《Windows驱动开发技术详解》之驱动程序调用驱动程序——以文件句柄形式调用其它驱动程序

在驱动程序开发中，经常需要一个驱动程序调用另一个驱动程序。例如，虚拟串口转USB设备的驱动程序，这种驱动程序首先创建一个虚拟串口设备，对这个虚拟串口设备的读写请求会转发到一个USB设备上去。这时就需要在虚拟串口驱动程序中调用USB驱动程序。

 

• 同步调用方法

本章节假设DriverA是将要被调用的目标驱动程序。

DriverB可以有多种方法调用DriverA，可以是同步，也可以使异步。在驱动中打开设备要使用ZwCreateFile内核函数打开同步设备或者异步设备。

这里介绍DriverB用同步的方式调用DriverA，其步骤如下：

（1）在DriverB中用ZwReadFile内核函数读取DriverA的设备对象。ZwReadFile内核函数内部会创建IRP_MJ_READ类型的IRP，然后将这个IRP当做参数传递给DriverA。

（2）DriverA的派遣函数没有结束IRP请求，而是将IRP挂起。

（3）ZwReadFile会一直等待IRP中的一个事件，此时当前线程进入睡眠状态。

（4）3s后，触发了DriverA的定时器例程，这时IRP请求被取消。

（5）由于相关事件被设置，刚才休眠的线程恢复运行，ZwReadFile内核函数退出。

DriverB的R3层代用来打开DriverB对应的驱动设备，码如下：

int main(){
    getchar();
    HANDLE hDevice =
        CreateFile("\\\\.\\DriverBDDK",
        GENERIC_READ,//| GENERIC_WRITE
        FILE_SHARE_READ, NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,//|FILE_FLAG_OVERLAPPED,
        NULL);
    printf("GetLastError:%d\n", GetLastError());
    if (hDevice == INVALID_HANDLE_VALUE){
        printf("Open device failed!\n");
    }
    else{
        printf("Open device succeed!\n");
    }
    OVERLAPPED overlap_read = { 0 };
    char buffer[10];
    DWORD dwRead;
    
    ReadFile(hDevice, buffer, 10, &dwRead, &overlap_read); //&overlap_read

    CloseHandle(hDevice);
    system("pause");
    return 0;
}

打开之后会将IRP_MJ_READ传给底层驱动DriverB，DriverB的派遣函数接收并处理这个IRP：

NTSTATUS HelloDDKRead_DriverB(PDEVICE_OBJECT pDevObj, PIRP pIrp){
    UNREFERENCED_PARAMETER(pDevObj);
    DbgPrint("Enter HelloDDKRead_DriverB!\n");
    NTSTATUS status = STATUS_SUCCESS;
    UNICODE_STRING DeviceName;
    RtlInitUnicodeString(&DeviceName, L"\\Device\\MyDDKDevice");
    OBJECT_ATTRIBUTES objectAttributes;
    InitializeObjectAttributes(&objectAttributes,
        &DeviceName,
        OBJ_CASE_INSENSITIVE,
        NULL, NULL
        );
    HANDLE hDevice;
    IO_STATUS_BLOCK status_block;
    status = ZwCreateFile(&hDevice,
        FILE_READ_ATTRIBUTES | SYNCHRONIZE,
        &objectAttributes,
        &status_block,
        NULL,
        FILE_ATTRIBUTE_NORMAL,
        FILE_SHARE_READ,
        FILE_OPEN_IF,
        FILE_SYNCHRONOUS_IO_NONALERT,
        NULL, 0
        );
    if (NT_SUCCESS(status)){
        ZwReadFile(hDevice, NULL, NULL, NULL,
            &status_block,
            NULL, 0, NULL, NULL);
    }
    ZwClose(hDevice);
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0;
    IoCompleteRequest(pIrp, IO_NO_INCREMENT);
    DbgPrint("Leave HelloDDKRead_DriverB!\n");
    return status;
}

这个派遣函数会打开另外一个驱动，并传送IRP给它，它传送了IRP_MJ_CREATE和IRP_MJ_READ，DriverA的接收IRP_MJ_READ的代码为：

NTSTATUS HelloDDKRead_Timeout(PDEVICE_OBJECT pDevObj, PIRP pIrp){
    DbgPrint("Enter HelloDDKRead_Timeout!\n");
    PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)
        pDevObj->DeviceExtension;
    IoMarkIrpPending(pIrp);
    pDevExt->currentPendingIRP = pIrp;
    ULONG ulMicroSecond = 3000000;
    LARGE_INTEGER timeout = RtlConvertLongToLargeInteger(-10 * ulMicroSecond);
    KeSetTimer(&pDevExt->pollingTimer,//设置完就开始计时，本示例设置的超时时间是3s
        timeout,
        &pDevExt->pollingDPC);
    DbgPrint("Leave HelloDDKRead_Timeout!\n");
    return STATUS_PENDING;
}

