数据类型、函数返回值、字符串处理、以及驱动对象等重要数据结构的定义与用途,为初学者提供了一个良好的入门指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

windows 内核编程有自己的特点,下面是初涉其中的总结。文章的内容摘自《寒江独钓---windows内核安全编程》

1. 基本数据类型

    为了消除平台和编译器的差异,WDK定义了一套自己的数据类型。ULONG, UCHAR,UNIT VOID……

2. 函数返回值

    绝大部分内核API 都有一个返回值, 我在自己写的时候也需要:

复制代码
 1 NTSTATUS myFunc() 
 2 { 
 3     NTSTATUS status;
 4     status = ZwCreateFile(); 
 5     if (!NT_SUCCESS(status)) 
 6     { 
 7         return status; 
 8     }
 9     return status; 
10 }
复制代码

3. 字符串

    WDK 中用UNICODE_STRING 表示字符串

1 UNICODE_STRING str = RTL_CONSTANT_STRING(L"first: hello, my salary"); 
2 DbgPrint("%wZ", &str);

其中 RTL_CONSTANT_STRING 宏是用来创建一个字符串的。

%wZ 是用来格式化输出字符串的, 和int 用%d, char用%c 同理。

4. 重要的数据结构

    windows内核采用的是面向对象的编程方式,但是使用的确实C语言。所以它的对象就是“伪对象”了。当然这个对象是指诸如一个驱动,一个设备,一个文件之类的东西了。每一个对象都用一个结构体表示。

4.1 驱动对象

    当编写一个应用程序时候,windows 直接从main 函数开始执行生成一个进程。但是内核模块并不生成一个进程,只是填写了一组回调函数让windows调用。而这个调用过程就需要驱动对象帮忙了。我看下驱动对象的定义:

复制代码
 1 typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _DEVICE_OBJECT { 
 2     CSHORT Type;//类型 
 3     USHORT Size;//大小 
 4     LONG ReferenceCount;//引用计数 
 5     struct _DRIVER_OBJECT *DriverObject;//这个设备所属的驱动对象 
 6     struct _DEVICE_OBJECT *NextDevice;//下一个设备对象,一个设备对象中有N个设备 
 7     struct _DEVICE_OBJECT *AttachedDevice; 
 8     struct _IRP *CurrentIrp; 
 9     PIO_TIMER Timer; 
10     ULONG Flags;                                // See above:  DO_... 
11     ULONG Characteristics;                      // See ntioapi:  FILE_... 
12     __volatile PVPB Vpb; 
13     PVOID DeviceExtension; 
14     DEVICE_TYPE DeviceType;//设备类型 
15     CCHAR StackSize;//IRP栈的大小 
16     union { 
17         LIST_ENTRY ListEntry; 
18         WAIT_CONTEXT_BLOCK Wcb; 
19     } Queue; 
20     ULONG AlignmentRequirement; 
21     KDEVICE_QUEUE DeviceQueue; 
22     KDPC Dpc;
23     // 
24     //  The following field is for exclusive use by the filesystem to keep 
25     //  track of the number of Fsp threads currently using the device 
26     //
27     ULONG ActiveThreadCount; 
28     PSECURITY_DESCRIPTOR SecurityDescriptor; 
29     KEVENT DeviceLock;
30     USHORT SectorSize; 
31     USHORT Spare1;
32     struct _DEVOBJ_EXTENSION  *DeviceObjectExtension; 
33     PVOID  Reserved;
34 } DEVICE_OBJECT;
复制代码

从上可以看出,一个驱动对象可以包含多个设备对象。

ULONG Flags的含义:

