驱动开发：探索DRIVER_OBJECT驱动对象

本章将探索驱动程序开发的基础部分，了解驱动对象DRIVER_OBJECT结构体的定义，一般来说驱动程序DriverEntry入口处都会存在这样一个驱动对象，该对象内所包含的就是当前所加载驱动自身的一些详细参数，例如驱动大小，驱动标志，驱动名，驱动节等等，每一个驱动程序都会存在这样的一个结构。

首先来看一下微软对其的定义，此处我已将重要字段进行了备注。

typedef struct _DRIVER_OBJECT {CSHORT Type;                                // 驱动类型CSHORT Size;                                // 驱动大小PDEVICE_OBJECT DeviceObject;                // 驱动对象ULONG Flags;                                // 驱动的标志PVOID DriverStart;                          // 驱动的起始位置ULONG DriverSize;                           // 驱动的大小PVOID DriverSection;                        // 指向驱动程序映像的内存区对象PDRIVER_EXTENSION DriverExtension;          // 驱动的扩展空间UNICODE_STRING DriverName;                  // 驱动名字PUNICODE_STRING HardwareDatabase;PFAST_IO_DISPATCH FastIoDispatch;PDRIVER_INITIALIZE DriverInit;PDRIVER_STARTIO DriverStartIo;PDRIVER_UNLOAD DriverUnload;                 // 驱动对象的卸载地址PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
} DRIVER_OBJECT;

DRIVER_OBJECT结构体是Windows操作系统内核中用于表示驱动程序的基本信息的结构体。它包含了一系列的字段，用于描述驱动程序的特定属性。

以下是DRIVER_OBJECT结构体中的一些重要字段：

Type：该字段标识该结构体的类型，始终设置为DRIVER_OBJECT_TYPE。
Size：该字段表示该结构体的大小，以字节为单位。
DeviceObject：该字段是一个指针，指向驱动程序所创建的设备对象链表的头部。每个设备对象代表着一个设备或者驱动程序创建的一种虚拟设备。
DriverStart：该字段是一个指针，指向驱动程序代码的入口点，也就是驱动程序的DriverEntry函数。该函数会在驱动程序被加载时被调用。
DriverSize：该字段表示驱动程序代码的大小，以字节为单位。
DriverName：该字段是一个UNICODE_STRING结构体，用于表示驱动程序的名称。
Flags：该字段是一个32位的位掩码，用于表示驱动程序的一些属性。例如，可以设置DO_BUFFERED_IO标志表示驱动程序支持缓冲I/O。

如果我们想要遍历出当前自身驱动的一些基本信息，我们只需要在驱动的头部解析_DRIVER_OBJECT即可得到全部的数据，这段代码可以写成如下样子，其中的IRP_MJ_这一系列则是微软的调用号，不同的RIP代表着不同的涵义，但一般驱动也就会用到如下这几种调用号。

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com#include <ntifs.h>VOID UnDriver(PDRIVER_OBJECT driver)
{DbgPrint(("Uninstall Driver Is OK \n"));
}NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{DbgPrint("hello lyshark \n");Driver->DriverUnload = UnDriver;DbgPrint("驱动名字 = %wZ \n", Driver->DriverName);DbgPrint("驱动起始地址 = %p | 大小 = %x | 结束地址 %p \n",Driver->DriverStart,Driver->DriverSize,(ULONG64)Driver->DriverStart + Driver->DriverSize);DbgPrint("卸载地址 = %p\n", Driver->DriverUnload);DbgPrint("IRP_MJ_READ地址 = %p\n", Driver->MajorFunction[IRP_MJ_READ]);DbgPrint("IRP_MJ_WRITE地址 = %p\n", Driver->MajorFunction[IRP_MJ_WRITE]);DbgPrint("IRP_MJ_CREATE地址 = %p\n", Driver->MajorFunction[IRP_MJ_CREATE]);DbgPrint("IRP_MJ_CLOSE地址 = %p\n", Driver->MajorFunction[IRP_MJ_CLOSE]);DbgPrint("IRP_MJ_DEVICE_CONTROL地址 = %p\n", Driver->MajorFunction[IRP_MJ_DEVICE_CONTROL]);// 输出完整的调用号for (auto i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){DbgPrint("IRP_MJ调用号 = %d | 函数地址 = %p \r\n", i, Driver->MajorFunction[i]);}Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;
}

