August 15th, 2010 | 
在驱动程序中常常需要与用户层程序进行同步,但是由于ring0与ring3之间的天然壁障,导致它们不能使用通常的方法。比如在用户层CreateEvent得到的句柄无法在内核之中使用。
然而EVENT对象生来就是为了进行同步使用的,只不过要想在内核层和用户层之间共享同一个EVENT对象的话,需要一点小小的技巧。
1、在用户空间建立事件对象,获取事件句柄,然后使用DeviceIoControl通知内核事件已经建立好。
HANDLE hEvent = CreateEventW(NULL, FALSE, FALSE, L"MyEvent");
2、在内核中声明一个KEVENT对象指针和一个句柄。
HANDLE g_hEvent;
PKEVENT g_pEvent;
PKEVENT g_pEvent;
3、分配非分页内存空间。
g_pEvent = (PKEVENT)ExAllocatePool(NonPagedPool, sizeof(KEVENT));
4、设置对象名称并建立事件对象。
UNICODE_STRING ustrEventName = RTL_CONSTANT_STRING(L"\\BaseNamedObjects\\MyEvent");
g_pEvent = IoCreateNotificationEvent(&ustrEventName, &g_hEvent);
g_pEvent = IoCreateNotificationEvent(&ustrEventName, &g_hEvent);
5、然后就可以正常使用了。
用户代码使用SetEvent和ResetEvent,内核代码使用KeSetEvent和KeResetEvent。
注意:g_pEvent本身是一个指针,所以KeSetEvent请这样使用:
KeSetEvent(g_pEvent, IO_NO_INCREMENT, FALSE);
» 转载请注明来源及链接:未来代码研究所
Posted in 
Tags: 