这时这个派遣函数会调用定时器例程，定时器例程会取消这个IRP：

VOID TimerOutDPC(PKDPC pDpc, PVOID pContext, PVOID SysArg1, PVOID SysArg2){
    UNREFERENCED_PARAMETER(pDpc);
    UNREFERENCED_PARAMETER(SysArg1);
    UNREFERENCED_PARAMETER(SysArg2);

    DbgPrint("Enter TimerOutDPC!\n");
    PDEVICE_OBJECT pDevObj = (PDEVICE_OBJECT)pContext;
    PDEVICE_EXTENSION pdx = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
    PIRP currentPendingIRP = pdx->currentPendingIRP;
    currentPendingIRP->IoStatus.Status = STATUS_CANCELLED;
    currentPendingIRP->IoStatus.Information = 0;
    IoCompleteRequest(currentPendingIRP, IO_NO_INCREMENT);
    DbgPrint("Leave TimerOutDPC!\n");
}

运行结果如下：

一开始加载驱动失败，发现原因在于：

 

• 异步调用方法一

异步读取主要是指ZwReadFile内核函数在没有等待DriverA真正结束IRP时，就已经退出。其内部操作过程如下：

（1）ZwReadFile内核函数内内部创建IRP_MJ_READ类型的IRP，然后将这个IRP传递给DriverA的派遣函数

（2）DriverA的派遣函数没有结束IRP请求，而是将IRP“挂起”

（3）ZwReadFile内核函数发现DriverA将IRP_MJ_READ“挂起”，于是它直接返回，返回值是STATUS_PENDING，这代表读操作正在进行中。

ZwReadFile内核函数退出后，无法得知挂起的IRP何时被结束。因此，可以为IRP设置一个完成例程。当IRP结束时就触发这个完成例程。

 DriverB的派遣函数代码：

NTSTATUS HelloDDKRead_DriverB_ASY(PDEVICE_OBJECT pDevObj, PIRP pIrp){
    UNREFERENCED_PARAMETER(pDevObj);
    DbgPrint("Enter HelloDDKRead_DriverB_ASY!\n");
    NTSTATUS status = STATUS_SUCCESS;
    UNICODE_STRING DeviceName;
    RtlInitUnicodeString(&DeviceName, L"\\Device\\MyDDKDevice");
    OBJECT_ATTRIBUTES objectAttributes;
    InitializeObjectAttributes(&objectAttributes,
        &DeviceName,
        OBJ_CASE_INSENSITIVE,
        NULL, NULL);
    HANDLE hDevice;
    IO_STATUS_BLOCK status_block;
    status = ZwCreateFile(&hDevice,
        FILE_READ_ATTRIBUTES,
        &objectAttributes,
        &status_block,
        NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ,
        FILE_OPEN_IF, 0, NULL, 0);

    KEVENT event;
    KeInitializeEvent(&event, SynchronizationEvent, FALSE);
    LARGE_INTEGER offset = RtlConvertLongToLargeInteger(0);
    if (NT_SUCCESS(status)){
        status = ZwReadFile(hDevice, NULL, CompleteDriverA_READ, &event,
            &status_block, NULL, 0, &offset, NULL);
    }
    if (status == STATUS_PENDING){//会接收到完成例程设置好的事件
        DbgPrint("DriverB waiting...\n");
        KeWaitForSingleObject(&event, Executive, KernelMode, FALSE, NULL);
    }
    ZwClose(hDevice);
    status = STATUS_SUCCESS;
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0;
    IoCompleteRequest(pIrp, IO_NO_INCREMENT);

    DbgPrint("Leave HelloDDKRead_DriverB_ASY!\n");
    return status;
}

其中完成例程代码如下：

VOID CompleteDriverA_READ(PVOID context, PIO_STATUS_BLOCK pStatus_block,ULONG u){
    UNREFERENCED_PARAMETER(pStatus_block);
    UNREFERENCED_PARAMETER(u);
    DbgPrint("Enter CompleteDriverA_READ!\n");
    KeSetEvent((PKEVENT)context, IO_NO_INCREMENT, FALSE);
}

从上面标红的代码可以看出，这里是想DriverA发送了IRP，而DriverA的IRP_MJ_READ派遣函数

将IRP挂起，因此代码执行进入if (status == STATUS_PENDING)中。而if (status == STATUS_PENDING)中KeWaitForSingleObject等待的是event事件被设置，要设置这个条件就要触发完成例程，而要触发完成例程就要等到发给DriverA的那个IRP被完成。DriverA的派遣函数中调用了定时器例程，会隔几秒后完成这个IRP。

从运行结果也可以看出：

一上来ZwReadFile得到Pending结果，于是进入if (status == STATUS_PENDING)，KeWaitForSingleObject等待，此时同时发生的事情就是DriverA的计时器例程在运行，3s后计时器例程触发并运行完毕（完成了这个IRP），完成了IRP就又触发了DriverB的完成例程，随后event被设置，KeWaitForSingleObject后续代码继续得到运行。

•  异步调用方法二

该方法是通过文件对象判断读取是否完毕。每打开一个设备，都会伴随存在一个关联的文件对象。利用内核函数ObReferenceObjectByHandle可以获得和设备相关的文件对象指针。当IRP_MJ_READ请求被结束后，文件对象的子域event会被设置，因此用文件对象的event子域可以当做同步点使用。