  1. DO_BUFFEREND_IO : 读写操作使用缓冲方式。
  2. DO_EXCLUSIVE: 一次只允许一个线程打开设备句柄
  3. DO_DIRECT_IO: 读写操作直接使用
  4. DO_POWER_PAGABLE: 必须在PASSIVE_LEVEL 级上处理IRP请求
  5. DO_POWER_INRUSH: 设备上电期间需要最大电流
Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day1
WocW的博客
05-06 760
文件系统的过滤与监控 ​ 文件系统过来吧的目标,是捕获Windows系统对文件的种种操作行为,比如文件的创建、打开、读写、目录的创建、打开、枚举、改名、删除等。捕获这些操作,能够实现许多强大的功能,比如检查病毒、数据加密、数据备份、安全监控等。 ​ 不要把文件系统驱动和存储驱动和混淆。硬盘是典型的存储设备,只负责数据的读与写;而文件系统则不管数据是如何读写到硬盘或其他设备上的,它只负责数据是如何在...
初涉Python】Linux的一些简单介绍
2301_80934697的博客
01-11 982
本文介绍了一些Linux操作系统比较基础的知识。
Windows CE内核启动分析
yuin8320的专栏
11-10 461
Windows CE内核启动分析 移植或者创建一个BSP,也许需要先熟悉Windows CE的内核启动过程. 目录 基于ARM的Windows CE内核启动分析1 1.startup.s2 2.KernelStart2 2.1 ARMInit()3 2.1.1 OALIntrInit3 2.1.2 OALTimerInit4 2.1.2.1 Variable Tick Sch
windows类书的学习心得
热门推荐
g272165123的专栏
05-10 1万+
原文地址:http://www.blogjava.net/sound/archive/2008/08/21/40499.html 内容如下: 创建人: paul 现在的计算机图书发展的可真快,很久没去书店,昨日去了一下,真是感叹万千,很多陌生的出版社,很多陌生的作者,很多陌生的译者,书名也是越来越夸张,什么××天精通××,精通××编程, ××宝典等等,书的印刷质量真的很好,纸张的质量也是今非昔
系统编程是什么(转)
DoronLee的博客
10-27 796
部分摘自《Linux System Programming 》作者: Robert Love 刘建文略译(http://blog.youkuaiyun.com/keminlau)System Programming过去的Unix编程是没有系统不系统之分的。即便是开发 X Window也是在系统级(system-level)编程,看到系统的全部API。现代的操作系统编程有所谓[系统级编程],使用与[应用编程]不
内核分析-第五周
wdxz6547的专栏
03-27 3270
预备知识 内核态 用户态 为什么要划分系统级别? 如何区分内核和用户态? cs:eip 寄存器上下文 上下文切换 系统调用号 中断向量 调度时机 系统调用过程中一定发生中断, 在系统调用执行过程中可能有进程的切换.系统调用分类进程控制load execute end, abort create process (for example, fork on Unix-like systems, or N
windows shell语法及简单的例子
u010140338的专栏
12-18 4473
windows Shell 脚本语法 扩展名是bat(在nt/2000/xp/2003下也可以是cmd)的文件就是批处理文件。 ==== 注 =======================================  .bat是dos下的批处理文件  .cmd是nt内核命令行环境的另一种批处理文件  从 更广义的角度来看,unix的shell脚本以及其它操作系统甚至应用程序中由
linux 内核分析-第四周
wdxz6547的专栏
03-20 1472
预备知识内核态 用户态 为什么要划分系统级别? 如何区分内核和用户态? cs:eip什么是 system-call先看 linux 系统支持系统调用表0 common read sys_read 1 common write sys_write 2 common open sys_open 3 common
Windows中句柄和ID的区别
夕阳的博客
10-10 3133
Windows中什么是句柄、ID,以及句柄和ID的区别
寒江独钓-Windows内核安全编程 和 随书光盘
10-22
驱动开发是Windows内核编程的重要组成部分,主要涉及到系统调用、中断处理、设备驱动模型(如Windows Driver Model, WDM)和Kernel-Mode Driver Framework (KMDF)等。驱动程序是操作系统与硬件之间的桥梁,它们负责...
Windows核心编程(第五版)》:Windows开发者的经典指南
