Posted on 2009-10-25 00:24
S.l.e!ep.¢% 閱讀(1574)
評論(1) 編輯 收藏 引用 所屬分類:
RootKit
2.1.3 無處不在的內核模塊
http://book.51cto.com? 2009-05-26 22:56? 譚文/楊瀟/邵堅磊? 電子工業出版社? 我要評論(0)
摘要:《寒江獨釣:Windows內核安全編程》第2章內核編程環境及其特殊性,本章首先介紹內核程序的生存運行環境,然后介紹在Windows內核編程中,所習慣遵守的“WDK編碼習慣”,主要是其中所用的新定義的數據類型,以及在內核編程中所常用的一些函數調用等。本節為大家介紹無處不在的內核模塊。
標簽:Windows? 內核編程? 寒江獨釣:Windows內核安全編程
2.1.3? 無處不在的內核模塊
位于高2G空間內的操作系統內核,并非做死的一個巨大程序。因為計算機硬件種類繁多,不可能做出一個能支持所有硬件的巨大內核。
內核是有接口的,微軟提供規定的格式,讓硬件驅動的編程人員,能按照規定的格式編寫“驅動程序”。這些驅動程序能夠作為模塊加載到內核中,成為內核的一部分,這樣內核只要簡單地安裝驅動程序,就可以適應各種不同的硬件了。
本書中的大部分例子都是編譯成內核模塊的,實際上也可以稱為驅動程序(Driver)。但是它們大部分并不驅動任何硬件,有人稱之為“軟件驅動”。但是筆者認為這不夠貼切,所以本書使用Linux程序員們的叫法,稱之為內核模塊(Kernel module)。也許這樣要更貼切一些,驅動程序可以看成內核模塊的一種(少量的應用層驅動程序除外)。
內核模塊已經位于內核空間,作為R0代碼執行,所以不受任何限制,可以任意修改內核。因此許多使用應用程序無法實現的功能,可以通過編寫內核模塊來實現。
起初的Windows,似乎并沒有打算讓應用軟件的編程人員來提供內核模塊。但是,一些特殊的應用軟件的編程人員首先自己突破了這些限制,他們編寫了虛擬光驅、防毒軟件的實時監控、防火墻等特殊的不驅動任何硬件的內核模塊。最終微軟也意識到了內核編程對軟件也是很有用的,因此在內核中又提供了更多的接口,比如方便進行文件過濾、網絡過濾等的新接口,這些是專門提供給非硬件驅動開發的軟件編程人員使用的。
WDK是微軟目前提供的最新的驅動開發包,同時也包括了給軟件內核編程提供的所有接口和例子。硬件驅動與軟件的內核編程這二者目前并沒有嚴格分開,雙方的技術和許多代碼都是相通的。
初學者在編寫一個內核模塊時,常常有的一個疑問就是:這些代碼運行在哪個進程的空間中呢?
內核模塊位于內核空間,而內核空間又被所有的進程共享。因此,內核模塊實際上位于任何一個進程空間中。但是任意一段代碼的任意一次執行,一定是位于某個進程空間中的。這個進程是哪一個?這取決于請求的來源、處理的過程等。PsGetCurrentProcessId函數能得到當前進程的進程號,這個函數的原型如下:
HANDLE PsGetCurrentProcessId();
?
這個函數返回的HANDLE,實際上是一個進程ID。這個數字和我們打開任務管理器時,看到的PID是一樣的。
有些讀者會誤以為所有內核代碼都運行在系統進程內。
Windows的所謂系統進程是一個名為“System”的進程,是Windows自身生成的一個特殊進程,這個進程在Windows XP下PID始終為4。讀者只要調用PsGetCurrentProcessId就會發現內核模塊中分發函數調用時,當前進程一般都不是System進程。但是DriverEntry函數被調用時,一般都位于系統進程中。這是因為Windows一般都用系統進程來加載內核模塊,并不說明內核代碼始終運行在System進程里。