驱动开发之三：常用API简介

1.DRIVER_OBJECT的结构体如下

typedef struct _DRIVER_OBJECT
{
        CSHORT      Type;
        CSHORT      Size;
        PDEVICE_OBJECT  DeviceObject;
        ULONG  Flags;
        PVOID DriverStart;
        ULONG DriverSize;
        PVOID DriverSection;
        PDRIVER_EXTENSION DriverExtension;
        UNICODE_STRING DriverName;
        PUNICODE_STRING HardwareDataBase;
        PFAST_IO_DISPATCH FastIoDispatch;
        PDRIVER_INITIALIZE DriverInit;
        PDRIVER_STARTIO DriverStartIo;
        PDRIVER_UNLOAD DriverUnload;
      PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION];
} DRIVER_OBJECT;

驱动对象使用DRIVER_OBJECT数据结构表示，作为驱动的一个实例被内核加载，并且内核读一个驱动只加载一次一个驱动可能对应多个设备，这些设备组成设备链，其中第一个设备则是在驱动对象的DeviceObject中进行设定的。

2.设备对象

typedef struct _DEVICE_OBJECT {

    CSHORT  Type;

    USHORT  Size;

    LONG  ReferenceCount;

    PDRIVER_OBJECT  DriverObject;

    PDEVICE_OBJECT  NextDevice;

    PDEVICE_OBJECT  AttachedDevice;

    PIRP  CurrentIrp;

    PIO_TIMER  Timer;

    ULONG  Flags;

    ULONG  Characteristics;

    __volatile PVPB  Vpb;

    PVOID  DeviceExtension;

    DEVICE_TYPE  DeviceType;

    CCHAR  StackSize;

    union {

      LIST_ENTRY   ListEntry;

      WAIT_CONTEXT_BLOCK   Wcb;

    } Queue;

    ULONG  AlignmentRequirement;

    KDEVICE_QUEUE  DeviceQueue;

    KDPC  Dpc;

    ULONG  ActiveThreadCount;

    PSECURITY_DESCRIPTOR  SecurityDescriptor;

    KEVENT  DeviceLock;

    USHORT  SectorSize;

    USHORT  Spare1;

    PDEVOBJ_EXTENSION  DeviceObjectExtension;

    PVOID  Reserved;

} DEVICE_OBJECT, *PDEVICE_OBJECT;

设备对象中指明了其驱动对象（DRIVER_OBJECT），和在设备链中的下一个设备(NextObject)，以及想要为该设备对象记录的其他信息设备扩展DeviceObjectExtension,

还有一个就是AttachedDevice;他是该设备在设备链中的上层设备，

3.我们在进行过滤驱动时要进行设备绑定，但是如何进行设备绑定呢？这时候就要使用IoAttachDevice了，该函数

PDEVICE_OBJECT IoAttachDeviceToDeviceStack(IN PDEVICE_OBJECT SourceObject,IN TargetObject)

SourceObject：将要附加在另一个设备之上的设备，

TargetObject则是被附加的设备，

返回值则是SourceObject设备的下一层设备如果中间没有过滤设备，则直接返回的是TargetObject，当通过IoAttachDeviceObject时，SourceObject中的AttachedDevice会记录

下其上层设备，但是下层去无法知道所以可以使用设备扩展进行记录

4.摘除设备

在进行驱动卸载时，我们要将绑定的设备从设备脸上摘除，这时候利用IoDetachDevice

VOID IoDetachDevice( _Inout_  PDEVICE_OBJECT TargetDevice );

该函数则是将目标设备的上层设备从设备连上进行摘除

5.最后说明下设备名称和符号链接：

其实设备名称是只能使用在核心进程中的名字，如果想要在用户程序中使用，则要使用符号链接，现在说下设备名称和符号链接的限制，一般设备名称是"\Device\DeviceName"

符号链接一般是"\??\SymbolicName"或者"\DosDevice\SymbolicName"通过建立符号链接，我们就可以在用户程序中访问该程序了，但是还是不能直接使用该符号链接

而是"\\\\.\\SymbolicName"

5.NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver,PUNICODE_STRING pReg)

 {

     

 }

该函数参数第一项指向了被创建的驱动对象的指针，第二项则是指向设备服务键的名字字符串指针，该字符串的内容一般是"\REGISTRAY\MACHINE\SYSTEM\ControlSet

\Services\[服务名称]"