KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING

最新推荐文章于 2021-01-26 16:21:54 发布
转载 最新推荐文章于 2021-01-26 16:21:54 发布 · 3.4k 阅读 · 1

KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING

KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING 
KdPrint/DbgPrint and UNICODE_STRING/ANSI_STRING
Just to remember:
NT likes string of the following form: 

typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING;
typedef UNICODE_STRING *PUNICODE_STRING;

typedef struct _STRING {
USHORT Length;
USHORT MaximumLength;
PCHAR Buffer;
} STRING;
typedef STRING *PSTRING;

typedef STRING ANSI_STRING;
typedef PSTRING PANSI_STRING;



To make life easier MS have extended kernel CRTL output() function with Z format specifier. This works for all kernel functions those understand formatted strings (e.g. sprintf, _vsnprintf, KdPrint/DbgPrint). For example: 

PUNICODE_STRING pUStr;
PANSI_STRING pAStr;
...
KdPrint(("Unicode string: %wZ\n", pUStr));
KdPrint(("ANSI string: %Z\n", pAStr));

Though, you can use a little more complicated documented way. Btw, this form is suitable for printing byte array of strictly defined length. 

KdPrint(("Unicode string: %*.*ws\n",pUStr->Length/sizeof(WCHAR),
pUStr->Length/sizeof(WCHAR), pUStr));
KdPrint(("Unicode string: %*.*S\n",pUStr->Length/sizeof(WCHAR),
pUStr->Length/sizeof(WCHAR), pUStr));
KdPrint(("ANSI string: %*.*s\n", pAStr->Length/sizeof(CHAR),
pAStr->Length/sizeof(CHAR), pAStr));

Or, if you want to take into account NULL-terminator, but limit output length to specified number of characters: 

KdPrint(("Unicode string: %.*ws\n",
pUStr->Length/sizeof(WCHAR), pUStr));
KdPrint(("Unicode string: %.*S\n",
pUStr->Length/sizeof(WCHAR), pUStr));
KdPrint(("ANSI string: %.*s\n",
pAStr->Length/sizeof(CHAR), pAStr));

