在Windows系统上与安全软件相关的驱动开发过程当中,“过滤(filter)”是极其重要的一个概念。过滤是在不影响上层和下层接口的状况下,在Windows系统内核中加入新的层,从而不须要修改上层的软件和下层的真实驱动,就加入了新的功能。算法
过滤的概念和基础编程
1.设备绑定的内核API之一数组
进行过滤的最主要方法是对一个设备对象(Device Object)进行绑定。经过编程生成一个虚拟设备,并“绑定”(Attach)在一个真实的设备上。一旦绑定,则原本操做系统发送给真实设备的请求,就会首先发送的这个虚拟设备。安全
在WDK中,有多个内核API能实现绑定功能。下面是其中一个函数的原型:数据结构
- NTSTATUS
- IoAttachDevice(
- IN PDEVICE_OBJECT SourceDevice,
- IN PUNICODE_STRING TargetDevice,
- OUT PDEVICE_OBJECT *AttachedDevice
- );
IoAttachDevice的参数以下:函数
SouceDevice是调用者生成的用来过滤的虚拟设备;而TargetDevice是要被绑定的目标设备。请注意这里的TargetDevice并非一个PDEVICE_OBJECT,而是设备的名字。测试
若是一个设备被其余设备绑定了,他们在一块儿的一组设备,被称为设备栈。实际上,IoAttachDevice总会绑定设备栈最上层的那个设备。spa
AttachedDevice是一个用来返回的指针的指针。绑定成功后,被绑定的设备的指针返回到这个地址。操作系统
下面这个例子绑定串口1。之因此这里绑定很方便,是由于在Windows中,串口设备有固定的名字。第一个串口名字为“\Device\Serial0”,第二个为“\Device\Serial1”,以此类推。请注意实际编程时C语言中的“\”要写成“\\”。.net
- UNICODE_STRING com_name = RLT_CONSTANT_STRING(L"\\Device\\Serial0");
- NTSTATUS status = IoAttachDevice(
- com_filter_device,
- &com_device_name,
- &attached_device
- );
2.绑定设备的内核API之二
并非全部设备都有设备名字,因此依靠IoAttachDevice没法绑定没有名字的设备。另外还有两个API:一个是IoAttachDeviceToDeviceStack,另外一个是IoAttachDeivceToDeviceStackSafe。这两个函数功能同样,都是根据设备对象的指针(而不是名字)进行绑定;区别是后者更加安全,并且只有在Windows2000SP4和Windows XP以上的系统中才有。
- NTSTATUS
- IoAttachDeviceToDeviceStackSafe(
- IN PDEVICE_OBJECT SourceDevice,
- IN PDEVICE_OBJECT TargetDevice,
- IN OUT PDEVICE_OBJECT *AttachedToDeviceObject
- );
和第一个API相似,只是TargetDevice换成了一个指针。另外,AttachedToDeviceObject一样也是返回最终被绑定的设备,实际上也就是以前设备栈上最顶端的那个设备。
3.生成过滤设备并绑定
在绑定一个设备以前,先要知道如何生成一个用于过滤的过滤设备。函数IoCreateDevice被用于生成设备:
- NTSTATUS
- IoCreateDevice(
- IN PDRIVER_OBJECT DriverObject,
- IN ULONG DeviceExtensionSize,
- IN PUNICODE_STRING DeviceName,
- IN DEVICE_TYPE DeviceType,
- IN ULONG DeviceCharacteristics,
- IN BOOLEAN Exclusive,
- OUT PDEVICE_OBJECT *DeviceObject
- );
DriverObject:输入参数,每一个驱动程序中会有惟一的驱动对象与之对应,但每一个驱动对象会有若干个设备对象。DriverObject指向的就是驱动对象指针。
DeviceExtensionSize:输入参数,指定设备扩展的大小,I/O管理器会根据这个大小,在内存中建立设备扩展,并与驱动对象关联。
DeviceName:输入参数,设置设备对象的名字。一个规则是,过滤设备通常不须要设备名,传入NULL便可
DeviceType:输入参数,设备类型,保持和被绑定的设备类型一致便可。
DeviceCharacterristics:输入参数,设备对象的特征。
Exclusive:输入参数,设置设备对象是否为内核模式下使用,通常设置为TRUE。
DeviceObject:输出参数,I/O管理器负责建立这个设备对象,并返回设备对象的地址。
但值得注意的是,在绑定一个设备以前,应该把这个设备对象的多个子域设置成和要绑定的目标对象一致,包括标志和特征。下面是一个示例函数,这个函数能够生成一个设备,并绑定到另外一个设备上。
- NTSTATUS
- ccpAttachDevice(
- PDRIVER_OBJECT driver,
- PDEVICE_OBJECT oldobj,
- PDEVICE_OBJECT *fltobj,
- PDEVICE_OBJECT *next)
- {
- NTSTATUS status;
- PDEVICE_OBJECT topdev = NULL;
-
-
- status = IoCreateDevice(driver,
- 0,
- NULL,
- oldobj->DeviceType,
- 0,
- FALSE,
- fltobj);
- if (status != STATUS_SUCCESS)
- {
- return status;
- }
-
-
- if (oldobj->Flags & DO_BUFFERED_IO)
- {
- (*fltobj)->Flags |= DO_BUFFERED_IO;
- }
- if(oldobj->Flags & DO_DIRECT_IO)
- {
- (*fltobj)->Flags |= DO_DIRECT_IO;
- }
