文件服务器映驱动,映射驱动程序文件 - Windows drivers | Microsoft Docs
映射驅動程序文件
05/13/2020
本文內容
替換驅動程序文件可能會很困難。 通常,必須啟動到 Microsoft Windows 安全生成,替換驅動程序二進制文件,然后重新啟動。
使用映射文件存在替代方法。 您可以使用此映射方法替換任何內核模式驅動程序 (包括顯示驅動程序) 、任何 Windows 子系統驅動程序或任何其他內核模式模塊。 為簡單起見,在本主題中,這些文件稱為 " 驅動程序 ",即使您可以對任何內核模式模塊使用此方法也是如此。
無論何時將 WinDbg 或 KD 附加為內核調試器,都可以使用此方法。 你還可以在啟動驅動程序上使用此方法,但這會比較困難。 有關如何將此方法用于啟動驅動程序的詳細信息,請參閱替換啟動驅動程序。
若要使用驅動程序替換圖來替換驅動程序文件,請執行以下操作:
創建 驅動程序替換映射文件。 此文件是一個文本文件,其中列出了目標計算機上的驅動程序及其在主計算機上的替換驅動程序。 可以替換任意數量的驅動程序。 例如,你可能會在 \ 包含以下信息的主計算機的 d: Map Files 目錄中創建名為 Mymap.ini 的文件 _ 。
map
\Systemroot\system32\drivers\videoprt.sys
\\myserver\myshare\new_drivers\videoprt.sys
有關此文件的語法的詳細信息,請參閱驅動程序替換映射文件格式。
設置與目標計算機的內核調試連接,并在主計算機上 (KD 或 WinDbg) 啟動內核調試器。 (不必實際中斷目標計算機。 )
通過執行以下操作之一加載驅動程序替換映射文件:
_ _ 啟動內核調試器之前,請設置 NT KD _ FILES環境變量。
D:\Debugging Tools for Windows> set _NT_KD_FILES=d:\Map_Files\mymap.ini
D:\Debugging Tools for Windows> kd
D:\Debugging Tools for Windows> kd
kd> .kdfiles d:\Map_Files\mymap.ini
KD file associations loaded from 'd:\Map_Files\mymap.ini'
你還可以使用 kdfiles 命令來顯示當前的驅動程序替換映射文件或刪除驅動程序替換圖。 如果不使用此命令,映射將一直存在,直到退出調試器。
完成此過程之后,驅動程序替換映射會生效。
只要目標計算機要加載驅動程序,它就會查詢內核調試器,以確定是否已映射此驅動程序。 如果已映射該驅動程序,則會通過內核連接發送替換文件,并通過舊的驅動程序文件對其進行復制。 然后,將加載新的驅動程序。
驅動程序替換映射文件格式
驅動程序替換映射文件中的每個驅動程序文件替換均由三行表示。
第一行包含 "map" 一詞。
第二行指定目標計算機上舊驅動程序的路徑和文件名。
第三行指定新驅動程序的完整路徑。 此驅動程序可以位于主計算機上,也可以位于其他某個服務器上。
您可以任意多次重復此信息模式。
路徑和文件名不區分大小寫,實際驅動程序文件名可能不同。 當目標計算機將要加載該驅動程序時,將在第三行中指定的文件復制到第二行中指定的文件。
Kdfiles 將嘗試將存儲在服務控制管理器 (SCM) 數據庫中的文件名匹配。 SCM 數據庫中的名稱與傳遞給 MmLoadSystemImage 的名稱相同。
在 Windows 10 和更高版本的調試工具中,驅動程序映射可用于動態匹配驅動程序名稱并確定正確的路徑。 無需指定完整路徑,并且文件擴展名是可選的。 您可以使用這些項中的任意項來匹配 NT 文件系統驅動程序。
ntfs
NTFS
ntfs.sys
windows \ system32 \ 驅動程序 \ntfs.sys
您可以使用這些項中的任意項來匹配 NT 內核驅動程序。
ntoskrnl.exe
NTOSKRNL.EXE
ntoskrnl.sys
windows \ system32 \ 驅動程序 \ntoskrnl.sys
地圖文件可以包含空行,并可以包含以數字符號開頭的注釋行 (#) 。 但是,在文件中出現 "map" 后,接下來的兩行必須是舊驅動程序和新驅動程序。 空行和注釋行不能分解三行地圖塊。
下面的示例演示了驅動程序替換映射文件。
# Use the # for comments like this one
map
\Systemroot\system32\drivers\videoprt.sys
e:\MyNewDriver\binaries\videoprt.sys
map
\Systemroot\system32\mydriver.sys
\\myserver\myshare\new_drivers\mydriver0031.sys
# This is replacing a beep driver
map
\??\c:\windows\system32\beep.sys
\\myserver\myshare\new_drivers\new_beep.sys
驅動程序替換映射文件必須是文本文件,但您可以使用任何文件名和文件擴展名 ( .ini、.txt、.map 等) 。
其他說明
出現驅動程序替換時,內核調試器中會出現一條消息。
如果在 KD 中使用 ctrl + D () 或在 WinDbg) 中按 CTRL + ALT + d (,則會看到有關替換請求的詳細信息。 如果你不確定列出的名稱是否與 SCM 數據庫中的名稱匹配,則此信息會很有用。
可以啟用 bcdedit bootdebug 選項,以查看可用于替換內核、hal 或啟動驅動程序的早期啟動信息。
bcdedit -bootdebug on
如果內核調試器退出,則不會再進行驅動程序替換。 但是,已替換的任何驅動程序都不會還原為其舊的二進制文件,因為驅動程序文件實際上被覆蓋。
此驅動程序替換功能會自動繞過 Windows 文件保護 (WFP) 。
您無需重新啟動目標計算機。 無論目標計算機是否已重啟,都將在目標計算機加載驅動程序時進行替換。 當然,大多數驅動程序都是在啟動過程中加載的,因此,在此過程中,在加載映射文件后,應該重啟目標計算機。
如果 _ 定義了 NT _ KD _ FILES 變量,則啟動內核調試器時,將讀取指定的驅動程序替換映射文件。 如果發出 kdfiles 命令,則會立即讀取指定的文件。 此時,調試器將驗證該文件是否具有基本的映射/行/行格式。 但在發生替換之前,不會驗證實際路徑和文件名。
讀取映射文件后,調試器將存儲其內容。 如果在此之后更改此文件,則所做的更改不會 (,除非重新發出 kdfiles 命令) 。
總結
以上是生活随笔為你收集整理的文件服务器映驱动,映射驱动程序文件 - Windows drivers | Microsoft Docs的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java 找不到方法,已经定义的方法找不
- 下一篇: nginx 如何调用php文件,ngin