编译这段程序，签名并运行，我们即可看到如下输出信息，此时当前自身驱动的详细参数都可以被输出；

当然运用_DRIVER_OBJECT对象中的DriverSection字段我们完全可以遍历输出当前系统下所有的驱动程序的具体信息，DriverSection结构指向了一个_LDR_DATA_TABLE_ENTRY结构，结构的微软定义如下；

typedef struct _LDR_DATA_TABLE_ENTRY {LIST_ENTRY InLoadOrderLinks;LIST_ENTRY InMemoryOrderLinks;LIST_ENTRY InInitializationOrderLinks;PVOID DllBase;PVOID EntryPoint;ULONG SizeOfImage;UNICODE_STRING FullDllName;UNICODE_STRING BaseDllName;ULONG Flags;USHORT LoadCount;USHORT TlsIndex;union {LIST_ENTRY HashLinks;struct {PVOID SectionPointer;ULONG CheckSum;};};union {struct {ULONG TimeDateStamp;};struct {PVOID LoadedImports;};};
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

为了能够遍历出所有的系统驱动，我们需要得到pLdr结构，该结构可通过Driver->DriverSection的方式获取到，获取到之后通过pLdr->InLoadOrderLinks.Flink得到当前驱动的入口地址，而每一次调用pListEntry->Flink都将会指向下一个驱动对象，通过不断地循环CONTAINING_RECORD解析，即可输出当前系统内所有驱动的详细信息。这段程序的写法可以如下所示；

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com#include <ntifs.h>typedef struct _LDR_DATA_TABLE_ENTRY {LIST_ENTRY InLoadOrderLinks;LIST_ENTRY InMemoryOrderLinks;LIST_ENTRY InInitializationOrderLinks;PVOID DllBase;PVOID EntryPoint;ULONG SizeOfImage;UNICODE_STRING FullDllName;UNICODE_STRING BaseDllName;ULONG Flags;USHORT LoadCount;USHORT TlsIndex;union {LIST_ENTRY HashLinks;struct {PVOID SectionPointer;ULONG CheckSum;};};union {struct {ULONG TimeDateStamp;};struct {PVOID LoadedImports;};};
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;VOID UnDriver(PDRIVER_OBJECT driver)
{DbgPrint(("Uninstall Driver Is OK \n"));
}NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{DbgPrint("hello lyshark \n");Driver->DriverUnload = UnDriver;PLDR_DATA_TABLE_ENTRY pLdr = NULL;PLIST_ENTRY pListEntry = NULL;PLIST_ENTRY pCurrentListEntry = NULL;PLDR_DATA_TABLE_ENTRY pCurrentModule = NULL;pLdr = (PLDR_DATA_TABLE_ENTRY)Driver->DriverSection;pListEntry = pLdr->InLoadOrderLinks.Flink;pCurrentListEntry = pListEntry->Flink;// 判断是否结束while (pCurrentListEntry != pListEntry){// 获取LDR_DATA_TABLE_ENTRY结构pCurrentModule = CONTAINING_RECORD(pCurrentListEntry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);if (pCurrentModule->BaseDllName.Buffer != 0){DbgPrint("模块名 = %wZ | 模块基址 = %p | 模块入口 = %p | 模块时间戳 = %d \n",pCurrentModule->BaseDllName,pCurrentModule->DllBase,pCurrentModule->EntryPoint,pCurrentModule->TimeDateStamp);}pCurrentListEntry = pCurrentListEntry->Flink;}Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;
}

编译这段程序，签名并运行，我们即可看到如下输出信息，此时当前自身驱动的详细参数都可以被输出；

通过使用上一篇文章《驱动开发：内核字符串拷贝与比较》中所介绍的的RtlCompareUnicodeString函数，还可用于对比与过滤特定结果，以此来实现通过驱动名返回驱动基址的功能。

LONGLONG GetModuleBaseByName(PDRIVER_OBJECT pDriverObj, UNICODE_STRING ModuleName)
{PLDR_DATA_TABLE_ENTRY pLdr = NULL;PLIST_ENTRY pListEntry = NULL;PLIST_ENTRY pCurrentListEntry = NULL;PLDR_DATA_TABLE_ENTRY pCurrentModule = NULL;pLdr = (PLDR_DATA_TABLE_ENTRY)pDriverObj->DriverSection;pListEntry = pLdr->InLoadOrderLinks.Flink;pCurrentListEntry = pListEntry->Flink;while (pCurrentListEntry != pListEntry){// 获取LDR_DATA_TABLE_ENTRY结构pCurrentModule = CONTAINING_RECORD(pCurrentListEntry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);if (pCurrentModule->BaseDllName.Buffer != 0){// 对比模块名if (RtlCompareUnicodeString(&pCurrentModule->BaseDllName, &ModuleName, TRUE) == 0){return (LONGLONG)pCurrentModule->DllBase;}}pCurrentListEntry = pCurrentListEntry->Flink;}return 0;
}

