C++博客-aurain-随笔分类-windows驱动

C++博客-aurain-随笔分类-windows驱动http://www.cppblog.com/aurain/category/9258.html专注Windows下的驱动开发、网络开发zh-cnSat, 03 Sep 2011 12:29:20 GMTSat, 03 Sep 2011 12:29:20 GMT60IRP中I/O堆栈Parameters.Create参数http://www.cppblog.com/aurain/archive/2011/09/01/154875.html水水Thu, 01 Sep 2011 07:27:00 GMThttp://www.cppblog.com/aurain/archive/2011/09/01/154875.htmlhttp://www.cppblog.com/aurain/comments/154875.htmlhttp://www.cppblog.com/aurain/archive/2011/09/01/154875.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/154875.htmlhttp://www.cppblog.com/aurain/services/trackbacks/154875.html在IO_STACK_LOCATION结构体中，Parameters这个union其中有个Create结构体，对应IRP_MJ_CREATE，此IRP的分发函数处理应用层的CreateFile函数，
CreateFile函数进入内核后是调用ZwCreateFile
在ZwCreateFile中设置的一些参数，在Parameters.Create中可以获取到。阅读全文

水 2011-09-01 15:27 发表评论

]]>UNICODE_STRING使用小提示http://www.cppblog.com/aurain/archive/2011/08/22/154051.html水水Mon, 22 Aug 2011 02:16:00 GMThttp://www.cppblog.com/aurain/archive/2011/08/22/154051.htmlhttp://www.cppblog.com/aurain/comments/154051.htmlhttp://www.cppblog.com/aurain/archive/2011/08/22/154051.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/154051.htmlhttp://www.cppblog.com/aurain/services/trackbacks/154051.html阅读全文

水 2011-08-22 10:16 发表评论

]]>如何编译TrueCrypt 7.0a源码http://www.cppblog.com/aurain/archive/2010/11/01/132026.html水水Mon, 01 Nov 2010 11:12:00 GMThttp://www.cppblog.com/aurain/archive/2010/11/01/132026.htmlhttp://www.cppblog.com/aurain/comments/132026.htmlhttp://www.cppblog.com/aurain/archive/2010/11/01/132026.html#Feedback11http://www.cppblog.com/aurain/comments/commentRss/132026.htmlhttp://www.cppblog.com/aurain/services/trackbacks/132026.html阅读全文

水 2010-11-01 19:12 发表评论

]]>通过向设备对象\Device\Tcp发送IOCTL Code枚举通信端口http://www.cppblog.com/aurain/archive/2010/07/09/119892.html水水Fri, 09 Jul 2010 10:28:00 GMThttp://www.cppblog.com/aurain/archive/2010/07/09/119892.htmlhttp://www.cppblog.com/aurain/comments/119892.htmlhttp://www.cppblog.com/aurain/archive/2010/07/09/119892.html#Feedback2http://www.cppblog.com/aurain/comments/commentRss/119892.htmlhttp://www.cppblog.com/aurain/services/trackbacks/119892.html本文通过直接向设备对象\Device\Tcp发送IOCTL Code=IOCTL_TCP_QUERY_INFORMATION_EX的命令，直接获取进程，端口信息。本文也同时实现了UDP端口的查询。
具体请参考下面的代码，使用WinDDK 6001.18001编译。
阅读全文

水 2010-07-09 18:28 发表评论

]]>用ZwQueryVirtualMemory枚举进程模块http://www.cppblog.com/aurain/archive/2010/07/05/119361.html水水Mon, 05 Jul 2010 08:32:00 GMThttp://www.cppblog.com/aurain/archive/2010/07/05/119361.htmlhttp://www.cppblog.com/aurain/comments/119361.htmlhttp://www.cppblog.com/aurain/archive/2010/07/05/119361.html#Feedback1http://www.cppblog.com/aurain/comments/commentRss/119361.htmlhttp://www.cppblog.com/aurain/services/trackbacks/119361.html阅读全文

