Windows 内核编程初涉

    windows 内核编程有自己的特点，下面是初涉其中的总结。文章的内容摘自《寒江独钓---windows内核安全编程》

1. 基本数据类型

    为了消除平台和编译器的差异，WDK定义了一套自己的数据类型。ULONG, UCHAR,UNIT VOID……

2. 函数返回值

    绝大部分内核API 都有一个返回值， 我在自己写的时候也需要：

NTSTATUS myFunc() 
{ 
    NTSTATUS status;
    status = ZwCreateFile(); 
    if (!NT_SUCCESS(status)) 
    { 
        return status; 
    }
    return status; 
}

3. 字符串

    WDK 中用UNICODE_STRING 表示字符串

typedef struct _UNICODE_STRING { 
  USHORT  Length; 
  USHORT  MaximumLength; 
  PWSTR  Buffer; 
} UNICODE_STRING, *PUNICODE_STRING;

如：

UNICODE_STRING str = RTL_CONSTANT_STRING(L"first: hello, my salary"); 
DbgPrint("%wZ", &str);

其中 RTL_CONSTANT_STRING 宏是用来创建一个字符串的。

%wZ 是用来格式化输出字符串的， 和int 用%d, char用%c 同理。

4. 重要的数据结构

    windows内核采用的是面向对象的编程方式，但是使用的确实C语言。所以它的对象就是“伪对象”了。当然这个对象是指诸如一个驱动，一个设备，一个文件之类的东西了。每一个对象都用一个结构体表示。

4.1 驱动对象

    当编写一个应用程序时候，windows 直接从main 函数开始执行生成一个进程。但是内核模块并不生成一个进程，只是填写了一组回调函数让windows调用。而这个调用过程就需要驱动对象帮忙了。我看下驱动对象的定义：

typedef struct _DRIVER_OBJECT {
// 结构体的类型和大小 
    CSHORT Type; 
    CSHORT Size;
//设备对象， 这里实际上是一个设备对象链表的开头， 
   PDEVICE_OBJECT DeviceObject;

    ULONG Flags;
// 驱动的名字
    UNICODE_STRING DriverName;
    PUNICODE_STRING HardwareDatabase;
//快速分发函数
    PFAST_IO_DISPATCH FastIoDispatch;
    PDRIVER_INITIALIZE DriverInit; 
    PDRIVER_STARTIO DriverStartIo;
//卸载函数 
    PDRIVER_UNLOAD DriverUnload;
//普通分发函数 
    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
} DRIVER_OBJECT; 
typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

4.2 设备对象

    windows 内核中，大部分消息都以请求(IRP)的方式传递，而设备对象(DEVICE_OBJECT)是唯一可以接收请求的实体。一个设备对象可以是一个硬盘或者一个“管道”。

typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _DEVICE_OBJECT { 
    CSHORT Type;//类型 
    USHORT Size;//大小 
    LONG ReferenceCount;//引用计数 
    struct _DRIVER_OBJECT *DriverObject;//这个设备所属的驱动对象 
    struct _DEVICE_OBJECT *NextDevice;//下一个设备对象，一个设备对象中有N个设备 
    struct _DEVICE_OBJECT *AttachedDevice; 
    struct _IRP *CurrentIrp; 
    PIO_TIMER Timer; 
    ULONG Flags;                                // See above:  DO_... 
    ULONG Characteristics;                      // See ntioapi:  FILE_... 
    __volatile PVPB Vpb; 
    PVOID DeviceExtension; 
    DEVICE_TYPE DeviceType;//设备类型 
    CCHAR StackSize;//IRP栈的大小 
    union { 
        LIST_ENTRY ListEntry; 
        WAIT_CONTEXT_BLOCK Wcb; 
    } Queue; 
    ULONG AlignmentRequirement; 
    KDEVICE_QUEUE DeviceQueue; 
    KDPC Dpc;
    // 
    //  The following field is for exclusive use by the filesystem to keep 
    //  track of the number of Fsp threads currently using the device 
    //
    ULONG ActiveThreadCount; 
    PSECURITY_DESCRIPTOR SecurityDescriptor; 
    KEVENT DeviceLock;
    USHORT SectorSize; 
    USHORT Spare1;
    struct _DEVOBJ_EXTENSION  *DeviceObjectExtension; 
    PVOID  Reserved;
} DEVICE_OBJECT;

从上可以看出，一个驱动对象可以包含多个设备对象。

ULONG Flags的含义:

1. DO_BUFFEREND_IO : 读写操作使用缓冲方式。
2. DO_EXCLUSIVE: 一次只允许一个线程打开设备句柄
3. DO_DIRECT_IO:　读写操作直接使用
4. DO_POWER_PAGABLE: 必须在PASSIVE_LEVEL 级上处理IRP请求
5. DO_POWER_INRUSH: 设备上电期间需要最大电流