在Windows系统上与安全软件相关的驱动开发过程中,“过滤(filter)”是极其重要的一个概念。过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件和下层的真实驱动,就加入了新的功能。

过滤的概念和基础

1.设备绑定的内核API之一

进行过滤的最主要方法是对一个设备对象(Device Object)进行绑定。通过编程生成一个虚拟设备,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则本来操作系统发送给真实设备的请求,就会首先发送的这个虚拟设备。

在WDK中,有多个内核API能实现绑定功能。下面是其中一个函数的原型:

[cpp] view plaincopy
  1. NTSTATUS
  2. IoAttachDevice(
  3. IN PDEVICE_OBJECT SourceDevice,
  4. IN PUNICODE_STRING TargetDevice,
  5. OUT PDEVICE_OBJECT *AttachedDevice
  6. );

IoAttachDevice的参数如下:

SouceDevice是调用者生成的用来过滤的虚拟设备;而TargetDevice是要被绑定的目标设备。请注意这里的TargetDevice并不是一个PDEVICE_OBJECT,而是设备的名字。

如果一个设备被其他设备绑定了,他们在一起的一组设备,被称为设备栈。实际上,IoAttachDevice总会绑定设备栈最上层的那个设备。

AttachedDevice是一个用来返回的指针的指针。绑定成功后,被绑定的设备的指针返回到这个地址。

下面这个例子绑定串口1。之所以这里绑定很方便,是因为在Windows中,串口设备有固定的名字。第一个串口名字为“\Device\Serial0”,第二个为“\Device\Serial1”,以此类推。请注意实际编程时C语言中的“\”要写成“\\”。

[cpp] view plaincopy
  1. UNICODE_STRING com_name = RLT_CONSTANT_STRING(L"\\Device\\Serial0");
  2. NTSTATUS status = IoAttachDevice(
  3. com_filter_device,   //生成的过滤设备
  4. &com_device_name,    //串口的设备名
  5. &attached_device     //被绑定的设备指针返回到这里
  6. );

2.绑定设备的内核API之二

并不是所有设备都有设备名字,所以依靠IoAttachDevice无法绑定没有名字的设备。另外还有两个API:一个是IoAttachDeviceToDeviceStack,另一个是IoAttachDeivceToDeviceStackSafe。这两个函数功能一样,都是根据设备对象的指针(而不是名字)进行绑定;区别是后者更加安全,而且只有在Windows2000SP4和Windows XP以上的系统中才有。

[cpp] view plaincopy
  1. NTSTATUS
  2. IoAttachDeviceToDeviceStackSafe(
  3. IN PDEVICE_OBJECT SourceDevice,     //过滤设备
  4. IN PDEVICE_OBJECT TargetDevice,     //要被绑定的设备
  5. IN OUT PDEVICE_OBJECT *AttachedToDeviceObject  //返回最终绑定的设备
  6. );

和第一个API类似,只是TargetDevice换成了一个指针。另外,AttachedToDeviceObject同样也是返回最终被绑定的设备,实际上也就是之前设备栈上最顶端的那个设备。

3.生成过滤设备并绑定

在绑定一个设备之前,先要知道如何生成一个用于过滤的过滤设备。函数IoCreateDevice被用于生成设备:

[cpp] view plaincopy
  1. NTSTATUS
  2. IoCreateDevice(
  3. IN PDRIVER_OBJECT DriverObject,
  4. IN ULONG DeviceExtensionSize,
  5. IN PUNICODE_STRING DeviceName,
  6. IN DEVICE_TYPE DeviceType,
  7. IN ULONG DeviceCharacteristics,
  8. IN BOOLEAN Exclusive,
  9. OUT PDEVICE_OBJECT *DeviceObject
  10. );

DriverObject:输入参数,每个驱动程序中会有唯一的驱动对象与之对应,但每个驱动对象会有若干个设备对象。DriverObject指向的就是驱动对象指针。

DeviceExtensionSize:输入参数,指定设备扩展的大小,I/O管理器会根据这个大小,在内存中创建设备扩展,并与驱动对象关联。

DeviceName:输入参数,设置设备对象的名字。一个规则是,过滤设备一般不需要设备名,传入NULL即可

DeviceType:输入参数,设备类型,保持和被绑定的设备类型一致即可。

DeviceCharacterristics:输入参数,设备对象的特征。

Exclusive:输入参数,设置设备对象是否为内核模式下使用,一般设置为TRUE。

DeviceObject:输出参数,I/O管理器负责创建这个设备对象,并返回设备对象的地址。

但值得注意的是,在绑定一个设备之前,应该把这个设备对象的多个子域设置成和要绑定的目标对象一致,包括标志和特征。下面是一个示例函数,这个函数可以生成一个设备,并绑定到另一个设备上。

