在进行Windows的ring0层开发时,必不可免的要与 ring3 层进行交互。进行数据间的相互传输。可用的方法有DeviceIoCntrol,ReadFile。我平常都是用的DeviceIoControl在ring3 与 ring0 层进行的数据传输。今天就写写DeviceIoControl 和 ring0通过事件通知 ring3!
首先加载驱动之后,在ring3层调用CreateFile() 打开ring0层生成的LinkName,获得设备对象的句柄。然后调用DeviceIoControl(),由Io Mannger 构建IRP包下发
BOOL WINAPI DeviceIoControl(
__in HANDLE hDevice, //设备对象的句柄
__in DWORD dwIoControlCode, //IO控制码
__in_opt LPVOID lpInBuffer, //由ring3下发到ring0的缓冲区
__in DWORD nInBufferSize, //缓冲区大小
__out_opt LPVOID lpOutBuffer, //由ring3下发ring0用来返回数据的缓冲区
__in DWORD nOutBufferSize, //输出缓冲区大小
__out_opt LPDWORD lpBytesReturned, // 传输的数据大小
__inout_opt LPOVERLAPPED lpOverlapped //重叠结构,同步/异步
);
首先ring3与ring0的交互有三种方法,
METHOD_BUFFERED:缓冲区模式
SystemBuffer : 由 系统在ring3 和 ring0之间进行数据的拷贝
在ring0层,DriverObject->MajorFunction[IRP_MJ_DEVICEIOCONTROL] 中设置的例程中:
1 PIO_STACK_LOCATION IrpSp; 2 IrpSp = IoGetCurrentIrpStackLocation(Irp); //获得Irp堆栈 3 InputBuffer = Irp->AssociatedIrp.SystemBuffer; //InputBuffer , 由IoManager复制 4 OutputBuffer = Irp->AssociatedIrp.SystemBuffer; //由Iomanager 复制 5 InputSize = IrpSp->Parameters.DeviceIoControl.InputBufferLength; 6 OutputSize = IrpS->Parameters.DeviceIoControl.OutputBufferLength;
在完成Io处理以后,对于Irp->IoStatus.Information = OutputSize; //告知IoManager 要返回复制的内存大小
METHOD_IN_DIRECT与METHOD_OUT_DIRECT 直接内存模式
Dricet in/out :用MDL锁定物理页,在ring3,ring0之间直接读写,一般使用METHOD_IN_DIRECT
与缓冲模式相同,用户提供的输入缓冲区的内容被复制到IRP中的pIrp->AssociatedIrp.SystemBuffer内存地址,复制的长度是DeviceIoControl指定的输入字节数。
直接内存模式中,操作系统会将DeviceIoControl指定的输出缓冲区的物理页锁定,然后在内核模式地址下重新映射一段地址。适合大量数据的交流,而且相对于METHOD_NEITHER更安全。
1 #define CTL_CODE( DeviceType, Function, Method, Access ) ( 2 ((DeviceType) << 16) | ((Access) << 14) | ((Function) << 2) | (Method) ) 3 #define CTL_MDL 4 CTL_CODE(FILE_DEVICE_UNKNOWN,0x830,METHOD_IN_DIRECT,FILE_ANY_ACCESS)
在DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]的例程中获取InputBuffer和OutBuffer
1 InputBuffer = Irp->AssociatedIrp.SystemBuffer; 2 OutputBuffer = MmGetSystemAddressForMdlSafe(Irp->MdlAddress,NormalPagePriority); 3 InputSize = pIrp->Parameters.DeviceIoControl.InputBufferLength; 4 OutputSize = pIrp->Parameters.DeviceIoControl.OutputBufferLength; 5 ulIoContorlCode = pIrp->Parameters.DeviceIoControl.IoControlCode;
完成处理之后
1 Irp->IoStatus.Status = STATUS_SUCCESS; 2 Irp->IoStatus.Information = OutputSize; 3 IoCompleteRequest(Irp,IO_NO_INCREMENT);
METHOD_NEITHER :Neither模式
UserBuffer : 什么都不是的方法,lpInBuffer 由IoManager 进行拷贝传输,OutBuffer直接访问用户地址空间,较危险,线程切换可能会影响UserBuffer。例如,在我们的进程A中下发的Io控制码,OutBuffer的地址在进程A中比如是0x0018ff44,此时在ring0层中通过 OutBuffer = Irp->UserBuffer得到的地址也是0x0018ff44。而ring0层的地址空间是整个系统公有的。如果在ring0层访问OutBuffer时,此时恰好CPU的用户空间切换到进程B,而ring0依然去读写0x0018ff44的地址的时候,很有可能会崩溃。因为在此时的0x0018ff44是属于进程B的地址空间,而我们不知道这个地址空间是否映射了物理页,如果没有,则会崩溃。
#define CTL_CODE( DeviceType, Function, Method, Access ) ( \ ((DeviceType) << 16) | ((Access) << 14) | ((Function) << 2) | (Method) ) #define CTL_MDL \ CTL_CODE(FILE_DEVICE_UNKNOWN,0x830,METHOD_NEITHER,FILE_ANY_ACCESS)
