wdk串口过滤

Ⅰ 查R3层函数对应的内核函数的方法

3.2 获得实际数据
这一章我们一直都在开发一个可以捕获串口上的数据的过滤程序。现在虚拟设备已经绑定了真正的串口设备，那么，实际上如何从虚拟设备得到串口上流过的数据呢？答案是根据“请求”。操作系统将请求发送给串口设备，请求中就含有要发送的数据，请求的回答中则含有要接收的数据。下面分析这些“请求”，以便得到实际的串口数据流。

3.2.1 请求的区分
Windows的内核开发者们确定了很多的数据结构，在前面的内容中我们逐渐地和DEVICE_OBJECT（设备对象）、FILE_OBJECT（文件对象）和DRIVER_OBJECT（驱动对象）见了面。文件对象暂时没有什么应用（但是在本书后面的文件系统过滤中，文件对象是极为重要的）。读者需要了解的是：

（1）每个驱动程序只有一个驱动对象。

（2）每个驱动程序可以生成若干个设备对象，这些设备对象从属于一个驱动对象。在一个驱动中可否生成从属于其他驱动的驱动对象的设备对象呢？从IoCreateDevice的参数来看，这样做是可以的，但是笔者没有尝试过这样的应用。

（3）若干个设备（它们可以属于不同的驱动）依次绑定形成一个设备栈，总是最顶端的设备先接收到请求。

请注意：IRP是上层设备之间传递请求的常见数据结构，但是绝对不是唯一的数据结构。传递请求还有很多其他的方法，不同的设备也可能使用不同的结构来传递请求。但在本书中，90%的情况下，请求与IRP是等价概念。

串口设备接收到的请求都是IRP，因此只要对所有IRP进行过滤，就可以得到串口上流过的所有数据。串口过滤时只需要关心有两种请求：读请求和写请求。对串口而言，读指接收数据，而写指发出数据。串口也还有其他的请求，比如打开和关闭、设置波特率等。但是我们的目标只是获得串口上流过的数据，而不关心打开关闭和波特率是多少这样的问题，所以一概无视。

请求可以通过IRP的主功能号进行区分。IRP的主功能号是保存在IRP栈空间中的一个字节，用来标识这个IRP的功能大类。相应的，还有一个次功能号来标识这个IRP的功能细分小类。

读请求的主功能号为IRP_MJ_READ，而写请求的主功能号为IRP_MJ_WRITE。下面的方法用于从一个IRP指针得到主功能号（这里的变量irp是一个PIRP，也就是IRP的指针）。

// 这里的irpsp称为IRP的栈空间，IoGetCurrentIrpStackLocation获得当前栈空间

// 栈空间是非常重要的数据结构

PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);

if(irpsp->MajorFunction == IRP_MJ_WRITE)

{

// 如果是写…

}

else if(irpsp->MajorFunction == IRP_MJ_READ)

{

// 如果是读…

}

3.2.2 请求的结局
对请求的过滤，最终的结局有3种：

（1）请求被允许通过了。过滤不做任何事情，或者简单地获取请求的一些信息。但是请求本身不受干扰，这样系统行为不会有变化，皆大欢喜。

（2）请求直接被否决了。过滤禁止这个请求通过，这个请求被返回错误了，下层驱动程序根本收不到这个请求。这样系统行为就变了，后果是常常看见上层应用程序弹出错误框提示权限错误或者读取文件失败之类信息。

（3）过滤完成了这个请求。有时有这样的需求，比如一个读请求，我们想记录读到了什么。如果读请求还没有完成，那么如何知道到底会读到什么呢？只有让这个请求先完成再去记录。过滤完成这个请求时不一定要原封不动地完成，这个请求的参数可以被修改（比如把数据都加密一番）。

当过滤了一个请求时，就必须把这个请求按照上面3种方法之一进行处理。当然这些代码会写在一个处理函数中。如何使用这个处理函数将在后面的小节中提及，这里先介绍这些处理方法的代码应该怎么写。

串口过滤要捕获两种数据：一种是发送出的数据（也就是写请求中的数据），另一种是接收的数据（也就是读请求中的数据）。为了简单起见，我们只捕获发送出的数据，这样，只需要采取第1种处理方法即可。至于第2、3两种处理方法，读者会在后面的许多过滤程序中碰到。

这种处理最简单。首先调用IoSkipCurrentIrpStackLocation跳过当前栈空间；然后调用IoCallDriver把这个请求发送给真实的设备。请注意：因为真实的设备已经被过滤设备绑定，所以首先接收到IRP的是过滤设备的对象。代码如下（irp是过滤到的请求）：

// 跳过当前栈空间

IoSkipCurrentIrpStackLocation(irp);

// 将请求发送到对应的真实设备。记得我们前面把真实设备都保存在s_nextobj

// 数组中。那么这里i应该是多少？这取决于现在的IRP发到了哪个

// 过滤设备上。后面讲解分发函数时读者将了解到这一点

status = IoCallDriver(s_nextobj[i],irp);