水 2010-07-05 16:32 发表评论

]]>Windows内核驱动中操作文件http://www.cppblog.com/aurain/archive/2009/12/31/104563.html水水Thu, 31 Dec 2009 07:27:00 GMThttp://www.cppblog.com/aurain/archive/2009/12/31/104563.htmlhttp://www.cppblog.com/aurain/comments/104563.htmlhttp://www.cppblog.com/aurain/archive/2009/12/31/104563.html#Feedback1http://www.cppblog.com/aurain/comments/commentRss/104563.htmlhttp://www.cppblog.com/aurain/services/trackbacks/104563.html
内核组件通过对象名来引用文件，即在文件的全路径前面加\DosDevices。（在Windows 2000及后续操作系统中，\??等同于\DosDevices）。例如，文件C:\WINDOWS\example.txt的对象名为\DosDevices\C:\WINDOWS\example.txt。你需要用对象名来打开文件以获取句柄。

阅读全文

水 2009-12-31 15:27 发表评论

]]>详解IRP之数据传输的机制http://www.cppblog.com/aurain/archive/2009/09/27/97355.html水水Sun, 27 Sep 2009 05:50:00 GMThttp://www.cppblog.com/aurain/archive/2009/09/27/97355.htmlhttp://www.cppblog.com/aurain/comments/97355.htmlhttp://www.cppblog.com/aurain/archive/2009/09/27/97355.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/97355.htmlhttp://www.cppblog.com/aurain/services/trackbacks/97355.html阅读全文

水 2009-09-27 13:50 发表评论

]]>中断请求级（转）http://www.cppblog.com/aurain/archive/2009/08/13/93150.html水水Thu, 13 Aug 2009 03:34:00 GMThttp://www.cppblog.com/aurain/archive/2009/08/13/93150.htmlhttp://www.cppblog.com/aurain/comments/93150.htmlhttp://www.cppblog.com/aurain/archive/2009/08/13/93150.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/93150.htmlhttp://www.cppblog.com/aurain/services/trackbacks/93150.html
一旦某CPU执行在高于PASSIVE_LEVEL的IRQL上时，该CPU上的活动仅能被拥有更高IRQL的活动抢先。

阅读全文

水 2009-08-13 11:34 发表评论

]]>【转】驱动和应用层的三种通信方式 http://www.cppblog.com/aurain/archive/2009/03/30/78376.html水水Mon, 30 Mar 2009 08:31:00 GMThttp://www.cppblog.com/aurain/archive/2009/03/30/78376.htmlhttp://www.cppblog.com/aurain/comments/78376.htmlhttp://www.cppblog.com/aurain/archive/2009/03/30/78376.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/78376.htmlhttp://www.cppblog.com/aurain/services/trackbacks/78376.html驱动层和应用层通信，主要是靠DeviceIoControl函数阅读全文

水 2009-03-30 16:31 发表评论

]]>NDIS网络驱动程序编程要点http://www.cppblog.com/aurain/archive/2009/02/22/74621.html水水Sun, 22 Feb 2009 14:43:00 GMThttp://www.cppblog.com/aurain/archive/2009/02/22/74621.htmlhttp://www.cppblog.com/aurain/comments/74621.htmlhttp://www.cppblog.com/aurain/archive/2009/02/22/74621.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/74621.htmlhttp://www.cppblog.com/aurain/services/trackbacks/74621.html1 可移植性
2 多处理器支持
3 IRQLs
4 同步和指示
5 包结构
6 使用共享内存
7 异步I/O和完成函数
阅读全文

水 2009-02-22 22:43 发表评论

]]>驱动编程中使用结构化异常处理(SEH)http://www.cppblog.com/aurain/archive/2009/02/16/73913.html水水Mon, 16 Feb 2009 02:36:00 GMThttp://www.cppblog.com/aurain/archive/2009/02/16/73913.htmlhttp://www.cppblog.com/aurain/comments/73913.htmlhttp://www.cppblog.com/aurain/archive/2009/02/16/73913.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/73913.htmlhttp://www.cppblog.com/aurain/services/trackbacks/73913.html结构化异常处理（SHE, Structured Exception Handling）是微软编译器提供的独特处理机制，这种处理方式能在一定程度上在出现错误的情况下，避免程序崩溃。先说明两个概念。阅读全文

水 2009-02-16 10:36 发表评论

]]>使用Prefast测试驱动问题http://www.cppblog.com/aurain/archive/2009/01/21/72410.html水水Wed, 21 Jan 2009 03:52:00 GMThttp://www.cppblog.com/aurain/archive/2009/01/21/72410.htmlhttp://www.cppblog.com/aurain/comments/72410.htmlhttp://www.cppblog.com/aurain/archive/2009/01/21/72410.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/72410.htmlhttp://www.cppblog.com/aurain/services/trackbacks/72410.html它的作用是尽早找出代码中常的BUG.
在编译时参与进来查找BUG.
阅读全文

