第3章 Windows运行机理-3.1 内核分析(3)

爱编码的小八嘎2026-02-20 15:30

如果一个VxD只是为了某个应用提供某种服务,选择动态加载就比较好,因为VxD能在需要时加载,在用完后就立即卸载。这两种加载方式所响应的VMM消息有一点不同,有的只能响应静态VxD,有的则只能响应动态VxD。但大多数消息对这两种方式都能响应。

③ DDB的结构

设备描述块(The Device Descriptor Block)简称DDB,是VMM联系VxD的句柄。DDB中包括了VxD的信息和指向VxD主要的入口指针。当然,为了给其他的应用程序使用,也可以包括指向其他入口的指针。表3.1是DDB的数据结构。

表3.1 DDB的数据结构

字段区域

描述

Name

8个字节的VxD名称

Major Version

VxD的主版号,与Windows的版本号无关

Minor Version

VxD的从版号,与Windows的版本号无关

Device Control Procedure

设备控制过程的地址

Device ID

Microsoft分配的惟一的ID号

Initialization Order

通常是Undefine_Init_Order 。如果要强制在某个指定的VxD初始化之前或结束之后进行初始化,那就在VMM.INC中找到相应的Init_Order加1或减1

Service Table

服务表的地址

V86 API Procedure

V86 API函数的地址

PM API Procedure

PM API函数的地址

VxD源程序中的标号是不区分大小写的,大写、小写或者混合起来用,都可以。

下面对这些字段做些说明

 Name :VxD的名字,最多8个字符。它必须是大写!在系统中的所有VxD程序里,它们的名字不能重复,每个VxD的名字应该是惟一的。这个宏同时也会根据这个名字产生DDB的名字,产生的办法就是在这个名字的后面加上_DDB。

 MajorVer和MinorVer:VxD的主要的和次要的版本。

 CtrlProc:VxD程序的设备控制函数的名字。设备控制函数是一个接受和处理VxD程序的控制消息的函数。你可以把设备控制函数看做Windows函数的等价物。

 DeviceID:VxD程序的16位惟一标识符,当且仅当VxD程序需要处理以下情况时,需要用到这个ID:

● VxD程序导出一些供其他VxD程序使用的VxD服务。因为20H中断接口用设备ID来定位/区分VxD程序,所以一个惟一的ID对你的VxD程序是必要的。

● VxD程序要在初始化中断2FH、1607H时通知实模式程序它的存在。

● 有一些实模式软件(TSR)要用中断2FH、1605H来加载VxD程序。

如果VxD程序不需要一个惟一的设备ID,则可以把这一项设为UNDEFINED_DEVICE_ID;如果需要它,则可以向Microsoft申请一个。

 InitOrder:初始化的顺序。简单地说,就是加载的顺序。VMM就按照这个次序来加载VxD程序。每个VxD程序都有一个加载次序号,例如:

VMM_INIT_ORDER EQU 000000000H

DEBUG_INIT_ORDER EQU 000000000H

DEBUGCMD_INIT_ORDER EQU 000000000H

PERF_INIT_ORDER EQU 000900000H

APM_INIT_ORDER EQU 001000000H

可以看到,VMM, DEBUG和DEBUGCMD是首先加载的VxD程序,然后是PERF和APM。初始化顺序值越低的VxD程序越先被加载。如果VxD程序在初始化时需要用到其他VxD程序提供的服务,那么必须把初始化顺序的值设得比你所要调用的那个VxD程序的值大。这样,当VxD程序加载时,所要的VxD就已经在内存中为你准备好了。如果不想去管VxD的初始化顺序,就把这个参数填写为UNDEFINED_INIT_ORDER 。

 V86Proc和PMProc:程序可以导出供V86和保护模式程序使用的API,这两个参数就是用来填写这些API的地址。记住,VxD程序除了监控系统虚拟机外,还要监控一个或多个运行在DOS或者保护模式下的虚拟机程序。VxD程序理所当然要为DOS和保护模式程序提供API支持。如果你不导出这些API,则可以不填这两个参数。

 RefData:这是输入输出监视器(IOS)要用到的参考数据。只有在一种情况下要用到这个参数,即当在为IOS编写一个层驱动程序时。否则,可以不填这个参数。

④ VxD的事件处理

当实模式初始化完成后,VMM将通过专门的消息方法来通知所有的VxD发生了什么。VxD的消息处理就像Windows的窗口消息处理一样,能通过如下一组切换函数:

switch (事件){

case 系统初始化事件

处理此消息代码

case VM初始化

处理此消息代码

...

case 其他

...

}

为了给VxD发送消息,VMM就会从VxD的DDB中取得设备控制函数的地址,在EAX中放置的是消息的值,EBX中放入当前VM的句柄,接着调用对应的函数。

相关推荐
iFlyCai4 小时前
C语言中的指针
c语言·数据结构·算法
良木生香7 小时前
【C++初阶】:C++类和对象(下):构造函数promax & 类型转换 & static & 友元 & 内部类 & 匿名对象 & 超级优化
c语言·开发语言·c++
无巧不成书02188 小时前
C语言零基础速通指南 | 1小时从入门到跑通完整项目
c语言·开发语言·编程实战·c语言入门·零基础编程·c语言速通
jimy110 小时前
C语言函数指针
c语言·开发语言
眺望电子-ARM嵌入式12 小时前
RK3588 Type-C一线通,DP显示输出实战指南
c语言·开发语言
wangjialelele12 小时前
从磁盘查找理解 B 树 | B+树:原理、插入、分裂与性能分析
c语言·开发语言·数据结构·c++·b树
Tanecious.12 小时前
蓝桥杯备赛:Day1-P1101 单词方阵
c语言·c++·蓝桥杯
江玖_12 小时前
C语言从入门到放弃
c语言·开发语言
half~12 小时前
贵师大C语言备考
c语言·数据结构·算法
爱编码的小八嘎13 小时前
C语言完美演绎6-18
c语言
热门推荐
01GitHub 镜像站点02Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)03VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程052026年3月AI领域大事件:DeepSeek引领开源风暴06【技术干货】Gemma 4 上手深度指南:本地多模态大模型的新基线07纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!08AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南09最新更新版本,OpenClaw v2026.4.2 深度解读剖析:Task Flow 重磅回归与安全架构的全面硬化10Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services