3.2.3 写请求的数据
那么，一个写请求（也就是串口一次发送出的数据）保存在哪里呢？回忆前面关于IRP结构的描述（第2章的2.3.3节），里面一共有3个地方可以描述缓冲区：一个是irp->MDLAddress，一个是irp->UserBuffer，一个是irp->AssociatedIrp.SystemBuffer。不同的IO类别，IRP的缓冲区不同。SystemBuffer是一般用于比较简单且不追求效率情况下的解决方案：把应用层（R3层）中内存空间中的缓冲数据拷贝到内核空间。

UserBuffer则是最追求效率的解决方案。应用层的缓冲区地址直接放在UserBuffer里，在内核空间中访问。在当前进程和发送请求进程一致的情况下，内核访问应用层的内存空间当然是没错的。但是一旦内核进程已经切换，这个访问就结束了，访问UserBuffer当然是跳到其他进程空间去了。因为在Windows中，内核空间是所有进程共用的，而应用层空间则是各个进程隔离的。

当然一个更简单的解决方案是把应用层的地址空间映射到内核空间，这需要在页表中增加一个映射。当然这不需要编程者手工去修改页表，通过构造MDL就能实现这个功能。MDL可以翻译为“内存描述符链”，但是本书按业界传统习惯一律称之为MDL。IRP中的MDLAddress域是一个MDL的指针，从这个MDL中可以读出一个内核空间的虚拟地址。这就弥补了UserBuffer的不足，同时比SystemBuffer的完全拷贝方法要轻量，因为这个内存实际上还是在老地方，没有拷贝。

回到串口的问题，那么串口写请求到底用的是哪种方式呢？老实点说，笔者并不清楚也没有去调查到底是哪种方式。但是如果用下面的编码方式，无论采用哪种方式，都可以把数据正确地读出来。

PBYTE buffer = NULL;

if(irp->MdlAddress != NULL)

buffer = (PBYTE)MmGetSystemAddressForMdlSafe(irp->MdlAddress);

else

buffer = (PBYTE)irp->UserBuffer;

if(buffer == NULL)

buffer = (PBYTE)irp->AssociatedIrp.SystemBuffer;

这其中涉及一个函数MmGetSystemAddressForMdlSafe，有兴趣的读者可以在WDK的帮助中查阅一下这个函数的含义。同时也可以深入了解一下MDL，但是对阅读本书重要性不是很明显。本书的后面涉及从MDL得到系统空间虚拟地址的情况下，都简单地调用MmGetSystemAddressForMdlSafe。

此外是缓冲区有多长的问题。对一个写操作而言，长度可以如下获得：

ULONG length = irpsp->Parameters.Write.Length;
3.3 完整的代码
3.3.1 完整的分发函数
下面基于前面的描述，我们再尝试编写一个分发函数。这个函数处理所有串口的写请求，所有从串口输出的数据都用DbgPrint打印出来。也就是说，读者打开DbgView.exe，就可以看到串口的输出数据了。这当然不如一些比较专业的串口嗅探软件好，但是读者可以以这个例子为基础开发更专业的工具。

NTSTATUS ccpDispatch(PDEVICE_OBJECT device,PIRP irp)

{

PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(irp);

NTSTATUS status;

ULONG i,j;

// 首先要知道发送给了哪个设备。设备最多一共有CCP_MAX_COM_ID

// 个，是前面的代码保存好的，都在s_fltobj中

for(i=0;i<CCP_MAX_COM_ID;i++)

{

if(s_fltobj[i] == device)

{

// 所有电源操作，全部直接放过

if(irpsp->MajorFunction == IRP_MJ_POWER)

{

// 直接发送，然后返回说已经被处理了

PoStartNextPowerIrp(irp);

IoSkipCurrentIrpStackLocation(irp);

return PoCallDriver(s_nextobj[i],irp);

}

// 此外我们只过滤写请求。写请求，获得缓冲区及其长度

// 然后打印

if(irpsp->MajorFunction == IRP_MJ_WRITE)

{

// 如果是写，先获得长度

ULONG len = irpsp->Parameters.Write.Length;

// 然后获得缓冲区

PUCHAR buf = NULL;

if(irp->MdlAddress != NULL)

buf =

(PUCHAR)MmGetSystemAddressForMdlSafe(

irp->MdlAddress,NormalPagePriority);

else

buf = (PUCHAR)irp->UserBuffer;

if(buf == NULL)

buf = (PUCHAR)irp->AssociatedIrp.SystemBuffer;

// 打印内容

for(j=0;j<len;++j)

{

DbgPrint("comcap: Send Data: %2x\r\n",

buf[j]);

