《Windows驱动开发技术详解》之读写操作

2023-11-18

缓冲区方式读写操作

设置缓冲区读写方式：

读写操作一般是由ReadFile和WriteFile函数引起的，这里先以WriteFile函数为例进行介绍。WriteFile要求用户提供一段缓冲区，并且说明缓冲区的大小，然后WriteFile将这段内存的数据传入到驱动程序中。这种方法，操作系统将应用程序提供缓冲区数据直接复制到内核模式的地址中。这样做，比较简单的解决了将用户地址传入驱动的问题，而缺点是需要在用户模式和内核模式之间复制数据，影响了效率。在少量内存操作时，可以采用这种方法。拷贝到内核模式下的地址由WriteFile创建的IRP的AssociatedIrp.SystemBuffer子域记录。

下面的代码演示了如何利用缓冲区方式读取设备，这个例子中，驱动程序负责向缓冲区中填入了数据：

应用层调用ReadFile，想驱动传送一个读IRP请求：

 1 int main(){
 2         HANDLE hDevice =
 3             CreateFile("\\\\.\\HelloDDK",
 4             GENERIC_READ | GENERIC_WRITE,
 5             0, NULL,
 6             OPEN_EXISTING,
 7             FILE_ATTRIBUTE_NORMAL,
 8             NULL);
 9         if (hDevice == INVALID_HANDLE_VALUE){
10             printf("Open device failed!\n");
11         }
12         else{
13             printf("Open device succeed!\n");
14         }
15         UCHAR buffer[10];
16         ULONG ulRead;
17         BOOL bRet = ReadFile(hDevice, buffer, 10, &ulRead, NULL);
18         if (bRet){
19             printf("Read %d bytes!", ulRead);
20             for (int i = 0; i < (int)ulRead; i++){
21                 printf("%02X", buffer[i]);
22             }
23             printf("\n");
24         }
25         CloseHandle(hDevice);
26         system("pause");
27         return 0;
28 }

运行之后的结果如下：

创建一个虚拟设备模拟文件读写：

读、写派遣函数如下：

 1 NTSTATUS HelloDDKDispatchRead(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter dispach read!\n");
 4     PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
 5     NTSTATUS status = STATUS_SUCCESS;
 6     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 7     //得到要读取的数据的长度
 8     ULONG ulReadLength = stack->Parameters.Read.Length;
 9     ULONG ulReadOffset = (ULONG)stack->Parameters.Read.ByteOffset.QuadPart;
10     if (ulReadOffset + ulReadLength > MAX_FILE_LENGTH){
11         status = STATUS_FILE_INVALID;
12         ulReadLength = 0;
13     }
14     else{
15         memcpy(pIrp->AssociatedIrp.SystemBuffer, pDevExt->buffer + ulReadOffset, ulReadLength);
16         status = STATUS_SUCCESS;
17     }
18     pIrp->IoStatus.Status = status;
19     pIrp->IoStatus.Information = ulReadLength;
20     //memset(pIrp->AssociatedIrp.SystemBuffer, 0x68, ulReadLength);
21     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
22     return status;
23 }
24 
25 NTSTATUS HelloDDKDispatchWrite(PDEVICE_OBJECT pDevObj, PIRP pIrp){
26     UNREFERENCED_PARAMETER(pDevObj);
27     NTSTATUS status = STATUS_SUCCESS;
28     PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
29     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
30     ULONG ulWriteLength = stack->Parameters.Write.Length;
31     ULONG ulWriteOffset = (ULONG)stack->Parameters.Write.ByteOffset.QuadPart;
32     if (ulWriteOffset + ulWriteLength > MAX_FILE_LENGTH){
33         status = STATUS_FILE_INVALID;
34         ulWriteLength = 0;
35     }
36     else{
37         memcpy(pDevExt->buffer + ulWriteOffset, pIrp->AssociatedIrp.SystemBuffer, ulWriteLength);
38         status = STATUS_SUCCESS;
39         if (ulWriteLength + ulWriteOffset > pDevExt->file_length){
40             pDevExt->file_length = ulWriteLength + ulWriteOffset;
41         }
42     }
43     pIrp->IoStatus.Status = status;
44     pIrp->IoStatus.Information = ulWriteLength;
45     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
46 
47     return status;
48 }