上这段代码的使用也非常简单，通过传入一个UNICODE_STRING类型的模块名，即可获取到模块基址并返回，至于如何初始化UNICODE_STRING则在《驱动开发：内核字符串转换方法》中有详细的介绍，此处你只需要这样来写。

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{DbgPrint("hello lyshark \n");UNICODE_STRING unicode;// 获取WinDDK驱动基地址RtlUnicodeStringInit(&unicode, L"WinDDK.sys");LONGLONG winddk_address = GetModuleBaseByName(Driver, unicode);DbgPrint("WinDDK模块基址 = %p \n", winddk_address);// 获取ACPI驱动基地址RtlUnicodeStringInit(&unicode, L"ACPI.sys");LONGLONG acpi_address = GetModuleBaseByName(Driver, unicode);DbgPrint("ACPI模块基址 = %p \n", acpi_address);Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;
}

运行这段驱动程序，即可分别输出WinDDK.sys以及ACPI.sys两个驱动模块的基地址；

驱动开发：探索DRIVER_OBJECT驱动对象相关推荐

STM32MP157驱动开发——Linux IIO驱动(上)
STM32MP157驱动开发--Linux IIO驱动(上 ) 0.前言一.IIO 子系统简介 1.iio_dev 结构体 2.iio_dev 申请与释放 3.iio_dev 注册与注销 4.iio ...
＜Linux开发＞--驱动开发-- 字符设备驱动（3）过程详细记录
<Linux开发>–驱动开发-- 字符设备驱动(3) 过程详细记录驱动开发是建立再系统之上的,前面作者也记录了系统移植的过程记录,如果有兴趣,可进入博主的主页查看相关文章,这里就不添加链 ...
Linux 设备驱动开发 —— platform设备驱动应用实例解析
前面我们已经学习了platform设备的理论知识Linux 设备驱动开发 -- platform 设备驱动 ,下面将通过一个实例来深入我们的学习. 一.platform 驱动的工作过程 platfor ...
STM32MP157驱动开发——Linux 音频驱动
STM32MP157驱动开发--Linux 音频驱动一.简介 1.CS42L51 简介 2.I2S总线 3.STM32MP1 SAI 总线接口二.驱动开发 1.音频驱动 1)修改设备树 i2c 接 ...
STM32MP157驱动开发——4G通信模块驱动
STM32MP157驱动开发--4G通信模块驱动一.简介二.驱动开发 1.高新兴 ME3630 驱动开发驱动修改添加 ECM 支持程序配置 Linux 内核 ppp拨号功能测试 ECM 联网 ...
STM32MP157驱动开发——Linux 网络设备驱动
STM32MP157驱动开发--Linux 网络设备驱动一.简介 STM32MP1 GMAC 接口简介 YT8511C 详解二.驱动开发 1.网络外设的设备树 2.设备驱动三.测试网速测试参 ...
STM32MP157驱动开发——蜂鸣器设备驱动
STM32MP157驱动开发--蜂鸣器设备驱动 0.相关知识一.驱动程序开发 1.设备树修改 2.启动程序编写 3.测试程序编写二.编译及运行测试 0.相关知识蜂鸣器常用于计算机.打印机.报 ...
STM32MP157驱动开发——platform设备驱动(中)
STM32MP157驱动开发--platform设备驱动(中) 0.前言一.platform设备模块--设备信息解析二.platform驱动模块--加载设备三.测试App 四.编译及运行相关文 ...
Linux驱动开发1：驱动开发与裸机开发的区别
Linux驱动开发1:驱动开发与裸机开发的区别 1.裸机驱动开发回顾: 裸机驱动开发是非常底层的,跟寄存器打交道,有些MCU为了方便我们开发,提供了一些库,让我们通过调用API函数来间接的实现利用寄存 ...
STM32MP157驱动开发——Linux IIO驱动(下)
STM32MP157驱动开发--Linux IIO驱动(下) 0.前言一.IIO 触发缓冲区 1.IIO 触发器 2.申请触发器 3.释放触发器 4.注册触发器 5.注销触发器 6. IIO 缓冲区 ...

驱动开发：探索DRIVER_OBJECT驱动对象

驱动开发：探索DRIVER_OBJECT驱动对象相关推荐

最新文章

热门文章