}

}

// 这些请求直接下发执行即可，我们并不禁止或者改变它

IoSkipCurrentIrpStackLocation(irp);

return IoCallDriver(s_nextobj[i],irp);

}

}

// 如果根本就不在被绑定的设备中，那是有问题的，直接返回参数错误

irp->IoStatus.Information = 0;

irp->IoStatus.Status = STATUS_INVALID_PARAMETER;

IoCompleteRequest(irp,IO_NO_INCREMENT);

return STATUS_SUCCESS;

}

3.3.2 如何动态卸载
前面只说了如何绑定，但是没说如何解除绑定。如果要把这个模块做成可以动态卸载的模块，则必须提供一个卸载函数。我们应该在卸载函数中完成解除绑定的功能；否则，一旦卸载一定会蓝屏。

这里涉及到3个内核API：一个是IoDetachDevice，负责将绑定的设备解除绑定；另一个是IoDeleteDevice，负责把我们前面用IoCreateDevice生成的设备删除掉以回收内存；还有一个是KeDelayExecutionThread，纯粹负责延时。这三个函数的参数相对简单，这里就不详细介绍了，需要的读者请查阅WDK的帮助。

卸载过滤驱动有一个关键的问题：我们要终止这个过滤程序，但是一些IRP可能还在这个过滤程序的处理过程中。要取消这些请求非常的麻烦，而且不一定能成功。所以解决方案是等待5秒来保证安全地卸载掉。只能确信这些请求会在5秒内完成，同时等待之前我们已经解除了绑定，所以这5秒内不会有新请求发送过来处理。这对于串口而言是没问题的，但是并非所有的设备都如此。所以读者在后面的章节会看到不同的处理方案。

#define DELAY_ONE_MICROSECOND (-10)

#define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)

#define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)

void ccpUnload(PDRIVER_OBJECT drv)

{

ULONG i;

LARGE_INTEGER interval;

// 首先解除绑定

for(i=0;i<CCP_MAX_COM_ID;i++)

{

if(s_nextobj[i] != NULL)

IoDetachDevice(s_nextobj[i]);

}

// 睡眠5秒。等待所有IRP处理结束

interval.QuadPart = (5*1000 * DELAY_ONE_MILLISECOND);

KeDelayExecutionThread(KernelMode,FALSE,&interval);

// 删除这些设备

for(i=0;i<CCP_MAX_COM_ID;i++)

{

if(s_fltobj[i] != NULL)

IoDeleteDevice(s_fltobj[i]);

}

}

3.3.3 完整的代码
这个驱动的完整代码比较简单。前面已经介绍了一些函数，请把这些函数都拷贝下来集中到comcap.c文件里。再建立一个目录，名为comcap来容纳这个文件。这个文件的内容大致如下：

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)

{

size_t i;

// 所有的分发函数都设置成一样的

for(i=0;i<IRP_MJ_MAXIMUM_FUNCTION;i++)

{

driver->MajorFunction[i] = ccpDispatch;

}

// 支持动态卸载

driver->DriverUnload = ccpUnload;

// 绑定所有的串口

ccpAttachAllComs(driver);

// 直接返回成功即可

return STATUS_SUCCESS;

}

然后编写一个SOURCE文件，内容如下：

TARGETNAME=comcap

TARGETPATH=obj

TARGETTYPE=DRIVER

SOURCES =comcap.c

将这个文件也放在comcap目录下。参考1.1.3节中的方法编译，然后加载执行这个驱动。设法通过串口传输数据，打开DbgView.exe就能看到输出信息了。

这个例子的代码在随书附带光盘源代码的comcap目录下。

本章的示例代码
本章的例子在源代码目录comcap下，编译结果为comcap，可以动态加载和卸载。编译的方法请参考本书的附录“如何使用本书的源码光盘”。加载后，如果有数据从串口输出，打开DbgView.exe就会看到输出信息了。

一般的读者可能没有使用串口的打印机，但是可以用如下的方法简单地使用串口，以便让这个程序起作用：打开“开始”菜单→“所有程序”→“附件”→“通讯”→“超级终端”，然后任意建立一个连接，如图3-1所示。

图3-1 打开“超级终端”用串口拨号

注意连接时使用的COM1就是第一个串口。这样单击“确定”按钮之后，在上面的文本框中任意输入字符串就会被发送到串口。此时如果加载了comapp.sys，那么在DbgView.exe中就应该可以看到输出信息如图3-2所示。

图3-2 用comcap捕获的串口数据

练习题
1．纸上练习
（1）在这一章中，所谓的过滤是什么意思？有什么意义？

（2）何为内核对象？我们已经接触到了哪几种内核对象？

（3）何为设备对象？你能在Windows系统中指出已经存在的至少5个设备对象吗？

（4）DO是什么的简称?