转 http://hi.baidu.com/deathsoft/item/4f5415ece5f97f0f64db005d
Windows驱动开发要点总结一
bcbobo21cn的专栏
07-04 2779
1 概述 驱动程序大体可分为两类三种: 第一类:传统型驱动     传统型驱动的特点就是所有的IRP都需要自己去处理,自己实现针对不同IRP的派发函数。其可以分 为以下两种:     1. Nt式驱动:此驱动通过注册系统服务来加载,并且不支持即插即用功能(即没有处理IRP_MJ_PNP 这个IRP)。     2. WDM驱动:此驱动不通过注册系统服务来加载,需啊哟自己编写inf文件
Win64 驱动内核编程-29.强制解锁文件
天使也掉毛
04-03 3744
强制解锁文件 强制解锁因其他进程占用而无法删除的文件。 1.调用ZwQuerySystemInformation的16功能号来枚举系统里的句柄 2.打开拥有此句柄的进程并把此句柄复制到自己的进程 3.用ZwQueryObject查询句柄的类型和名称 4.如果发现此句柄的类型是文件句柄,名称和被锁定的文件一致,就关闭此句柄 5.重复2、3、4步,直到遍历完系统...
Win10 KMD驱动模板,应用层向内核传一个字符串,内核把它转成大写
hambaga的博客
01-26 494
说明 没什么特别的,只是用来测试在WIN10上写驱动,包含最基本的通信代码。 又水了一篇博客,哈哈哈。 注意驱动路径发生改变时,不要忘了修改注册表的值。 https://blog.csdn.net/Kwansy/article/details/113182501 驱动 #include <ntddk.h> #define DEVICE_NAME L"\\device\\ntdrv" #define LINK_NAME L"\\dosdevices\\ntdrv" #define IOCTRL
python学习之路——第五讲数据类型
xyq_1234的博客
01-16 209
整型int 整数 浮点型float 小数 a = 1.5e10 print(a) 输出结果:15000000000.0 字符串string 在字符串类型里,包括文本的引号不仅能使用单引号(’),还能使用双引号("),两者效果没有区别,但一定要前后保持统一。 布尔型bool 只有True和False type() 查看变量的数据类型,type() 函数返回的内容是 <class ‘xxx’> 这样的格式,分别对应着不同的格式。str 表示字符串类型,int 表示整数类型,float 表示浮点数类
DbgPrint输出格式 Unicodestring
LindaXu1220的博客
11-13 1430
DbgPrint输出格式 Unicodestring 1) 直接打印字符串。 DbgPrint(“Hello World!”); 2) 空结尾的字符串,你可以用普通得C语法表示字符串常量 char variable_string[] = “Hello World”; DbgPrint(“%s”,variable_string); 3) 空结尾的宽字符串(WCHAR类型) ...
Win64 驱动内核编程-4.内核里操作字符串
天使也掉毛
03-04 1652
内核里操作字符串 字符串本质上就是一段内存,之所以和内存使用分开讲,是因为内核里的字符串太有花 样了,细数下来竟然有 4 种字符串!这四种字符串,分别是:CHAR*、WCHAR*、ANSI_STRINGUNICODE_STRING。当然,内核里使用频率最多的是 UNICODE_STRING,其次是 WCHAR*,再次是 CHAR*,而 ANSI_STRING,则几乎没见过有什么内核函数使用
Windows内核驱动中操作文件
Geons的花园阳台
03-30 4659
本页主题:如何在windows内核驱动中对文件操作,实现对文件的拷贝、粘贴、删除、查询信息等,这是很常用也是很简单的方法。 实现原理: 一、在Windows执行体中,通过文件对象来代表文件,该文件对象是一种由对象管理器管理的执行体对象。例如:目录也是由文件对象代表的。 内核组件通过对象名来引用文件,即在文件的全路径前面加\DosDevices。(在Windows 2000及后续操作系统中,\
驱动开发-01-加载、卸载、输出调试信息
lxqq0000的专栏
06-30 1407
在驱动程序中,不能使用windows系统中的用户API。自然也是没有像c\c++中可以方便的向控制台打印字符输出调试信息的print函数,在驱动中,输出调试信息的函数为 DbgPrint,用法与c\c++中的printf 类似,但是没有控制台或文件接受数据,只能通过专门的软件DebugView查看驱动调试信息。 KdPrint是一个宏,该宏在FREE(发布版)中什么都不做,Checked调试版
DbgPrint打印
weixin_47410033的博客
12-11 369
DbgPrint打印字符串 sourthstar 2012-09-11 17:24:37 5...
UNICODE_STRING__ZC
weixin_33759269的博客
12-16 108
1、KdPrint_DbgPrint and UNICODE_STRING_ANSI_STRING - swanabin的专栏 - 博客频道 - 优快云.NET.html http://blog.csdn.net/swanabin/article/details/23457793 typedef struct _UNICODE_STRING { USHORT Length; ...
UNICODE_STRING
kernweak的博客
05-24 956
typedef struct _UNICODE_STRING { USHORT Length;//字节数,不是字符数,有效的字节数。 USHORT MaximumLength;//字节数,告诉系统函数最多有多少内存可用 #ifdef MIDL_PASS [size_is(MaximumLength / 2), length_is((Length) / 2) ] U...
KdPrint使用方法
baggiowangyu的专栏
08-15 1649
格式说明符 类型 %c ANSI字符 char %C 宽字符 wchar_t %d,%i 十进制有符号整数 int %D 十进制__int64 __int64 %I IRP主功能代码和次功能代码 PIRP %l 十六进制的__int64 __int64
DbgPrint格式化说明
cyclejdm的专栏
09-03 1842
1. 简单介绍   Any single call to DbgPrint, DbgPrintEx, KdPrint, or KdPrintEx will only transmit 512 bytes of information. Any output longer than this will be lost. The DbgPrint buffer itself can hold
使用DbgPrint打印字符串和其他
热门推荐
misterliwei的专栏
12-19 1万+
