关于WinDbg + Vmware 调试DDK程序

最新推荐文章于 2021-05-10 06:36:24 发布

原创最新推荐文章于 2021-05-10 06:36:24 发布 · 1.1k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#vmware #ddk #extension #object #string #null

DDK 专栏收录该内容

1 篇文章

订阅专栏

本文记录了作者在调试自定义驱动程序时遇到的问题及解决过程。主要问题是在应用程序首次执行时无法从驱动读取数据，并且在某些情况下会导致系统蓝屏。通过设置断点并逐步调试，最终定位到了代码中的逻辑错误。

几经周折终于学会了如何利用上述工具调试驱动程序了

刚刚解决了一个自己的程序的蓝屏问题

下面把过程记录下来

问题代码如下/***************************************************************************** *文件名称: MyDDK.cpp *作者: 李佳 *完成日期: 09.7.29 ****************************************************************************/ #include "MyDDK.h" /*************************************************************************** *函数名称: DriverEntry *功能描述: 驱动程序的入口函数 *参数列表: pDriverObject : I/O管理器中传递进来的驱动对象 * pRegistryPath : 驱动程序在注册表中的存储路径 *返回值: 返回初始化驱动的执行状态 **************************************************************************/ #pragma INITCODE extern "C" DriverEntry(IN PDRIVER_OBJECT pDriverObject , IN PUNICODE_STRING pRegistryPath) { NTSTATUS status; KdPrint(("Enter DriverEntry!/n")); pDriverObject->DriverUnload = HelloDDKUnload; //卸载例程入口 pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine; pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKRead; pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine; pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine; status = CreateDevice(pDriverObject); KdPrint(("Leave DriverEntry!/n")); return status; } /*************************************************************************** *函数名称: CreateDevice *功能描述: 创建设备对象 *参数列表: pDriverObject : I/O管理器中传递进来的驱动对象 *返回值: 返回创建设备对象的执行结果 **************************************************************************/ #pragma INITCODE NTSTATUS CreateDevice(IN PDRIVER_OBJECT pDriverObject) { NTSTATUS status; PDEVICE_OBJECT pDeviceObject; PDEVICE_EXTENSION pDeviceExtension; //设备名称 UNICODE_STRING ustrDeviceName; RtlInitUnicodeString(&ustrDeviceName , L"//Device//MyDDKDevice"); //创建设备 status = IoCreateDevice(pDriverObject , sizeof(DEVICE_EXTENSION), &ustrDeviceName , FILE_DEVICE_UNKNOWN , 0, TRUE, &pDeviceObject/*注意此处为OUT PDEVICE_OBJECT *DeviceObject*/); if (!NT_SUCCESS(status)) return status; pDeviceObject->Flags |= DO_BUFFERED_IO; pDeviceExtension = (PDEVICE_EXTENSION)pDeviceObject->DeviceExtension; //填充DeviceObject的DeviceExtension字段的内容便于以后使用 pDeviceExtension->pDevice = pDeviceObject; pDeviceExtension->ustrDeviceName = ustrDeviceName; //创建符号链接 UNICODE_STRING ustrSysLinkName; RtlInitUnicodeString(&ustrSysLinkName , L"//??//MyDDK"); pDeviceExtension->ustrSysLinkName = ustrSysLinkName; status = IoCreateSymbolicLink(&ustrSysLinkName,&ustrDeviceName); if (NT_SUCCESS(status)) { IoDeleteDevice(pDeviceObject); return status; } return STATUS_SUCCESS; } /*************************************************************************** *函数名称: HelloDDKUnload *功能描述: 负责卸载驱动 *参数列表: pDriverObject : I/O管理器中传递进来的驱动对象 *返回值: 返回函数执行结果 **************************************************************************/ #pragma PAGEDCODE VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject) { KdPrint(("Enter HelloDDKUnload!/n")); PDEVICE_OBJECT pDeviceObject; pDeviceObject = pDriverObject->DeviceObject; while(pDeviceObject) { PDEVICE_EXTENSION pDeviceExtension = (PDEVICE_EXTENSION)pDeviceObject->DeviceExtension; //删除符号链接 UNICODE_STRING SysLinkName = pDeviceExtension->ustrSysLinkName; IoDeleteSymbolicLink(&SysLinkName); //删除设备 IoDeleteDevice(pDeviceExtension->pDevice); } } /*************************************************************************** *函数名称: HelloDDKDispatchRoutine *功能描述: 默认IRP处理例程 *参数列表: pDeviceObject : I/O管理器传递进来的设备对象 * Irp : I/O请求包 *返回值: 返回IRP的处理结果 **************************************************************************/ #pragma PAGEDCODE NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDeviceObject , IN PIRP Irp) { KdPrint(("Enter HelloDDKDispatchRoutine!/n")); NTSTATUS status = STATUS_SUCCESS; //完成IRP Irp->IoStatus.Status = status; Irp->IoStatus.Information = 0; IoCompleteRequest(Irp , IO_NO_INCREMENT); return status; } /*************************************************************************** *函数名称: HelloDDKRead *功能描述: 读IRP的处理例程 *参数列表: pDeviceObject : I/O管理器传递进来的设备对象 * Irp : I/O请求包 *返回值: 返回IRP的处理结果 **************************************************************************/ #pragma PAGEDCODE NTSTATUS HelloDDKRead(IN PDEVICE_OBJECT pDeviceObject , IN PIRP Irp) { KdPrint(("Enter HelloDDKRead!/n")); NTSTATUS status = STATUS_SUCCESS; PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(Irp); //获取需要读取的字节数 ULONG ulReadLength = stack->Parameters.Read.Length; //完成IRP Irp->IoStatus.Status = status; Irp->IoStatus.Information = ulReadLength; memset(Irp->AssociatedIrp.SystemBuffer , 0xAA , ulReadLength); KdPrint(("Leave HelloDDKRead!/n")); return status; }

