Windows NT Driver >> Assembly
Hello, world!
參考資訊:
1. Four-F
2. Source Code
使用Assembly語言寫驅動程式是一件相當挑戰的事情,畢竟討論資源相對稀少,加上Assembly語言的可讀性比C/C++差以及Microsoft提供的Include及範例程式都是以C/C++語言為主,因此,比較少聽過有人使用Assembly語言開發Windows驅動程式,雖然困難重重,不過若能排除這些困難,自己重頭慢慢建立一支驅動程式,細心品味Assembly語言的優雅,那將是一件意義非凡的事情。Microsoft Assembly語言經過多次改進,目前已經可以支援高階語法,如:If、While、Struct等語法,已經越來越高階,所以不該再把Assembly語言,想像是落後的語言,想對每個細節的瞭解,Assembly語言還是最佳的選擇,司徒接著就介紹如何使用Assembly語言寫一支Hello, world!驅動程式,畢竟Hello, world!還是最經典以及簡單的入門首選。
main.asm
.386p .model flat, stdcall option casemap:none include c:\masm32\include\w2k\ntstatus.inc include c:\masm32\include\w2k\ntddk.inc include c:\masm32\include\w2k\ntoskrnl.inc include c:\masm32\include\w2k\ntddkbd.inc include c:\masm32\Macros\Strings.mac includelib c:\masm32\lib\wxp\i386\ntoskrnl.lib public DriverEntry .const MSG byte "Hello, world!",0 .code Unload proc pOurDriver:PDRIVER_OBJECT ret Unload endp DriverEntry proc pOurDriver:PDRIVER_OBJECT, pOurRegistry:PUNICODE_STRING invoke DbgPrint, offset MSG mov eax, pOurDriver mov (DRIVER_OBJECT PTR [eax]).DriverUnload, offset Unload mov eax, STATUS_SUCCESS ret DriverEntry endp end DriverEntry .end
程式很簡單,算是一個簡單的框架,使用者可以善加利用。
Unload()沒有處理任何事情
DriverEntry()僅列印訊息和設定Unload Callback
配置或者刪除資源一定是成雙成對,在DriverEntry()配資源就會在Unload()釋放資源,這是基本的準則。
編譯程式:
c:\masm32\bin\ml /c /coff /Cp "main.asm" c:\masm32\bin\link /MAP /nologo /driver /base:0x10000 /align:64 /out:"main.sys" /subsystem:native "main.obj"
安裝程式:
在開始安裝驅動程式之前,我們需要先下載除錯工具,讓驅動程式的Debug訊息可以顯示在除錯工具上面,目前在Kernel Mode以及User Mode上,最佳的Debug輸出訊息工具是DbgView,該公司目前已經被Microsoft併購,所以可以從Microsoft網站下載,下載完後執行DbgView並將Capture > Capture Kernel選項打勾,接著重啟DbgView
Legacy(Nt-Style)驅動程式的安裝很方便,它是使用Service的方式安裝,因此,複製main.sys到c:\windows\system32\drivers資料夾下並輸入如下命令進行安裝
c:\> sc create MyDriver binPath= "c:\windows\system32\drivers\main.sys" type= "kernel" start= "demand" error= "normal" Displayname= "MyDriver" c:\> sc start MyDriver
P.S. 要記得在"="前面都需要一個空格。
輸入完上列指令後,就可以看到輸出的Hello, world!字串。
當然,使用者也可以使用Four-F撰寫的KmdManager進行安裝,開啟KmdManager後,載入main.sys後,選擇Register > Run即可