第3章 Windows运行机理-3.1 内核分析(3)

爱编码的小八嘎2026-02-20 15:30

如果一个VxD只是为了某个应用提供某种服务,选择动态加载就比较好,因为VxD能在需要时加载,在用完后就立即卸载。这两种加载方式所响应的VMM消息有一点不同,有的只能响应静态VxD,有的则只能响应动态VxD。但大多数消息对这两种方式都能响应。

③ DDB的结构

设备描述块(The Device Descriptor Block)简称DDB,是VMM联系VxD的句柄。DDB中包括了VxD的信息和指向VxD主要的入口指针。当然,为了给其他的应用程序使用,也可以包括指向其他入口的指针。表3.1是DDB的数据结构。

表3.1 DDB的数据结构

字段区域

描述

Name

8个字节的VxD名称

Major Version

VxD的主版号,与Windows的版本号无关

Minor Version

VxD的从版号,与Windows的版本号无关

Device Control Procedure

设备控制过程的地址

Device ID

Microsoft分配的惟一的ID号

Initialization Order

通常是Undefine_Init_Order 。如果要强制在某个指定的VxD初始化之前或结束之后进行初始化,那就在VMM.INC中找到相应的Init_Order加1或减1

Service Table

服务表的地址

V86 API Procedure

V86 API函数的地址

PM API Procedure

PM API函数的地址

VxD源程序中的标号是不区分大小写的,大写、小写或者混合起来用,都可以。

下面对这些字段做些说明

 Name :VxD的名字,最多8个字符。它必须是大写!在系统中的所有VxD程序里,它们的名字不能重复,每个VxD的名字应该是惟一的。这个宏同时也会根据这个名字产生DDB的名字,产生的办法就是在这个名字的后面加上_DDB。

 MajorVer和MinorVer:VxD的主要的和次要的版本。

 CtrlProc:VxD程序的设备控制函数的名字。设备控制函数是一个接受和处理VxD程序的控制消息的函数。你可以把设备控制函数看做Windows函数的等价物。

 DeviceID:VxD程序的16位惟一标识符,当且仅当VxD程序需要处理以下情况时,需要用到这个ID:

● VxD程序导出一些供其他VxD程序使用的VxD服务。因为20H中断接口用设备ID来定位/区分VxD程序,所以一个惟一的ID对你的VxD程序是必要的。

● VxD程序要在初始化中断2FH、1607H时通知实模式程序它的存在。

● 有一些实模式软件(TSR)要用中断2FH、1605H来加载VxD程序。

如果VxD程序不需要一个惟一的设备ID,则可以把这一项设为UNDEFINED_DEVICE_ID;如果需要它,则可以向Microsoft申请一个。

 InitOrder:初始化的顺序。简单地说,就是加载的顺序。VMM就按照这个次序来加载VxD程序。每个VxD程序都有一个加载次序号,例如:

VMM_INIT_ORDER EQU 000000000H

DEBUG_INIT_ORDER EQU 000000000H

DEBUGCMD_INIT_ORDER EQU 000000000H

PERF_INIT_ORDER EQU 000900000H

APM_INIT_ORDER EQU 001000000H

可以看到,VMM, DEBUG和DEBUGCMD是首先加载的VxD程序,然后是PERF和APM。初始化顺序值越低的VxD程序越先被加载。如果VxD程序在初始化时需要用到其他VxD程序提供的服务,那么必须把初始化顺序的值设得比你所要调用的那个VxD程序的值大。这样,当VxD程序加载时,所要的VxD就已经在内存中为你准备好了。如果不想去管VxD的初始化顺序,就把这个参数填写为UNDEFINED_INIT_ORDER 。

 V86Proc和PMProc:程序可以导出供V86和保护模式程序使用的API,这两个参数就是用来填写这些API的地址。记住,VxD程序除了监控系统虚拟机外,还要监控一个或多个运行在DOS或者保护模式下的虚拟机程序。VxD程序理所当然要为DOS和保护模式程序提供API支持。如果你不导出这些API,则可以不填这两个参数。

 RefData:这是输入输出监视器(IOS)要用到的参考数据。只有在一种情况下要用到这个参数,即当在为IOS编写一个层驱动程序时。否则,可以不填这个参数。

④ VxD的事件处理

当实模式初始化完成后,VMM将通过专门的消息方法来通知所有的VxD发生了什么。VxD的消息处理就像Windows的窗口消息处理一样,能通过如下一组切换函数:

switch (事件){

case 系统初始化事件

处理此消息代码

case VM初始化

处理此消息代码

...

case 其他

...

}

为了给VxD发送消息,VMM就会从VxD的DDB中取得设备控制函数的地址,在EAX中放置的是消息的值,EBX中放入当前VM的句柄,接着调用对应的函数。

相关推荐
mount_myj4 小时前
长长久久【C语言】
c语言
Legendary_0088 小时前
LDR6500:USB‑C DRP PD协议芯片技术详解与应用实践
c语言·开发语言
dgaf11 小时前
DX12 快速教程(17) —— 立体图标与合并渲染
c语言·c++·3d·图形渲染·d3d12
念恒1230612 小时前
进程控制---自定义Shell
linux·c语言
程序员JerrySUN14 小时前
Jetson边缘嵌入式实战课程第二讲:JetPack 和 SDK Manager 是什么
c语言·开发语言·网络·udp·音视频
我不是懒洋洋14 小时前
布谷鸟过滤器:比布隆过滤器更优雅的判重方案
c语言·经验分享
忡黑梨14 小时前
eNSP_从直连到BGP全网互通
c语言·网络·数据结构·python·算法·网络安全
handler0116 小时前
Git 核心指令速查
linux·c语言·c++·笔记·git·学习
学会去珍惜16 小时前
学会C语言可以做什么
c语言·网络编程·游戏开发·嵌入式系统·系统编程
『昊纸』℃17 小时前
Mac上编译C语言的简易方法
c语言·mac·教程·xcode·编译
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法