<读书笔记>Windows内核安全——第五章磁盘的虚拟

最新推荐文章于 2025-01-06 01:13:11 发布
原创 最新推荐文章于 2025-01-06 01:13:11 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核 #磁盘 #注册表 #读书笔记

本章深入探讨了WDK中的RAM Disk工程,通过直接操作非分页内存实现高性能虚拟磁盘,同时阐述了其内存占用大及数据易失的特点。文章详细介绍了驱动的入口函数、基于KMDF模型的驱动开发流程、WDF队列的使用方法,以及如何初始化FAT磁盘等关键步骤。此外,还提供了注册表读写、驱动基本使用流程、FAT驱动初始化过程的学习资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本章主要说的是WDK中的ramdisk的工程,该工程实现了一个非分页内存(nopaged memory)作为磁盘虚拟空间,虚拟了一个FAT虚拟盘。

该虚拟盘有以下特点:1)性能比一般磁盘高,因为直接是操作的飞分页内存,所以读写速度比较快;2)占用了大量的内存,因为该工程的虚拟空间使用的飞分页内存,所以占用了大量的内存;3)该磁盘每次重启电脑后数据都会丢失,不具有易失性。

该工程使用WDF模型开发,该驱动模型是微软在发布Vista系统时一起发布的驱动开发模型,分为UserMode(UMDF)和KernelMode(KMDF)两种模型,RamDisk是基于KMDF开发,这边真想吐槽一下UMDF,很多功能不能使用,让人很蛋疼的感觉。

 

RamDisk入口函数:

不论是KMDF还是WDM模型的入口函数,默认都是DriverEntry。

NTSTATUS
DriverEntry(
    IN PDRIVER_OBJECT DriverObject,   //驱动对象
    IN PUNICODE_STRING RegistryPath   //该驱动在注册表中信息存放的对应位置 //HKLM\SYSTEM\CurrentControlSet\Services
    )

WDM驱动中DriverEntry会设置对应主功能号的分发函数,但是在WDF中就没有这样的需求,主要的任务是创建一个WDF的驱动对象,以及该该设备的添加函数(AddDevice),对应的分发函数则是在AddDevice中进行设置。

WDF_DRIVER_CONFIG_INIT( &config, RamDiskEvtDeviceAdd );
    return WdfDriverCreate(DriverObject, 
                                RegistryPath, 
                                WDF_NO_OBJECT_ATTRIBUTES, 
                                &config, 
                                WDF_NO_HANDLE);

RamDisk Device添加函数

WdfDeviceInitSetDeviceType(DeviceInit, FILE_DEVICE_DISK);
    WdfDeviceInitSetIoType(DeviceInit, WdfDeviceIoDirect);
    WdfDeviceInitSetExclusive(DeviceInit, FALSE);

第一步是设备设备的属性为磁盘设备属性,读写的IO类型为DIRECT方式,这类方式将缓冲区直接映射到内存中,读写速度快,Exclusive属性设置为FALSE,表示设备可以多次打开。

第二步调用WdfDeviceCreate创建对应的设备对象。

第三步创建读写队列,该队列用于处理读写的请求。WDF中队列的使用相当方便,不用像WDM那样要自己处理,WDF队列可以使用一下三种类型

1)             WdfIoQueueDispatchSequential:连续分发队列,必须在上一个请求完成之后才能进行下一个请求操作;

2)             WdfIoQueueDispatchParallel:并行分发队列,只要请求准备好,就可以执行该请求操作;

3)             WdfIoQueueDispatchManual:手动分发队列,该队列的请求需要用户每次调用IoQueueRetrieveNextRequest去获取下一个请求操作,然后再去执行获取得到的请求。

WDF_IO_QUEUE_CONFIG_INIT_DEFAULT_QUEUE (
        &ioQueueConfig,
        WdfIoQueueDispatchSequential
        );
ioQueueConfig.EvtIoDeviceControl = RamDiskEvtIoDeviceControl;
ioQueueConfig.EvtIoRead            = RamDiskEvtIoRead;
ioQueueConfig.EvtIoWrite           = RamDiskEvtIoWrite;
WDF_OBJECT_ATTRIBUTES_INIT_CONTEXT_TYPE(&queueAttributes, QUEUE_EXTENSION);
status = WdfIoQueueCreate( device,
                               &ioQueueConfig,
                               &queueAttributes,
                               &queue );