DriverB的派遣函数代码为：

NTSTATUS HelloDDKRead_DriverB_ASY_FILEOBJ(PDEVICE_OBJECT pDevObj, PIRP pIrp){
    UNREFERENCED_PARAMETER(pDevObj);
    DbgPrint("Enter HelloDDKRead_DriverB_ASY_FILEOBJ!\n");
    NTSTATUS status = STATUS_SUCCESS;
    UNICODE_STRING DeviceName;
    RtlInitUnicodeString(&DeviceName, L"\\Device\\MyDDKDevice");
    OBJECT_ATTRIBUTES objectAttributes;
    InitializeObjectAttributes(&objectAttributes,
        &DeviceName,
        OBJ_CASE_INSENSITIVE,
        NULL, NULL);
    HANDLE hDevice;
    IO_STATUS_BLOCK status_block;
    status = ZwCreateFile(&hDevice,
        FILE_READ_ATTRIBUTES,
        &objectAttributes,
        &status_block,
        NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ,
        FILE_OPEN_IF, 0, NULL, 0);
    LARGE_INTEGER offset = RtlConvertLongToLargeInteger(0);
    if (NT_SUCCESS(status)){
        status = ZwReadFile(hDevice, NULL, NULL, NULL, &status_block, NULL, 0, &offset, NULL);
    }
    if (status == STATUS_PENDING){
        PFILE_OBJECT pFileObject;
        status = ObReferenceObjectByHandle(hDevice, EVENT_MODIFY_STATE, *ExEventObjectType,
            KernelMode, (PVOID*)&pFileObject, NULL);
        if (NT_SUCCESS(status)){
            DbgPrint("DriverB:Waiting...\n");
            KeWaitForSingleObject(&pFileObject->Event, Executive, KernelMode,
                FALSE, NULL);
            DbgPrint("DriverA IRP completed!\n");
            ObDereferenceObject(pFileObject);
        }
    }
    ZwClose(hDevice);
    status = STATUS_SUCCESS;
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0;
    IoCompleteRequest(pIrp, IO_NO_INCREMENT);
    DbgPrint("Leave HelloDDKRead_DriverB_ASY_FILEOBJ!\n");
    return status;
}

代码的思路和上一例差不多，只不过这里把DriverA的定时器例程设置为7s后启动：

•  通过符号链接打开设备

 很多情况下，使用者不容易知道具体的设备名，而只知道符号链接。例如，“C:”代表第一个硬盘分区，而“C:”就是一个符号链接，它指向一个磁盘分区设备。

示例代码如下：

NTSTATUS HelloDDKRead_DriverB_Symbolic(PDEVICE_OBJECT pDevObj, PIRP pIrp){
    UNREFERENCED_PARAMETER(pDevObj);
    DbgPrint("Enter HelloDDKRead_DriverB_Symbolic!\n");
    NTSTATUS status = STATUS_SUCCESS;
    UNICODE_STRING DeviceSymbolicLinkName;
    RtlInitUnicodeString(&DeviceSymbolicLinkName, L"\\??\\HelloDDK");
    OBJECT_ATTRIBUTES objectAttributes;
    InitializeObjectAttributes(&objectAttributes,
        &DeviceSymbolicLinkName,
        OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,
        NULL, NULL);
    HANDLE hSymbolic;
    //得到符号链接句柄
    status = ZwOpenSymbolicLinkObject(&hSymbolic, FILE_ALL_ACCESS, &objectAttributes);
#define UNICODE_SIZE 50
    UNICODE_STRING LinkTarget;
    LinkTarget.Buffer = (PWSTR)ExAllocatePool(PagedPool, UNICODE_SIZE);
    LinkTarget.Length = 0;
    LinkTarget.MaximumLength = UNICODE_SIZE;
    ULONG unicode_length;
    //通过符号链接得到设备名
    status = ZwQuerySymbolicLinkObject(hSymbolic, &LinkTarget, &unicode_length);
    DbgPrint("The device name is %wZ\n", &LinkTarget);
    InitializeObjectAttributes(&objectAttributes,
        &LinkTarget,
        OBJ_CASE_INSENSITIVE,
        NULL, NULL);
    HANDLE hDevice;
    IO_STATUS_BLOCK status_block;
    status = ZwCreateFile(&hDevice,
        FILE_READ_ATTRIBUTES | SYNCHRONIZE,
        &objectAttributes,
        &status_block,
        NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ,
        FILE_OPEN_IF, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
    if (NT_SUCCESS(status)){
        ZwReadFile(hDevice, NULL, NULL, NULL, &status_block, NULL, 0, NULL, NULL);
    }
    ZwClose(hDevice);
    ZwClose(hSymbolic);
    ExFreePool(LinkTarget.Buffer);
    status = STATUS_SUCCESS;
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0;
    IoCompleteRequest(pIrp, IO_NO_INCREMENT);
    DbgPrint("Leave HelloDDKRead_DriverB_Symbolic!\n");
    return status;
}

运行结果如下：