- if (oldobj->Characteristics & FILE_DEVICE_SECURE_OPEN)
- {
- (*fltobj)->Characteristics |= FILE_DEVICE_SECURE_OPEN;
- }
- (*fltobj)->Flags |= DO_POWER_PAGABLE;
-
- topdev = IoAttachDeviceToDeviceStack(*fltobj,oldobj);
- if (topdev == NULL)
- {
-
- IoDeleteDevice(*fltobj);
- *float = NULL;
- status = STATUS_UNSUCCESSFUL;
- return status;
- }
- *next = topdev;
-
-
- (*fltobj)->Flags = (*fltobj)->Flags & ~DO_DEVICE_INITIALIZING;
- return STATUS_SUCCESS;
- }
4.从名字得到设备对象
在知道一个设备名字的状况下,使用IoGetDeviceObjectPointer能够得到这个设备对象的指针。这个函数的原型以下:
- NTSTATUS
- IoGetDeviceObjectPointer(
- IN PUNICODE_STRING ObjectName,
- IN ACCESS_MASK DesiredAccess,
- OUT PFILE_OBJECT *FileObject,
- OUT PDEVICE_OBJECT *DeviceObject
- );
其中ObjectName就是设备名字。
DesireAccess是指望访问的权限。实际使用时不要顾虑那么多,直接填写FILE_ACCESS_ALL便可。
FileObject是一个返回参数,即得到设备对象的同时会获得一个文件对象(File Object)。就打开串口这件事而言,这个文件对象没有什么用处。但必须注意:在使用这个函数以后必须把这个文件对象“解除引用”,不然会引发内存泄露。
要获得的设备对象就返回在参数DeviceObject中了。
- PDEVICE_OBJECT ccpOpenCom(ULONG id,NTSTATUS *status)
- {
-
- UNICODE_STRING name_str;
- static WCHAR name[32] = {0};
- PFILE_OBJECT fileObj = NULL;
- PDEVICE_OBJECT devObj = NULL;
-
-
- memset(name,0,sizeof(WCHAR)*32);
- RtlStringCchPrintfW(
- name,32,
- L"\\Device\\Serial%d",id);
- RtlInitUnicodeString(&name_str,name);
-
-
- *status = IoGetDeviceObjectPointer(
- &name_str,
- FILE_ALL_ACCESS,
- &fileObj,&devObj);
-
-
- if (*status == NT_SUCCESS)
- {
- ObDereferenceObject(fileObj);
- }
-
-
- return devObj;
- }
5.绑定全部端口
下面是一个简单的函数,实现了绑定本机上全部串口的功能。这个函数用到了前面提供的ccpOpenCom和ccpAttachDevice这两个函数
- #define CCP_MAX_COM_IO 32
- static PDEVICE_OBJECT s_fltObj[CCP_MAX_COM_IO] = {0};
- static PDEVICE_OBJECT s_nextObj[CCP_MAX_COM_IO] = {0};
-
- void ccpAttachAllComs(PDRIVER_OBJECT driver)
- {
- ULONG i;
- PDEVICE_OBJECT com_ob;
- NTSTATUS status;
- for(i = 0 ; i < CCP_MAX_COM_IO ; i++)
- {
-
- com_ob = ccpOpenCom(i,&status);
- if (com_ob == NULL)
- {
- continue;
- }
-
- ccpAttachDevice(driver,com_ob,&s_fltObj[i],&s_nextObj[i]);
- }
- }
不必关心这个绑定是否成功,就算失败,看下一个s_fltObj便可。这个数组中不为NULL的成员表示已经绑定,为NULL的成员则是没有绑定成功或者绑定失败的。这个函数须要一个DRIVER_OBJECT的指针。
得到实际数据
1.请求的区分
Windows的内核开发者们肯定了不少数据结构,例如:驱动对象(DriverObject),设备对象(DeviceObject),文件对象(FileObject)等,须要了解的是:
(1)每一个驱动程序只有一个驱动对象
(2)每一个驱动程序能够生成若干个设备对象,这些设备对象从属于一个驱动对象
(3)若干个设备(他们能够属于不一样的驱动)依次绑定造成一个设备栈,老是最顶端的设备先接收到请求。
(4)IRP是上层设备之间传递请求的常见数据结构,但不是惟一的数据结构
串口设备接收到的都是IRP,所以只要对全部IRP进行过滤,就能够获得串口流过的数据。请求能够经过IRP的主功能号区分。例以下面代码:
- PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
- if (irpsp->MajorFunction == IRP_MJ_WRITE)
- {
-
- }
- else if (irpsp->MajorFunction == IRP_MJ_READ)
- {
-
- }
2.请求的结局
对请求的过滤,最终的结局有3种:
(1)请求被经过了,过滤不作任何事情,或者简单的获取请求的一些信息。可是请求自己不受干扰。
(2)请求直接被否决了,下层驱动根本收不到这个请求。
(3)过滤完成了这个请求。
串口过滤要捕获两种数据:一种是发送出的数据(也就是写请求的数据),另外一种是接收的数据(也就是读请求的数据)。为了简单起见,咱们只捕获发送出去的请求。这样,只须要采起第一种处理方法便可。