第四步初始化驱动中的一些参数,在这里面还有一个很有意思的读写注册表的例子,使用函数RtlQueryRegistryValues读写一串注册表,这种方式可以一次性读取多个注册表的参数该函数可以参见

MSDN  http://msdn.microsoft.com/en-us/library/windows/hardware/ff562046(v=vs.85).aspx

第五步建立一个符号链接,用于上层去调用。这边有个工具WinObj可以查询系统所有的符号链接相关的信息,当创建这个链接之后可以通过该工具查看是否需存在。

 

RamDisk 初始化FAT磁盘

FAT的spec微软是直接给出的,可以到

http://msdn.microsoft.com/en-US/windows/hardware/gg463084处下载,根据这个spec再看代码就能很好的理解,具体的可以参照源码中的写法。

 

读写回调函数中请求的处理

这类请求的操作分为四种类型,1)重新排列,将该请求放到另一队列等待其它的处理函数去处理;2)完成请求;3)撤销请求;4)转发请求,将该请求转发给其它设备。该项目中对请求的处理注意好数据的存放位置就好,其它的都还算是比较简单。

本章几个比较实用的点:注册表的读写、WDF队列的使用、WDF驱动的基本使用流程、如果有搞FAT驱动的,看一下初始化的过程也是很有意义的。
Windows内核安全驱动编程》-第九章-磁盘虚拟-day-1
WocW的博客
04-29 921
文章目录磁盘虚拟9.1 虚拟磁盘9.2 一个具体的例子入口函数9.3.1 入口函数的定义9.3.2 Ramdisk 驱动入口函数9.4 EvtDriverDeviceAdd 函数9.4.1 EvtDriverDetivceAdd 的定义9.4.2 局部变量的声明9.4.3 磁盘设备的创建9.4.4 如何处理发往设备的请求明日计划: 磁盘虚拟 9.1 虚拟磁盘虚拟磁盘,是我们可以创造的...
学习windows驱动(队列)
mofabang的专栏
10-29 1597
WDF驱动里的队列类型种类有如下定义:typedef enum _WDF_IO_QUEUE_DISPATCH_TYPE { WdfIoQueueDispatchInvalid = 0, WdfIoQueueDispatchSequential, WdfIoQueueDispatchParallel, WdfIoQueueDispatchManual, WdfI
虚拟磁盘源码大合集(驱动开发
08-10
包含20个中、外关于虚拟磁盘的源码。大家可以放心下。
<寒江独钓>Windows内核安全编程__Ramdisk源码解读
The New Old Things
10-20 4855
这篇文章来介绍一下WDK中提供的一个案例源码--Ramdisk虚拟磁盘。这个例子实现了一个非分页内存做的磁盘储存空间,并将其以一个独立磁盘的形式暴露给用户,用户可以将它格式化成一个Windows能够使用卷,并且像操作一般的磁盘卷一样对它进行操作。由于使用了内存作为虚拟的存储介质,使这个磁盘具有一个显著的特点,性能的提高。这个例子所使用的微软WDF驱动框架。 入口函数 1.入口函数的定义 任何
RamDisk有三种实现方式
黑色幽默的专栏
04-03 3538
RamDisk有三种实现方式:   在Linux中可以将一部分内存mount为分区来使用,通常称之为RamDisk,分为:   Ramdisk, ramfs, tmpfs.   ① 第一种就是传统意义上的,可以格式化,然后加载。   这在Linux内核2.0/2.2就已经支持,其不足之处是大小固定,之后不能改变。   为了能够使用Ramdisk,我们在编译内核时须将b
计算机操作系统——第九章 磁盘存储器管理
rc4gyyc的博客
01-06 894
连续组织方式又称为连续分配方式,要求为每个文件分配一组相邻的盘块。例如,第一个盘块的地址为b,第二个盘块的地址为b+1,第三个盘块的地址为b+2,……。通常,它们都位于一条磁道上,在进行读/写操作时不必移动磁头。在采用连续组织方式时,可把逻辑文件中的记录顺序地存储到邻接的各个物理盘块中,这样所形成的文件结构称为顺序式文件结构,此时的物理文件称为顺序文件。连续组织方式保证了逻辑文件中的记录顺序与存储器中文件占用盘块顺序的一致性。为使系统能找到文件存放的地址,应在。
计算机操作系统(汤小丹 慕课版)课程笔记(七)——第七章 输入输出系统
weixin_73141818的博客
10-22 1236
1. 隐藏物理设备细节 2. 保证设备的无关性:使用抽象的I/O命令、逻辑设备名 3. 提高处理机和I/O设备的利用率:快速响应、减少处理机的干预时间 4. 能够对I/O设备进行控制 四种控制方式:轮询、中断、DMA、通道 5. 确保对设备的正确共享:独占设备、共享设备 6. 错误处理