再在R3添加入代码：

 1         UCHAR buffer[10];
 2         memset(buffer, 0x66, 10);
 3         ULONG ulRead;
 4         ULONG ulWrite;
 5         BOOL bRet = WriteFile(hDevice, buffer, 10, &ulWrite, NULL);
 6         if (bRet){
 7             printf("Write %d bytes!\n", ulWrite);
 8         }
 9 
10         bRet = ReadFile(hDevice, buffer, 10, &ulRead, NULL);
11         if (bRet){
12             printf("Read %d bytes!", ulRead);
13             for (int i = 0; i < (int)ulRead; i++){
14                 printf("%02X", buffer[i]);
15             }
16         }
17         printf("\n");

运行，得到结果：

如果我们要查询文件信息，没有注册IRP_MY_QUERY_INFORMATION的派遣函数时，GetFileSize会正常返回读到的文件的大小：

但是，因为GetFileSize读取的是文件的大小，而这里传递的是设备对象的句柄，本来是读不到大小的，但是如果利用驱动对IRP进行修改，再返回给R3层，就可以得到了：

其派遣函数代码如下：

R3层添加代码：

1 bRet = GetFileSizeEx(hDevice, &dwFileSize);
2 printf("File size is %u\n", dwFileSize);

直接方式读写操作

与缓冲区方式读写设备不同，直接方式读写设备，操作系统会将用户模式下的缓冲区锁住。然后，操作系统将这段缓冲区在内核模式地址再次映一遍。这样，用户模式的缓冲区和内核模式的缓冲区指向的是同一区域的物理内存。无论操作系统如何切换进程，内核模式地址都保持不变。

//这里锁住的意思就是建立一个虚拟内存到物理内存的映射固定不变。如果不锁住内存，那么这个页被交换到硬盘，等到再重新交换到内存时，虚拟地址就可能对应到了其它物理地址。操作系统先将用户模式的地址锁住后，操作系统用内存描述符表（MDL）记录这段内存。用户模式的这段缓冲区在虚拟内存上是连续的，但是在物理内存上可能是离散的。

设置直接读写方式：

这里说明一下，如果你设置的是pDevObj->Flags |= DO_DIRECT_IO，而你在派遣函数中的读函数采用的是Buffer形式去读，就会蓝屏。

示例代码如下：

 1 NTSTATUS HelloDDKDispatchRead_Direct(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter HelloDDKDispatchRead_Direct!");
 4     //PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
 5     NTSTATUS status = STATUS_SUCCESS;
 6     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 7     ULONG ulReadLength = stack->Parameters.Read.Length;
 8     //得到锁定缓冲区长度
 9     ULONG mdl_length = MmGetMdlByteCount(pIrp->MdlAddress);
10     //得到锁定缓冲区的首地址
11     PVOID mdl_address = MmGetMdlVirtualAddress(pIrp->MdlAddress);
12     //得到锁定缓冲区的偏移
13     ULONG mdl_offset = MmGetMdlByteOffset(pIrp->MdlAddress);
14     DbgPrint("mdl_address:0x%016X\n", mdl_address);
15     DbgPrint("mdl_offset:%d\n", mdl_offset);
16     DbgPrint("mdl_length:%d\n", mdl_length);
17     
18     if (mdl_length!= ulReadLength){
19         pIrp->IoStatus.Information = 0;
20         status = STATUS_SUCCESS;
21     }
22     else{
23         PVOID64 kernel_address = MmGetSystemAddressForMdlSafe(pIrp->MdlAddress,
24             NormalPagePriority);
25         DbgPrint("kernel_address:0x%016X\n", kernel_address);
26         memset(kernel_address, 0x66, ulReadLength);
27         pIrp->IoStatus.Information = ulReadLength;
28     }
29     pIrp->IoStatus.Status = status;
30     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
31     return status;
32 }

一开始输出的kernel地址也是应用层地址：

我不知道是哪里错了，然后用windbg跟踪下发现，是输出方式有问题：

所以输出要进行一下修改：

更改之后就没有问题了：

其它方式读写操作：

在使用其它方式读写设备时，派遣函数直接读写应用程序提供的缓冲区地址。对于驱动程序编程，这样做是很危险的。只有在驱动程序与应用程序运行在相同线程上下文的情况下，才能使用这种方式。

