在进行Windows的ring0层开发时,必不可免的要与 ring3 层进行交互。进行数据间的相互传输。可用的方法有DeviceIoCntrol,ReadFile。我平常都是用的DeviceIoControl在ring3 与 ring0 层进行的数据传输。今天就写写DeviceIoControl 和 ring0通过事件通知 ring3!
首先加载驱动之后,在ring3层调用CreateFile() 打开ring0层生成的LinkName,获得设备对象的句柄。然后调用DeviceIoControl(),由Io Mannger 构建IRP包下发
BOOL WINAPI DeviceIoControl(
__in HANDLE hDevice, //设备对象的句柄
__in DWORD dwIoControlCode, //IO控制码
__in_opt LPVOID lpInBuffer, //由ring3下发到ring0的缓冲区
__in DWORD nInBufferSize, //缓冲区大小
__out_opt LPVOID lpOutBuffer, //由ring3下发ring0用来返回数据的缓冲区
__in DWORD nOutBufferSize, //输出缓冲区大小
__out_opt LPDWORD lpBytesReturned, // 传输的数据大小
__inout_opt LPOVERLAPPED lpOverlapped //重叠结构,同步/异步
);
首先ring3与ring0的交互有三种方法,
METHOD_BUFFERED:缓冲区模式
SystemBuffer : 由 系统在ring3 和 ring0之间进行数据的拷贝
在ring0层,DriverObject->MajorFunction[IRP_MJ_DEVICEIOCONTROL] 中设置的例程中:
PIO_STACK_LOCATION IrpSp;
IrpSp = IoGetCurrentIrpStackLocation(Irp); //获得Irp堆栈
InputBuffer = Irp->AssociatedIrp.SystemBuffer; //InputBuffer , 由IoManager复制
OutputBuffer = Irp->AssociatedIrp.SystemBuffer; //由Iomanager 复制
InputSize = IrpSp->Parameters.DeviceIoControl.InputBufferLength;
OutputSize = IrpS->Parameters.DeviceIoControl.OutputBufferLength;
在完成Io处理以后,对于Irp->IoStatus.Information = OutputSize; //告知IoManager 要返回复制的内存大小
METHOD_IN_DIRECT与METHOD_OUT_DIRECT 直接内存模式
Dricet in/out :用MDL锁定物理页,在ring3,ring0之间直接读写,一般使用METHOD_IN_DIRECT
与缓冲模式相同,用户提供的输入缓冲区的内容被复制到IRP中的pIrp->AssociatedIrp.SystemBuffer内存地址,复制的长度是DeviceIoControl指定的输入字节数。
直接内存模式中,操作系统会将DeviceIoControl指定的输出缓冲区的物理页锁定,然后在内核模式地址下重新映射一段地址。适合大量数据的交流,而且相对于METHOD_NEITHER更安全。
#define CTL_CODE( DeviceType, Function, Method, Access ) ( \
((DeviceType) << ) | ((Access) << ) | ((Function) << ) | (Method) )
#define CTL_MDL \
CTL_CODE(FILE_DEVICE_UNKNOWN,0x830,METHOD_IN_DIRECT,FILE_ANY_ACCESS)
在DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]的例程中获取InputBuffer和OutBuffer
InputBuffer = Irp->AssociatedIrp.SystemBuffer;
OutputBuffer = MmGetSystemAddressForMdlSafe(Irp->MdlAddress,NormalPagePriority);
InputSize = pIrp->Parameters.DeviceIoControl.InputBufferLength;
OutputSize = pIrp->Parameters.DeviceIoControl.OutputBufferLength;
ulIoContorlCode = pIrp->Parameters.DeviceIoControl.IoControlCode;
完成处理之后
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = OutputSize;
IoCompleteRequest(Irp,IO_NO_INCREMENT);
METHOD_NEITHER :Neither模式
UserBuffer : 什么都不是的方法,lpInBuffer 由IoManager 进行拷贝传输,OutBuffer直接访问用户地址空间,较危险,线程切换可能会影响UserBuffer。例如,在我们的进程A中下发的Io控制码,OutBuffer的地址在进程A中比如是0x0018ff44,此时在ring0层中通过 OutBuffer = Irp->UserBuffer得到的地址也是0x0018ff44。而ring0层的地址空间是整个系统公有的。如果在ring0层访问OutBuffer时,此时恰好CPU的用户空间切换到进程B,而ring0依然去读写0x0018ff44的地址的时候,很有可能会崩溃。因为在此时的0x0018ff44是属于进程B的地址空间,而我们不知道这个地址空间是否映射了物理页,如果没有,则会崩溃。
#define CTL_CODE( DeviceType, Function, Method, Access ) ( \
((DeviceType) << ) | ((Access) << ) | ((Function) << ) | (Method) )
#define CTL_MDL \
CTL_CODE(FILE_DEVICE_UNKNOWN,0x830,METHOD_NEITHER,FILE_ANY_ACCESS)
PIO_STACK_LOCATION IrpSp;
IrpSp = IoGetCurrentIrpStackLocation(Irp);
pvInputBuffer = IrpSp->Parameters.DeviceIoControl.Type3InputBuffer;
pvOutputBuffer = Irp->UserBuffer; //UserBuffer
ulOutputLen = IrpSp->Parameters.DeviceIoControl.OutputBufferLength;
