那些遇到过的问题

如何从内部卸载Windows内核模式驱动程序?

ElT*_*hor 6 windows kernel driver windows-kernel

我正在编写一个 Windows 内核驱动程序,并尝试实现以下内容。

假设已通过DeviceIoControl函数使用特定的 IOCTL 代码从用户模式调用驱动程序。在这种情况下,驱动程序如何自行卸载?换句话说,如何实现与运行net stop命令相同的行为?

更准确地说,在实现DispatchDeviceControl 回调时我应该写什么

NTSTATUS IoctlDeviceControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp) {
    // some code...

    switch (ioctlCode) {
        case IOCTL_MY_UNLOAD:  <---
        ...
    }

    return Status;
}
Run Code Online (Sandbox Code Playgroud)

小智 6

您可以使用ZwUnloadDriver内核函数!

文档:

ZwUnloadDriver 例程从系统中卸载驱动程序。使用此例程时要格外小心。(请参阅以下备注部分。)

C/C++ 定义:

NTSTATUS ZwUnloadDriver(
  _In_  PUNICODE_STRING DriverServiceName
);
Run Code Online (Sandbox Code Playgroud)

MSDN 来源:

http://msdn.microsoft.com/en-us/library/windows/hardware/ff567117(v=vs.85).aspx

  • 驱动程序可以通过此调用卸载自身吗?考虑到线程当前正在该驱动程序中执行代码,这似乎是有问题的。当ZwUnloadDriver返回时,线程仍然存在,但不再加载驱动程序映像。那怎么行得通呢? (3认同)

归档时间:

查看次数:

4308 次

最近记录:

9 年,6 月 前
相关归档
在Windows上设置Python simpleHTTPserver 189
用C,C++检测Windows或Linux 47
在Windows启动时运行脚本而无需用户登录 14
家庭版不提供HyperV 14
在Windows上运行并生成Linux代码的C++编译器 12
使用Symfony Process运行异步PHP任务 9
Windows中的Pygame:ImportError:DLL加载失败 8
如何使用指定的扩展名搜索Windows文件浏览器中的文件? 7
OpenSSL 在配置文件中找不到 Distinguished_name 7
PostgreSQL JDBC驱动程序中的getSchema抛出java.lang.AbstractMethodError或java.sql.SQLFeatureNotSupportedException 4
难疑归档
将字符串转换为datetime 2035
确定对象的类型? 1700
UNION和UNION ALL有什么区别? 1350
如何设置HTML <select>元素的默认值? 1343
如何为所有浏览器垂直居中div? 1310
如何配置git在本地忽略某些文件? 1237
如何从主机获取Docker容器的IP地址? 1221
type()和isinstance()之间有什么区别? 1163
angular-route和angular-ui-router之间有什么区别? 1064
在Notepad ++中将制表符转换为空格 1042