整理了一下当初学习Windows内核驱动开发的笔记(二)
从驱动安装部署到内核API使用,再到安全攻防防御
一、驱动的安装与卸载
驱动编写完成后,如何安装到系统中运行?这里涉及Windows服务控制管理器(SCM)的相关操作。
驱动的三种框架与安装方式
框架 | 安装方式 | 说明 |
NT驱动 | 手动创建服务 | 一开始就存在,需手动管理 |
WDM驱动 | 即插即用(INF) | 动态加载,硬件检测时自动安装 |
WDF驱动 | INF + 框架管理 | KMDF/UMDF,更高层的封装 |
使用SCM管理器安装驱动
驱动程序对于操作系统来说就是一个服务。通过服务控制管理器API来管理:
安装流程:
OpenSCManager→ 打开服务控制管理器
CreateService→ 创建服务(注册驱动路径)
CloseServiceHandle→ 关闭句柄
启动流程:
OpenSCManager→ 打开服务控制管理器
OpenService→ 打开已注册的服务
StartService→ 启动驱动
CloseServiceHandle→ 关闭句柄
卸载流程:
OpenSCManager→ 打开服务控制管理器
OpenService→ 打开服务
ControlService(STOP)→ 停止服务
DeleteService→ 删除服务
CloseServiceHandle→ 关闭句柄

二、内核API分类概览
Windows内核为驱动开发者提供了一套独立的API体系。了解API的命名前缀就能快速判断其功能和所属模块。
API命名前缀与功能模块
前缀 | 模块 | 功能 | 示例 |
Ke | 内核核心层 | 中断、IRQL、调度 | KeBugCheck, KeRaiseIrql |
Ex | 执行层 | 内存分配、资源 | ExAllocatePool, ExFreePool |
Nt | 系统调用层 | 用户态可调用 | NtCreateFile |
Zw | 系统调用封装 | Zw = Nt+权限检查 | ZwCreateFile |
Io | I/O管理 | 设备、IRP相关 | IoCreateDevice |
Ps | 进程管理 | 进程/线程操作 | PsGetCurrentProcessId |
Ob | 对象管理 | 引用计数 | ObReferenceObject |
Mm | 内存管理 | 虚拟内存、MDL | MmGetSystemAddressForMdlSafe |
Cm | 配置管理 | 注册表操作 | CmOpenKey |
Flt | 过滤器管理 | 文件系统微过滤 | FltCreateFile |
Nt系列与Zw系列的区别
• Zw系列函数:会进行权限检查(PreviousMode),适用于内核组件调用
• Nt系列函数:不进行权限检查,直接执行
⚠️ 不能将用户态内存直接传递给Zw系列函数,因为Zw内部会检查PreviousMode,如果直接传入用户地址可能引发安全问题。
对象管理
内核中的对象都有一个引用计数机制:
• ObReferenceObject — 增加引用计数(+1)
• ObDereferenceObject — 减少引用计数(-1)
当引用计数归零时,对象被销毁。忘记释放引用会导致对象泄漏。

三、常用内核API详解与注意事项
3.1 字符串操作(UNICODE_STRING)
内核中字符串使用 UNICODE_STRING 结构体,包含 Length(实际长度)、MaximumLength(缓冲区大小)、Buffer(字符指针)。
初始化方式:
// 方式一:函数初始化(仅适合常量字符串)
UNICODE_STRING str;
RtlInitUnicodeString(&str, L"HelloWorld");
// 方式二:手动初始化(适合可变字符串,更安全)
str.Length = 0;
str.MaximumLength = 256;
str.Buffer = ExAllocatePool(PagedPool, 256);
⚠️ RtlInitUnicodeString只适合初始化常量字符串,不适合可变字符串。手动初始化更安全,可以防止用户层攻击。
字符串拼接:
// 堆空间拼接
RtlInitEmptyUnicodeString(&dest, buffer, bufferSize);
RtlAppendUnicodeStringToString(&dest, &src);
// 栈空间拼接(自动释放,不用操心)
UNICODE_STRING dest;
WCHAR buf[256];
RtlInitEmptyUnicodeString(&dest, buf, 256);
RtlAppendUnicodeStringToString(&dest, &src);
3.2 R0路径格式
内核中表示文件路径有三种方式:
方式1:设备路径 + 文件
\Device\HarddiskVolume1\1.txt
方式2:Dos设备路径
\??\C:\1.txt或 \DosDevices\C:\1.txt
方式3:系统根目录路径(推荐)
\sysroot\1.txt—自动解析到系统目录
C:、D: 实际上是设备 \Device\HarddiskVolumeX 的符号链接映射。3环使用的是符号链接,0环直接使用设备路径。
3.3 文件操作API
// 打开文件
ZwCreateFile(&handle, ...);
// 读写文件
ZwReadFile(handle, ...);
ZwWriteFile(handle, ...);
// 关闭
ZwClose(handle);
3.4 注册表操作
注册表操作使用Cm系列API(Key Object Routines):
• CmOpenKey — 打开注册表键
• CmCreateKey — 创建注册表键
• CmQueryValue — 查询值
• CmSetValue — 设置值
⚠️ 3环不应该使用0环的注册表句柄去访问注册表,不推荐混用。
3.5 内存探测:ProbeForRead / ProbeForWrite
ProbeForRead(address, length, alignment);
ProbeForWrite(address, length, alignment);
⚠️ 严重漏洞:如果调用 ProbeForRead(addr, 0, 4),当length=0时,ProbeForRead不会检查地址有效性!攻击者可以利用此漏洞传入非法地址绕过检查。
// 防御方案:不能完全信任ProbeForRead
// 必须额外判断长度
if (length == 0) {
returnSTATUS_INVALID_PARAMETER;
}
ProbeForRead(addr, length, 4);
四、IRQL中断请求级别
IRQL(Interrupt Request Level)是Windows内核中一个非常重要的概念。每个线程都有IRQL级别,范围0~31。
常见IRQL级别
级别 | 名称 | 说明 |
0 | PASSIVE_LEVEL | 普通代码执行级别,可被中断 |
1 | APC_LEVEL | APC递送级别 |
2 | DISPATCH_LEVEL | 线程调度级别,不可访问分页内存 |
3~31 | DIRQL | 硬件中断级别 |

