本文介绍了一种在用户层和内核层之间共享EVENT对象的方法,通过创建命名事件和使用特定API,实现跨层同步,避免ring0与ring3间的壁垒限制。
在驱动程序中常常需要与用户层程序进行同步,但是由于ring0与ring3之间的天然壁障,导致它们不能使用通常的方法。比如在用户层CreateEvent得到的句柄无法在内核之中使用。
然而EVENT对象生来就是为了进行同步使用的,只不过要想在内核层和用户层之间共享同一个EVENT对象的话,需要一点小小的技巧。
1、在用户空间建立事件对象,获取事件句柄,然后使用DeviceIoControl通知内核事件已经建立好。
HANDLE hEvent = CreateEventW(NULL, FALSE, FALSE, L"MyEvent");
2、在内核中声明一个KEVENT对象指针和一个句柄。
HANDLE g_hEvent;
PKEVENT g_pEvent;
3、分配非分页内存空间。
g_pEvent = (PKEVENT)ExAllocatePool(NonPagedPool, sizeof(KEVENT));
4、设置对象名称并建立事件对象。
UNICODE_STRING ustrEventName = RTL_CONSTANT_STRING(L"\\BaseNamedObjects\\MyEvent"); g_pEvent = IoCreateNotificationEvent(&ustrEventName, &g_hEvent);
5、然后就可以正常使用了。
用户代码使用SetEvent和ResetEvent,内核代码使用KeSetEvent和KeResetEvent。
注意:g_pEvent本身是一个指针,所以KeSetEvent请这样使用:
KeSetEvent(g_pEvent, IO_NO_INCREMENT, FALSE);
本文转自:http://blog.atelier39.org/winkernel/113.html
扫一扫
9756
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
