ATree的博客

驱动程序挂靠任意进程最近学习了内核编程，虽然说学的比较浅，但是也不能有一丝丝的懈怠，生怕自己听不懂，又被班同学落（la）下……就如我的QQ个性签名一样，“有的时候，我们不停地跑啊跑，只是为了能追上那个被寄予厚望的自己……” 操作系统的内核是非常强大的，强大到令你吃惊，内存管理，进程管理，中断机制，保护机制……内核中没有进程，只有线程，都是属于系统进程下的线程，所以我们加载的驱动，都是跑在系统进程下的

内核编程之小试牛刀学习内核编程我们首先需要知道三个重要概念：驱动对象、设备对象、IRP 这三者之间有着紧密的联系，他们分别类似于Windows界面编程中的程序、窗口、消息，这样去理解比较容易理解。内核编程必有三样 1、包含ntddk.h头文件 2、必须要有一个DriverEntry入口函数 3、必须要有一个驱动卸载函数在这里我编写一个简单的驱动程序，主要为了展示编写内核驱动程序的步骤： 它

其实在大部分的函数都会遵循我下面要说的这个过程，因为我们所熟知的大部分函数都是在Kernel32.dll、User32.dll、GDI32.dll等系统模块里，所以基本上都会符合我说的这个过程。首先我们来举个例子来说明一下，比如我们的程序中调用的CreateFile这个函数。int _tmain(int argc, _TCHAR* argv[]) { //_asm int 3; Cr