示例代码如下：

 1 NTSTATUS HelloDDKDispatchRead_Other(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter HelloDDKDispatchRead_Other!\n");
 4 //    PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
 5     NTSTATUS status = STATUS_SUCCESS;
 6     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 7     ULONG ulReadLength = stack->Parameters.Read.Length;
 8 //    ULONG ulReadOffset = (ULONG)stack->Parameters.Read.ByteOffset.QuadPart;
 9     PVOID user_address = pIrp->UserBuffer;
10     DbgPrint("User address:0x%016llX", user_address);
11     __try{
12         ProbeForWrite(user_address, ulReadLength, 4);
13         memset(user_address, 0x67, ulReadLength);
14     }
15     __except(EXCEPTION_EXECUTE_HANDLER){
16         DbgPrint("Catch exception!\n");
17         status = STATUS_UNSUCCESSFUL;
18     }
19     pIrp->IoStatus.Status = status;
20     pIrp->IoStatus.Information = ulReadLength;
21     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
22     return status;
23 }

显示应用层缓冲区地址：

读取到用户态地址：

IO设备控制操作

DeviceIoControl内部会使操作系统创建一个IRP_MJ_DEVICE_CONTROL类型的IRP，然后操作系统会将这个IRP转发到派遣函数中。程序员可以用DeviceIoControl定义除了读写之外的其它操作，它可以让应用程序和驱动程序进行通信。

缓冲区内存模式IOCTL，示例如下：

 1 NTSTATUS HelloDDKDeviceIoControlTest(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter DeviceIoControl dispatch!\n");
 4     NTSTATUS status = STATUS_SUCCESS;
 5     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 6     //这三个都是从上层传下来的
 7     ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;
 8     ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;
 9     ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;
10     ULONG info = 0;
11     switch (code){
12     case IOCTL_TEST:{
13         //DeviceIoControl中的第三个参数指向的数据被复制到底层SystemBuffer所指位置
14         UCHAR* InputBuffer = (UCHAR*)pIrp->AssociatedIrp.SystemBuffer;
15         for (ULONG i = 0; i < cbin; i++){
16             DbgPrint("%c\n", InputBuffer[i]);
17         }
18         UCHAR*OutputBuffer = (UCHAR*)pIrp->AssociatedIrp.SystemBuffer;
19         memset(OutputBuffer, 0x68, cbout-1);
20         OutputBuffer[cbout-1] = 0;
21         info = cbout;
22         break;
23     }
24     default:
25         status = STATUS_INVALID_VARIANT;
26     
27     }
28     pIrp->IoStatus.Status = status;
29     pIrp->IoStatus.Information = info;
30     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
31     return status;
32 }

应用层代码如下：

并没有得到预期的数据：

利用windbg附加到这个进程进行调试：

加载user程序的pdb文件：

非侵入式切换进程空间：

我们发现这里的lpInBuffer地址不正确。于是我突然想到这里是64位系统，所以不应该在R3中将lpInBuffer定义为32位指针，而应该定义64位指针。（注意，CHAR*和WCHAR*都是32位指针，只是他们指向的数据一个是多字节、一个是宽字符型）修改如下：

输出结果正确：

如果改为如下代码：

则输出结果也正确：

这里lpInBuffer表示一个数组，&lpInBuffer就是取这个数组的地址

但是如果改为这样，也会有输出错误：

输出结果如下：

我们尝试在HelloDDKDeviceIoControlTest派遣函数中下断点，发现这时断不下来，说明这样修改以后，根本就没有进入到这个派遣函数中。

这里发现的现象就是，就DeviceIoControl而言，如果缓冲区指针有问题，并不会报错，而是不进入到DeviceIoControl对应的派遣函数中。具体为什么、怎么实现的还没搞懂。

我之前还尝试跟踪调试了一下DeviceIoControl，但是没什么特别的发现，这里把简要步骤写下：

push了所有的参数

输入的应用层缓冲区地址都是32位的：

比较控制码：

传递上层的八个同样的参数：

最底层这个函数DbgPrint相关数据，这里边都是wow64cpu中的函数调用：

直接内存模式IOCTL，示例代码如下:

