摘要:
第三章 串口过滤在windows系统上与安全软件相关的驱动开发中,“过滤”(filter)是极其重要的一个概念。过滤是在不影响上层和下层接口,在内核中加入新的层,从而不修改上层软件或下层真实驱动,就加入新功能。进行过滤的最主要的方法是对一个设备对象(DO)进行绑定。我们可以首先认为:一个真实的设备对应一个设备对象(实际对应关系可能复杂的多)。通过编程生成一个虚拟的DO,并Attach在一个真实的设备上。一旦绑定,则本来OS发给真实设备的请求,就会首先发送到这个虚拟设备。WDK有多个API实现绑定功能。NTSTATUS IoAttachDevice( IN PDEVICE_OBJECT Sou. 阅读全文
