РПЗ (774931), страница 5
Текст из файла (страница 5)
В этой функции происходит регистрация всех стандартных точек входа драйвера и обработчиков IRP-пакетов. В разрабатываемом драйвере пакеты IRP c кодами, не равными IRP_MJ_INTERNAL_DEVICE_CONTROL обрабатываются функцией DispatchRoutine.
Функция AddDevice
Управление этой функции передается диспетчером ввода/вывода после того, как завершает свою работу DriverEntry. AddDevice создает функциональный объект устройства с помощью вызова IoCreateDevice и подключает его к стеку драйверов выбранного устройства (вызовом IoAttachDeviceToDeviceStack). Кроме того, в этой функции производятся действия по подготовке к протоколированию: считываются настройки из системного реестра, выделяется буфер для сбора протоколируемой информации, создается лог-файл.
Функция DriverUnload
Функция DriverUnload необходима для того, чтобы сделать драйвер выгружаемым. В унаследованных драйверах на эту функцию возложен весь процесс выгрузки драйвера: удаление символьных ссылок, объектов устройств драйвера, отключение прерываний от объектов, освобождение выделенной памяти. В WDM-драйверах все эти действия возложены на функцию-обработчик пакетов с кодом IRP_MJ_PNP.
Функция DispatchRoutine
На эту функцию возложены обязанности по обработке IRP-пакетов с различными кодами, хотя в разрабатываемом драйвере существует необходимость в обработке только двух типов запросов. Все запросы с кодом, отличным от IRP_MJ_PNP передаются по стеку драйверов без изменений. Запросы же IRP_MJ_PNP диспетчеризуются по суб-кодам в функции PnP_Dispatch. Необходимость диспетчеризации по суб-кодам запросов IRP_MJ_PNP вызвана тем, что драйвер не должен нарушать порядка работы операционной системы и обязан подчиняться PnP-менеджеру, то есть в драйвере должны корректно обрабатываться события старта и удаления устройства.
Функция DispatchInternalDeviceControl
Запросы ввода/вывода к USB-накопителю передаются в составе IRP-пакетов с кодом IRP_MN_INTERNAL_DEVICE_CONTROL. Этот пакет содержит полную информацию о направлении и характере передаваемых данных. То есть для протоколирования обмена информацией с USB-носителем следует перехватывать пакеты именно этого типа.
Для того чтобы перехватывать информацию, передаваемую в обоих направлениях, следует установить функцию обратного вызова диспетчера ввода/вывода. Методика установки этой функции была описана в разделе 1.7. При наличии этой функции разрабатываемый драйвер-фильтр получит возможность перехвата данных, передаваемых от устройства к хосту.
Для сохранения протоколируемой информации используется, как уже было сказано, MDL-список. Этот MDL-список создается в функции AddDevice. Объем памяти, выделяемой под список, совпадает с максимальным размером лог-файла, задаваемым в пользовательском приложении. После создания список фиксируется в страничной памяти, что предотвращает его выгрузку на жесткий диск во время работы драйвера. После этих подготовительных действий список используется в функции DispatchInternalDeviceControl – он заполняется перехватываемой информацией.
Запись накопленного буфера в лог-файл происходит при удалении устройства.
Такая методика выбрана из-за того, что функция DispatchInternalDeviceControl работает на уровне запроса прерываний, равном DISPATCH_LEVEL, что сильно затрудняет использование механизмов синхронизации, которые могли бы позволить перейти на уровень запроса прерываний, равный PASSIVE_LEVEL, где становятся доступными функции работы с файлами. Если бы это было достигнуто в разрабатываемом драйвере, то отпала бы необходимость выделения больших объемов нестраничной памяти для хранения протокола.
Запись файла на диск в момент удаления устройства возможна, так как это событие инициализируется PnP-менеджером, запросы которого всегда происходят на уровне IRQL, равном PASSIVE_LEVEL.
Размещение кода драйвера в памяти
Некоторые функции драйвера, например те, которые выполняют инициализацию, выгодно выполнить и освободить память, занимаемую ими. В языке C есть специальная директива #pragma_alloc_text(, ), позволяющая управлять размещением кода. В качестве типа секции могут указываться значения "INIT" или "PAGE".
