我正在查看 WDK 中名为 minispy 的文件系统过滤器驱动程序示例......特别是它们如何使用 FilterSendMessage 和相关函数在用户空间和内核之间传递数据:
http://msdn.microsoft.com/en-us/library/windows/hardware/ff541513%28v=vs.85%29.aspx
如果您安装 WDK,我正在查看并将参考的代码应位于此处:
WinDDK 根目录\version\src\filesys\miniFilter\minispy
所以基本上我首先要看的是 inc\minispy.h 中的共享头文件:
#pragma warning(push)
#pragma warning(disable:4200) // disable warnings for structures with zero length arrays.
typedef struct _LOG_RECORD {
ULONG Length; // Length of log record. This Does not include
ULONG SequenceNumber; // space used by other members of RECORD_LIST
ULONG RecordType; // The type of log record this is.
ULONG Reserved; // For alignment on IA64
RECORD_DATA Data;
WCHAR Name[]; // This is a null terminated string
} LOG_RECORD, *PLOG_RECORD;
这里我们的 Name 没有给出明确的大小,看起来他们正在使用一些选项来禁用警告。
现在我正在查看它的填写位置,filter\mspyLib.c:
(我只复制了我认为相关的行...)
VOID SpySetRecordName (__inout PLOG_RECORD LogRecord, __in PUNICODE_STRING Name)
ULONG nameCopyLength;
PCHAR copyPointer = (PCHAR)LogRecord->Name;
...
// A bunch of code for getting nameCopyLength from UNICODE_STRING -- I understand this.
...
// comment about adding sizeof(PVOID) for IA64 alignment -- I understand this.
LogRecord->Length = ROUND_TO_SIZE( (LogRecord->Length + nameCopyLength + sizeof( UNICODE_NULL )), sizeof( PVOID ) );
RtlCopyMemory( copyPointer, Name->Buffer, nameCopyLength );
copyPointer += nameCopyLength;
*((PWCHAR) copyPointer) = UNICODE_NULL;
所以我的问题基本上是这是在结构内部传递字符串以使用 FilterSendMessage 进行用户内核通信的最佳方法吗?我无法想象这些结构的布局以及如果名称字符串太大会发生什么。此外,结构的分配发生在其堆栈上的用户空间组件中,但调整大小发生在内核空间组件中,作用于传递的指向结构的指针。我认为这更多是我不了解零长度数组的问题,但是用户空间组件如何知道在调整名称之前为 Name 字段保留多少空间?
这本质上似乎是一种动态大小的数组形式,在几个线程中进行了讨论,例如: