第一个驱动程序
创建驱动
1.创建工程
2.添加源文件
3.MyDriver1 Package可选择性移除,不影响功能。
4.配置调整不必要的属性
- C/C++
5.main.c源码
#include<ntddk.h>
VOID nothing(HANDLE ppid, HANDLE mypid, BOOLEAN bcreate)
{
DbgPrint("ProcessNotify\n");
}
VOID DrvUnload(PDRIVER_OBJECT pdriver)
{
DbgPrint("Unload\n");
PsSetCreateProcessNotifyRoutine(nothing, TRUE);
}
//extern "C" //如果是.cpp后缀需要加上,表示按C编译
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
driver->DriverUnload = DrvUnload;
DbgPrint("--%wZ--\n", reg_path);
PsSetCreateProcessNotifyRoutine(nothing, FALSE);
return 0;
}
6.找到编译生成的文件(记得加上有效签名)
运行驱动
7.配置debugview(管理员权限运行),捕获信息
8.启动/卸载驱动成功(DriverMonitor运行)