（5）何为绑定？哪些内核API可以实现设备的绑定？

2．上机练习
（1）编译comcap.c并执行，用DbgView看输出结果。

（2）对comcap.c进行修改，使之对所有的串口输出都禁止，然后测试。

（3）用WinObj找到并口设备的名字，并把comcap.c的代码改为对并口的过滤。

（4）有条件的读者请找一台并口打印机，尝试打印一个文本文件，然后用DbgView观察从并口过滤拦截到的数据。

Ⅱ 单片机uart通讯中的UART通讯的波特率设置问题

方式零，不属于 UART，是 SPI 。
－－－－－－－－－－－
楼主弄混了概念。

51 单片机在串口方式0时，称为《同步传送方式》，并不是 UART (异步)方式。
两者并不兼容。

在同步传送方式，以 P3.0 输入、输出数据，以 P3.1 输出同步脉冲。
注意，数据的输入、输出，都是从 P3.0 走的。

在同步传送方式，数据的传输速度是 1M bit/s。比 UART，要快得很多。
而且，在同步传送方式，没有起始位、校验位和结束位，每一位，都是数据。

因此，在《同步传送方式》，并没有常说的 9600、4800...，等波特率。
同样，在 UART 中，也就没有 1M bit/s 这样的说法。

－－每秒可以发送10^6个数据位，这时候的波特率是1mbit/s，
－－那么在数据传输时波特率岂不是要设为1000，但是常用的为什么没有1000？

把它们混在一起讨论，是楼主的基本概念不清的表现。
楼主所选的答案，也没有搞清串口方式0的特点，只是用 UART 的理论来解释《同步传送》。
葫芦搅茄子而已，呵呵

Ⅲ 串口未打开什么意思

为确保参合农民从新农合门诊统筹补偿政策中受益，规范各新农合定点医疗机构和经办机构门诊补偿操作程序，特制定以下操作规程。 一、参合农民因病需到门诊就诊的，可在县内自主选择新农合定点门诊就诊。 二、参合患者在新农合定点门诊就诊时，先出示《合作医疗证》，医师核实患者身份，无误后，再为患者开具复式处方，患者划价缴费后，持门诊发票和处方附件到新农合定点门诊兑付窗口直接按规定补偿门诊费用（村卫生室定点门诊可直接冲减）。 三、定点门诊新农合兑付窗口工作人员先在新农合专网上核实患者身份，查验是否参合，再查看患者《合作医疗证》上门诊统筹补偿支付情况（同时在新农合专网上查询），若该患者年内门诊统筹补偿总额未满40元，则可以结算支付该次门诊费用，并将此次结算支付情况如实记录到《合作医疗证》上 “门诊补偿情况”栏内的 “患者姓名、就诊医院、时间、支付金额、结算人”五个小项中，同时填写“门诊补偿登记表”，在复式处方上填写补偿金额，经患者签字确认后当场领取现金。 四、定点门诊新农合兑付窗口将补偿后的门诊发票、复式处方作为结算材料留存，并按补偿顺序每人每次进行编号，同时将补偿病人相关信息录入电脑，在规定时间内带“复式处方”连同“门诊补偿登记表”“汇总表”先报本乡镇农医专职审核员复核，核查无误的，再报乡镇农医站审核，经乡镇专职审核员和乡镇农医站签署意见并盖章后，再报县农医办结算，原则上每月一次。五、定点门诊每月将已汇总的门诊结算材料上报县农医办，先交补偿监审处初审，主要审核患者是否合格、补偿计算是否准确、药品诊疗项目是否把握准确、审核报账资料是否齐全、监管资料是否完整等，将审核中发现的问题如实记录到“芷江县新型农村合作医疗门诊补偿审核汇总表”上（一式两份），多报的应如数扣除，此批次审核结束后将实报金额填写到审核意见栏内。 六、补偿监审处将初审后的门诊结算资料传微机管理处审核，主要审核补偿金额与电脑数据是否相符、录入程序及日期是否正确等。七、微机管理处将审核汇总表（一式两份）传财务室复核数据，开具申请拨款单。财务室将审核汇总表及申请拨款单交领导审批并签署意见，财务室根据审核后的审定金额为定点门诊拨付资金。