 1 NTSTATUS HelloDDKDeviceIoControl_Direct(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     NTSTATUS status = STATUS_SUCCESS;  4 PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);  5 ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;  6 ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;  7 ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;  8 ULONG info = 0;  9 switch (code){ 10 case IOCTL_TEST2: 11  { 12 UCHAR*InputBuffer = (UCHAR*)pIrp->AssociatedIrp.SystemBuffer; 13 for (ULONG i = 0; i < cbin; i++){ 14 DbgPrint("%c\n", InputBuffer[i]); 15  } 16 UCHAR*OutputBuffer = (UCHAR*)MmGetSystemAddressForMdlSafe(pIrp->MdlAddress, NormalPagePriority); 17 memset(OutputBuffer, 0x68, cbout - 1); 18 19 OutputBuffer[cbout - 1] = 0; 20 DbgPrint("Dircet Kernel address:%llx\n", OutputBuffer); 21 DbgPrint("Dircet Kernel content:%s\n", OutputBuffer); 22 info = cbout; 23 break; 24  } 25 default: 26 status = STATUS_INVALID_VARIANT; 27  } 28 pIrp->IoStatus.Status = status; 29 pIrp->IoStatus.Information = info; 30  IoCompleteRequest(pIrp, IO_NO_INCREMENT); 31 return status; 32 }

输出结果：

如果不对OutputBuffer进行修改，这输出的结果是：

说明确实可以从一个固定的某个地址上取到应用层映射的数据。

还有一种就是其他内存模式IOCTL，和之前讲过的内容类似，这里不进行赘述。

缓冲区方式读写操作

设置缓冲区读写方式：

下面的代码演示了如何利用缓冲区方式读取设备，这个例子中，驱动程序负责向缓冲区中填入了数据：

应用层调用ReadFile，想驱动传送一个读IRP请求：

 1 int main(){
 2         HANDLE hDevice =
 3             CreateFile("\\\\.\\HelloDDK",
 4             GENERIC_READ | GENERIC_WRITE,
 5             0, NULL,
 6             OPEN_EXISTING,
 7             FILE_ATTRIBUTE_NORMAL,
 8             NULL);
 9         if (hDevice == INVALID_HANDLE_VALUE){
10             printf("Open device failed!\n");
11         }
12         else{
13             printf("Open device succeed!\n");
14         }
15         UCHAR buffer[10];
16         ULONG ulRead;
17         BOOL bRet = ReadFile(hDevice, buffer, 10, &ulRead, NULL);
18         if (bRet){
19             printf("Read %d bytes!", ulRead);
20             for (int i = 0; i < (int)ulRead; i++){
21                 printf("%02X", buffer[i]);
22             }
23             printf("\n");
24         }
25         CloseHandle(hDevice);
26         system("pause");
27         return 0;
28 }

运行之后的结果如下：

创建一个虚拟设备模拟文件读写：

读、写派遣函数如下：

 1 NTSTATUS HelloDDKDispatchRead(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter dispach read!\n");
 4     PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
 5     NTSTATUS status = STATUS_SUCCESS;
 6     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 7     //得到要读取的数据的长度
 8     ULONG ulReadLength = stack->Parameters.Read.Length;
 9     ULONG ulReadOffset = (ULONG)stack->Parameters.Read.ByteOffset.QuadPart;
10     if (ulReadOffset + ulReadLength > MAX_FILE_LENGTH){
11         status = STATUS_FILE_INVALID;
12         ulReadLength = 0;
13     }
14     else{
15         memcpy(pIrp->AssociatedIrp.SystemBuffer, pDevExt->buffer + ulReadOffset, ulReadLength);
16         status = STATUS_SUCCESS;
17     }
18     pIrp->IoStatus.Status = status;
19     pIrp->IoStatus.Information = ulReadLength;
20     //memset(pIrp->AssociatedIrp.SystemBuffer, 0x68, ulReadLength);
21     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
22     return status;
23 }
24 
25 NTSTATUS HelloDDKDispatchWrite(PDEVICE_OBJECT pDevObj, PIRP pIrp){
26     UNREFERENCED_PARAMETER(pDevObj);
27     NTSTATUS status = STATUS_SUCCESS;
28     PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
29     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
30     ULONG ulWriteLength = stack->Parameters.Write.Length;
31     ULONG ulWriteOffset = (ULONG)stack->Parameters.Write.ByteOffset.QuadPart;
32     if (ulWriteOffset + ulWriteLength > MAX_FILE_LENGTH){
33         status = STATUS_FILE_INVALID;
34         ulWriteLength = 0;
35     }
36     else{
37         memcpy(pDevExt->buffer + ulWriteOffset, pIrp->AssociatedIrp.SystemBuffer, ulWriteLength);
38         status = STATUS_SUCCESS;
39         if (ulWriteLength + ulWriteOffset > pDevExt->file_length){
40             pDevExt->file_length = ulWriteLength + ulWriteOffset;
41         }
42     }
43     pIrp->IoStatus.Status = status;
44     pIrp->IoStatus.Information = ulWriteLength;
45     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
46 
47     return status;
48 }