ProbeForWrite(pvOutputBuffer,ulOutputLen,sizeof(CHAR)); //对用户地址空间进行读写操作,判断是否可写 ProbeForRead() 只能针对用户地址空间
ulIoControlCode = IrpSp->Parameters.DeviceIoControl.IoControlCode;
上面写了DeviceIoControl()的几种模式,接下来总结下ring0通过事件通知ring3。比如说,ring0的一个监控程序,指定的事件发生时通知ring3的应用程序,这个时候就要用到事件通知了。利用命名事件来进行通知,而命名事件的创立也有两种途径,一种是在ring0创建事件,在ring3获得事件句柄,等待事件。另一种就是ring3创建事件,由ring0获得事件句柄。
先写第一种在ring0创建事件,由ring3等待。
命名事件的名字一定是在\\BaseNamedObjects\\的目录下,用 WinObj 在指定目录下就可以看到创建的命名事件
#define EVENT_NAME L"\\BaseNamedObjects\\NotifyEvent"
PKEVENT EventObject = NULL;
HANDLE hEvent = NULL;
UNICODE_STRING uniEventName;
RtlInitUnicodeString(&uniEventName,EVENT_NAME);
EventObject = IoCreateNotificationEvent(&uniEventName,&hEvent); //创建命名事件,初始态为Signaled State
KeClearEvent(EventObject); //变成Unsignaled State
WDK 对于IoCreateNotificationEvent() 的说明
PKEVENT //指向事件内核对象
IoCreateNotificationEvent(
IN PUNICODE_STRING EventName, //事件名称
OUT PHANDLE EventHandle //事件句柄
);
在ring3层调用OpenEvent() 函数对事件进行打开,MSDN对OpenEvent()说明如下
HANDLE WINAPI OpenEvent(
__in DWORD dwDesiredAccess,
__in BOOL bInheritHandle,
__in LPCTSTR lpName
);
自己把英文文档翻译一下:
dwDesiredAccess:说明访问方式,如果是对象的安全属性不允许的访问方式就会失败。
DELETE (0x00010000L) 需要删除对象
READ_CONTROL (0x00020000L)
SYNCHRONIZE (0x00100000L) 同步访问事件对象,允许线程等待事件对象成为Signaled State
WRITE_DAC (0x00040000L)
WRITE_OWNER (0x00080000L)
lpName:命名事件的名称 这里就是"Global\\NotifyEvent" 命名事件属于整个系统
HEVENT hEvent = OpenEvent(SYNCHRONIZE,FALSE,L"Global\\NotifyEvent");
然后就可以在ring3的线程中进行等待
WaitForSingleObject(hEvent,INFINITE)==WAIT_OBJECT_0 //线程阻塞
在ring0 对事件进行触发
KeSetEvent(EventObject,,FALSE); //使事件变成Signaled State ,ring3层的WaitForSingleObject()线程得到响应,继续执行
KeClearEvent(EventObject); //将事件恢复Unsignaled State
在ring0的UnloadDriver()例程中对事件句柄进行关闭,引用计数减1
ZwClose(hEvent);
由ring0创建命名事件在ring3进行操作,对ring0资源的占用较大。一般选择在ring3创建事件对象,在ring0进行操作。
//MSDN 对于CreateEvent() 的说明
HANDLE WINAPI CreateEvent(
__in_opt LPSECURITY_ATTRIBUTES lpEventAttributes,
__in BOOL bManualReset,
__in BOOL bInitialState,
__in_opt LPCTSTR lpName
);
HANDLE hEvent = CreateEvent(NULL,FALSE,FALSE,NULL) //创建匿名事件 自动重置
然后将事件句柄下发到ring0 //DeviceIoControl()
在ring0通过事件句柄获得事件对象 ObRefrenceObjectByHandle()
NTSTATUS
ObReferenceObjectByHandle(
IN HANDLE Handle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_TYPE ObjectType OPTIONAL,
IN KPROCESSOR_MODE AccessMode,
OUT PVOID *Object,
OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL
);
PKEVENT EventObject ;
NTSTATUS Status = STATUS_SUCCESS;
//应用层创建的事件句柄得到事件对象,对事件对象用完之后记得解引用 ObDrefrenceObject(),便于系统对对象资源进行回收
Status =ObReferenceObjectByHandle(hEvent,
SYNCHRONIZE,
*ExEventObjectType,
KernelMode,
&EventObject,
NULL);
//WDK KeSetEvent
LONG
KeSetEvent(
IN PRKEVENT Event,
IN KPRIORITY Increment,
IN BOOLEAN Wait
);
在ring0调用KeSetEvent() 使事件变成Signaled State ,ring3 等待事件响应的线程就会向下执行;
在ring0 调用KeWaitForSigleObject() 对事件对象进行等待
// WDK
NTSTATUS
KeWaitForSingleObject(
IN PVOID Object,
IN KWAIT_REASON WaitReason,
IN KPROCESSOR_MODE WaitMode,
IN BOOLEAN Alertable,
IN PLARGE_INTEGER Timeout OPTIONAL //为NULL 相当于ring3 的 INFINITE 永久等待
);
Status = KeWaitForSingleObject(EventObject,
Executive, KernelMode, FALSE, NULL);