驱动

在Windows中,驱动是运行在内核(R0层)的软件。由于运行在内核层,所以可以做操作系统可以做的绝大多数事情,比如和硬件进行交互,就必须在内核中执行。一般来说,驱动都是用来实现某设备的IO操作的。

分类

驱动分为如下几种类型:

  • 设备函数驱动程序
    • 实现硬件设备的逻辑,比如设备的初始化和数据传输等
    • 一般为硬件制造商开发
    • 例:键盘驱动程序,显示驱动程序,打印机驱动程序
  • 设备筛选器驱动程序
    • 设备筛选器是用来修改或扩展设备函数驱动的行为的驱动,分为上层过滤器和下层过滤器
    • 可以拦截或修改设备的操作,类似与钩子
    • 例:拦截和记录USB设备通信的驱动程序
  • 软件驱动程序
    • 为逻辑设备服务的驱动程序,实现虚拟设备或系统功能
    • 实现虚拟功能并处理高层逻辑而非硬件交互。
    • 例:虚拟磁盘,虚拟网卡
  • 文件系统筛选器驱动程序
    • 用来监控,修改或增强文件系统的行为的驱动,附加在文件系统驱动堆栈中,可以拦截文件操作的IO操作
    • 检查修改文件操作,打开读取写入等,执行权限控制,加密,数据压缩等
    • 例:防止未授权访问文件
  • 文件系统驱动程序
    • 实现文件操作逻辑的驱动(NTFS,FAT32等),文件系统堆栈中的核心部分,直接管理磁盘上的文件
    • 实现文件读写,路径解析,目录管理
    • 例:Windows中的ntfs.sys和fat32.sys

驱动对象和设备对象

驱动对象

操作系统标识一个驱动的数据结构

该对象由操作系统自动生成(下面是WDM)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#include <ntifs.h>

VOID DriverUnload(PDRIVER_OBJECT pdriverObject)
{
	DbgPrint("DriverUnload\r\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,
	PUNICODE_STRING pRegPath//注册表路径
)
{
	DbgPrint("DriverEntry\r\n");

	pDriverObject->DriverUnload = DriverUnload;//指定驱动卸载函数
	return STATUS_SUCCESS;
}

这之中pDriverObject是操作系统为这个驱动创建的驱动对象,部分内容需要在DriverEntry中由用户添加

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
typedef struct _DRIVER_OBJECT {
    CSHORT Type;
    CSHORT Size;

    //
    // The following links all of the devices created by a single driver
    // together on a list, and the Flags word provides an extensible flag
    // location for driver objects.
    //

    PDEVICE_OBJECT DeviceObject;
    ULONG Flags;

    //
    // The following section describes where the driver is loaded.  The count
    // field is used to count the number of times the driver has had its
    // registered reinitialization routine invoked.
    //

    PVOID DriverStart;
    ULONG DriverSize;
    PVOID DriverSection;
    PDRIVER_EXTENSION DriverExtension;

    //
    // The driver name field is used by the error log thread
    // determine the name of the driver that an I/O request is/was bound.
    //

    UNICODE_STRING DriverName;

    //
    // The following section is for registry support.  This is a pointer
    // to the path to the hardware information in the registry
    //

    PUNICODE_STRING HardwareDatabase;

    //
    // The following section contains the optional pointer to an array of
    // alternate entry points to a driver for "fast I/O" support.  Fast I/O
    // is performed by invoking the driver routine directly with separate
    // parameters, rather than using the standard IRP call mechanism.  Note
    // that these functions may only be used for synchronous I/O, and when
    // the file is cached.
    //

    PFAST_IO_DISPATCH FastIoDispatch;

    //
    // The following section describes the entry points to this particular
    // driver.  Note that the major function dispatch table must be the last
    // field in the object so that it remains extensible.
    //

    PDRIVER_INITIALIZE DriverInit;
    PDRIVER_STARTIO DriverStartIo;
    PDRIVER_UNLOAD DriverUnload;
    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;
typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

