在这一节中我们将要关于学习动态VXD,特别是如何创建,加载和使用。
VxD总共提供了4种接口。
l VxD services VxD服务
l V86 Interface V86接口
l Protected-mode (PM) Interface 保护模式接口
l Win32 DeviceIoControl Interface Win32设备输入输出控制接口
我们已经知道了VxD服务,V86和保护模式接口是由V86和保护模式程序调用的。因为V86和保护模式程序是16位的,我们不能在Win32应用程序中使用那两种接口。在Windows 95中,微软给Win32应用程序加了另外一个接口所以Win32应用程序可以调用VxD的服务:DeviceIoControl接口(设备输入输出控制接口)
简单的说,DeviceIoControl接口是一种为Win32程序准备的调用VxD内部函数的方法。不要混淆DeviceIoControl接口调用函数和用VxD服务调用函数,这两种方法是不一样的。比如说,DeviceIoControl function1 也许和Vxd service1是不一样的。你应给把DeviceIoControl函数作为一种只为Win32应用程序提供的单独的函数。
首先用CreateFile来打开/加载一个VxD。如果调用成功的话,VxD将会创建/加再到内存中并且CreateFile把VxD的句柄返回到eax中。
接着你调用DeviceIoControlAPI函数来选择要运行的函数。DeviceIoControl函数遵循下面的语法:
DEVICEIOCONTROL PROTO HDEVICE:DWORD,\
dwIoControlCode:DWORD,\
lpInBuffer:DWORD,\
nInBufferSize:DWORD,\
lpOutBuffer:DWORD,\
nOutBufferSize:DWORD,\
lpBytesReturned:DWORD,\
LPOVERLAPPED: DWORD
l hDevice 是从CreateFile返回的VxD句柄。
l dwIoControlCode是用来制定VxD将要进行的操作。你应该在你要选用那种操作之前得到可能的dwIoControlCode值得列表。
l lpInBuffer是包含了VxD完成dwIoControlCode所制定操作的数据的缓冲区地址。如果这个操作不需要数据,你可以传为NULL。
l nInBufferSize是由lpInBuffer所指向的缓冲区的地址的大小(byte)。
l lpOutBuffer是VxD程序在操作成功之后要将输出数据输出到的缓冲区。如果这个操作没有任何返回值,这个值可以为NULL。
l nOutBufferSize是lpOutBuffer所指向的缓冲区的大小(byte)。
l lpBytesReturned是一个dword型变量的地址。这个变量用来接收VxD在lpOutBuffer中写入数据的大小。
l 如果你想要把操作设成异步的,lpOverlapped是一个OVERLAPPED结构的指针。如果你要一直等直到操作完成,这个值为NULL。
VxD程序必须处理w32_deviceIoControl消息。当VxD收到w32_deviceIoControl消息,它的寄存器是如下值:
l ebx 是VM的句柄。
l esi 是指向DIOCParams结构的指针。DIOCParams包含了从win32程序传送的信息。
DIOCParams是按照如下定义的:
DIOCParams STRUC
INTERNAL1 DD ?
VMHANDLE DD ?
INTERNAL2 DD ?
DWIOCONTROLCODE DD ?
LPVINBUFFER DD ?
CBINBUFFER DD ?
LPVOUTBUFFER DD ?
CBOUTBUFFER DD ?
LPCBBYTESRETURNED DD ?
LPOOVERLAPPED DD ?
HDEVICE DD ?
TAGPROCESS DD ?
DIOCPARAMS ENDS
l Internal1 是指向Win32应用应用程序用户寄存器结构的指针。
l VMHandle 虚拟机句柄
l Internal2 是指向设备描述块(DDB)的句柄。
l dwIoControlCode, lpvInBuffer, cbInBuffer, lpvOutBuffer, cbOutBuffer, lpcbBytesReturned, lpOverlapped是传送到DeviceIoControl API的参数。
l hDevice是 ring-3级设备句柄。
l tagProces 是过程的标签。
在DIOCParams结构中有所有从Win32应用程序传送到你的VxD的信息。
你的VxD至少要处理DIOC_Open(传送到dwIoControlCode),那是当Win32程序调用CreateFile打开你的VxD时VWIN32发送给你的VxD的。如果你的VxD准备好了,它必须在eax中返回0而且CreateFile也会成功。如果你的VxD没有准备好,它必须在eas中返回一个非零值而且CreateFile也会失败。除了DIOC_Open,当Win32程序关闭这个设备句柄时,你的VxD将会从VWIN32收到DIOC_Closehandle。
能由CreateFile加载的最小的动态VxD框架:
我们从VxDLoader.asm开始。
INVOKE CREATEFILE,ADDRVXDNAME,0,0,0,0,FILE_FLAG_DELETE_ON_CLOSE,0
.IF EAX!=INVALID_HANDLE_VALUE
MOV HVXD,EAX
....