使用DbgPrint打印字符串和其他2009-9-22编辑1) 直接打印字符串。 DbgPrint(“Hello World!”); 2) 空结尾的字符串,你可以用普通得C语法表示字符串常量    char variable_string[] = “Hello World”;
DbgPrint格式 输出
zhazhaq的博客
01-04 1388
DbgPrint 输出 1) 直接打印字符串。 DbgPrint(“Hello World!”);2) 空结尾的字符串,你可以用普通得C语法表示字符串常量 char variable_string[] = “Hello World”; DbgPrint(“%s”, variable_string);3) 空结尾的宽字符串(WCHAR类型) WCHAR string_w[] =
DbgPrint/KdPrint输出格式控制
liujiayu2的专栏
06-09 921
在驱动编程学习中,往往需要通过DbgPrint或者KdPrint来输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。 KdPrint is identical to the DbgPrint routine in code that is compiled
Windows驱动编程基础教程(转)
weixin_30703911的博客
06-01 428
我经常在网上遇到心如火燎的提问者。他们碰到很多工作中的技术问题,是关于驱动开发的。其实绝大部分他们碰到的“巨大困难”是被老牛们看成初级得不能再初 级的问题。比如经常有人定义一个空的UNICODE_STRING,然后往里面拷贝字符串。结果无论如何都是蓝屏。也有人在堆栈中定义一个局部 SPIN_LOCK,作为下面的同步用——这样用显然没有任何意义。我无法一一回答这些问题:因为往往要耐心的看他...
#include <ntddk.h> #include <wdm.h> #include <ntddndis.h> // 调试级别定义(必须放在所有include之后) #define DPFLTR_IHVDRIVER_ID 0x63 // 自定义驱动标识(0-63) #define MYDRIVER_TRACE_LEVEL_INFO DPFLTR_INFO_LEVEL // 0x0 #define MYDRIVER_TRACE_LEVEL_WARNING DPFLTR_WARNING_LEVEL // 0x1 #define MYDRIVER_TRACE_LEVEL_ERROR DPFLTR_ERROR_LEVEL // 0x2 #define MYDRIVER_TRACE_LEVEL_VERBOSE 0x3 // 自定义详细级别 #define IOCTL_PROTOCOL_CONTROL CTL_CODE(FILE_DEVICE_NETWORK, 0x800, METHOD_BUFFERED, FILE_READ_DATA | FILE_WRITE_DATA) typedef struct _PROTOCOL_DRIVER { PDEVICE_OBJECT DeviceObject; PFILE_OBJECT FileObject; KEVENT CompletionEvent; IO_STATUS_BLOCK IoStatus; } PROTOCOL_DRIVER; // 协议特征结构 typedef struct _PROTOCOL_CHARACTERISTICS { ULONG Magic; USHORT HeaderSize; UCHAR Checksum; } PROTOCOL_CHARACTERISTICS; // 全局变量 PROTOCOL_DRIVER g_ProtocolDriver; PROTOCOL_CHARACTERISTICS g_ProtocolChars = { 0x4E455449, sizeof(PROTOCOL_CHARACTERISTICS), 0xAA }; // IRP完成回调 NTSTATUS ProtocolIoCompletion( _In_ PDEVICE_OBJECT DeviceObject, _In_ PIRP Irp, _In_ PVOID Context) { UNREFERENCED_PARAMETER(DeviceObject); PKEVENT event = (PKEVENT)Context; KeSetEvent(event, IO_NO_INCREMENT, FALSE); return STATUS_MORE_PROCESSING_REQUIRED; } // 绑定到协议驱动 NTSTATUS AttachToProtocolDriver() { UNICODE_STRING protoName; RtlInitUnicodeString(&protoName, L"\\Device\\Tcp"); NTSTATUS status = IoGetDeviceObjectPointer( &protoName, FILE_ALL_ACCESS, &g_ProtocolDriver.FileObject, &g_ProtocolDriver.DeviceObject); if (!NT_SUCCESS(status)) { DbgPrintEx(DPFLTR_IHVDRIVER_ID, DBG_LEVEL_ERROR, "[%s] Failed to attach to protocol driver: 0x%X\n", __FUNCTION__, status); return status; } DbgPrintEx(DPFLTR_IHVDRIVER_ID, DBG_LEVEL_INFO, "[%s] Successfully attached to protocol driver at 0x%p\n", __FUNCTION__, g_ProtocolDriver.DeviceObject); return STATUS_SUCCESS; }
最新发布
03-31
<think>好的,用户想了解如何通过Windows驱动程序附加到协议驱动并处理IRP完成回调,并需要一个示例。我需要先回忆相关知识点,并结合提供的引用内容来构建答案。 首先,用户提到的“附加到协议驱动”可能是指将驱动程序附加到现有的设备堆栈上,以便拦截和处理IRP。这在Windows驱动开发中是常见的操作,例如过滤驱动程序。根据引用[3]提到的文件系统或过滤器驱动安装时的问题,可能涉及到驱动签名和加载的问题,但用户的问题更关注技术实现。 接下来,处理IRP完成回调需要了解IRP的生命周期。当IRP被发送到底层驱动处理后,在完成时会触发完成例程。开发者可以注册一个完成回调函数来在此处进行处理。引用[4]提到了NTSTATUS代码,这可能与处理IRP时返回的状态有关,例如在回调中检查操作是否成功。 然后,我需要考虑如何正确附加到协议驱动。通常,这涉及到调用IoAttachDeviceToDeviceStackSafe函数来将过滤设备附加到目标设备堆栈。这需要先找到目标设备对象,可能通过设备名称或类型来定位。例如,协议驱动可能有一个特定的设备名称,需要在代码中指定。 然后,编写驱动程序的入口点,如DriverEntry函数,在其中创建设备对象并附加到目标设备。在创建设备对象时,需要设置适当的设备特征和标志,确保正确处理IRP。 