tiechui_lesson01_入口函数和卸载函数
主要讲解入口函数和卸载函数。
#include <ntifs.h>
VOID
nothing(HANDLE ppid, HANDLE mypid, BOOLEAN bcreate)
{
UNREFERENCED_PARAMETER(ppid);
UNREFERENCED_PARAMETER(mypid);
UNREFERENCED_PARAMETER(bcreate);
DbgPrint("processNotify\n");
}
VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
UNREFERENCED_PARAMETER(DriverObject);
//如果卸载清理的时候不做清理,那么系统会蓝屏(第二个参数设置为TRUE)
PsSetCreateProcessNotifyRoutine(nothing, TRUE);
DbgPrint("Unload\n");
}
NTSTATUS
DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
DriverObject->DriverUnload = DriverUnload;
PsSetCreateProcessNotifyRoutine(nothing, FALSE);
DbgPrint("%wZ\n",RegistryPath);
return 0;
}PsSetCreateProcessNotifyRoutine
在安装驱动的时候注册了一个进程通知回调,在系统中有进程创建或者关闭的时候,调用回调函数。第一个参数为注册的回调函数,第二个是添加和删除回调的布尔值。
[in] NotifyRoutine指定调用方提供的进程创建回调例程的入口点。 请参阅 PCREATE_PROCESS_NOTIFY_ROUTINE。
[in] Remove指示是否应从系统的通知例程列表中添加或删除 NotifyRoutine 指定的例程。 如果 为 FALSE,则指定例程将添加到列表中。 如果 为 TRUE,则从列表中删除指定的例程。
有一种蓝屏(BSOD)的情况,如果在卸载函数中没有设置删除设置个进程通知回调函数nothing,那么就会产生BSOD。因为操作系统中保有这个回调指针后,我们卸载掉驱动,那么这个指针所指的函数就不存在了,而操作系统仍然去试图访问这个函数那么就导致了蓝屏。所以需要在卸载驱动的时候调用:
PsSetCreateProcessNotifyRoutine(nothing, TRUE);来将这个回调函数从操作系统删除掉,之后就不会蓝屏了。