第3章 Windows运行机理-3.1 内核分析(3)

爱编码的小八嘎2026-02-20 15:30

如果一个VxD只是为了某个应用提供某种服务,选择动态加载就比较好,因为VxD能在需要时加载,在用完后就立即卸载。这两种加载方式所响应的VMM消息有一点不同,有的只能响应静态VxD,有的则只能响应动态VxD。但大多数消息对这两种方式都能响应。

③ DDB的结构

设备描述块(The Device Descriptor Block)简称DDB,是VMM联系VxD的句柄。DDB中包括了VxD的信息和指向VxD主要的入口指针。当然,为了给其他的应用程序使用,也可以包括指向其他入口的指针。表3.1是DDB的数据结构。

表3.1 DDB的数据结构

字段区域

描述

Name

8个字节的VxD名称

Major Version

VxD的主版号,与Windows的版本号无关

Minor Version

VxD的从版号,与Windows的版本号无关

Device Control Procedure

设备控制过程的地址

Device ID

Microsoft分配的惟一的ID号

Initialization Order

通常是Undefine_Init_Order 。如果要强制在某个指定的VxD初始化之前或结束之后进行初始化,那就在VMM.INC中找到相应的Init_Order加1或减1

Service Table

服务表的地址

V86 API Procedure

V86 API函数的地址

PM API Procedure

PM API函数的地址

VxD源程序中的标号是不区分大小写的,大写、小写或者混合起来用,都可以。

下面对这些字段做些说明

 Name :VxD的名字,最多8个字符。它必须是大写!在系统中的所有VxD程序里,它们的名字不能重复,每个VxD的名字应该是惟一的。这个宏同时也会根据这个名字产生DDB的名字,产生的办法就是在这个名字的后面加上_DDB。

 MajorVer和MinorVer:VxD的主要的和次要的版本。

 CtrlProc:VxD程序的设备控制函数的名字。设备控制函数是一个接受和处理VxD程序的控制消息的函数。你可以把设备控制函数看做Windows函数的等价物。

 DeviceID:VxD程序的16位惟一标识符,当且仅当VxD程序需要处理以下情况时,需要用到这个ID:

● VxD程序导出一些供其他VxD程序使用的VxD服务。因为20H中断接口用设备ID来定位/区分VxD程序,所以一个惟一的ID对你的VxD程序是必要的。

● VxD程序要在初始化中断2FH、1607H时通知实模式程序它的存在。

● 有一些实模式软件(TSR)要用中断2FH、1605H来加载VxD程序。

如果VxD程序不需要一个惟一的设备ID,则可以把这一项设为UNDEFINED_DEVICE_ID;如果需要它,则可以向Microsoft申请一个。

 InitOrder:初始化的顺序。简单地说,就是加载的顺序。VMM就按照这个次序来加载VxD程序。每个VxD程序都有一个加载次序号,例如:

VMM_INIT_ORDER EQU 000000000H

DEBUG_INIT_ORDER EQU 000000000H

DEBUGCMD_INIT_ORDER EQU 000000000H

PERF_INIT_ORDER EQU 000900000H

APM_INIT_ORDER EQU 001000000H

可以看到,VMM, DEBUG和DEBUGCMD是首先加载的VxD程序,然后是PERF和APM。初始化顺序值越低的VxD程序越先被加载。如果VxD程序在初始化时需要用到其他VxD程序提供的服务,那么必须把初始化顺序的值设得比你所要调用的那个VxD程序的值大。这样,当VxD程序加载时,所要的VxD就已经在内存中为你准备好了。如果不想去管VxD的初始化顺序,就把这个参数填写为UNDEFINED_INIT_ORDER 。

 V86Proc和PMProc:程序可以导出供V86和保护模式程序使用的API,这两个参数就是用来填写这些API的地址。记住,VxD程序除了监控系统虚拟机外,还要监控一个或多个运行在DOS或者保护模式下的虚拟机程序。VxD程序理所当然要为DOS和保护模式程序提供API支持。如果你不导出这些API,则可以不填这两个参数。

 RefData:这是输入输出监视器(IOS)要用到的参考数据。只有在一种情况下要用到这个参数,即当在为IOS编写一个层驱动程序时。否则,可以不填这个参数。

④ VxD的事件处理

当实模式初始化完成后,VMM将通过专门的消息方法来通知所有的VxD发生了什么。VxD的消息处理就像Windows的窗口消息处理一样,能通过如下一组切换函数:

switch (事件){

case 系统初始化事件

处理此消息代码

case VM初始化

处理此消息代码

...

case 其他

...

}

为了给VxD发送消息,VMM就会从VxD的DDB中取得设备控制函数的地址,在EAX中放置的是消息的值,EBX中放入当前VM的句柄,接着调用对应的函数。

相关推荐
祈安_2 小时前
深入理解指针(三)
c语言·后端
m0_531237172 小时前
C语言-函数练习2
c语言·开发语言
fly的fly2 小时前
RT-Thread消息队列源码机制讲解
c语言·stm32·物联网
小付同学呀3 小时前
C语言学习(四)——C语言变量、常量
c语言·开发语言
艾莉丝努力练剑3 小时前
【Linux:文件】进程间通信
linux·运维·服务器·c语言·网络·c++·人工智能
小野嵌入式3 小时前
3小时精通嵌入式串口通信!从零玩转ESP32+Modbus+OTA(1)
c语言·单片机·嵌入式硬件·mcu·物联网
枫叶丹44 小时前
【Qt开发】Qt界面优化(五)-> Qt样式表(QSS) 子控件选择器
c语言·开发语言·数据库·c++·qt
Once_day5 小时前
GCC编译(4)构造和析构函数
c语言·c++·编译和链接
StandbyTime5 小时前
C语言学习-菜鸟教程C经典100例-练习76
c语言
热门推荐
01GitHub 镜像站点02从零搭建一个 PHP 登录注册系统(含完整源码)03AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot04MIUI显示/隐藏5G开关的方法,信号弱时开启手机Wifi通话方法05openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南06使用 1panel面板 部署 php网站07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08全面体验 Grok API 中转站(2025 · Grok 4 系列最新版)09配置 OpenClaw 使用 Ollama 本地模型10如何解决 OpenClaw “Pairing required” 报错:两种官方解决方案详解