Ⅳ 寒江独钓：Windows内核安全编程的图书目录

第1章 内核上机指导 1
Windows内核编程的动手有点麻烦，并不是仅仅安装一个独立的软件（比如VC）之后就可以安然地开始编写代码，然后运行了。需要下载开发包、配置开发环境、准备调试工具，可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略，来引导读者完成这一麻烦的步骤。
1.1 下载和使用WDK 2
1.1.1 下载安装WDK 2
1.1.2 编写第一个C文件 3
1.1.3 编译一个工程 5
1.2 安装与运行 6
1.2.1 下载一个安装工具 6
1.2.2 运行与查看输出信息 7
1.2.3 在虚拟机中运行 9
1.3 调试内核模块 9
1.3.1 下载和安装WinDbg 9
1.3.2 设置Windows XP调试执行 10
1.3.3 设置Vista调试执行 11
1.3.4 设置VMWare的管道虚拟串口 11
1.3.5 设置Windows内核符号表 13
1.3.6 实战调试first 14
练习题 16
第2章 内核编程环境及其特殊性 17
编写过驱动程序的读者可能会很熟悉这一切，但是对只从事过应用程序的读者而言，要理解内核编程环境的特殊性，就很需要一些功夫和悟性了。在应用程序中，多线程的情况已经带来了一定理解的困难；而内核代码呢？几乎无时无刻不运行在多线程之下。它从哪里开始？从哪里结束？它在什么进程内运行？这些问题一言难尽。
2.1 内核编程的环境 18
2.1.1 隔离的应用程序 18
2.1.2 共享的内核空间 19
2.1.3 无处不在的内核模块 20
2.2 数据类型 21
2.2.1 基本数据类型 21
2.2.2 返回状态 22
2.2.3 字符串 23
2.3 重要的数据结构 23
2.3.1 驱动对象 23
2.3.2 设备对象 25
2.3.3 请求 26
2.4 函数调用 28
2.4.1 查阅帮助 28
2.4.2 帮助中有的几类函数 30
2.4.3 帮助中没有的函数 32
2.5 Windows的驱动开发模型 32
2.6 WDK编程中的特殊点 33
2.6.1 内核编程的主要调用源 33
2.6.2 函数的多线程安全性 34
2.6.3 代码的中断级 36
2.6.4 WDK中出现的特殊代码 37
练习题 38
第3章 串口的过滤 40
在安全软件的开发中，串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何？仅仅是因为串口简单。从简单的例子入手，可以为读者带来稍许轻松的感受。
3.1 过滤的概念 41
3.1.1 设备绑定的内核API之一 41
3.1.2 设备绑定的内核API之二 43
3.1.3 生成过滤设备并绑定 43
3.1.4 从名字获得设备对象 45
3.1.5 绑定所有串口 46
3.2 获得实际数据 47
3.2.1 请求的区分 47
3.2.2 请求的结局 48
3.2.3 写请求的数据 49
3.3 完整的代码 50
3.3.1 完整的分发函数 50
3.3.2 如何动态卸载 52
3.3.3 完整的代码 53
本章的示例代码 53
练习题 54
第4章 键盘的过滤 56
键盘是很重要的输入设备！这是因为我们用键盘录入信息、用键盘输入密码，甚至用键盘编程，也用键盘著书立说。对于黑客来说，使用庞大的计算机资源去破解那些坚不可摧的加密算法，哪如偷偷地记下用户用键盘输入的密钥更加简单呢？本章专注于键盘的保护。
4.1 技术原理 57
4.1.1 预备知识 57
4.1.2 Windows中从击键到内核 58
4.1.3 键盘硬件原理 60
4.2 键盘过滤的框架 61
4.2.1 找到所有的键盘设备 61
4.2.2 应用设备扩展 64
4.2.3 键盘过滤模块的DriverEntry 65
4.2.4 键盘过滤模块的动态卸载 66
4.3 键盘过滤的请求处理 68
4.3.1 通常的处理 68
4.3.2 PNP的处理 69
4.3.3 读的处理 70
4.3.4 读完成的处理 71
4.4 从请求中打印出按键信息 72
4.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA 72
4.4.2 从KEYBOARD_INPUT_DATA中得到键 73
4.4.3 从MakeCode到实际字符 74
4.5 Hook分发函数 75
4.5.1 获得类驱动对象 76
4.5.2 修改类驱动的分发函数指针 77
4.5.3 类驱动之下的端口驱动 78
4.5.4 端口驱动和类驱动之间的协作机制 79
4.5.5 找到关键的回调函数的条件 80
4.5.6 定义常数和数据结构 80
4.5.7 打开两种键盘端口驱动寻找设备 81
4.5.8 搜索在KbdClass类驱动中的地址 83
4.6 Hook键盘中断反过滤 86
4.6.1 中断：IRQ和INT 86
4.6.2 如何修改IDT 87
4.6.3 替换IDT中的跳转地址 88
4.6.4 QQ的PS/2反过滤措施 90
4.7 利用IOAPIC重定位中断处理函数 90
4.7.1 什么是IOAPIC 90
4.7.2 如何访问IOAPIC 91
4.7.3 编程修改IOAPIC重定位表 92
4.7.4 插入新的中断处理 93
4.7.5 驱动入口和卸载的实现 95
4.8 直接用端口操作键盘 96
4.8.1 读取键盘数据和命令端口 96
4.8.2 p2cUserFilter的最终实现 97
本章的示例代码 98
练习题 99
第5章 磁盘的虚拟 100
