过滤驱动与驱动探秘

最新推荐文章于 2025-04-21 10:23:07 发布
最新推荐文章于 2025-04-21 10:23:07 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动开发 文章标签: function ddk extension processing object 程序开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nxjbill/article/details/2638927
本文介绍了一个Windows设备驱动程序开发的实例,通过改造《Windows2000/XP WDM设备驱动程序开发》一书中的CharSample_DDK示例,创建了一个过滤驱动CharFilter。该过滤驱动能够将输入的一串数字转换为汉字形式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        驱动程序由于有较强的模式约束,加上不易调试,往往让学习者望而却步,在这里我将学习驱动的一点心得与大家共享。

        为了探寻过滤驱动和驱动之间的关系,我写了一个小小的示例驱动,Windows 2000/XP WDM设备驱动程序开发》一书所配套的源代码中的CharSample_DDK,及DDK所带的KbFilter驱动改造成一个过滤驱动。驱动源代码放到了我的资源中,有需要的用户可以去下载。

   CharSample_DDK完成将一个数据转换成一个大写如将1转换成一,为功能驱动

   CharFilter完成将一串数据转换成大写,如 123转换成一二三等。为过滤驱动

   CharFilter主要功能是将一串数字一个个的传给功能驱动CharSample_DDK主要代码如下。

一、驱动创建过程信息抓图

二、驱动卸载过程信息抓图

三、读取数据过程信息抓图

四、信息处理过程主要实现代码

NTSTATUS CharFilter_Control(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ) {  NTSTATUS status;  PIO_STACK_LOCATION irpStack, irpnextStack;  ULONG in, out;  PVOID *inputbuf, *outputbuf;  CHAR ins[16], outs[16];  DbgPrint(__FUNCTION__);

 RtlZeroMemory(ins, sizeof(CHAR) * 16);  RtlZeroMemory(outs, sizeof(CHAR) * 16);  irpStack = IoGetCurrentIrpStackLocation(Irp);  in = irpStack->Parameters.DeviceIoControl.InputBufferLength;  out = irpStack->Parameters.DeviceIoControl.OutputBufferLength;

 inputbuf = Irp->AssociatedIrp.SystemBuffer;  outputbuf = Irp->AssociatedIrp.SystemBuffer;

 strncpy((PCHAR)ins, (PCHAR)inputbuf, in);

 irpnextStack = IoGetNextIrpStackLocation(Irp);   DbgPrint("%s irpstack = %p, irpnext = %p", __FUNCTION__,   irpStack, irpnextStack);  status = STATUS_SUCCESS;  switch(irpStack->Parameters.DeviceIoControl.IoControlCode)  {  case IOCTL_800:   while(in > 0)   {    KEVENT event;

   strncpy((PCHAR)inputbuf, (PCHAR)&ins[in-1], 1);      irpnextStack = IoGetNextIrpStackLocation(Irp);      RtlCopyMemory(irpnextStack, irpStack, sizeof(IO_STACK_LOCATION));    DbgPrint("%s irpstack = %p, irpnext = %p", __FUNCTION__,     irpStack, irpnextStack);      DbgPrint("%s times in = %d out = %d", __FUNCTION__, in, out);    KeInitializeEvent(&event,NotificationEvent , FALSE);    IoSetCompletionRoutine(Irp,                                (PIO_COMPLETION_ROUTINE) CharCompletionRoutine,                                &event,                                TRUE,                                TRUE,                                TRUE); // No need for Cancel    DbgPrint("begin call IoCallDriver %s", __FUNCTION__);    status = IoCallDriver(((PDEVICE_EXTENSION) DeviceObject->DeviceExtension)->TopOfStack, Irp);    DbgPrint("end call IoCallDriver %s", __FUNCTION__);    if (STATUS_PENDING == status) {     DbgPrint("%s status pending ", __FUNCTION__);     KeWaitForSingleObject(        &event,        Executive, // Waiting for reason of a driver        KernelMode, // Waiting in kernel mode        FALSE, // No allert        NULL); // No timeout    }    KeClearEvent(&event);

   strncpy((PCHAR)&outs[(in-1)*2], (PCHAR)inputbuf, 2);    in --;   }   strcpy((PCHAR)outputbuf, (PCHAR)outs);   break; /* default:*/

 }     Irp->IoStatus.Status = status;     Irp->IoStatus.Information = out;     IoCompleteRequest(Irp, IO_NO_INCREMENT);