深入理解Linux内核架构——简介与概述
m0_73494896的博客
09-20 1190
纯技术层面上,内核是硬件与软件的之间的一个中间层。作用是将应用程序的请求传递给硬件,并充当底层驱动程序,对系统中的各种设备和组件进行寻址。在操作系统的实现方面,有两种主要的泛型:微内核和宏内核。当前宏内核的性能仍强于微内核,Linux采取的是宏内核的设计模式。但是也进行了一定程度上的改进,系统运行中,模块可以插入到内核代码中,也可以移除。图1概述了组成完整Linux系统的各个层次,以及内核所包含的一些重要子系统。图1 Linux内核的高层次概述以及完整的Linux系统中的各个层次【文章福利】小编在群文件上传
《操作系统真象还原》阅读笔记——第3章
Komorebi-的博客
02-05 839
完善MBR 1. 地址、section、vstart 1.1 什么是地址 地址只是数字,描述各种符号在源程序中的位置,它是源代码文件中各符号偏移文件开头的距离。由于指令和变量所占的大小不同,故它们相对于文件开头的偏移量参差不齐。 ...
【操作系统】Oranges学习笔记(四) 第五章 内核雏形
memcpy0的博客
07-24 2417
文章目录5.1 在Linux下用汇编写HelloWord5.2 再进一步,汇编和C同步使用5.3 ELF(Executable and Linkable Format)1. ELF Header2. Program header5.4 从Loader到内核 5.1 在Linux下用汇编写HelloWord Loader需要完成从实模式向保护模式的跳转,还是应该把GDT、LDT、8259A等内容都准备完毕? 在Linux下写汇编:(chapter5/a/hello.asm) ; 编译链接方法 ; (ld的'
虚拟磁盘,在内存中模拟一个磁盘,接受cmd命令
11-14
在内存中模拟一个磁盘,通过接受window cmd命令,可以在内存中完成一些文件操作的功能;
WDM驱动源码例子 WDM驱动源码例子
10-15
WDM 驱动开发,里面有多个已经调试好的驱动程序例子,在DS下编译通过并且有测试程序
利用windows组件(MSMQ)实现消息队列
10-11
"消息队列"是在消息的传输过程中保存消息的容器。消息简介消息是在两台计算机间传送的数据单位。
基于UMDF 2.15版本的VirtualSerial(虚拟串口)驱动程序代码
09-22
开发支持: vistualMicrosoft Visual Studio Community 2019 版本 16.11.3 + WDK 19041 系统支持: Windows 10 版本 1507 ,Windows Server 2016 和更高版本 运行支持: Windows 10 版本 1507 测试情况: 关闭驱动签名强制,使用sscom测试OK; 这个是基于win 10 x64平台开发的,主要演示UMDF 2.x驱动程序的创建,以及演示serial类别的驱动如何与系统进行交互,新手可以从中学到UMDF驱动开发技术,以及PORT类驱动的基础知识。 阅读建议: 1. 学习和使用前,请详细阅读专栏文章: WDF驱动程序开发专栏 2. 更详细的开发和代码讲解可以参考主页的文章: windows 驱动实例分析系列-COM驱动案例讲解.
windows 8开发实例
11-20
关于windows 8开发的一些示例小程序。
Windows Driver Samples剖析之Echo(五)
Sagittarius_Warrior的博客
06-14 1674
本文继续上一篇介绍kmdf echo工程的AutoAsyn模块,主要介绍与请求处理和同步相关的queue.c文件。事实上,整个驱动代码,driver.c和device.c都是框架性的代码,只有queue.c是处理实际业务的,用户的自定义功能一般放到该部分来实现,故将它独立成一篇。 一、EchoQueueInitialize         该例程主要干了三件事:         1)The
驱动开发(WDM)
daoer_sofu的专栏
10-15 997
windows 设备名称 ??\ 内核模式下访问 \.\ 用户模式下访问 winObj和devicetree等工具可查看,下载地址:http://www.osronline.com/ linux 设备文件:/dev目录下
创建一个基础WDM驱动,并使用MFC调用驱动
小飞将的博客
06-22 1122
首先参考文章:如何使用WinDbg和Virtual Box进行Windows驱动debug,搭建开发环境。创建一个Empty WDM项目,在solution下添加一个MFC项目: 其中FirstDriver是一个简单的WDM驱动项目,而App是一个MFC程序,用于调用驱动。Source.c是驱动源码: 程序完成了几项工作:MFC应用程序 界面: 一共4个按钮,分别执行device open/close,以及通过IO发送和接收数据。 需要注意的是,这里要使用DeviceIoControl函数用于和devi