CPU是计算机的核心，但是它不保存信息。如果它被窃，我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了，那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术：虚拟硬盘。虚拟硬盘可以不被盗窃者利用吗？良好的设计可以做到这一点。
5.1 虚拟的磁盘 101
5.2 一个具体的例子 101
5.3 入口函数 102
5.3.1 入口函数的定义 102
5.3.2 Ramdisk驱动的入口函数 103
5.4 EvtDriverDeviceAdd函数 104
5.4.1 EvtDriverDeviceAdd的定义 104
5.4.2 局部变量的声明 105
5.4.3 磁盘设备的创建 105
5.4.4 如何处理发往设备的请求 107
5.4.5 用户配置的初始化 108
5.4.6 链接给应用程序 110
5.4.7 小结 111
5.5 FAT12/16磁盘卷初始化 111
5.5.1 磁盘卷结构简介 111
5.5.2 Ramdisk对磁盘的初始化 113
5.6 驱动中的请求处理 119
5.6.1 请求的处理 119
5.6.2 读/写请求 120
5.6.3 DeviceIoControl请求 122
5.7 Ramdisk的编译和安装 124
5.7.1 编译 124
5.7.2 安装 125
5.7.3 对安装的深入探究 125
练习题 126
第6章 磁盘过滤 127
很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题：重启之后，对硬盘的修改都奇迹般地消失了。这是怎么实现的呢？本章告诉您答案。
6.1 磁盘过滤驱动的概念 128
6.1.1 设备过滤和类过滤 128
6.1.2 磁盘设备和磁盘卷设备过滤驱动 128
6.1.3 注册表和磁盘卷设备过滤驱动 129
6.2 具有还原功能的磁盘卷过滤驱动 129
6.2.1 简介 129
6.2.2 基本思想 130
6.3 驱动分析 130
6.3.1 DriverEntry函数 130
6.3.2 AddDevice函数 132
6.3.3 PnP请求的处理 136
6.3.4 Power请求的处理 140
6.3.5 DeviceIoControl请求的处理 140
6.3.6 bitmap的作用和分析 144
6.3.7 boot驱动完成回调函数和稀疏文件 150
6.3.8 读/写请求的处理 152
6.3.9 示例代码 160
6.3.10 练习题 161
第7章 文件系统的过滤与监控 162
硬盘是硬盘，而文件系统是文件系统，可是有的人总是把它们当做一回事。其实硬盘很简单，硬盘就是一个很简单的保存信息的盒子；而复杂的是文件系统，它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家，我们当然不能让文件系统脱离我们的控制之外。
7.1 文件系统的设备对象 163
7.1.1 控制设备与卷设备 163
7.1.2 生成自己的一个控制设备 165
7.2 文件系统的分发函数 166
7.2.1 普通的分发函数 166
7.2.2 文件过滤的快速IO分发函数 167
7.2.3 快速IO分发函数的一个实现 169
7.2.4 快速IO分发函数逐个简介 170
7.3 设备的绑定前期工作 172
7.3.1 动态地选择绑定函数 172
7.3.2 注册文件系统变动回调 173
7.3.3 文件系统变动回调的一个实现 175
7.3.4 文件系统识别器 176
7.4 文件系统控制设备的绑定 177
7.4.1 生成文件系统控制设备的过滤设备 177
7.4.2 绑定文件系统控制设备 178
7.4.3 利用文件系统控制请求 180
7.5 文件系统卷设备的绑定 183
7.5.1 从IRP中获得VPB指针 183
7.5.2 设置完成函数并等待IRP完成 184
7.5.3 卷挂载IRP完成后的工作 187
7.5.4 完成函数的相应实现 190
7.5.5 绑定卷的实现 191
7.6 读/写操作的过滤 193
7.6.1 设置一个读处理函数 193
7.6.2 设备对象的区分处理 194
7.6.3 解析读请求中的文件信息 195
7.6.4 读请求的完成 198
7.7 其他操作的过滤 202
7.7.1 文件对象的生存周期 202
7.7.2 文件的打开与关闭 203
7.7.3 文件的删除 205
7.8 路径过滤的实现 206
7.8.1 取得文件路径的3种情况 206
7.8.2 打开成功后获取路径 207
7.8.3 在其他时刻获得文件路径 209
7.8.4 在打开请求完成之前获得路径名 209
7.8.5 把短名转换为长名 211
7.9 把sfilter编译成静态库 212
7.9.1 如何方便地使用sfilter 212
7.9.2 初始化回调、卸载回调和绑定回调 213
7.9.3 绑定与回调 215
7.9.4 插入请求回调 216
7.9.5 如何利用sfilter.lib 218
本章的示例代码 221
练习题 221
第8章 文件系统透明加密 223
如何阻止企业的机密文件被主动泄密，但是又不用关闭网络、禁止U盘等手段重重束缚大家？很多迹象表明，文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统，那么现在，该是我们摩拳擦掌，用它来保护我们的机密信息的时候了。
8.1 文件透明加密的应用 224
8.1.1 防止企业信息泄密 224
8.1.2 文件透明加密防止企业信息泄密 224