Функции с размещением в секции "INIT" выгружаются, и память, занимаемая ими, освобождается сразу по завершении их работы. В разрабатываемом драйвере в секции “INIT” размещена точка входа DriverEntry, поскольку она выполняется единожды при загрузке драйвера.
Точки входа AddDevice и DriverUnload располагаются в секции "PAGE", то есть в страничной памяти, поскольку они гарантированно вызываются на уровне привилегий, равном PASSIVE_LEVEL и, даже оказавшись выгруженными на диск, будут немедленно загружены в физическую память менеджером страничной памяти (который способен работать только на уровне PASSIVE_LEVEL).
Остальные же точки входа (DispatchRoutine и DispatchInternalDeviceControl) располагаются по умолчанию, в нестраничной памяти, поскольку их работа зависит от клиентского драйвера USB-устройства, под которым в стеке драйверов располагается разрабатываемый драйвер-фильтр. Уровень привилегий его запросов слабо предсказуем и может быть равен DISPATCH_LEVEL. На этом уровне подкачка страниц невозможна, что при обращении к выгруженной функции приведет к краху системы.
Установка драйвера в системе
Для установки драйвера следует создать его ключ в системном реестре.
Имя ключа должно иметь следующий вид:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\driver_name.
Последняя часть имени специфична для устанавливаемого драйвера. Создаваемый ключ должен содержать следующие параметры:
-
DisplayName – значение этого параметра описывает текст, используемый в служебных программах;
-
ErrorControl – этот параметр предписывает операционной системе способ поведения в той ситуации, когда при загрузке драйвера произошла ошибка;
-
ImagePath – описывает полный путь к файлу с исполняемым кодом драйвера;
-
Start – описывает стадию загрузки операционной системы, когда следует загружать драйвер;
-
Type – определяет тип драйвера.
Возможные значения указанных параметров можно узнать из документации MSDN.
Таким образом, первая стадия установки драйвера в систему заключается
в том, что должен быть создан ключ драйвера в реестре, а сам драйвер
скопирован в каталог, описываемый строкой ImagePath (как правило - %SystemRoot%\System32\Drivers\driver_name.sys).
Далее должно быть выбрано устройство, на которое будет установлен фильтр. Выбранному устройству в системном реестре соответствует ключ с именем вида HKLM\CurrentControlSet\Enum\USB\XXX\YYY.
Последняя часть ключа (XXX\YYY) определяется именем устройства. При установке драйвера фильтра нижнего уровня в разделе YYY создается строковый параметр LowerFilters, которому присваивается значение, совпадающее с именем драйвера, для которого был создан ключ в …\Services. Таким образом, при подключении устройства к системе для него будет создан стек драйверов, в состав которого в качестве фильтра нижнего уровня будет загружен устанавливаемый драйвер.
Кроме того, в ключе, связанном с устройством, при установке драйвера создается дополнительный раздел KvntUsbDrvrParams, который хранит два параметра:
-
MaxLogSize – максимальный размер лог-файла;
-
LogFileName – имя лог-файла.
Технологический раздел
Выбор среды разработки и технологии программирования
После подготовки и изучения алгоритмов встал еще ряд вопросов:
-под какую операционную систему реализовывать программный продукт;
-какой язык программирования и среду разработки использовать;
-какую технологию программирования положить в основу проекта.
В качестве операционной системы была выбрана система Widows XP и более новые Vista и 7. Это обусловлено тем, что Windows XP — самая распространенная на сегодняшний день ОС. И для нее написано больше всего IDE и программного обеспечения для разработки.
Программный комплекс состоит из двух модулей: драйвера-фильтра и управляющего приложения.
Драйвер-фильтр
От разрабатываемого драйвера-фильтра требуется высокая скорость работы и надежность. При его работе осуществляется множество манипуляций с памятью, операций с указателями, преобразований типов. Важно представлять структуру скомпилированного продукта, чтобы правильно представить себе логику его работы. Среди языков программирования, удовлетворяющих этим требованиям, известны языки С и ассемблер. Для написания драйвера предпочтение было отдано языку C.