关键规则
1. IRQL越高的代码可以打断IRQL越低的代码,因为操作系统是可抢占式线程调度
2. 在 APC_LEVEL 及以上,PAGED_CODE() 会触发断言(Release版无效)
3. 在 DISPATCH_LEVEL 及以上,不能访问分页内存,不能等待线程同步
4. 驱动程序在 DISPATCH_LEVEL 时,系统不会调度其他线程
APC注入机制
APC(异步过程调用)的原理:当目标线程被调度时,APC中注册的回调函数会被执行。
安全问题:APC回调在真正执行前,可能被插入删除或替换执行。
// 获取当前IRQL级别
KIRQL irql = KeGetCurrentIrql();
// 提升IRQL
KIRQL oldIrql;
KeRaiseIrql(DISPATCH_LEVEL, &oldIrql);
// ... 执行关键代码 ...
KeLowerIrql(oldIrql);
// 检查当前IRQL(仅Debug模式有效)
PAGED_CODE();
五、内核通知用户层
内核与用户层之间的通信最常见的场景之一是:内核需要通知用户层某个事件发生了。
通过事件对象同步通信:

// 内核层:创建/设置事件
HANDLE hEvent;
OBJECT_ATTRIBUTES oa;
InitializeObjectAttributes(&oa, &eventName, OBJ_KERNEL_HANDLE, NULL, NULL);
ZwCreateEvent(&hEvent, EVENT_ALL_ACCESS, &oa, SynchronizationEvent, FALSE);
// 触发事件
KeSetEvent(hEvent, IO_NO_INCREMENT, FALSE);
// 用户层:等待事件
HANDLE hEvent = OpenEvent(EVENT_ALL_ACCESS, FALSE, L"Global\\MyEvent");
WaitForSingleObject(hEvent, INFINITE);
六、内核驱动漏洞与攻击预防
驱动运行在ring0,一旦存在漏洞,攻击者可以直接获得系统最高权限。这是驱动开发中最重要的一章。

常见漏洞类型与防御
1. ProbeForRead 0字节漏洞
前面提到过,ProbeForRead(addr, 0, 4) 传入长度为0时会直接返回成功,不检查地址。
攻击链:攻击者构造非法地址 → 传入length=0 → ProbeForRead跳过检查 → 驱动后续操作访问非法地址
if (InputBufferLength == 0 || InputBuffer == NULL) {
returnSTATUS_INVALID_PARAMETER;
}
ProbeForRead(InputBuffer, InputBufferLength, sizeof(UCHAR));
2. MmIsAddressValid 不可靠
MmIsAddressValid看似用于检查地址是否有效,但实际上它并不能真正验证一个地址是否可访问。不要完全依赖它。
3. NULL指针解引用
Windows对0地址做了映射(Mitigation),攻击者可构造地址为0的对象。驱动不检查NULL直接使用会导致执行攻击者控制的代码。
访问前一定要检查所有指针是否为NULL!
安全编码规范总结
类别 | 安全做法 |
参数校验 | 使用__try/__except包裹用户地址访问 |
地址检查 | ProbeForRead + ProbeForWrite + 额外长度判断 |
NULL处理 | 访问前检查所有指针是否为NULL |
用户数据 | 决不相信用户传入的地址、长度、结构体 |
IOCTL验证 | 校验InputBufferLength/OutputBufferLength |
设备名称 | 使用系统分配的符号链接,不用硬编码 |
安全审计 | 使用工具定期检查驱动是否存在漏洞 |
💡 核心原则:永远不要相信用户层传入的任何数据——地址、长度、结构体,全部都要在0环重新验证!
结语
驱动开发中,"安全"永远是第一优先级。一个内核级别的漏洞意味着攻击者可以直接控制整个操作系统。
从驱动的安装部署,到API的正确使用,再到安全编码的每一个细节——希望这篇文章能帮你在Windows内核驱动的道路上走得更稳。
📌 如果你觉得这篇文章有帮助,欢迎点赞、在看、转发!
📌 关注本公众号,持续输出内核驱动、Windows底层技术干货。
#Windows驱动 #内核开发 #安全防御 #IRQL #驱动漏洞 #系统编程
Windows内核驱动完整实现:创建设备、注册派遣函数与完成IRP请求
作者其他文章
夜雨聆风