8.1.3 文件透明加密软件的例子 225
8.2 区分进程 226
8.2.1 机密进程与普通进程 226
8.2.2 找到进程名字的位置 227
8.2.3 得到当前进程的名字 228
8.3 内存映射与文件缓冲 229
8.3.1 记事本的内存映射文件 229
8.3.2 Windows的文件缓冲 230
8.3.3 文件缓冲：明文还是密文的选择 232
8.3.4 清除文件缓冲 233
8.4 加密标识 236
8.4.1 保存在文件外、文件头还是文件尾 236
8.4.2 隐藏文件头的大小 237
8.4.3 隐藏文件头的设置偏移 239
8.4.4 隐藏文件头的读/写偏移 240
8.5 文件加密表 241
8.5.1 何时进行加密操作 241
8.5.2 文件控制块与文件对象 242
8.5.3 文件加密表的数据结构与初始化 243
8.5.4 文件加密表的操作：查询 244
8.5.5 文件加密表的操作：添加 245
8.5.6 文件加密表的操作：删除 246
8.6 文件打开处理 248
8.6.1 直接发送IRP进行查询与设置操作 248
8.6.2 直接发送IRP进行读/写操作 250
8.6.3 文件的非重入打开 252
8.6.4 文件的打开预处理 255
8.7 读写加密/解密 260
8.7.1 在读取时进行解密 260
8.7.2 分配与释放MDL 261
8.7.3 写请求加密 262
8.8 crypt_file的组装 265
8.8.1 crypt_file的初始化 265
8.8.2 crypt_file的IRP预处理 266
8.8.3 crypt_file的IRP后处理 269
本章的示例代码 272
练习题 272
第9章 文件系统微过滤驱动 273
从来都不原地踏步的微软，早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows 7上都还可以正常运行，但是如果不学习一下最新的接口，读者一定会觉得不自在。但是读者可以放心，在前面学习的基础上，了解新的接口是易如反掌的。
9.1 文件系统微过滤驱动简介 274
9.1.1 文件系统微过滤驱动的由来 274
9.1.2 Minifilter的优点与不足 275
9.2 Minifilter的编程框架 275
9.2.1 微文件系统过滤的注册 276
9.2.2 微过滤器的数据结构 277
9.2.3 卸载回调函数 280
9.2.4 预操作回调函数 281
9.2.5 后操作回调函数 284
9.2.6 其他回调函数 285
9.3 Minifilter如何与应用程序通信 288
9.3.1 建立通信端口的方法 288
9.3.2 在用户态通过DLL使用通信端口的范例 290
9.4 Minifilter的安装与加载 292
9.4.1 安装Minifilter的INF文件 293
9.4.2 启动安装完成的Minifilter 294
本章的示例代码 295
练习题 295
第10章 网络传输层过滤 296
笔者常常使用防火墙，它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息，防火墙将提醒您，虽然防火墙并不知道它是否是一个木马。这是怎么做到的？本章为您揭晓谜底。
10.1 TDI概要 297
10.1.1 为何选择TDI 297
10.1.2 从socket到Windows内核 297
10.1.3 TDI过滤的代码例子 299
10.2 TDI的过滤框架 299
10.2.1 绑定TDI的设备 299
10.2.2 唯一的分发函数 300
10.2.3 过滤框架的实现 302
10.2.4 主要过滤的请求类型 304
10.3 生成请求：获取地址 305
10.3.1 过滤生成请求 305
10.3.2 准备解析IP地址与端口 307
10.3.3 获取生成的IP地址和端口 308
10.3.4 连接终端的生成与相关信息的保存 310
10.4 控制请求 311
10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311
10.4.2 TDI_CONNECT的过滤 313
10.4.3 其他的次功能号 314
10.4.4 设置事件的过滤 316
10.4.5 TDI_EVENT_CONNECT类型的设置事件的过滤 318
10.4.6 直接获取发送函数的过滤 320
10.4.7 清理请求的过滤 322
10.5 本书例子tdifw.lib的应用 323
10.5.1 tdifw库的回调接口 323
10.5.2 tdifw库的使用例子 325
本章的示例代码 326
练习题 327
第11章 NDIS协议驱动 328
网络的连接只是外表而已，实际上，最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里，你还可以发现它们吗？本章介绍的NDIS协议驱动，是Windows网络抓包工具的基础。
11.1 以太网包和网络驱动架构 329
11.1.1 以太网包和协议驱动 329
11.1.2 NDIS网络驱动 330
11.2 协议驱动的DriverEntry 331
11.2.1 生成控制设备 331
11.2.2 注册协议 333
11.3 协议与网卡的绑定 335
11.3.1 协议与网卡的绑定概念 335
11.3.2 绑定回调处理的实现 335
11.3.3 协议绑定网卡的API 338
11.3.4 解决绑定竞争问题 339
11.3.5 分配接收和发送的包池与缓冲池 340