再在R3添加入代码：

 1         UCHAR buffer[10];
 2         memset(buffer, 0x66, 10);
 3         ULONG ulRead;
 4         ULONG ulWrite;
 5         BOOL bRet = WriteFile(hDevice, buffer, 10, &ulWrite, NULL);
 6         if (bRet){
 7             printf("Write %d bytes!\n", ulWrite);
 8         }
 9 
10         bRet = ReadFile(hDevice, buffer, 10, &ulRead, NULL);
11         if (bRet){
12             printf("Read %d bytes!", ulRead);
13             for (int i = 0; i < (int)ulRead; i++){
14                 printf("%02X", buffer[i]);
15             }
16         }
17         printf("\n");

运行，得到结果：

如果我们要查询文件信息，没有注册IRP_MY_QUERY_INFORMATION的派遣函数时，GetFileSize会正常返回读到的文件的大小：

其派遣函数代码如下：

R3层添加代码：

1 bRet = GetFileSizeEx(hDevice, &dwFileSize);
2 printf("File size is %u\n", dwFileSize);

直接方式读写操作

设置直接读写方式：

这里说明一下，如果你设置的是pDevObj->Flags |= DO_DIRECT_IO，而你在派遣函数中的读函数采用的是Buffer形式去读，就会蓝屏。

示例代码如下：

 1 NTSTATUS HelloDDKDispatchRead_Direct(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter HelloDDKDispatchRead_Direct!");
 4     //PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
 5     NTSTATUS status = STATUS_SUCCESS;
 6     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 7     ULONG ulReadLength = stack->Parameters.Read.Length;
 8     //得到锁定缓冲区长度
 9     ULONG mdl_length = MmGetMdlByteCount(pIrp->MdlAddress);
10     //得到锁定缓冲区的首地址
11     PVOID mdl_address = MmGetMdlVirtualAddress(pIrp->MdlAddress);
12     //得到锁定缓冲区的偏移
13     ULONG mdl_offset = MmGetMdlByteOffset(pIrp->MdlAddress);
14     DbgPrint("mdl_address:0x%016X\n", mdl_address);
15     DbgPrint("mdl_offset:%d\n", mdl_offset);
16     DbgPrint("mdl_length:%d\n", mdl_length);
17     
18     if (mdl_length!= ulReadLength){
19         pIrp->IoStatus.Information = 0;
20         status = STATUS_SUCCESS;
21     }
22     else{
23         PVOID64 kernel_address = MmGetSystemAddressForMdlSafe(pIrp->MdlAddress,
24             NormalPagePriority);
25         DbgPrint("kernel_address:0x%016X\n", kernel_address);
26         memset(kernel_address, 0x66, ulReadLength);
27         pIrp->IoStatus.Information = ulReadLength;
28     }
29     pIrp->IoStatus.Status = status;
30     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
31     return status;
32 }

一开始输出的kernel地址也是应用层地址：

我不知道是哪里错了，然后用windbg跟踪下发现，是输出方式有问题：

所以输出要进行一下修改：

更改之后就没有问题了：

其它方式读写操作：

示例代码如下：

 1 NTSTATUS HelloDDKDispatchRead_Other(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter HelloDDKDispatchRead_Other!\n");
 4 //    PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
 5     NTSTATUS status = STATUS_SUCCESS;
 6     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 7     ULONG ulReadLength = stack->Parameters.Read.Length;
 8 //    ULONG ulReadOffset = (ULONG)stack->Parameters.Read.ByteOffset.QuadPart;
 9     PVOID user_address = pIrp->UserBuffer;
10     DbgPrint("User address:0x%016llX", user_address);
11     __try{
12         ProbeForWrite(user_address, ulReadLength, 4);
13         memset(user_address, 0x67, ulReadLength);
14     }
15     __except(EXCEPTION_EXECUTE_HANDLER){
16         DbgPrint("Catch exception!\n");
17         status = STATUS_UNSUCCESSFUL;
18     }
19     pIrp->IoStatus.Status = status;
20     pIrp->IoStatus.Information = ulReadLength;
21     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
22     return status;
23 }

