Windows驅(qū)動開發(fā)學習筆記（三）—— 內(nèi)核空間&內(nèi)核模塊

• • 內(nèi)核空間
  • • 實驗
    • • 第一步：編譯如下代碼
      • 第二步：將 .sys 文件拷貝到虛擬機中
      • 第三步：部署 .sys 文件并運行
      • 第四步：創(chuàng)建一個任意進程
      • 第五步：在 WinDbg 中查看新進程的高2G內(nèi)存
  • 內(nèi)核模塊
  • 驅(qū)動對象
  • • DRIVER_OBJECT
    • LDR_DATA_TABLE_ENTRY
    • 實驗
    • • 第一步：編譯如下代碼
      • 第二步：將 .sys 文件拷貝到虛擬機中
      • 第三步：部署 .sys 文件并運行
      • 第四步：在 WinDbg 中查看驅(qū)動對象
      • 第五步：通過雙向鏈表查看其它模塊的信息
  • 總結(jié)

內(nèi)核空間

描述：兩個進程在低2G內(nèi)存空間中所對應的物理頁是不同的，但是在高2G內(nèi)存空間中所對應的物理頁幾乎是相同的（所有的進程共享同一個內(nèi)核空間）

實驗

第一步：編譯如下代碼

#include "ntddk.h"//卸載函數(shù) VOID DriverUnload(PDRIVER_OBJECT driver) {DbgPrint("驅(qū)動程序已停止.\r\n"); }ULONG x = 0x12345678;//驅(qū)動程序入口函數(shù)，相當于控制臺的main函數(shù) NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) {DbgPrint("驅(qū)動程序已運行.\r\n");DbgPrint("%x . \r\n", &x);//設置一個卸載函數(shù) 便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS; }

第二步：將 .sys 文件拷貝到虛擬機中

第三步：部署 .sys 文件并運行

第四步：創(chuàng)建一個任意進程

本實驗采用飛鴿傳書（ipmsg.exe）

第五步：在 WinDbg 中查看新進程的高2G內(nèi)存

內(nèi)核模塊

描述：

硬件的種類繁多，不可能做一個兼容所有硬件的內(nèi)核，因此，微軟提供規(guī)定的接口格式，讓硬件驅(qū)動人員按照規(guī)定的格式編寫“驅(qū)動程序”

這些驅(qū)動程序每一個都是一個模塊，稱為“內(nèi)核模塊”，可以加載到內(nèi)核中，并遵守PE結(jié)構(gòu)。但本質(zhì)上講，任意一個.sys文件與內(nèi)核文件沒有區(qū)別

不管是我們自己編寫的 .sys 文件，還是 Windows 自帶的內(nèi)核文件（如 ntoskrnl.exe），它們在內(nèi)核中的地位是相同的，都是內(nèi)核模塊中的其中一個

驅(qū)動對象

DRIVER_OBJECT

在WinDbg中查看：

DriverStart：驅(qū)動模塊在內(nèi)核中的地址
DriverSize：驅(qū)動模塊在內(nèi)核中的大小
DriverName：驅(qū)動模塊在內(nèi)核中的名字
DriverSection：指向 _LDR_DATA_TABLE_ENTRY 結(jié)構(gòu)體

LDR_DATA_TABLE_ENTRY

描述：包含了當前內(nèi)核模塊的具體信息，以及其它內(nèi)核模塊的雙向鏈表

在WinDbg中查看：

InLoadOrderLinks：雙向鏈表，包含所有內(nèi)核模塊
DllBase：當前內(nèi)核模塊起始地址
SizeOfImage：當前內(nèi)核模塊的大小
FullDllName：當前內(nèi)核模塊的完整路徑
BaseDllName：當前內(nèi)核模塊的模塊名

實驗

第一步：編譯如下代碼

#include "ntddk.h"//卸載函數(shù) VOID DriverUnload(PDRIVER_OBJECT driver) {DbgPrint("驅(qū)動程序已停止.\r\n"); }//驅(qū)動程序入口函數(shù)，相當于控制臺的main函數(shù) NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) {DbgPrint("驅(qū)動程序已運行.\r\n");DbgPrint("%x . \r\n", DriverObject);//設置一個卸載函數(shù) 便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS; }

第二步：將 .sys 文件拷貝到虛擬機中

第三步：部署 .sys 文件并運行

第四步：在 WinDbg 中查看驅(qū)動對象

第五步：通過雙向鏈表查看其它模塊的信息

注意：遇到NULL則跳過

直到找到一個有效的內(nèi)核模塊

總結(jié)

內(nèi)核空間中，每個進程低2G各不相同，高2G相同，在高2G中做任何事情影響的是所有進程

在高2G中，并不是只有一個內(nèi)核模塊為所有進程提供服務，而是由許多個模塊組成，每個模塊在高2G中都有屬于自己獨立的內(nèi)存地址和大小

若想了解每個內(nèi)核模塊的具體信息，可以通過 _DRIVER_OBJECT 這個結(jié)構(gòu)體，它存儲了當前內(nèi)核模塊的具體信息

任意加載一個驅(qū)動，便可通過 _LDR_DATA_TABLE_ENTRY 這個結(jié)構(gòu)體中的雙向鏈表得到所有內(nèi)核模塊的信息

總結(jié)

以上是生活随笔為你收集整理的Windows驱动开发学习笔记（三）—— 内核空间内核模块的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。