★驅動入口函數(DriverEntry)
DriverEntry是加載驅動的函數,由系統進程調用。其原型如下:
NTSTATUS DriverEntry(
IN PDRIVER_OBJECT pDriverObject, // 指向系統創建的驅動對象
IN PUNICODE_STRING pRegistryPath // 指向驅動服務鍵的鍵名
);
★創建設備對象(IoCreateDevice)
NTSTATUS IoCreateDevice(
IN PDRIVER_OBJECT DriverObject, // 指向驅動對象
IN ULONG DeviceExtensionSize, // 設備擴展的字節數
IN_OPT PUNICODE_STRING DeviceName, // 設備名稱,可以為NULL
IN DEVICE_TYPE DeviceType, // 設備類型
IN ULONG DeviceCharacteristics, // 設備對象的特征
IN BOOLEAN Exclusive; // 設置設備對象是否在內核模式下使用,一般為TRUE
OUT PDEVICE_OBJECT *DeviceObject // 保存創建好的設備對象的地址
);
★創建符號鏈接(IoCreateSymbolicLink)
NTSTATUS IoCreateSymbolicLink(
IN PUNICODE_STRING SymbolicLinkName, // 設備的符號鏈接的名稱
IN PUNICODE_STRING DeviceName, // 設備名稱
);
說明:內核模式下,符號鏈接以"\??\"開頭;用戶模式下,符號鏈接以"\\.\"開頭。如C盤:
內核模式:"\??\C:";用戶模式:"\??\C:\"。
★刪除符號鏈接(IoDeleteSymbolicLink)
NTSTATUS IoDeleteSymbolicLink(
IN PUNICODE_STRING SymbolicLinkName // 符號鏈接的名稱
);
★刪除設備對象(IoDeleteDevice)
VOID IoDeleteDevice(
IN PDEVICE_OBJECT DeviceObject // 設備對象的指針
);