编译没有问题下面是我在虚拟机上执行的应用程序代码

#include "stdafx.h" #include <Windows.h> #undef _AFXDLL int _tmain(int argc, _TCHAR* argv[]) { HANDLE hDevice = CreateFile(_T("////.//MyDDK"), GENERIC_READ | GENERIC_WRITE, 0, //非共享 NULL, //无安全描述符 OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hDevice == INVALID_HANDLE_VALUE) { printf("Faild to obtain file handle to device:" "%s with Win32 Error Code : %d/n", "MyDDKDevice" , GetLastError()); system("pause"); return 1; } UCHAR buf[10]; ULONG ulRead; //对设备读写 BOOL bRet = ReadFile(hDevice , buf , 10 , &ulRead , NULL); if (bRet) { printf("Read %d bytes from HelloDDK:" , ulRead); for (int i = 0 ; i < (int)ulRead ; i++) { printf("%02X" , buf[i]); } printf("/n"); } system("pause"); CloseHandle(hDevice); return 0; }

BUG重现但是执行改程序的时候不知道为什么第一次执行总是无数据返回必须要将驱动重启一遍

而驱动重启了之后如果再停止就会直接蓝屏

测试了两次之后确定无余就是会出现上述情况

于是准备解决第一个问题就是程序拿不到数据在机器重启后发现驱动已经加载了而程序打不开设备

肯定是创建设备有问题于是重启在程序的入口点下一个断点

bu MyDDK!DrierEntry(驱动未加载之前)

不放心又在CreateDevice前面再下一个断点

程序进来之后在Watch窗口添加一个Status 发现一切都没有什么问题

但是执行到创建链接符号的时候

if (NT_SUCCESS(status))
    {
        IoDeleteDevice(pDeviceObject);
        return status;
    }

发现运行到里面去了...

晕恍然大悟原来少了一个!