 DbgPrint("Leave %s", __FUNCTION__);  return status; }

//完成例程,在功能驱动CharSample_DDK转换成完成后,执行下面的完成例程。

NTSTATUS CharCompletionRoutine(PDEVICE_OBJECT device, PIRP Irp, PVOID context) {  NTSTATUS status;     PKEVENT  event;

    event = (PKEVENT) context;  DbgPrint(__FUNCTION__);  status = STATUS_MORE_PROCESSING_REQUIRED;  KeSetEvent(event, 0, FALSE);  return status; }

Windows操作系统的驱动程序安装更新
操作系统内核探秘的博客
04-24 952
驱动程序的基础概念内核架构安装流程的核心组件(INF文件、设备管理器、服务控制管理器)手动/自动更新的技术实现最佳实践企业级批量部署自动化工具链兼容性问题诊断安全签名机制背景知识:定义核心术语,建立驱动程序在系统中的定位架构解析:剖析Windows驱动模型(WDM/WDF)安装架构核心流程:详解驱动安装的文件解析、设备枚举、服务创建过程实战指南:通过代码示例和工具演示,实现驱动安装更新高级主题:讨论企业部署、安全签名、性能优化等进阶内容问题诊断。
AI原生应用开发:事件驱动Saga模式
最新发布
操作系统内核探秘的博客
08-06 523
本报告围绕AI原生应用开发中的核心架构模式——事件驱动架构(Event-Driven Architecture, EDA)Saga模式展开,系统性解析其理论基础、技术实现工程实践。针对AI应用的高实时性、动态模型迭代、多服务协同等特性,重点探讨事件驱动如何支撑松耦合的智能服务集成,以及Saga模式在分布式事务一致性保障中的关键作用。
Windows过滤驱动 以及简单例子
zhangyihu321的专栏
07-24 781
Windows 过滤驱动是一种特殊类型的驱动程序,它可以拦截发送到另一个驱动程序或设备的 I/O 请求,修改或增强这些请求的行为。以下是对 Windows 过滤驱动的详细解释,并附带一个简单的键盘过滤驱动示例。在实际应用中,过滤驱动可以用于更复杂的任务,如监控、安全增强、虚拟化等。- 过滤驱动通常用于增加功能或修改现有驱动的行为,而无需修改原始驱动。- 这只是一个简化的示例,实际的驱动程序需要更多的错误处理和资源管理。- 过滤驱动位于设备栈中,可以是上层过滤驱动或下层过滤驱动。// 将小写字母转换为大写。
过滤驱动的概念
尘埃落定
08-05 7094
有的公司采用技术手段禁止员工使用U盘,是为了防止员工通过U盘将敏感数据带出公司,本质上是禁止敏感数据通过USB接口流出。USB接口比较复杂。本章讨论一个类似但是简单得多的设备:串口。要禁止使用串口非常容易(给串口贴上封条,或者写一个简单的程序始终占用串口),但是要区别处理,允许非机密数据流出,而禁止机密数据;或者要记录串口上流过的数据,然而又不影响其他的程序使用串口,就有一定难度了。这一章
41、过滤驱动程序
weixin_33835690的博客
12-13 216
    过滤驱动程序可以修改已有驱动的功能,也可以对数据进行过滤加密。WDM驱动需要通过注册表记录指定加裁的过滤驱动,OS会读取这些值完成加载,其可以是高层过滤,也可以是低层过滤。而NT较为灵活,不用设置注册表,直接在内存中寻找设备对象,然后自行创建过滤驱动并将自己附加在这个驱动之上。     过滤驱动的入口函数需要将所有的IRP都设置派遣例程,因为过滤驱动要保证所有上层传递下来的IRP都能...
文件过滤驱动设备驱动的区别
Geons的花园阳台
04-12 4016
Windows驱动中有较为实用,接近物理层次的驱动设计,称为设备驱动. 基于Windows操作系统上还有其他类型的驱动,比如文件系统过滤驱动不属于WDM层次,虽然在编程思路上很相似. 文章只是做了简要的异同点总结,更多详细的总结可以下载PDF浏览。 一、文件过滤驱动概念 在Windows驱动开发中,有一种驱动开发为“文件过滤驱动”,为文件系统提供一种附加的过滤驱动,也是WINDOW
Spring Events 详解:解锁事件驱动架构
我是一名热爱编程和分享知识的技术作者,在金融和教育领域有多年的研发管理经验,感谢您访问我的博客,一定会为您带来不一样的收货!
08-12 1845
Spring Events 是 Spring 框架的一部分,它提供了一种机制来处理事件驱动的架构。这种机制允许开发者在应用程序的不同组件之间传递事件,从而使得这些组件可以松耦合地相互协作。随着异步编程模式的流行,Spring Events 将会提供更多内置支持,使得异步事件变得更加简单高效。
MVC5.0探秘