在c中,它的定义和可行的操作如上

可以看出操作系统用一个单链表连接了所有的设备对象。且使用了

1
2
3
4
PDRIVER_INITIALIZE DriverInit;
PDRIVER_STARTIO DriverStartIo;
PDRIVER_UNLOAD DriverUnload;
PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

来为操作系统调用驱动中的函数提供了基础。

一般来说,一个驱动注册好了后,会和其它同类驱动组合成驱动栈,它们从高到低地处理不同层级的问题,每当引发一个请求,都会从高到低询问要不要处理,如果不处理就会继续向下,如果处理,那么就此终止,不会继续传递。

设备对象

设备对象是操作对象用来描述一个设备的核心数据结构。可以标识并管理硬件设备或逻辑设备。

需要自创建

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
NTSTATUS DriverEntry(
    _In_ PDRIVER_OBJECT DriverObject,
    _In_ PUNICODE_STRING RegistryPath
) {
    PDEVICE_OBJECT DeviceObject = NULL;
    NTSTATUS Status = IoCreateDevice(
        DriverObject,            // 所属驱动对象
        sizeof(DEVICE_EXTENSION), // 设备扩展的大小
        &DeviceName,             // 设备名称
        FILE_DEVICE_UNKNOWN,     // 设备类型
        0,                       // 特性标志
        FALSE,                   // 是否为独占设备
        &DeviceObject            // 输出设备对象
    );
    if (!NT_SUCCESS(Status)) {
        return Status; // 创建失败时返回错误状态
    }
    return STATUS_SUCCESS;
}

比如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
#include <ntifs.h>

NTSTATUS DriverEntry(
    _In_ PDRIVER_OBJECT pDriverObject,
    _In_ PUNICODE_STRING pRegistryPath
) {
    NTSTATUS status;
    PDEVICE_OBJECT pDeviceObject = NULL;
    UNICODE_STRING deviceName = RTL_CONSTANT_STRING(L"\\Device\\FileFilter");

    // 创建设备对象
    status = IoCreateDevice(
        pDriverObject,          // 驱动对象
        0,                      // 没有设备扩展
        &deviceName,            // 设备名
        FILE_DEVICE_DISK_FILE_SYSTEM, // 指定为文件系统类型
        0,                      // 无特殊特性
        FALSE,                  // 非独占
        &pDeviceObject          // 输出设备对象指针
    );

    if (!NT_SUCCESS(status)) {
        DbgPrint("Failed to create device object\n");
        return status;
    }

    // 设置卸载函数和其他初始化逻辑
    pDriverObject->DriverUnload = DriverUnload;
    pDriverObject->MajorFunction[IRP_MJ_CREATE] = FileCreateHandler; // 处理文件创建
    pDriverObject->MajorFunction[IRP_MJ_READ] = FileReadHandler;     // 处理文件读取

    DbgPrint("Device object created successfully\n");
    return STATUS_SUCCESS;
}

VOID DriverUnload(_In_ PDRIVER_OBJECT pDriverObject) {
    UNICODE_STRING deviceName = RTL_CONSTANT_STRING(L"\\Device\\FileFilter");
    IoDeleteDevice(pDriverObject->DeviceObject); // 删除设备对象
    DbgPrint("Driver unloaded\n");
}

IRP_MJ_CREATE 和 IRP_MJ_READ 是 I/O 请求包(IRP)的主功能码,分别对应文件/设备的创建(或打开)操作和读取操作。当用户层调用相关 I/O 操作(如 CreateFile 或 ReadFile)时,操作系统的 I/O 管理器会生成对应的 IRP,并将其传递到目标设备的驱动栈中。驱动程序通过在驱动对象中注册的调度例程(Dispatch Routine)处理这些 IRP 请求。调度例程会把主功能码映射为MajorFunction的索引,然后驱动指定对应索引的函数来实现功能。