[cpp] view plaincopy
  1. NTSTATUS
  2. ccpAttachDevice(
  3. PDRIVER_OBJECT driver,
  4. PDEVICE_OBJECT oldobj,
  5. PDEVICE_OBJECT *fltobj,
  6. PDEVICE_OBJECT *next)
  7. {
  8. NTSTATUS status;
  9. PDEVICE_OBJECT topdev = NULL;
  10. //生成设备然后绑定
  11. status = IoCreateDevice(driver,
  12. 0,
  13. NULL,
  14. oldobj->DeviceType,
  15. 0,
  16. FALSE,
  17. fltobj);
  18. if (status != STATUS_SUCCESS)
  19. {
  20. return status;
  21. }
  22. //拷贝重要标志位
  23. if (oldobj->Flags & DO_BUFFERED_IO)
  24. {
  25. (*fltobj)->Flags |= DO_BUFFERED_IO;
  26. }
  27. if(oldobj->Flags & DO_DIRECT_IO)
  28. {
  29. (*fltobj)->Flags |= DO_DIRECT_IO;
  30. }
  31. if (oldobj->Characteristics & FILE_DEVICE_SECURE_OPEN)
  32. {
  33. (*fltobj)->Characteristics |= FILE_DEVICE_SECURE_OPEN;
  34. }
  35. (*fltobj)->Flags |= DO_POWER_PAGABLE;
  36. //将一个设备绑定到另一个设备
  37. topdev = IoAttachDeviceToDeviceStack(*fltobj,oldobj);
  38. if (topdev == NULL)
  39. {
  40. //如果绑定失败了,销毁设备,返回错误
  41. IoDeleteDevice(*fltobj);
  42. *float = NULL;
  43. status = STATUS_UNSUCCESSFUL;
  44. return status;
  45. }
  46. *next = topdev;
  47. //设置这个设备已经启动
  48. (*fltobj)->Flags = (*fltobj)->Flags & ~DO_DEVICE_INITIALIZING;
  49. return STATUS_SUCCESS;
  50. }

4.从名字获得设备对象

在知道一个设备名字的情况下,使用IoGetDeviceObjectPointer可以获得这个设备对象的指针。这个函数的原型如下:

[cpp] view plaincopy
  1. NTSTATUS
  2. IoGetDeviceObjectPointer(
  3. IN PUNICODE_STRING ObjectName,
  4. IN ACCESS_MASK DesiredAccess,
  5. OUT PFILE_OBJECT *FileObject,
  6. OUT PDEVICE_OBJECT *DeviceObject
  7. );

其中ObjectName就是设备名字。

DesireAccess是期望访问的权限。实际使用时不要顾虑那么多,直接填写FILE_ACCESS_ALL即可。

FileObject是一个返回参数,即获得设备对象的同时会得到一个文件对象(File Object)。就打开串口这件事而言,这个文件对象没有什么用处。但必须注意:在使用这个函数之后必须把这个文件对象“解除引用”,否则会引起内存泄露。

要得到的设备对象就返回在参数DeviceObject中了。

[cpp] view plaincopy
  1. //打开一个端口设备
  2. PDEVICE_OBJECT ccpOpenCom(ULONG id,NTSTATUS *status)
  3. {
  4. //外面输入的是串口的id,这里会改写成字符串的形式
  5. UNICODE_STRING name_str;
  6. static WCHAR name[32] = {0};
  7. PFILE_OBJECT fileObj = NULL;
  8. PDEVICE_OBJECT devObj = NULL;
  9. //根据id转换成串口的名字
  10. memset(name,0,sizeof(WCHAR)*32);
  11. RtlStringCchPrintfW(
  12. name,32,
  13. L"\\Device\\Serial%d",id);
  14. RtlInitUnicodeString(&name_str,name);
  15. //打开设备
  16. *status = IoGetDeviceObjectPointer(
  17. &name_str,
  18. FILE_ALL_ACCESS,
  19. &fileObj,&devObj);
  20. //如果打开成功了,记得一定要把文件对象解除引用
  21. if (*status == NT_SUCCESS)
  22. {
  23. ObDereferenceObject(fileObj);
  24. }
  25. //返回设备对象
  26. return devObj;
  27. }