水 2009-01-21 11:52 发表评论

]]>构建Windows驱动开发环境http://www.cppblog.com/aurain/archive/2009/01/20/72374.html水水Tue, 20 Jan 2009 07:07:00 GMThttp://www.cppblog.com/aurain/archive/2009/01/20/72374.htmlhttp://www.cppblog.com/aurain/comments/72374.htmlhttp://www.cppblog.com/aurain/archive/2009/01/20/72374.html#Feedback1http://www.cppblog.com/aurain/comments/commentRss/72374.htmlhttp://www.cppblog.com/aurain/services/trackbacks/72374.html阅读全文

水 2009-01-20 15:07 发表评论

]]>驱动调试的一般性技巧http://www.cppblog.com/aurain/archive/2009/01/15/72096.html水水Thu, 15 Jan 2009 07:31:00 GMThttp://www.cppblog.com/aurain/archive/2009/01/15/72096.htmlhttp://www.cppblog.com/aurain/comments/72096.htmlhttp://www.cppblog.com/aurain/archive/2009/01/15/72096.html#Feedback2http://www.cppblog.com/aurain/comments/commentRss/72096.htmlhttp://www.cppblog.com/aurain/services/trackbacks/72096.html阅读全文

水 2009-01-15 15:31 发表评论

]]>驱动调试的几个细节问题IRQL_NOT_LESS_OR_EQUALhttp://www.cppblog.com/aurain/archive/2009/01/14/72015.html水水Wed, 14 Jan 2009 09:05:00 GMThttp://www.cppblog.com/aurain/archive/2009/01/14/72015.htmlhttp://www.cppblog.com/aurain/comments/72015.htmlhttp://www.cppblog.com/aurain/archive/2009/01/14/72015.html#Feedback0http://www.cppblog.com/aurain/comments/commentRss/72015.htmlhttp://www.cppblog.com/aurain/services/trackbacks/72015.htmlIRQL_NOT_LESS_OR_EQUAL，并且比较郁闷的是，在虚拟机上有时不会出现，有时会出现，但在真正的主机上一定会出现（Windows xp sp2）。
一般出现IRQL_NOT_LESS_OR_EQUAL，是IRQL在级别高的地方调用了分页内存，所以，我就想到把当前的IRQL打出来看看，发现在进入函数
的时候，当前的IRQL是0（PASSIVE_LEVEL），而在执行这段代码的地方，IRQL是2（DISPATCH_LEVEL），是什么原因使得IRQL发生了变化呢？
仔细查看代码后，发现了原因，因为在执行这段代码之前，通过NdisAcquireSpinLock获取旋转锁，而在旋转锁释放之前，其中的代码是跑在
IRQL=2的，另外，RtlStringCbPrintfW需要处理分页内存(PagedPool),但在IRQL=2的情况下，是只能处理非分页内存的(NonpagedPool)，所以，
阅读全文

水 2009-01-14 17:05 发表评论

]]>NDIS 中间层驱动（IM Driver）的安装与卸载过程http://www.cppblog.com/aurain/archive/2009/01/12/71814.html水水Mon, 12 Jan 2009 07:35:00 GMThttp://www.cppblog.com/aurain/archive/2009/01/12/71814.htmlhttp://www.cppblog.com/aurain/comments/71814.htmlhttp://www.cppblog.com/aurain/archive/2009/01/12/71814.html#Feedback3http://www.cppblog.com/aurain/comments/commentRss/71814.htmlhttp://www.cppblog.com/aurain/services/trackbacks/71814.html阅读全文

水 2009-01-12 15:35 发表评论

]]>使用WinDbg和VMware调试NDIS中间层驱动程序http://www.cppblog.com/aurain/archive/2009/01/04/71138.html水水Sun, 04 Jan 2009 08:36:00 GMThttp://www.cppblog.com/aurain/archive/2009/01/04/71138.htmlhttp://www.cppblog.com/aurain/comments/71138.htmlhttp://www.cppblog.com/aurain/archive/2009/01/04/71138.html#Feedback4http://www.cppblog.com/aurain/comments/commentRss/71138.htmlhttp://www.cppblog.com/aurain/services/trackbacks/71138.html阅读全文

水 2009-01-04 16:36 发表评论

]]>