第3章 Windows运行机理-3.1 内核分析(3)

爱编码的小八嘎2026-02-20 15:30

如果一个VxD只是为了某个应用提供某种服务,选择动态加载就比较好,因为VxD能在需要时加载,在用完后就立即卸载。这两种加载方式所响应的VMM消息有一点不同,有的只能响应静态VxD,有的则只能响应动态VxD。但大多数消息对这两种方式都能响应。

③ DDB的结构

设备描述块(The Device Descriptor Block)简称DDB,是VMM联系VxD的句柄。DDB中包括了VxD的信息和指向VxD主要的入口指针。当然,为了给其他的应用程序使用,也可以包括指向其他入口的指针。表3.1是DDB的数据结构。

表3.1 DDB的数据结构

字段区域

描述

Name

8个字节的VxD名称

Major Version

VxD的主版号,与Windows的版本号无关

Minor Version

VxD的从版号,与Windows的版本号无关

Device Control Procedure

设备控制过程的地址

Device ID

Microsoft分配的惟一的ID号

Initialization Order

通常是Undefine_Init_Order 。如果要强制在某个指定的VxD初始化之前或结束之后进行初始化,那就在VMM.INC中找到相应的Init_Order加1或减1

Service Table

服务表的地址

V86 API Procedure

V86 API函数的地址

PM API Procedure

PM API函数的地址

VxD源程序中的标号是不区分大小写的,大写、小写或者混合起来用,都可以。

下面对这些字段做些说明

 Name :VxD的名字,最多8个字符。它必须是大写!在系统中的所有VxD程序里,它们的名字不能重复,每个VxD的名字应该是惟一的。这个宏同时也会根据这个名字产生DDB的名字,产生的办法就是在这个名字的后面加上_DDB。

 MajorVer和MinorVer:VxD的主要的和次要的版本。

 CtrlProc:VxD程序的设备控制函数的名字。设备控制函数是一个接受和处理VxD程序的控制消息的函数。你可以把设备控制函数看做Windows函数的等价物。

 DeviceID:VxD程序的16位惟一标识符,当且仅当VxD程序需要处理以下情况时,需要用到这个ID:

● VxD程序导出一些供其他VxD程序使用的VxD服务。因为20H中断接口用设备ID来定位/区分VxD程序,所以一个惟一的ID对你的VxD程序是必要的。

● VxD程序要在初始化中断2FH、1607H时通知实模式程序它的存在。

● 有一些实模式软件(TSR)要用中断2FH、1605H来加载VxD程序。

如果VxD程序不需要一个惟一的设备ID,则可以把这一项设为UNDEFINED_DEVICE_ID;如果需要它,则可以向Microsoft申请一个。

 InitOrder:初始化的顺序。简单地说,就是加载的顺序。VMM就按照这个次序来加载VxD程序。每个VxD程序都有一个加载次序号,例如:

VMM_INIT_ORDER EQU 000000000H

DEBUG_INIT_ORDER EQU 000000000H

DEBUGCMD_INIT_ORDER EQU 000000000H

PERF_INIT_ORDER EQU 000900000H

APM_INIT_ORDER EQU 001000000H

可以看到,VMM, DEBUG和DEBUGCMD是首先加载的VxD程序,然后是PERF和APM。初始化顺序值越低的VxD程序越先被加载。如果VxD程序在初始化时需要用到其他VxD程序提供的服务,那么必须把初始化顺序的值设得比你所要调用的那个VxD程序的值大。这样,当VxD程序加载时,所要的VxD就已经在内存中为你准备好了。如果不想去管VxD的初始化顺序,就把这个参数填写为UNDEFINED_INIT_ORDER 。

 V86Proc和PMProc:程序可以导出供V86和保护模式程序使用的API,这两个参数就是用来填写这些API的地址。记住,VxD程序除了监控系统虚拟机外,还要监控一个或多个运行在DOS或者保护模式下的虚拟机程序。VxD程序理所当然要为DOS和保护模式程序提供API支持。如果你不导出这些API,则可以不填这两个参数。

 RefData:这是输入输出监视器(IOS)要用到的参考数据。只有在一种情况下要用到这个参数,即当在为IOS编写一个层驱动程序时。否则,可以不填这个参数。

④ VxD的事件处理

当实模式初始化完成后,VMM将通过专门的消息方法来通知所有的VxD发生了什么。VxD的消息处理就像Windows的窗口消息处理一样,能通过如下一组切换函数:

switch (事件){

case 系统初始化事件

处理此消息代码

case VM初始化

处理此消息代码

...

case 其他

...

}

为了给VxD发送消息,VMM就会从VxD的DDB中取得设备控制函数的地址,在EAX中放置的是消息的值,EBX中放入当前VM的句柄,接着调用对应的函数。

相关推荐
Irissgwe5 小时前
C&C++内存管理
c语言·开发语言·c++·c++内存管理
雾岛听蓝5 小时前
C文件操作与系统IO
linux·c语言·开发语言·经验分享·笔记·算法
Yupureki6 小时前
《C++实战项目-高并发内存池》3.ThreadCache构造
服务器·c语言·c++·算法·哈希算法
spiritualfood6 小时前
蓝桥杯大学b组水质检测
c语言·c++·算法·青少年编程·职场和发展·蓝桥杯
01二进制代码漫游日记9 小时前
C/C++中的内存区域划分
c语言·jvm·数据结构·学习
炸膛坦客9 小时前
单片机/C语言八股:(三)C 语言编译器的优化功能,包括 keil(仅作了解)
c语言·单片机·嵌入式硬件
人道领域9 小时前
【绝对干货】C语言常量,变量,内存全方位总结:从入门到精通,这一篇就够了!
c语言·开发语言
代码改善世界9 小时前
【数据结构】八大排序算法详解(C语言实现)|插入排序、希尔排序、选择排序、堆排序、冒泡排序、快速排序、归并排序、计数排序
c语言·数据结构·排序算法
香水5只用六神10 小时前
【TIM】基本定时器定时实验(2)
c语言·开发语言·stm32·单片机·嵌入式硬件·mcu·学习
TrueDei10 小时前
linux-C/C++主子进程同时占用主进程文件描述符问题
linux·c语言·c++
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南05OpenClaw 飞书机器人不回复消息?3 小时踩坑总结06OpenClaw macOS 完整安装与本地模型配置教程(实战版)07得物前端部门,没了08Window 10部署openclaw报错node.exe : npm error code 12809OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录10OpenClaw 接入 QQ Bot 完整实践指南