显示应用层缓冲区地址：

读取到用户态地址：

IO设备控制操作

缓冲区内存模式IOCTL，示例如下：

 1 NTSTATUS HelloDDKDeviceIoControlTest(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     DbgPrint("Enter DeviceIoControl dispatch!\n");
 4     NTSTATUS status = STATUS_SUCCESS;
 5     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
 6     //这三个都是从上层传下来的
 7     ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;
 8     ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;
 9     ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;
10     ULONG info = 0;
11     switch (code){
12     case IOCTL_TEST:{
13         //DeviceIoControl中的第三个参数指向的数据被复制到底层SystemBuffer所指位置
14         UCHAR* InputBuffer = (UCHAR*)pIrp->AssociatedIrp.SystemBuffer;
15         for (ULONG i = 0; i < cbin; i++){
16             DbgPrint("%c\n", InputBuffer[i]);
17         }
18         UCHAR*OutputBuffer = (UCHAR*)pIrp->AssociatedIrp.SystemBuffer;
19         memset(OutputBuffer, 0x68, cbout-1);
20         OutputBuffer[cbout-1] = 0;
21         info = cbout;
22         break;
23     }
24     default:
25         status = STATUS_INVALID_VARIANT;
26     
27     }
28     pIrp->IoStatus.Status = status;
29     pIrp->IoStatus.Information = info;
30     IoCompleteRequest(pIrp, IO_NO_INCREMENT);
31     return status;
32 }

应用层代码如下：

并没有得到预期的数据：

利用windbg附加到这个进程进行调试：

加载user程序的pdb文件：

非侵入式切换进程空间：

输出结果正确：

如果改为如下代码：

则输出结果也正确：

这里lpInBuffer表示一个数组，&lpInBuffer就是取这个数组的地址

但是如果改为这样，也会有输出错误：

输出结果如下：

我们尝试在HelloDDKDeviceIoControlTest派遣函数中下断点，发现这时断不下来，说明这样修改以后，根本就没有进入到这个派遣函数中。

我之前还尝试跟踪调试了一下DeviceIoControl，但是没什么特别的发现，这里把简要步骤写下：

push了所有的参数

输入的应用层缓冲区地址都是32位的：

比较控制码：

传递上层的八个同样的参数：

最底层这个函数DbgPrint相关数据，这里边都是wow64cpu中的函数调用：

直接内存模式IOCTL，示例代码如下:

 1 NTSTATUS HelloDDKDeviceIoControl_Direct(PDEVICE_OBJECT pDevObj, PIRP pIrp){
 2     UNREFERENCED_PARAMETER(pDevObj);
 3     NTSTATUS status = STATUS_SUCCESS;  4 PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);  5 ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;  6 ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;  7 ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;  8 ULONG info = 0;  9 switch (code){ 10 case IOCTL_TEST2: 11  { 12 UCHAR*InputBuffer = (UCHAR*)pIrp->AssociatedIrp.SystemBuffer; 13 for (ULONG i = 0; i < cbin; i++){ 14 DbgPrint("%c\n", InputBuffer[i]); 15  } 16 UCHAR*OutputBuffer = (UCHAR*)MmGetSystemAddressForMdlSafe(pIrp->MdlAddress, NormalPagePriority); 17 memset(OutputBuffer, 0x68, cbout - 1); 18 19 OutputBuffer[cbout - 1] = 0; 20 DbgPrint("Dircet Kernel address:%llx\n", OutputBuffer); 21 DbgPrint("Dircet Kernel content:%s\n", OutputBuffer); 22 info = cbout; 23 break; 24  } 25 default: 26 status = STATUS_INVALID_VARIANT; 27  } 28 pIrp->IoStatus.Status = status; 29 pIrp->IoStatus.Information = info; 30  IoCompleteRequest(pIrp, IO_NO_INCREMENT); 31 return status; 32 }

输出结果：

如果不对OutputBuffer进行修改，这输出的结果是：

说明确实可以从一个固定的某个地址上取到应用层映射的数据。

还有一种就是其他内存模式IOCTL，和之前讲过的内容类似，这里不进行赘述。

FROM: http://www.cnblogs.com/predator-wang/p/5532125.html

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

windows驱动

《Windows驱动开发技术详解》之读写操作的相关文章

[1181]linux两台服务器之间传输文件和文件夹

文章目录 scp 1 从服务器复制文件到本地 2 复制文件到本地并重命名 3 从服务器复制文件夹到本地 4 从本地复制文件到服务器不包括文件夹本身 5 从本地复制文件夹到服务器包括文件夹本身 rcp 命令使用 wget rsync 在日
Vue3父子组件通信，父子传参