1 PIO_STACK_LOCATION IrpSp; 2 IrpSp = IoGetCurrentIrpStackLocation(Irp); 3 pvInputBuffer = IrpSp->Parameters.DeviceIoControl.Type3InputBuffer; 4 pvOutputBuffer = Irp->UserBuffer; //UserBuffer 5 ulOutputLen = IrpSp->Parameters.DeviceIoControl.OutputBufferLength; 6 ProbeForWrite(pvOutputBuffer,ulOutputLen,sizeof(CHAR)); //对用户地址空间进行读写操作,判断是否可写 ProbeForRead() 只能针对用户地址空间 7 ulIoControlCode = IrpSp->Parameters.DeviceIoControl.IoControlCode;
上面写了DeviceIoControl()的几种模式,接下来总结下ring0通过事件通知ring3。比如说,ring0的一个监控程序,指定的事件发生时通知ring3的应用程序,这个时候就要用到事件通知了。利用命名事件来进行通知,而命名事件的创立也有两种途径,一种是在ring0创建事件,在ring3获得事件句柄,等待事件。另一种就是ring3创建事件,由ring0获得事件句柄。
先写第一种在ring0创建事件,由ring3等待。
命名事件的名字一定是在\\BaseNamedObjects\\的目录下,用 WinObj 在指定目录下就可以看到创建的命名事件
#define EVENT_NAME L"\\BaseNamedObjects\\NotifyEvent"
1 PKEVENT EventObject = NULL; 2 HANDLE hEvent = NULL; 3 UNICODE_STRING uniEventName; 4 RtlInitUnicodeString(&uniEventName,EVENT_NAME); 5 EventObject = IoCreateNotificationEvent(&uniEventName,&hEvent); //创建命名事件,初始态为Signaled State KeClearEvent(EventObject); //变成Unsignaled State
WDK 对于IoCreateNotificationEvent() 的说明
PKEVENT //指向事件内核对象 IoCreateNotificationEvent( IN PUNICODE_STRING EventName, //事件名称 OUT PHANDLE EventHandle //事件句柄 );
在ring3层调用OpenEvent() 函数对事件进行打开,MSDN对OpenEvent()说明如下
HANDLE WINAPI OpenEvent( __in DWORD dwDesiredAccess, __in BOOL bInheritHandle, __in LPCTSTR lpName );
自己把英文文档翻译一下:
dwDesiredAccess:说明访问方式,如果是对象的安全属性不允许的访问方式就会失败。
DELETE (0x00010000L) 需要删除对象
READ_CONTROL (0x00020000L)
SYNCHRONIZE (0x00100000L) 同步访问事件对象,允许线程等待事件对象成为Signaled State
WRITE_DAC (0x00040000L)
WRITE_OWNER (0x00080000L)
lpName:命名事件的名称 这里就是"Global\\NotifyEvent" 命名事件属于整个系统
HEVENT hEvent = OpenEvent(SYNCHRONIZE,FALSE,L"Global\\NotifyEvent");
然后就可以在ring3的线程中进行等待
WaitForSingleObject(hEvent,INFINITE)==WAIT_OBJECT_0 //线程阻塞
在ring0 对事件进行触发
KeSetEvent(EventObject,0,FALSE); //使事件变成Signaled State ,ring3层的WaitForSingleObject()线程得到响应,继续执行
KeClearEvent(EventObject); //将事件恢复Unsignaled State
在ring0的UnloadDriver()例程中对事件句柄进行关闭,引用计数减1
ZwClose(hEvent);
由ring0创建命名事件在ring3进行操作,对ring0资源的占用较大。一般选择在ring3创建事件对象,在ring0进行操作。
//MSDN 对于CreateEvent() 的说明HANDLE WINAPI CreateEvent( __in_opt LPSECURITY_ATTRIBUTES lpEventAttributes, __in BOOL bManualReset, __in BOOL bInitialState, __in_opt LPCTSTR lpName );
HANDLE hEvent = CreateEvent(NULL,FALSE,FALSE,NULL) //创建匿名事件 自动重置
然后将事件句柄下发到ring0 //DeviceIoControl()
在ring0通过事件句柄获得事件对象 ObRefrenceObjectByHandle()
NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType OPTIONAL, IN KPROCESSOR_MODE AccessMode, OUT PVOID *Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL );
PKEVENT EventObject ; NTSTATUS Status = STATUS_SUCCESS; //应用层创建的事件句柄得到事件对象,对事件对象用完之后记得解引用 ObDrefrenceObject(),便于系统对对象资源进行回收 Status =ObReferenceObjectByHandle(hEvent, SYNCHRONIZE, *ExEventObjectType, KernelMode, &EventObject, NULL);
//WDK KeSetEvent LONG KeSetEvent( IN PRKEVENT Event, IN KPRIORITY Increment, IN BOOLEAN Wait );
在ring0调用KeSetEvent() 使事件变成Signaled State ,ring3 等待事件响应的线程就会向下执行;
在ring0 调用KeWaitForSigleObject() 对事件对象进行等待
// WDK NTSTATUS KeWaitForSingleObject( IN PVOID Object, IN KWAIT_REASON WaitReason, IN KPROCESSOR_MODE WaitMode, IN BOOLEAN Alertable, IN PLARGE_INTEGER Timeout OPTIONAL //为NULL 相当于ring3 的 INFINITE 永久等待 );
Status = KeWaitForSingleObject(EventObject, Executive, KernelMode, FALSE, NULL);