11.3.6 OID请求的发送和请求完成回调 342
11.3.7 ndisprotCreateBinding的最终实现 345
11.4 绑定的解除 351
11.4.1 解除绑定使用的API 351
11.4.2 ndisprotShutdownBinding的实现 353
11.5 在用户态操作协议驱动 356
11.5.1 协议的收包与发包 356
11.5.2 在用户态编程打开设备 357
11.5.3 用DeviceIoControl发送控制请求 358
11.5.4 用WriteFile发送数据包 360
11.5.5 用ReadFile发送数据包 362
11.6 在内核态完成功能的实现 363
11.6.1 请求的分发与实现 363
11.6.2 等待设备绑定完成与指定设备名 364
11.6.3 指派设备的完成 365
11.6.4 处理读请求 368
11.6.5 处理写请求 370
11.7 协议驱动的接收回调 374
11.7.1 和接收包有关的回调函数 374
11.7.2 ReceiveHandler的实现 376
11.7.3 TransferDataCompleteHandler的实现 380
11.7.4 ReceivePacketHandler的实现 381
11.7.5 接收数据包的入队 383
11.7.6 接收数据包的出队和读请求的完成 385
本章的示例代码 388
练习题 389
第12章 NDIS小端口驱动 390
如果厌烦了漏洞百出的以太网，还有什么可以充当我的网络接口吗？当然，一切能通信的设备，皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序，我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。
12.1 小端口驱动的应用与概述 391
12.1.1 小端口驱动的应用 391
12.1.2 小端口驱动的实例 392
12.1.3 小端口驱动的运作与编程概述 393
12.2 小端口驱动的初始化 393
12.2.1 小端口驱动的DriverEntry 393
12.2.2 小端口驱动的适配器结构 396
12.2.3 配置信息的读取 397
12.2.4 设置小端口适配器上下文 398
12.2.5 MPInitialize的实现 399
12.2.6 MPHalt的实现 402
12.3 打开ndisprot设备 403
12.3.1 I/O目标 403
12.3.2 给IO目标发送DeviceIoControl请求 404
12.3.3 打开ndisprot接口并完成配置设备 406
12.4 使用ndisprot发送包 409
12.4.1 小端口驱动的发包接口 409
12.4.2 发送控制块（TCB） 409
12.4.3 遍历包组并填写TCB 412
12.4.4 写请求的构建与发送 415
12.5 使用ndisprot接收包 417
12.5.1 提交数据包的内核API 417
12.5.2 从接收控制块（RCB）提交包 418
12.5.3 对ndisprot读请求的完成函数 420
12.5.4 读请求的发送 422
12.5.5 用于读包的WDF工作任务 424
12.5.6 ndisedge读工作任务的生成与入列 426
12.6 其他的特征回调函数的实现 428
12.6.1 包的归还 428
12.6.2 OID查询处理的直接完成 429
12.6.3 OID设置处理 432
本章的示例代码 433
练习题 434
第13章 NDIS中间层驱动 435
当我们不满足于抓包和发包，而试图控制本机上流入和流出的所有数据包的时候，NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强：我们不再满足于看到连接、端口、对方IP地址，而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。
13.1 NDIS中间层驱动概述 436
13.1.1 Windows网络架构总结 436
13.1.2 NDIS中间层驱动简介 437
13.1.3 NDIS中间层驱动的应用 438
13.1.4 NDIS包描述符结构深究 439
13.2 中间层驱动的入口与绑定 442
13.2.1 中间层驱动的入口函数 442
13.2.2 动态绑定NIC设备 443
13.2.3 小端口初始化（MpInitialize） 445
13.3 中间层驱动发送数据包 447
13.3.1 发送数据包原理 447
13.3.2 包描述符“重利用” 448
13.3.3 包描述符“重申请” 451
13.3.4 发送数据包的异步完成 453
13.4 中间层驱动接收数据包 455
13.4.1 接收数据包概述 455
13.4.2 用PtReceive接收数据包 456
13.4.3 用PtReceivePacket接收 461
13.4.4 对包进行过滤 463
13.5 中间层驱动程序查询和设置 466
13.5.1 查询请求的处理 466
13.5.2 设置请求的处理 468
13.6 NDIS句柄 470
13.6.1 不可见的结构指针 470
13.6.2 常见的NDIS句柄 471
13.6.3 NDIS句柄误用问题 473
13.6.4 一种解决方案 475
13.7 生成普通控制设备 476
13.7.1 在中间层驱动中添加普通设备 476
13.7.2 使用传统方法来生成控制设备 478
本章的示例代码 483
练习题 483
附录A 如何使用本书的源码光盘 485