06-08
**MVC5.0探秘** MVC(Model-View-Controller)是一种广泛应用于Web开发的设计模式,它将应用程序的业务逻辑、用户界面和数据访问分离,使得代码更易于维护和扩展。MVC5.0是ASP.NET框架的一个重要版本,它在前一版本...
Win10驱动文件深度解析:从基础操作到进阶管理
nntxthml的博客
04-21 505
在Windows系统维护中,驱动程序扮演着连接硬件操作系统的关键角色。当遇到设备异常或性能瓶颈时,直接查看驱动文件路径进行手动调试,往往比自动更新更能精准解决问题。本文将系统讲解Win10环境下驱动文件查看方法,并延伸驱动管理机制,帮助读者建立完整的驱动知识体系。
wdm驱动-过滤驱动
12-19
wdm驱动,包括功能驱动和附在它上面的过滤驱动(上层过滤驱动)。一个很简单的例子。
文件过滤驱动用于windows驱动学习
10-19
文件过滤驱动,方便大家参考,内容比较完善,参考此驱动后,对以后写WINDOWS下驱动有帮助。第一个驱动就是从这里开始的,源代码比较有参考意义
Windows内核驱动 - MiniFilter文件系统过滤
dxf1971738522的博客
03-04 604
Windows基于DDK/WDK的内核驱动开发
Windows驱动_文件系统过滤驱动之九
Z18_28_19的专栏
08-22 1921
越是现在这个时候,就越应该加油,我不应该昏昏的过,我不想以后后面的自己跟现在一样,我不应该跟别人一样。吃得苦上苦,方为人上人,我应该跟之前一样。现在蛮好,不受别人的重视,其实也无所谓,我正想要这样的时间,宝贵的时间,可以自己做点东西出来。还是千万不要浮躁,还是用之前自己喜欢的那句话吧。总有一天,我也会破解成蝶,飞向天空。           文件系统过滤驱动的派遣例程:
NDIS Filter驱动-简介和说明
苏洛的博客
05-31 1331
NDIS Filter简介
一个简单的文件系统过滤驱动框架
01-11 1407
很多人认为文件系统过滤驱动很复杂,其实也有一定道理,因为需要有很多细节需要考虑到,这是一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实这样文件系统过滤驱动就变得蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。 #define DBG 1 #include #include "fsfilter.h" PDEVICE_OBJECT g_Cdo; PD
文件系统过滤驱动基础知识
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-08 808
一、何谓文件系统过滤驱动?      文件系统过滤驱动是一种可选的,为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件,它作为Windows NT执行体的一部分运行。      文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分,文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常,以文件系统过滤驱动为核心的应用
标准和隔离型微过滤驱动介绍
无极空间的专栏
02-09 440
实际上,一些经验丰富的开发者认为隔离Minifilter比文件系统开发更难,因为在编写隔离Minifilter时,你实际上需要在Filter Manager提供的API中“嵌入”Windows文件系统的实现。更有趣的是,一个设计良好的隔离Minifilter可以让不同的应用程序同时读取文件时,提供文件内容的解密视图和加密视图。而且,因为文件系统过滤器可以成为应用程序看到的文件系统“命名空间”的第一个解释器,它们还可以执行强大的文件重定向操作,例如将远程文件(例如存储在云中的文件)显示为本地文件。
文件系统过滤驱动总结
bcbobo21cn的专栏
04-13 3506
文件系统过滤驱动 . 1 文件系统过滤驱动工作原理 Windows NT内核操作系统的驱动模型采用分层结构,如图1所示。图中左边是一个设备对象栈,设备对象 是操作系统为帮助软件管理硬件而创建的数据结构。每个硬件至少包含一个物理设备对象(PDO)和功能 设备对象(FDO),它们中间会存在一些过滤设备对象(FiDO)。驱动程序对象包含了一组处理I/O请求 的例程。分层结构使I
Ring3层键盘记录扫描技术探秘
结合标签“驱动 键盘记录”,我们可以推断出该文件内容可能开发或调试操作系统底层的键盘驱动程序有关,特别是ring3级别的键盘记录功能。Ring3是操作系统架构中的一个概念,它代表着用户态,之相对的是ring0内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值