5.绑定所有端口

下面是一个简单的函数,实现了绑定本机上所有串口的功能。这个函数用到了前面提供的ccpOpenCom和ccpAttachDevice这两个函数

[cpp] view plaincopy
  1. //计算机上最多只有32个串口,这里是笔者的假定
  2. #define CCP_MAX_COM_IO 32
  3. //保存所有过滤设备指针
  4. static PDEVICE_OBJECT s_fltObj[CCP_MAX_COM_IO] = {0};
  5. //保存所有真实设备指针
  6. static PDEVICE_OBJECT s_nextObj[CCP_MAX_COM_IO] = {0};
  7. //这个函数绑定所有的串口
  8. void ccpAttachAllComs(PDRIVER_OBJECT driver)
  9. {
  10. ULONG i;
  11. PDEVICE_OBJECT com_ob;
  12. NTSTATUS status;
  13. for(i = 0 ; i < CCP_MAX_COM_IO ; i++)
  14. {
  15. //获得object引用
  16. com_ob = ccpOpenCom(i,&status);
  17. if (com_ob == NULL)
  18. {
  19. continue;
  20. }
  21. //在这里绑定,并不管绑定是否成功
  22. ccpAttachDevice(driver,com_ob,&s_fltObj[i],&s_nextObj[i]);
  23. }
  24. }

没必要关心这个绑定是否成功,就算失败,看下一个s_fltObj即可。这个数组中不为NULL的成员表示已经绑定,为NULL的成员则是没有绑定成功或者绑定失败的。这个函数需要一个DRIVER_OBJECT的指针。

获得实际数据

1.请求的区分

Windows的内核开发者们确定了很多数据结构,例如:驱动对象(DriverObject),设备对象(DeviceObject),文件对象(FileObject)等,需要了解的是:

(1)每个驱动程序只有一个驱动对象

(2)每个驱动程序可以生成若干个设备对象,这些设备对象从属于一个驱动对象

(3)若干个设备(他们可以属于不同的驱动)依次绑定形成一个设备栈,总是最顶端的设备先接收到请求。

(4)IRP是上层设备之间传递请求的常见数据结构,但不是唯一的数据结构

串口设备接收到的都是IRP,因此只要对所有IRP进行过滤,就可以得到串口流过的数据。请求可以通过IRP的主功能号区分。例如下面代码:

[cpp] view plaincopy
  1. PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
  2. if (irpsp->MajorFunction == IRP_MJ_WRITE)
  3. {
  4. //如果是写....
  5. }
  6. else if (irpsp->MajorFunction == IRP_MJ_READ)
  7. {
  8. //如果是读....
  9. }

2.请求的结局

对请求的过滤,最终的结局有3种:

(1)请求被通过了,过滤不做任何事情,或者简单的获取请求的一些信息。但是请求本身不受干扰。

(2)请求直接被否决了,下层驱动根本收不到这个请求。

(3)过滤完成了这个请求。

串口过滤要捕获两种数据:一种是发送出的数据(也就是写请求的数据),另一种是接收的数据(也就是读请求的数据)。为了简单起见,我们只捕获发送出去的请求。这样,只需要采取第一种处理方法即可。

这种处理最为简单。首先调用IoSkipCurrentIrpStackLocation跳到当前栈空间;然后调用IoCallDriver把这个请求发送给真实的设备。请注意:因为真实的设备已经被过滤设备绑定,所以首先接收到IRP的是过滤设备对象。代码如下:

[cpp] view plaincopy
  1. //跳到当前栈空间
  2. IoSkipCurrentIrpStackLocation(irp);
  3. status = IoCallDriver(s_nextObj[i],irp);

3.写请求的数据

那么,一个写请求(也就是串口一次发送的数据)保存在哪呢?IRP的结构中有三个地方可以描述缓冲区:一个是irp->MDLAddress,一个是irp->UserBuffer,一个是irp->AssociatedIrp.SystemBuffer.三种结构的具体区别参见(Windows驱动技术开发详解__派遣函数)。

回到串口的问题,那么串口的写请求到底是用哪种方式呢?我们不知道,但是可以用下面方法获得:

[cpp] view plaincopy
  1. PBYTE buffer = NULL;
  2. if (IRP->MdlAddress != NULL)
  3. buffer = (PBYTE)MmGetSystemAddressForMdlSafe(IRP->MdlAddress);
  4. else
  5. buffer = (PBYTE)IRP->UserBuffer;
  6. if (buffer == NULL)
  7. buffer = (PBYTE)IRP->AssociatedIrp.SystemBuffer;

完整的代码

1.完整的分发函数(派遣函数)