Данное предпочтение было сделано по нескольким причинам:
-
Удобство написания и отладки кода. В данном проекте я использовал пакет WDK для разработки драйверов под Windows, а также VisualDDK. WDK включает множество библиотек и макроопределений, облегчающих разработку кода.
VisualDDK - это надстройка для Visual Studio 2008, которая еще больше облегчает разработку драйверов, делая похожа это на написание обычных программ. В Visual Studio, таким образом, можно использовать встроенные и удобные инструменты для компиляции, отладки драйверов в ней, не используя каждый раз консоль.
-
Несмотря на некоторое преимущество в скорости, программы на ассемблере обычно не переносимы (используются команды процессора определенной архитектуры). Кроме того, трудозатраты при программировании на ассемблере, возрастают.
Управлющее приложение
Для управляющего приложения был выбран язык C# и среда разработки Visual Studio 2008. С помощью C# можно быстро писать программы под Windows или интернет-приложения, благодаря удобному синтаксису, интеллектуальным подсказкам и управляемому коду. Используя управляемый код, не нужно заботится о сборке мусора, об указателях и о некоторых базовых структурах и алгоритмах – все это уже реализовано. Минусом разработки на C# .Net является низкая производительность программ. Но это уже компенсируется современным аппаратным обеспечением. Кроме того, в этом приложении нам и не требуется высокая производительность, в отличие от драйвера уровня ядра. Visual Studio предоставляет широкие возможности по созданию пользовательского интерфейса и ускоряет процесс разработки программных продуктов
Структуры данных драйвера-фильтра
Для сбора информации о вводе/выводе устройства используется структура BUFFER, объявленная в драйвере следующим образом:
typedef struct _BUFFER
{
PVOID Buffer;
PMDL Mdl;
ULONG MaxSize;
ULONG CurrentSize;
} BUFFER, *PBUFFER;
Поясним значения полей структуры:
-
Buffer – указатель на буфер, хранящий информацию;
-
Mdl – указатель на MDL-список, хранящий отображение буфера на системные страницы в памяти;
-
MaxSize – максимальный размер буфера в байтах;
-
CurrentSize – текущий размер буфера в байтах.
В программировании считается дурным тоном создание переменных, глобальных для всего кода. В драйверах рекомендуется размещать эти глобальные переменные в структуре расширения устройства. Создание этой структуры, конечный вид которой определяется программистом, происходит при вызове IoCreateDevice, то есть при создании объекта функционального устройства драйвера. Указатель на расширения устройства может быть получен по указателю на объект устройства.
В разрабатываемом драйвере в расширении устройства расположена следующая информация:
typedef struct _DEVICE_EXTENSION
{
BUFFER UrbPackets;
HANDLE LogFileHandle;
BOOLEAN PreparedToLog;
PURB Urb;
ULONG UrbCount;
PDEVICE_OBJECT topDevObject;
…
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;
Поясним назначение указанных переменных:
-
UrbPackets – буфер для протоколирования;
-
LogFileHandle – дескриптор файла, в который записывается информация о вводе/выводе;
-
PreparedToLog – флаг, указывающий на то, что подготовка к протоколированию прошла успешно;
-
Urb – пакет, информация о котором переносится в буфер UrbPackets;
-
UrbCount – число URB-пакетов, прошедших через фильтр;
-
topDevObject – объект устройства, находящийся в стеке под нашим устройством.
Интерфейс управляющего приложения
Управляющее приложение предназначено для установки драйвера-фильтра в системе и передачи ему параметров протоколирования через системный реестр.
Интерфейс управляющего приложения состоит из главного окна, представленного на рисунке 9:
Рис. 9. Интерфейс управляющего приложения.
В левой части окна расположен список, в котором отображаются имена устройств, присутствующих в системе.
Установка драйвера происходит при нажатии на кнопку Install Driver. Установка драйвера происходит в несколько этапов.
-
Файл KvntUsbDrvr.sys копируется в C:\Windows\System32\Drivers
-
Устанавливается ключ в реестре с именем KvntUsbDrvr в каталоге HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KvntUsbDrvr с параметрами
-
Непосредственно в ключ конкретного устройства (вида VID_XXXX&PID_YYYY) заносится информация.
-
Перезапуск устройства (автоматически или вручную)
После всех этих действий драйвер должен заработать и
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
