没画完的画

喂马 劈柴 BBQ~
posts - 37, comments - 55, trackbacks - 0, articles - 0
  C++博客 ::  :: 新随笔 :: 联系 :: 聚合  :: 管理

关于 TrueCrypt 续集

Posted on 2008-09-04 17:04 没画完的画 阅读(1198) 评论(0)  编辑 收藏 引用 所属分类: Windows Driver

2008.09.04

此篇是(关于 TrueCrypt)的续集, 在看此篇前先看上篇,不然会很危险

从 DriverEntry 看起

NTSTATUS
DriverEntry (
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
{
// 读取注册时使用的变量
UNICODE_STRING parameter_path;
RTL_QUERY_REGISTRY_TABLE query_table[2];
ULONG n_devices;

NTSTATUS status;
UNICODE_STRING device_dir_name;
OBJECT_ATTRIBUTES object_attributes;
ULONG n;
USHORT n_created_devices;
// #define PARAMETER_KEY L"\\Parameters"
parameter_path.Length = 0;
parameter_path.MaximumLength = RegistryPath->Length + sizeof(PARAMETER_KEY);
parameter_path.Buffer = (PWSTR) ExAllocatePool(PagedPool, parameter_path.MaximumLength);
if (parameter_path.Buffer == NULL)
return STATUS_INSUFFICIENT_RESOURCES;
RtlCopyUnicodeString(&parameter_path, RegistryPath);
RtlAppendUnicodeToString(&parameter_path, PARAMETER_KEY);
RtlZeroMemory(&query_table[0], sizeof(query_table));
query_table[0].Flags = RTL_QUERY_REGISTRY_DIRECT | RTL_QUERY_REGISTRY_REQUIRED;
query_table[0].Name = NUMBEROFDEVICES_VALUE; // #define NUMBEROFDEVICES_VALUE L"NumberOfDevices"
query_table[0].EntryContext = &n_devices;
status = RtlQueryRegistryValues(
RTL_REGISTRY_ABSOLUTE,
parameter_path.Buffer,
&query_table[0],
NULL,
NULL
);
ExFreePool(parameter_path.Buffer);
if (!NT_SUCCESS(status))
{
// 如果读取注册表失败, 则默认为 4个
// #define DEFAULT_NUMBEROFDEVICES 4
KdPrint(("FileDisk: Query registry failed, using default values.\n"));
n_devices = DEFAULT_NUMBEROFDEVICES;
}
// 下面的代码完成在设备目录中创建对应的目录
/*
* #define DEVICE_BASE_NAME _T("\\FileDisk")
* #define DEVICE_DIR_NAME _T("\\Device") DEVICE_BASE_NAME
* #define DEVICE_NAME_PREFIX DEVICE_DIR_NAME DEVICE_BASE_NAME
*/
RtlInitUnicodeString(&device_dir_name, DEVICE_DIR_NAME);
InitializeObjectAttributes(
&object_attributes,
&device_dir_name,
OBJ_PERMANENT,
NULL,
NULL
);
status = ZwCreateDirectoryObject(
&dir_handle,
DIRECTORY_ALL_ACCESS,
&object_attributes
);
if (!NT_SUCCESS(status))
{
return status;
}
// 将上面创建的设备目录属性设置为 临时
ZwMakeTemporaryObject(dir_handle);
for (n = 0, n_created_devices = 0; n < n_devices; n++)
{
status = FileDiskCreateDevice(DriverObject, n, FILE_DEVICE_DISK);
if (NT_SUCCESS(status))
{
n_created_devices++;
}
}
for (n = 0; n < n_devices; n++)
{
status = FileDiskCreateDevice(DriverObject, n, FILE_DEVICE_CD_ROM);
if (NT_SUCCESS(status))
{
n_created_devices++;
}
}
if (n_created_devices == 0)
{
ZwClose(dir_handle);
return status;
}
DriverObject->MajorFunction[IRP_MJ_CREATE] = FileDiskCreateClose;
DriverObject->MajorFunction[IRP_MJ_CLOSE] = FileDiskCreateClose;
DriverObject->MajorFunction[IRP_MJ_READ] = FileDiskReadWrite;
DriverObject->MajorFunction[IRP_MJ_WRITE] = FileDiskReadWrite;
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = FileDiskDeviceControl;
DriverObject->DriverUnload = FileDiskUnload;
return STATUS_SUCCESS;
}


DriverEntry() 做的大概东西就是:
1、读取注册表的
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileDisk\Parameters\
下面的 NumberOfDevices 这个值
2、如果指定的设备目录(\\FileDisk\\Device)不存在, 创建对应的设备目录
3、然后调用 IoCreateDevice() 在创建的设备目录下创建设备
4、每创建一个设备都同时创建一个线程,具体用来做什么,正在摸索中.........

问题1: RTL_QUERY_REGISTRY_TABLE query_table[2]; // 这里为何要定义为 2?
-- 未解决,先看下在应用层读取注册表是如何做的先!

问题2: 将上面创建的设备目录属性设置为 临时 ZwMakeTemporaryObject(dir_handle);
-- 未解决,设置属性为临时的作用是? 重启系统时这个设备目录会不存在? 如果不设置这个属性,重启系统后还存在?

问题3: 为何在 DriverEntry() 里就用 IoCreateDevice() 创建设备?不是等应用层运行用 mount 后才创建设备的吗?
-- 未解决,先郁闷一下!!!!

问题4: 关于[设备目录]的疑问,[设备目录]是个什么东东?……
-- 未解决,在N久前,好像看过这样一篇文章,讲的是 Windows 下面所有内核对象都是采用对象管理 之类的
有空再找下这方面的详细资料!!! 再郁闷一下!!!

问题5、FileDiskCreateDevice() 函数中在调用了 IoCreateDevice() 创建设备后
设置了 device_object 的属性, 这些语句的作用是什么?
device_object->Flags |= DO_DIRECT_IO;

device_extension = (PDEVICE_EXTENSION) device_object->DeviceExtension;

device_extension->media_in_device = FALSE;

if (DeviceType == FILE_DEVICE_CD_ROM)
{
device_object->Characteristics |= FILE_READ_ONLY_DEVICE;
device_extension->read_only = TRUE;
}


另外奇怪的是, 为何设置 device_object 的属性后,不需要调 update() 之类的函数,
重新设置的属性在设置完后就生效????

问题6、FileDisk.sys 在 DriverEntry() 就创建了四个设备,四条内核线程,导致 mount 最多就 4 个设备,
为何不做成可以动态加载N个设备?(因为我见过其它类似于 TrueCrypt 的工具,是可以动态Mount N个分区的)

接下来,应该先了解下 驱动与应用层的通信方式是怎样的先!Google 一下


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   博问   Chat2DB   管理