FAT32学习笔记(二)——spec
知了112的专栏
08-22 2188
1,如何区别FAT12 FAT16和FAT32 区分FAT12,FAT16,FAT32的主要依据是该分区上cluster的个数(注意:第一个cluster是以cluster2开始计数的)。 FAT32的RootDirSectors大小始终为0 TotSec=BPB_TotSec32 DataSec = TotSec – (BPB_ResvdSecCnt + (BPB_NumFATs * F
<?php $username = $_POST["username"] ; $password = $_POST["password"] ; if($username === "admin" && $password === "admin1") { // 读取所有笔记文件 $notes = []; $note_files = glob('notes/*.txt'); foreach ($note_files as $file) { $id = basename($file, '.txt'); $content = file_get_contents($file); $notes[$id] = $content; } ?> <!DOCTYPE html> <html lang="zh-CN"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>读书笔记系统</title> <link rel="stylesheet" href="styles.css"> </head> <body> <script> alert('登陆成功'); </script> <div class="container"> <h1>我的读书笔记</h1> <form action="add_note.php" method="post" class="note-form"> <h2>添加新笔记</h2> <div class="form-group"> <label for="book_title">书名:</label> <input type="text" id="book_title" name="book_title" required> </div> <div class="form-group"> <label for="note_content">笔记内容:</label> <textarea id="note_content" name="note_content" rows="5" required></textarea> </div> <button type="submit">保存笔记</button> </form> <div class="notes-list"> <h2>我的笔记</h2> <?php if (empty($notes)): ?> <p>暂无笔记,添加你的第一条读书笔记吧!</p> <?php else: ?> <?php foreach ($notes as $id => $content): ?> <div class="note-card"> <div class="note-content"><?= nl2br(htmlspecialchars($content)) ?></div> <form action="delete_note.php" method="post" class="delete-form"> <input type="hidden" name="note_id" value="<?= $id ?>"> <button type="submit" class="delete-btn">删除</button> </form> </div> <?php endforeach; ?> <?php endif; ?> </div> </div> </body> </html> <?php } else { echo "<script>alert('账号或者密码不正确');</script>"; } ?>
最新发布
07-26
<title>读书笔记</title> </head> <body> <h2>欢迎, <?php echo htmlspecialchars($username); ?></h2> <a href="logout.php">退出登录</a> <h3>我的读书笔记</h3> <?php if (!empty($user_notes)): ?> <ul> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值