3

我的驱动程序的目的是通知用户模式应用程序我收到的每个回调,并将我从那些注册例程中获得的数据传递给它。然后,用户模式应用程序将在屏幕上打印(它是一个简单的 Win32 控制台应用程序)它从内核接收到的所有信息。我目前注册了三个回调PsSetCreateProcessNotifyRoutineExPsSetCreateProcessNotifyRoutineEx2PsSetLoadImageNotifyRoutine。我想知道:

1)考虑到可以同时加载许多进程和许多图像,内核模式和用户模式之间通信的“最佳”方法是什么?

2)我应该为每次调用实现这样的方法还是应该存储一些信息并将它们推送到用户模式,例如,0.5 秒?

我实际上使用以下代码在驱动程序中定义 IOCTL:

#define IOCTL_RECEIVE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_BUFFERED, FILE_READ_DATA)

这是我的 DispatchDeviceControl 函数的代码:

NTSTATUS DispatchDeviceControl(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    KIRQL CurrentIRQL = KeGetCurrentIrql();
    DbgPrint("DispatchDeviceControl called at IRQL level: %d", CurrentIRQL);

    PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(Irp);
    NTSTATUS status = STATUS_SUCCESS;
    PVOID buffer = Irp->AssociatedIrp.SystemBuffer;
    ULONG inLength = irpsp->Parameters.DeviceIoControl.InputBufferLength;
    ULONG outLength = irpsp->Parameters.DeviceIoControl.OutputBufferLength;
    ULONG returnLength = 0;
    pMsg PMSG = NULL;

    switch (irpsp->Parameters.DeviceIoControl.IoControlCode)
    {   
    case IOCTL_RECEIVE:
        DbgPrint("IOCTL_RECEIVE message sent\n");
        KeWaitForSingleObject(&kEvent, Executive, KernelMode, 0, NULL);
        PMSG = (pMsg)ExInterlockedRemoveHeadList(&listhead, &spinlock);
        // Copy data to the buffer
        RtlCopyMemory((PCHAR)buffer, (PCHAR)PMSG, sizeof(Msg));
        // Release the structure
        ExFreePool(PMSG);
        // Set returnLength
        returnLength = sizeof(Msg);
        break;
    default:
        status = STATUS_INVALID_PARAMETER;
    }
    Irp->IoStatus.Status = status;
    Irp->IoStatus.Information = returnLength;
    IoCompleteRequest(Irp, IO_NO_INCREMENT);

    return status;
}

还有我的一个回调例程的代码:

_Use_decl_annotations_
VOID prcmPsCreateProcessNotifyRoutineEx2(PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)
{
    // If process is exiting, just return immediately
    if (CreateInfo == NULL)
        return;

    pMsg PMSG = (pMsg)ExAllocatePoolWithTag(NonPagedPoolNx, sizeof(Msg), 'prcm');

    if (PMSG == NULL)
    {
        DbgPrint("PsCreateProcessNotifyRoutineEx2: ERROR allocating Pool space for data to be sent to user mode\n");
        return;
    }

    // Fill data
    PMSG->ParentId = NULL;
    PMSG->ProcessId = ProcessId;
    PMSG->FullImageName = NULL;

    ExInterlockedInsertHeadList(&listhead, (PLIST_ENTRY)PMSG, &spinlock);
    KeSetEvent(&kEvent, 0, FALSE);

    return;
}

最后是结构定义(我包含了一些示例值,但第一个元素显然是LIST_ENTRY

typedef struct {
    LIST_ENTRY listhead;
    HANDLE ParentId;
    HANDLE ProcessId;
    PUNICODE_STRING FullImageName;
} Msg, *pMsg;

供您参考,我正确调用了我的DriverEntry函数:

KeInitializeEvent(&kEvent, SynchronizationEvent, FALSE);
KeInitializeSpinLock(&spinlock);
InitializeListHead(&listhead);

在我的用户模式控制台应用程序中,我在主例程中创建了一个线程,并在其相关线程函数中不断检查DeviceIoControl' 的返回值,以便实时打印从驱动程序获得的信息。

3)有点离题,但我认为这是相关的:我在用户模式下错过一些通知是否正常,使用此代码?有人知道为什么吗?

4

1 回答 1

3

OSR 写了一篇很棒的文章,反向调用模型。这种系统的基本设计由服务、驱动程序和两者之间的一些协议组成。它适用于单片驱动程序以及分层驱动程序,并且只要求驱动程序能够接收设备控制操作。

我还想提一下,您同时使用了 PsSetCreateProcessNotifyRoutineEx 和 PsSetCreateProcessNotifyRoutineEx2。您应该使用其中一种。从Windows 10 版本 1703 Windows Server 2016开始支持 PsSetCreateProcessNotifyRoutineEx2 。它提供了更好的功能,所以我建议尽可能使用它。

您可以通过使用MmGetSystemRoutinAddress来确定使用哪个来动态使用 PsSetCreateProcessNotifyRoutineEx2,如果它不可用,则使用 PsSetCreateProcessNotifyRoutineEx。

于 2018-03-27T19:31:47.877 回答