.ELSE
INVOKE MESSAGEBOX,NULL,ADDR FAILURE,NULL,MB_OK+MB_ICONERROR
.ENDIF
我们调用CreateFile来加载动态VxD。注意FILE_FLAG_DELETE_ON_CLOSE标记。当从CreateFile返回的VxD句柄被关闭的时候,这个标志通知Windows卸载VxD。如果CreateFile成功,我们把VxD句柄保存起来。
INVOKE MESSAGEBOX,NULL,ADDR SUCCESS,ADDR APPNAME,MB_OK+MB_ICONINFORMATION
INVOKE DEVICEIOCONTROL,HVXD,1,ADDR INBUFFER,8,NULL,NULL,NULL,NULL
INVOKE CLOSEHANDLE,HVXD
INVOKE MESSAGEBOX,NULL,ADDR UNLOAD,ADDR APPNAME,MB_OK+MB_ICONINFORMATION
当VxD加载/卸载的时候,这个程序会显示一个消息框。它令dwIoControlCode=1然后调用DeviceIoControl。将InBuffer的地址传给lpInBuffer,将InBuffer的大小传给nInBufferSize。InBuffer是一个包括两个元素的数组:每个元素都是一个字符串的地址。
MSGTITLE DB "DEVICEIOCONTROL EXAMPLE",0
MSGTEXT DB "I'm called from a VxD!",0
INBUFFER DD OFFSET MSGTITLE
DD OFFSET MSGTEXT
现在我们看一下这段VxD。
它只处理w32_deviceIoControl消息。当w32_deviceIoControl消息发送的时候,调用OnDeviceIoControl函数。
BeginProc OnDeviceIoControl
ASSUME ESI:PTR DIOCPARAMS
.IF [ESI].DWIOCONTROLCODE==DIOC_OPEN
XOR EAX,EAX
OnDeviceIoControl 处理DIOC_Open,再eas中返回0。
.ELSEIF [ESI].DWIOCONTROLCODE==1
MOV EDI,[ESI].LPVINBUFFER
它也处理control code 等于1。它做的第一件事是取出在lpyInBuffer中的数据。这个数据是传送到DeviceIoControl API 的lpInBuffer中的两个dword值。它把指向dword数组的地址放到edi中。第一个dword是作为消息框标题的字符串地址。第二个dword是作为消息框文本的字符串地址。
;-----------------------------------
copy the message title to buffer
;-----------------------------------
VMMCall _lstrlen, <[edi]>
INC EAX
PUSH EAX
VMMCall _HeapAllocate,< eax,HEAPZEROINIT>
MOV PTITLE,EAX
POP EAX
VMMCall _lstrcpyn,< pTitle,[edi],eax>
它调用VMM服务lstrlen来计算消息框标题的长度。lstrlen在eax中返回字符串的长度。我们把这个长度加1来包括结束标记NULL。下一步我们通过调用HeapAllocate来分配一块足够大可以容纳字符串和它的结束标记NULL内存。加上HEAPZEROINIT标记使HeapAllocate将这块内存清零。HeapAllocate在eax中返回这块内存的地址。我们然后从win32 app的地址空间把字符串拷贝到我们申请的内存中。我们对要做消息框文本的字符串做同样的操作。
MOV EDI,PTITLE
MOV ECX,PMESSAGE
MOV EAX,MB_OK
VMMCall Get_Sys_VM_Handle
VxDCall SHELL_sysmodal_Message
我们把标题和文本的地址分别存在edi和ecx中。把想要的标记放在eax中,通过调用Get_Sys_VM_handle得到系统VM的VM 句柄。然后调用SHELL_sysbodal_Message 。SHELL_sysModal_Message是系统SHELL_Message的模式版本。它冻结系统直到用户对消息框做出反应。
VMMCall _HeapFree,pTitle,0 VMMCall _HeapFree,pMessage,0
当SHELL_sysmodal_Message返回时,我们用_HeapFree释放内存。
DeviceIoControl接口使你的win32应用程序使用动态VxD作为一个ring-0 DLL扩展非常理想。