[cpp] view plaincopy
  1. NTSTATUS ccpDispatch(PDEVICE_OBJECT device,PIRP irp)
  2. {
  3. PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
  4. NTSTATUS status;
  5. ULONG i,j;
  6. //首先得知道发送给哪个设备,设备一共最多CCP_MAX_COM_ID个
  7. //是前面的代码保存好的你都在s_fltObj中
  8. for (i = 0 ; i < CCP_MAX_COM_ID ; i++)
  9. {
  10. if (s_fltObj[i] == device)
  11. {
  12. //所有电源操作全部直接放过
  13. if (irpsp->MajorFunction == IRP_MJ_POWER)
  14. {
  15. //直接发送,然后返回说已被处理
  16. PoStartNextPowerIrp(irp);
  17. IoSkipCurrentIrpStackLocation(irp);
  18. return PoCallDriver(s_nextObj[i],irp);
  19. }
  20. }
  21. //此外我们只过滤写请求
  22. if (irpsp->MajorFunction == IRP_MJ_WRITE)
  23. {
  24. //如果是写,先获得长度
  25. ULONG len = irpsp->Parameters.Write.Length;
  26. //然后获得缓冲区
  27. PUCHAR buf = NULL;
  28. if(irp->MdlAddress != NULL)
  29. buf = (PUCHAR)
  30. MmGetSystemAddressForMdlSafe(irp->MdlAddress,NormalPagePriority);
  31. else
  32. buf = (PUCHAR)irp->UserBuffer;
  33. if(buf == NULL)
  34. buf = (PUCHAR)irp->AssociatedIrp.SystemBuffer;
  35. //打印内容
  36. for (j = 0 ; j < len ; j++)
  37. {
  38. DbgPrint("comcap:Send Data:%2x\r\n",buf[j]);
  39. }
  40. }
  41. //这些请求直接下发即可
  42. IoSkipCurrentIrpStackLocation(irp);
  43. return IoCallDriver(s_nextObj[i],irp);
  44. }
  45. //如果根本就不在被绑定的设备中,那是有问题的,直接返回参数错误
  46. irp->IoStatus.Information = 0;
  47. irp->IoStatus.Status = STATUS_INVALID_DEVICE_REQUEST;
  48. IoCompleteRequest(irp,IO_NO_INCREMENT);
  49. return STATUS_SUCCESS;
  50. }

2.动态卸载

前面说了如何绑定,但是没说如何解除绑定。如果要把这个模块做成可以动态卸载的模块,则必须提供一个卸载函数。我们应该在卸载函数中完成解除绑定的功能,否则,一旦卸载一定会蓝屏。

[cpp] view plaincopy
  1. #define  DELAY_ONE_MICROSECOND  (-10)
  2. #define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
  3. #define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)
  4. VOID ccpUnload(PDRIVER_OBJECT drv)
  5. {
  6. ULONG i;
  7. LARGE_INTEGER interval;
  8. //首先解除绑定
  9. for (i = 0 ; i < CCP_MAX_COM_ID ; i++)
  10. {
  11. if(s_nextObj[i] != NULL)
  12. IoDeleteDevice(s_nextObj[i]);
  13. }
  14. //睡眠5秒,等待所有IRP处理结束
  15. interval.QuadPart = (5*1000 *DELAY_ONE_MICROSECOND);
  16. KeDelayExecutionThread(KernelMode,FALSE,&interval);
  17. //删除这些设备
  18. for (i = 0 ; i < CCP_MAX_COM_ID ; i++)
  19. {
  20. if(s_fltObj[i] != NULL)
  21. IoDeleteDevice(s_fltObj[i]);
  22. }
  23. }

DriverEntry函数代码:

[cpp] view plaincopy
  1. NTSTATUS DriverEntry(
  2. IN OUT PDRIVER_OBJECT   DriverObject,
  3. IN PUNICODE_STRING      RegistryPath
  4. )
  5. {
  6. DbgPrint("Enter Driver\r\n");
  7. size_t i;
  8. //所有分发函数都设置成一样的
  9. for (i = 0 ; i < IRP_MJ_MAXIMUM_FUNCTION ; i++)
  10. {
  11. DriverObject->MajorFunction[i] = ccpDispatch;
  12. }
  13. //支持动态卸载
  14. DriverObject->DriverUnload = ccpUnload;
  15. //绑定所有的串口
  16. ccpAttachAllComs(DriverObject);
  17. return STATUS_SUCCESS;
  18. }

测试效果:

转载于:https://www.cnblogs.com/dancheblog/p/6050665.html

转 Windows串口过滤驱动程序的开发相关推荐

  1. 寒江独钓Windows内核安全编程__一个简单的Windows串口过滤驱动程序的开发

    在Windows系统上与安全软件相关的驱动开发过程中,"过滤(filter)"是极其重要的一个概念.过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而 ...