处理IRP完成回调时,需要创建一个完成例程函数,并在派遣函数中调用IoSetCompletionRoutineEx来注册它。在完成例程中,可以访问IRP的结果数据,并进行处理。需要注意的是,完成例程中必须正确管理IRP的状态,避免内存泄漏或系统崩溃。 此外,引用[1]提到驱动程序加载失败的问题,可能是因为之前的驱动版本仍在内存中。这提示在开发过程中需要正确卸载驱动,避免残留。引用[2]涉及证书错误,可能和驱动签名有关,但用户的问题可能暂时不需要关注这点,除非示例代码运行时出现签名问题。 最后,确保示例代码符合WDK的规范,使用正确的函数和参数。例如,使用IoCopyCurrentIrpStackLocationToNext来复制IRP栈位置,然后调用IoCallDriver传递IRP。在完成例程中,检查IRP的状态,并执行必要的处理。 总结步骤:附加到协议驱动、设置派遣函数、注册完成回调、处理IRP完成后的操作。同时,注意驱动卸载时的清理工作,如分离设备堆栈和删除设备对象。</think>以下是关于如何通过Windows驱动程序附加到协议驱动并处理IRP完成回调的逐步说明: --- ### 1. **驱动附加到协议驱动的核心步骤** #### (1) 获取目标设备对象 通过设备名称或设备类型定位协议驱动的设备对象。例如,使用`IoGetDeviceObjectPointer`获取目标设备对象指针: ```c UNICODE_STRING targetDeviceName; RtlInitUnicodeString(&targetDeviceName, L"\\Device\\ProtocolDriver"); PFILE_OBJECT fileObject; PDEVICE_OBJECT targetDeviceObject; NTSTATUS status = IoGetDeviceObjectPointer(&targetDeviceName, FILE_ALL_ACCESS, &fileObject, &targetDeviceObject); ``` #### (2) 创建设备对象并附加 创建过滤设备对象,并将其附加到目标设备堆栈: ```c PDEVICE_OBJECT filterDeviceObject; status = IoCreateDevice( DriverObject, 0, NULL, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &filterDeviceObject ); // 附加到协议驱动的设备堆栈 PDEVICE_OBJECT attachedDevice = IoAttachDeviceToDeviceStackSafe(filterDeviceObject, targetDeviceObject); ``` --- ### 2. **IRP完成回调的实现** #### (1) 定义完成回调函数 在IRP完成时触发的回调函数中处理结果: ```c NTSTATUS CompletionRoutine( PDEVICE_OBJECT DeviceObject, PIRP Irp, PVOID Context ) { if (Irp->PendingReturned) { IoMarkIrpPending(Irp); } // 处理IRP完成后的数据(例如读取缓冲区) if (NT_SUCCESS(Irp->IoStatus.Status)) { KdPrint(("IRP completed successfully, Bytes transferred: %d", Irp->IoStatus.Information)); } return STATUS_SUCCESS; } ``` #### (2) 在派遣函数中注册回调 在IRP派遣函数中设置完成回调: ```c NTSTATUS DispatchRead(PDEVICE_OBJECT DeviceObject, PIRP Irp) { PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(Irp); // 复制当前IRP栈到下一层驱动 IoCopyCurrentIrpStackLocationToNext(Irp); // 设置完成回调 IoSetCompletionRoutineEx( DeviceObject, Irp, CompletionRoutine, NULL, // Context TRUE, // InvokeOnSuccess TRUE, // InvokeOnError TRUE // InvokeOnCancel ); // 传递IRP到下层驱动 return IoCallDriver(((PFILTER_DEVICE_EXTENSION)DeviceObject->DeviceExtension)->AttachedDevice, Irp); } ``` --- ### 3. **关键注意事项** - **设备扩展结构**:建议使用设备扩展(`DEVICE_EXTENSION`)存储附加设备对象指针等上下文信息。 - **IRP状态管理**:在完成回调中必须正确处理`Irp->PendingReturned`,否则可能导致系统崩溃[^4]。 - **卸载处理**:在驱动卸载例程中分离设备堆栈并删除设备对象: ```c VOID DriverUnload(PDRIVER_OBJECT DriverObject) { PDEVICE_OBJECT deviceObject = DriverObject->DeviceObject; IoDetachDevice(((PFILTER_DEVICE_EXTENSION)deviceObject->DeviceExtension)->AttachedDevice); IoDeleteDevice(deviceObject); } ``` --- ### 示例代码框架 ```c #include <ntddk.h> typedef struct _FILTER_DEVICE_EXTENSION { PDEVICE_OBJECT AttachedDevice; } FILTER_DEVICE_EXTENSION, *PFILTER_DEVICE_EXTENSION; NTSTATUS CompletionRoutine(PDEVICE_OBJECT, PIRP, PVOID); NTSTATUS DispatchRead(PDEVICE_OBJECT, PIRP); VOID DriverUnload(PDRIVER_OBJECT); NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { DriverObject->DriverUnload = DriverUnload; DriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; // 创建设备并附加到协议驱动(此处需补充设备创建和附加代码) return STATUS_SUCCESS; } ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值