这本书籍自第一版发行以来,已经成为Windows开发领域的经典教材,对于学习和理解Windows内核机制有着举足轻重的作用。 在描述中提到,本书从第一版到第五版的持续更新和迭代,这不仅仅意味着书籍内容的丰富和更新,...
Windows核心编程错误调试工具介绍
"Windows核心编程"通常指的是Windows操作系统的核心功能和API(应用程序编程接口)的使用,它涉及到Windows内核、系统服务、驱动程序等方面的内容。在Windows核心编程中,程序员通常需要处理各种系统级的事件,如...
假装情侣匿名聊天室:体验即刻式浪漫
08-05
资源下载链接为: https://pan.quark.cn/s/abbae039bf2a 用户端:无需注册,用户进入后随机匹配异性进入聊天室。系统会随机分配房间、情侣头像及聊天话题,用户可发送自定义图片,还能通过输入法键盘输入并发送 emoji。当聊天室倒计时快结束时,用户可选择延长房间时间。聊天内容会经过过滤处理。 后台管理端:登录后台管理地址,账号为 admin,密码为 admin。后台可实时监控聊天情况,上传情侣头像和创建聊天话题,查看各房间的聊天记录。 安装步骤:将 anonymous_chat.sql 文件导入到 mysql 数据库中。修改 Application/chat/config.php 文件。 运行方式: Windows 服务器:只需双击 .bat 文件即可启动。 Linux 服务器:进入项目根目录,在终端输入命令以 debug(调试)方式启动,命令为 php start.php s。 注意事项:服务端可放置在服务器的任意位置,只要能成功运行即可。该系统同时支持 Windows 服务器和 Linux 服务器,但两者的运行方法有所不同。
装修公司网络营销推广方案.pdf
最新发布
08-06
装修公司网络营销推广方案.pdf
夏色四叶草安卓版.apk
08-05
夏色四叶草安卓版.apk
软件工程9大核心开发模型对比与应用指南:全面解析软件工程中各开发模型的特点与选型策略
08-05
内容概要:本文档详细解析了软件开发中的9大核心模型,包括瀑布模型、V模型、迭代模型、增量模型、螺旋模型、敏捷模型、快速原型模型、喷泉模型和演进型原型模型。通过对每个模型的核心特点、优点、缺点及适用场景的分析,结合对比表格、案例详解和决策树,为开发者提供了完整的选型指南。文中还列举了多个典型行业应用案例,如金融核心系统的瀑布+V模型、游戏开发的喷泉+敏捷模型以及智能硬件的演进型原型模型,展示了不同模型在实际项目中的应用效果。最后总结指出,传统模型适用于高可靠领域,而敏捷与原型模型则更适合互联网快速试错的环境,混合模型如“瀑布+敏捷”的应用趋势逐渐显现。 适合人群:具备一定软件工程基础知识的开发人员、项目经理及软件工程师,尤其是有1-3年工作经验的技术人员。 使用场景及目标:①帮助开发者理解不同开发模型的特点与差异;②为项目选型提供参考依据,确保选择最适合项目的开发模型;③通过案例分析提升实际应用能力,提高项目成功率。 其他说明:本文不仅介绍了各个模型的理论知识,还结合实际案例进行详细剖析,建议读者结合自身项目需求进行深入研究,并在实践中不断探索和优化,以找到最适合自己项目的开发模型。
词袋模型算法库,用于识别相似图像
08-05
资源下载链接为: https://pan.quark.cn/s/64d9b3521fcd 词袋模型算法库,用于识别相似图像(最新、最全版本!打开链接下载即可用!)
人脸识别CNN模型 matlab源码
08-05
人脸识别技术是一种通过分析和比较人脸图像特征来识别或验证个体身份的计算机视觉方法,其中基于卷积神经网络(CNN)的实现尤为关键。CNN是一种深度学习模型,适用于处理图像等二维结构数据,由卷积层、池化层、全连接层等组成,能够自动学习图像的局部特征并进行层次化抽象。常见的人脸识别CNN模型包括VGGFace、FaceNet、OpenFace等,通常包含预处理步骤和多层卷积及全连接层,最终通过分类器完成识别。MATLAB提供了深度学习工具箱,支持创建、训练和评估CNN模型,通过`convnet`、`trainNetwork`、`classify`等函数实现模型构建、数据预处理、训练和测试。人脸识别技术已广泛应用于安全系统、社交媒体和监控执法等领域。资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
中国地级市CO2排放数据(2000至2023年)
08-05
碳排放数据是衡量地方经济发展与环境可持续性的重要指标,通常包括二氧化碳排放量,来源涵盖能源消耗及工业、交通、建筑等领域。中国地域广阔、经济发展不均,各地碳排放水平差异较大。本次分享的数据为根据EDGAR资源提取的中国地级市CO2排放数据,时间范围为2000-2023年。数据名称:中国地级市CO2排放数据;数据年份:2000-2023年;数据范围:300个地级以上城市;样本数量:7200条;数据来源:EDGAR_2024_GHG;数据说明:根据EDGAR提取的城市碳排放数据。数据指标包括:年份、省份、城市、城市代码、所属地域、胡焕庸线、CO2排放总量。资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值