这种处理最为简单。首先调用IoSkipCurrentIrpStackLocation跳到当前栈空间;而后调用IoCallDriver把这个请求发送给真实的设备。请注意:由于真实的设备已经被过滤设备绑定,因此首先接收到IRP的是过滤设备对象。代码以下:
- IoSkipCurrentIrpStackLocation(irp);
- status = IoCallDriver(s_nextObj[i],irp);
3.写请求的数据
那么,一个写请求(也就是串口一次发送的数据)保存在哪呢?IRP的结构中有三个地方能够描述缓冲区:一个是irp->MDLAddress,一个是irp->UserBuffer,一个是irp->AssociatedIrp.SystemBuffer.三种结构的具体区别参见(Windows驱动技术开发详解__派遣函数)。
回到串口的问题,那么串口的写请求究竟是用哪一种方式呢?咱们不知道,可是能够用下面方法得到:
- PBYTE buffer = NULL;
- if (IRP->MdlAddress != NULL)
- buffer = (PBYTE)MmGetSystemAddressForMdlSafe(IRP->MdlAddress);
- else
- buffer = (PBYTE)IRP->UserBuffer;
- if (buffer == NULL)
- buffer = (PBYTE)IRP->AssociatedIrp.SystemBuffer;
完整的代码
1.完整的分发函数(派遣函数)
- NTSTATUS ccpDispatch(PDEVICE_OBJECT device,PIRP irp)
- {
- PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);
- NTSTATUS status;
- ULONG i,j;
-
-
-
- for (i = 0 ; i < CCP_MAX_COM_ID ; i++)
- {
- if (s_fltObj[i] == device)
- {
-
- if (irpsp->MajorFunction == IRP_MJ_POWER)
- {
-
- PoStartNextPowerIrp(irp);
- IoSkipCurrentIrpStackLocation(irp);
- return PoCallDriver(s_nextObj[i],irp);
- }
-
- }
-
- if (irpsp->MajorFunction == IRP_MJ_WRITE)
- {
-
- ULONG len = irpsp->Parameters.Write.Length;
-
- PUCHAR buf = NULL;
- if(irp->MdlAddress != NULL)
- buf = (PUCHAR)
- MmGetSystemAddressForMdlSafe(irp->MdlAddress,NormalPagePriority);
- else
- buf = (PUCHAR)irp->UserBuffer;
- if(buf == NULL)
- buf = (PUCHAR)irp->AssociatedIrp.SystemBuffer;
-
-
- for (j = 0 ; j < len ; j++)
- {
- DbgPrint("comcap:Send Data:%2x\r\n",buf[j]);
- }
- }
-
- IoSkipCurrentIrpStackLocation(irp);
- return IoCallDriver(s_nextObj[i],irp);
-
- }
-
- irp->IoStatus.Information = 0;
- irp->IoStatus.Status = STATUS_INVALID_DEVICE_REQUEST;
- IoCompleteRequest(irp,IO_NO_INCREMENT);
- return STATUS_SUCCESS;
-
- }
2.动态卸载
前面说了如何绑定,可是没说如何解除绑定。若是要把这个模块作成能够动态卸载的模块,则必须提供一个卸载函数。咱们应该在卸载函数中完成解除绑定的功能,不然,一旦卸载必定会蓝屏。
- #define DELAY_ONE_MICROSECOND (-10)
- #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
- #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)
-
- VOID ccpUnload(PDRIVER_OBJECT drv)
- {
- ULONG i;
- LARGE_INTEGER interval;
-
-
- for (i = 0 ; i < CCP_MAX_COM_ID ; i++)
- {
- if(s_nextObj[i] != NULL)
- IoDeleteDevice(s_nextObj[i]);
- }
-
-
- interval.QuadPart = (5*1000 *DELAY_ONE_MICROSECOND);
- KeDelayExecutionThread(KernelMode,FALSE,&interval);
-
-
- for (i = 0 ; i < CCP_MAX_COM_ID ; i++)
- {
- if(s_fltObj[i] != NULL)
- IoDeleteDevice(s_fltObj[i]);
- }
- }
DriverEntry函数代码:
- NTSTATUS DriverEntry(
- IN OUT PDRIVER_OBJECT DriverObject,
- IN PUNICODE_STRING RegistryPath
- )
- {
- DbgPrint("Enter Driver\r\n");
- size_t i;
-
- for (i = 0 ; i < IRP_MJ_MAXIMUM_FUNCTION ; i++)
- {
- DriverObject->MajorFunction[i] = ccpDispatch;
- }
-
- DriverObject->DriverUnload = ccpUnload;
-
-
- ccpAttachAllComs(DriverObject);
-
- return STATUS_SUCCESS;
- }
测试效果:
