为什么要写这篇文章呢?
作为一名白帽黑客,如果想要学习ROOTKIT攻防技术,就必须要有能力进行驱动开发!
本文章仅提供学习,切勿将其用于不法手段!
在Windows操作系统的64位环境中,进行ROOTKIT攻防,就必须要学会Windows驱动开发!
Windows驱动开发,是掌握Rootkit技术的硬性基础之一!
不会Windows环境下的驱动开发,你就难以透彻理解ROOTKIT攻防技术的真相!
接上一篇文章,我们主要来讲解一下,KMDF项目开发中的一些代码内容编写!
接下来,我们来讲解下,相应的头文件(queue.h)中的代码内容 ^ _ ^ 请看下文!
/*++
Module Name: 模块名称(通常是文件名)
queue.h KMDF(Kernel-Mode Driver Framework)驱动程序中的队列头文件
Abstract: 文件的抽象描述(概括文件的主要内容)
This file contains the queue definitions. 说明该文件包含队列的定义(例如,队列回调函数、队列初始化函数等)
Environment: 开发环境或运行环境
Kernel-mode Driver Framework 表示该驱动程序是基于内核模式驱动框架(KMDF)开发的
--*/
//EXTERN_C_START 和 EXTERN_C_END,这两个宏用于确保C++编译器以C语言的方式处理函数声明(在C++中,函数名会被编译器进行名称修饰(name mangling),而C语言不会),可以避免名称修饰问题,确保驱动程序能够正确链接
EXTERN_C_START
//
// This is the context that can be placed per queue
// and would contain per queue information.
//
//定义了一个结构体 _QUEUE_CONTEXT,用来存储每个队列的私有数据(为每个队列放置的上下文结构体,包含每个队列的信息)
// 结构体 _QUEUE_CONTEXT,只有一个成员 PrivateDeviceData ,作为占位符
// 结构体 _QUEUE_CONTEXT,可以根据实际需要,添加更多的成员属性
typedef struct _QUEUE_CONTEXT {
ULONG PrivateDeviceData; // just a placeholder //一个占位符
} QUEUE_CONTEXT, *PQUEUE_CONTEXT; //QUEUE_CONTEXT 是结构体的类型名,*PQUEUE_CONTEXT 是指向该结构体的指针类型名
WDF_DECLARE_CONTEXT_TYPE_WITH_NAME(QUEUE_CONTEXT, QueueGetContext) //用于声明一个上下文类型的获取函数(QueueGetContext 函数将用于从WDF对象(例如,队列对象)中获取 QUEUE_CONTEXT 类型的上下文)
//初始化队列的函数原型(接受一个 WDFDEVICE 类型的参数,表示要初始化队列的设备对象)
NTSTATUS
KMDFDriver1QueueInitialize(
In WDFDEVICE Device //传入的WDF设备对象
);
//
// Events from the IoQueue object
//
EVT_WDF_IO_QUEUE_IO_DEVICE_CONTROL KMDFDriver1EvtIoDeviceControl; //设备控制请求的回调函数原型(当驱动程序收到设备控制请求时(从IoQueue对象触发的事件),这个函数将被调用)
EVT_WDF_IO_QUEUE_IO_STOP KMDFDriver1EvtIoStop; //停止队列时的回调函数原型(当队列被停止时,这个函数将被调用)
EXTERN_C_END
我在上面的代码中,增加了相应的注释,有助于学习Windows驱动开发的小白们能够理解每一行代码的用途!毕竟,学习 从 阅读 开始 !嘿嘿
(未完待续)