需安装匹配版本的wdk与visual studio,选择kmdf模型创建项目,编写driverentry和evtdriverdeviceadd等核心逻辑,测试阶段启用测试签名并用inf2cat/signtool签名,最后通过windbg网络调试。
如果您希望在Windows平台上开发内核模式驱动程序,则需要理解驱动模型、构建环境配置以及调试机制。以下是完成Windows驱动开发所需的核心工具链与调试路径:
一、安装WDK与Visual Studio集成环境
Windows Driver Kit(WDK)是微软官方提供的驱动开发套件,必须与兼容版本的Visual Studio配合使用,才能生成可加载的.sys文件。WDK不独立运行,依赖VS的编译器和项目系统。
1、下载并安装与目标Windows版本匹配的WDK,例如Windows 11 WDK 22H2。
2、安装对应版本的Visual Studio(如VS 2022),勾选“使用C++的桌面开发”工作负载。
3、运行WDK安装程序,在安装过程中选择“与已安装的Visual Studio集成”选项。
4、重启Visual Studio后,新建项目时应可在模板中看到“Windows Driver”分类下的“Kernel Mode Driver”或“KMDF Driver”模板。
二、选择驱动模型并创建基础项目
Windows支持多种驱动模型,包括传统NT式驱动、WDM、KMDF和UMDF。KMDF因封装了大量底层细节且具备良好稳定性和调试支持,被推荐用于大多数新开发场景。
1、在Visual Studio中选择“KMDF Driver (Kernel Mode)”模板。
2、填写项目名称与位置,确保目标平台(如x64)与测试机架构一致。
3、向导将自动生成inf文件、driver源码(DriverEntry、EvtDriverDeviceAdd等回调函数)、manifest及build配置。
4、检查生成的.inf文件中ClassGuid是否正确,例如ClassGuid={4d36e97d-e325-11ce-bfc1-08002be10318}(即“显示适配器”类)需按实际设备类型调整。
三、编写核心驱动逻辑
驱动入口函数DriverEntry负责初始化全局资源,而EvtDriverDeviceAdd则在设备枚举时被调用,用于创建WDFDEVICE对象及绑定I/O队列。所有硬件交互必须通过WDF框架对象完成,避免直接操作物理地址或中断控制器。
1、在DriverEntry中调用WdfDriverCreate,并传入WDF_DRIVER_CONFIG结构体,指定EvtDriverDeviceAdd回调。
2、在EvtDriverDeviceAdd中调用WdfDeviceCreate以创建设备对象,随后调用WdfIoQueueCreate创建默认I/O队列。
3、为队列注册EvtIoDefault或EvtIoRead/EvtIoWrite回调,处理来自应用程序的IRP请求。
4、若需访问硬件寄存器,使用WdfCmResourceListGetDescriptor获取PCI配置空间或内存范围,再通过WdfCommonBufferCreate或MmMapIoSpaceEx映射物理地址。
四、签名与安装驱动
从Windows 10 RS1起,未签名的内核驱动默认禁止加载;测试阶段可通过禁用驱动签名强制策略绕过,但必须在测试完成后使用有效证书签名。
1、在测试机上以管理员身份运行cmd,执行:bcdedit /set loadoptions DISABLE_INTEGRITY_CHECKS,然后执行:bcdedit /set testsigning on,重启生效。
2、使用Inf2Cat工具为.inf文件生成catalog文件:inf2cat /driver:. /os:10_X64。
3、使用SignTool对.cat文件签名:signtool sign /v /ac "CrossCert.pem" /s MY /n "Publisher Name" /t http://timestamp.digicert.com driver.cat。
4、右键.inf文件,选择“安装”,或使用pnputil命令:pnputil /add-driver driver.inf /install。
五、使用WinDbg进行内核调试
WinDbg Preview(或旧版WinDbg)是调试Windows驱动的主要工具,需通过串口、USB 3.0(KDNET)、1394或网络连接主机与目标机。调试器通过内核调试协议捕获断点、异常及驱动日志。
1、在目标机启用内核调试:运行bcdedit /debug on,再执行bcdedit /dbgsettings NET HOSTIP:192.168.1.10 PORT:50000 KEY:1.2.3.4(HOSTIP为目标机自身IP)。
2、在主机WinDbg中选择“File → Connect to Kernel Debugging”,协议选Net,设置相同PORT与KEY,点击OK连接。
3、在驱动源码中插入KdBreakPoint()或设置符号断点,例如:bp MyDriver!EvtDriverDeviceAdd。
4、触发设备安装或I/O操作后,WinDbg将中断并显示当前堆栈;使用!drvobj MyDriver 2查看驱动对象状态,用!wdfkd.wdflogdump MyDriver读取WDF框架日志。