Vue3父子组件通信父子传参前言 Vue2的小伙伴应该该经历过转战Vue3过程的中的抓狂好多地方使用都不太一样这期就给大家讲一下近期我也在用vue3开发中遇到到的问题父子组件通信父传子在父组件中引入son vue子组件为子组件
sql 2008 R2 修改数据库表编辑行200小技巧

在使用sql server 2008 R2时有时候要打开一个表看里面的数据发现只能编辑前面200行如下图如果我的数据库表的数据超过200 怎么办呢其实只要修改下配置就可以了如下图点击选项进入选项界面如下图在sql
nginx配置主域名跳转www域名并支持ssl

server listen 80 listen 443 ssl server name xxxx com return 301 https www xxx com request uri server listen 80 server na
视频转码后有色差要如何处理

目录视频转码后有色差要如何处理 KEY COLOR STANDARD KEY COLOR RANGE 视频转码后有色差要如何处理以下是回答欢迎大家留言讨论补充 1 色差是如何产生的 1 有损压缩产生的质量损失解决方法为尽可能的提高码
如何用计算机计算log除法,对数计算器_如何使用计算器计算对数

如何使用计算器计算对数示例使用Windows自带的计算器这理假设要计算的对数是logaN a 32 N 2 1 打开计算器快捷键WIN R 输入calc 然后回车怎样使用科学计算器计算对数计算机上的log都是默认以10为底的对数
c语言实现面向对象编程（const * ，* const）

c语言实现面向对象编程面向对象思想封装继承多态代码实现函数签名及返回值的约定 const 重载参考了onlyshi的博客代码 orz传送门参考了嵌入式实践一些代码这里就不加了面向对象思想面向对象编程 OOP 并不是一种
千年虫及UNIX时间

转自 http hi baidu com dugucloud blog item b903ba803e5192c59123d99d html 千年虫何来在上个世纪许多计算机系统只用二进制7 8位数足够十进制二位数使用表示年份比如说
ANR触发机制分析

ANR是一套监控Android应用程序响应是否及时的机制可以把发生ANR比作是引爆炸弹那么整个流程包含三部分组成埋定时炸弹 system server进程启动倒计时在规定时间内如果目标应用进程没有干完所有的活则system ser
MySQL的基本语法

Welcome Huihui s Code World 接下来看看由辉辉所写的关于MySQL的相关操作吧目录 Welcome Huihui s Code World 一数据库建立查看使用删除建库查看数据库使用数据库删除数
decrypt()解密和encrypt()加密

1 解密函数 select dbo decrypt StName from student 2 加密函数 select dbo encrypt StName from student
CxImage的编译及简单使用举例

1 从http sourceforge net projects cximage 下载最新的CxImage 702源码 2 解压缩后以管理员身份打开CxImageFull vc10 sln工程在编译之前先将每个工程属性的Characte
Vue中props组件和slot标签的区别

在 Vue 中 props 和 slot 都是组件之间进行通信的机制它们的作用和应用场景有一些区别 props 是一种组件的数据传递机制通过在父组件中以属性的形式向子组件传递数据子组件接收这些数据并可以进行相应的处理和渲染 prop

随机推荐

每日一练——day2

前言小亭子正在努力的学习编程接下来将开启编程题的练习分享的文章都是学习的笔记和感悟如有不妥之处希望大佬们批评指正同时如果本文对你有帮助的话烦请点赞关注支持一波感激不尽第一题题目描述链接 https www nowcode
Jenkins执行python代码

在ide运行正常在jenkins运行提示模块不存在找了一圈原来是jenkin运行python的环境没设置解决方式在Manage Jenkins System Configuration Configure System中设置全局
WSL2连接到宿主Windows程序的网络代理设置

WSL2想要连上宿主机Windows里设置的网络代理端口很是蛋疼前置条件 PS C Users overlord gt wsl l v NAME STATE VERSION Ubuntu 20 04 Running 2 获取Host和WS
Consul的简介与安装

1 Consul简介 Consul是一套开源的分布式服务发现和配置管理系统由HashiCorp公司用Go语言开发 Consul提供了微服务系统中的服务治理配置中心控制总线等功能这些功能中的每一个都可以根据需要单独使用也可以一起使用
wsl配置

文章目录 1 systemd服务开启 2 固定IP 2 1 官网的方案 2 2 通过WSL2的Linux子系统设置静态IP 2 3 其他方案 3 运行 Linux GUI 应用安装 Chrome 浏览器此文接我放弃了VMware 1 sy
vue（3）调整 App.vue 文件和router路由