  2. Windows文件系统过滤驱动开发教程(0,1,2)

    0. 作者,楚狂人自述 我长期网上为各位项目经理充当"技术实现者"的角色.我感觉Windows文件系统驱动的开发能找到的资料比较少.为了让技术经验不至于遗忘和引起大家交流的兴趣我以 ...

  3. Window XP驱动开发(二十一) 过滤驱动程序

    转载请标明是引用于 http://blog.csdn.net/chenyujing1234 欢迎大家拍砖 参考书籍<<Windows驱动开发技术详解>> 过滤驱动程序的开发十分 ...

  4. Windows内核开发之串口过滤

    学习了几个月的内核编程,现在对Windows驱动开发又了更加深入的认识,特别是对IRP的分层处理逻辑有了深入认识. 总结起来就几句话: 当irp下来的时候,你要根据实际情况,进行处理 1> 无处 ...

  5. Windows CE下驱动程序开发基础

    我想即使读者看过微软的关于驱动开发的培训教材和CE帮助文档中的驱动部分,头脑中仍然一片茫然.要想真正了解驱动程序必须结合一些驱动程序源码,在此我以串口驱动程序(COM16550)中初始化过程为线索简单 ...

  6. Windows 文件系统过滤驱动开发教程 (第二版)

    Windows 文件系统过滤驱动开发教程 (第二版)       楚狂人-2007-上海 (MSN:walled_river@hotmail.com)          -1.  改版序....... ...

  7. Windows文件系统过滤驱动开发教程(4)

    Windows文件系统过滤驱动开发教程 4.设备栈,过滤,文件系统的感知 前边都在介绍文件系统驱动的结构,却还没讲到我们的过滤驱动如何能捕获所有发给文件系统驱动的irp,让我们自己来处理?前面已经解释 ...

  8. PCI设备WINDOWS驱动程序的开发

    PCI设备WINDOWS驱动程序的开发 摘要:本文主要介绍了在Windows9x操作系统下开发PCI设备驱动程序的方法. 关键词:PCI设备 驱动程序 PCI设备概述 近几年来,随着诸如图形处理.图像 ...

  9. 寒江独钓第3章——串口过滤

    一.过滤的概念: 过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真是驱动程序,就加入了新的功能. 1.1 设备绑定的内核API 进行过滤 ...

最新文章

  1. Python OpenCV学习笔记之:图像读取,显示及保存
  2. 聊聊数据库中的那些锁
  3. Top-1 Error 和 Top-5 Error
  4. c语言在程序中显示现在星期几,C语言程序设计: 输入年月日 然后输出是星期几...
  5. (16):Silverlight 2 数据与通信之JSON
  6. 问题解决 Visual Studio 2015 无法复制文件“D:\swapfile.sys”
  7. python 之简单聊聊类的只读和只写特性
  8. 最有效的更改linux 系统时区的方法
  9. windows7环境下VS2010中文版本配置MPI开发环境图文教程
  10. android 驱动程序,安卓设备安装USB驱动程序教程
  11. 仿网易云音乐的YY音乐微信小程序源码
  12. linux无法识别raid,linux – 无法从失败的RAID中恢复
  13. 图片实现水平垂直居中的方法
  14. C#拆分Excel工作表
  15. Linux版本有哪些
  16. 编程(代码、软件)规范(适用嵌入式、单片机、上位机等)
  17. 笔记本建立WIFI热点的bat命令
  18. Xilinx vivado 常用IP核使用
  19. UR5机器人学习之TCP/IP通讯
  20. 视觉3D目标检测 | 从视觉几何到BEV检测

热门文章

  1. Windows xp 定时关机命令
  2. 三款200万像素照相手机测评
  3. 超大Sql文件_超大文件_mysql数据导入到mycat数据库_亲测好用---Linux运维工作笔记053
  4. link标签中的integrity和crossorigin字段---web前端工作笔记015
  5. axios的介绍与页面配置---axios工作笔记003
  6. MQTT工作笔记0005---CONNECT控制报文2
  7. PostGreSql工作笔记003---在Navicat中创建数据库时报错rolcatupdate不存在_具体原因看其他博文_这里使用pgAdmin4创建管理postgre
  8. python数据结构剑指offer-从尾到头打印链表
  9. 深度理解cnn 网络
  10. make: *** [.build_release/lib/libcaffe.so] 错误 1