调整 App vue 文件我们先把默认项目里面没用的东西先删除掉把代码调整为下面的样子
js延迟加载的性能优化

js的延迟加载有助于提高页面的加载速度特别是竞价优化站是有一定的好处今天来说说我是如何优化竞价站打开速度案例 http yzmb pengchenggroup cn 动态创建DOM方式
每日一题——有向网的邻接矩阵、邻接表、逆邻接表创建、打印及深度、广度遍历

有向网的三种创建和深度广度遍历 include
基于骨骼的行为识别笔记（NTU RGBD数据集解析）

目录 1 人类行为层次 2 输入数据 3 基于骨架的行为识别 4 数据集 4 1 NTU RGBD 4 1 1 下载方式 4 1 2 Benchmark 5 相关论文 5 1 Skeleton based Action Recogniti
JavaScript的设计模式解析——工厂模式

这几天一直在看 JavaScript高级程序设计在第六章面向对象的程序设计中自我感觉对于小白而而言会一定程度的难以理解什么意思啊根本不明白哇等等注意大神请略过小小码农不敢妄言首先我们开门见山什么是工厂模式工厂模式能
javascript中Math.random()产生随机数及parseInt的作用

Math random 是令系统随机选取大于等于 0 0 且小于 1 0 的小数即 0 0 1 0 Math floor 返回小于参数x的最大整数即对浮点数向下取整比如Math floor 3 8 为3 一在连续整数中取得一个随机整
WIN10 系统的 IRQL NOT LESS OR EQUAL 蓝屏问题

WIN10 系统的 IRQL NOT LESS OR EQUAL 蓝屏问题请参考以下步骤 1 Win r 输入 msconfig 2 点击服务标签卡选择隐藏所有的微软服务然后点击全部禁用若您启用了指纹识别功能请不要关闭相关服
c#基础知识---多线程

线程被定义为程序的执行路径每个线程都定义了一个独特的控制流如果您的应用程序涉及到复杂的和耗时的操作那么设置不同的线程执行路径往往是有益的每个线程执行特定的工作线程是轻量级进程一个使用线程的常见实例是现代操作系统中并行编程的实现
Windows11 安装 WSA 简单上手一试

Win11 安装 WSA 安卓子系统教程参考 http www xitongzhijia net xtjc 20211008 228813 html 上手需要一些命令行基础大概了解 WSL WSA Hyper V 等概念微软尚未
模糊控制规则表是怎么确定的_模糊控制

1 模糊控制的基本原理模糊控制是以模糊集理论模糊语言变量和模糊逻辑推理为基础的一种智能控制方法它是从行为上模仿人的模糊推理和决策过程的一种智能控制方法该方法首先将操作人员或专家经验编成模糊规则然后将来自传感器的实时信号模糊化将模
空洞卷积（Atrous convolution）

目录空洞卷积空洞卷积优点 Dilated Convolution存在的问题空洞卷积空洞卷积是针对图像语义分割问题中下采样会降低图像分辨率丢失信息而提出的一种卷积思路利用添加空洞扩大感受野让原本3x3的卷积核在相同参数量和计算
PyQt5模块构成
c语言求数字b在a中出现次数,编写一个函数void fun(char *tt,int pp[]),统计在tt字符中"a"到"z"26各字母各自出现的次数，并依次放在pp所指的数组中。...

满意答案 yjj0h044 2015 09 26 采纳率 50 等级 8 已帮助 961人 void fun char tt int pp int i for i 0 i 26 i pp i 0 while tt switch tt cas
Failed to execute ‘drawImage‘ on ‘CanvasRenderingContext2D‘: The image argument is a canvas element

Echarts重绘报错原因在于绘制时未正确获取到画布的宽高可在容器内写入行内样式即可解决
《Windows驱动开发技术详解》之读写操作

缓冲区方式读写操作设置缓冲区读写方式读写操作一般是由ReadFile和WriteFile函数引起的这里先以WriteFile函数为例进行介绍 WriteFile要求用户提供一段缓冲区并且说明缓冲区的大小然后WriteFile将这段

《Windows驱动开发技术详解》之读写操作

《Windows驱动开发技术详解》之读写操作 的相关文章

随机推荐

热门标签

《Windows驱动开发技术详解》之读写操作的相关文章