技術文章 » 驅動開發:核心使用IO/DPC定時器

驅動開發:核心使用IO/DPC定時器

2023-04-04 12:00:37

本章將繼續探索驅動開發中的基礎部分,定時器在核心中同樣很常用,在核心中定時器可以使用兩種,即IO定時器,以及DPC定時器,一般來說IO定時器是DDK中提供的一種,該定時器可以為間隔為N秒做定時,但如果要實現毫秒級別間隔,微秒級別間隔,就需要用到DPC定時器,如果是秒級定時其兩者基本上無任何差異,本章將簡單介紹IO/DPC這兩種定時器的使用技巧。

首先來看IO定時器是如何使用的,IO定時器在使用上需要呼叫IoInitializeTimer函數對定時器進行初始化,但需要注意的是此函數每個裝置物件只能呼叫一次,當初始化完成後使用者可呼叫IoStartTimer讓這個定時器執行,相反的呼叫IoStopTimer則用於關閉定時。

// 初始化定時器
NTSTATUS IoInitializeTimer(
  [in]           PDEVICE_OBJECT         DeviceObject,  // 裝置物件
  [in]           PIO_TIMER_ROUTINE      TimerRoutine,  // 回撥例程
  [in, optional] __drv_aliasesMem PVOID Context        // 回撥例程引數
);
// 啟動定時器
VOID IoStartTimer(
  [in] PDEVICE_OBJECT DeviceObject             // 裝置物件
);
// 關閉定時器
VOID IoStopTimer(
  [in] PDEVICE_OBJECT DeviceObject             // 裝置物件
);

這裡我們最關心的其實是IoInitializeTimer函數中的第二個引數TimerRoutine該引數用於傳遞一個自定義回撥函數地址,其次由於定時器需要依附於一個裝置,所以我們還需要呼叫IoCreateDevice建立一個新裝置來讓定時器執行緒使用,實現定時器程式碼如下所示。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

#include <ntifs.h>
#include <wdm.h>
#include <ntstrsafe.h>

LONG count = 0;

// 自定義定時器函數
VOID MyTimerProcess( __in struct _DEVICE_OBJECT *DeviceObject, __in_opt PVOID Context)
{
	InterlockedIncrement(&count);
	DbgPrint("定時器計數 = %d", count);
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	// 關閉定時器
	IoStopTimer(driver->DeviceObject);

	// 刪除裝置
	IoDeleteDevice(driver->DeviceObject);

	DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark \n");

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	// 定義裝置名以及定時器
	UNICODE_STRING dev_name = RTL_CONSTANT_STRING(L"");
	PDEVICE_OBJECT dev;
	status = IoCreateDevice(Driver, 0, &dev_name, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &dev);
	if (!NT_SUCCESS(status))
	{
		return STATUS_UNSUCCESSFUL;
	}
	else
	{
		// 初始化定時器並開啟
		IoInitializeTimer(dev, MyTimerProcess, NULL);
		IoStartTimer(dev);
	}

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

編譯並執行這段程式碼,那麼系統會每隔1秒執行一次MyTimerProcess這個自定義函數。

那麼如何讓其每隔三秒執行一次呢,其實很簡單,通過InterlockedDecrement函數實現遞減(每次呼叫遞減1)當計數器變為0時InterlockedCompareExchange會讓其繼續變為3,以此迴圈即可完成三秒輸出一次的效果。

LONG count = 3;

// 自定義定時器函數
VOID MyTimerProcess(__in struct _DEVICE_OBJECT *DeviceObject, __in_opt PVOID Context)
{
	// 遞減計數
	InterlockedDecrement(&count);

	// 當計數減到0之後繼續變為3
	LONG preCount = InterlockedCompareExchange(&count, 3, 0);

	//每隔3秒計數器一個迴圈輸出如下資訊
	if (preCount == 0)
	{
		DbgPrint("[LyShark] 三秒過去了 \n");
	}
}

程式執行後,你會看到如下輸出效果;

相比於IO定時器來說,DPC定時器則更加靈活,其可對任意間隔時間進行定時,DPC定時器內部使用定時器物件KTIMER,當對定時器設定一個時間間隔後,每隔這段時間作業系統會將一個DPC例程插入DPC佇列。當作業系統讀取DPC佇列時,對應的DPC例程會被執行,此處所說的DPC例程同樣表示回撥函數。

DPC定時器中我們所需要使用的函數宣告部分如下所示;

// 初始化定時器物件 PKTIMER 指向呼叫方為其提供儲存的計時器物件的指標
void KeInitializeTimer(
  [out] PKTIMER Timer    // 定時器指標
);

// 初始化DPC物件
void KeInitializeDpc(
  [out]          __drv_aliasesMem PRKDPC Dpc,
  [in]           PKDEFERRED_ROUTINE      DeferredRoutine,
  [in, optional] __drv_aliasesMem PVOID  DeferredContext
);

// 設定定時器
BOOLEAN KeSetTimer(
  [in, out]      PKTIMER       Timer,     // 定時器物件的指標
  [in]           LARGE_INTEGER DueTime,   // 時間間隔
  [in, optional] PKDPC         Dpc        // DPC物件
);

// 取消定時器
BOOLEAN KeCancelTimer(
  [in, out] PKTIMER unnamedParam1         // 定時器指標
);

注意;在呼叫KeSetTimer後,只會觸發一次DPC例程。如果想週期的觸發DPC例程,需要在DPC例程被觸發後,再次呼叫KeSetTimer函數,應用DPC定時程式碼如下所示。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

#include <ntifs.h>
#include <wdm.h>
#include <ntstrsafe.h>

LONG count = 0;
KTIMER g_ktimer;
KDPC g_kdpc;

// 自定義定時器函數
VOID MyTimerProcess(__in struct _KDPC *Dpc,__in_opt PVOID DeferredContext,__in_opt PVOID SystemArgument1,__in_opt PVOID SystemArgument2)
{
	LARGE_INTEGER la_dutime = { 0 };
	la_dutime.QuadPart = 1000 * 1000 * -10;

	// 遞增計數器
	InterlockedIncrement(&count);

	DbgPrint("DPC 定時執行 = %d", count);

	// 再次設定定時
	KeSetTimer(&g_ktimer, la_dutime, &g_kdpc);
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	// 取消計數器
	KeCancelTimer(&g_ktimer);

	DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark \n");

	LARGE_INTEGER la_dutime = { 0 };

	// 每隔1秒執行一次
	la_dutime.QuadPart = 1000 * 1000 * -10;

	// 1.初始化定時器物件
	KeInitializeTimer(&g_ktimer);

	// 2.初始化DPC定時器
	KeInitializeDpc(&g_kdpc, MyTimerProcess, NULL);

	// 3.設定定時器,開始計時
	KeSetTimer(&g_ktimer, la_dutime, &g_kdpc);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

編譯並執行這段程式,會發現其執行後的定時效果與IO定時器並無太大區別,但是DPC可以控制更精細,通過la_dutime.QuadPart = 1000 * 1000 * -10毫秒級別都可被控制。

最後擴充套件一個知識點,如何得到系統的當前詳細時間,獲得系統時間。在核心裡通過KeQuerySystemTime獲取的系統時間是標準時間(GMT+0),轉換成本地時間還需使用RtlTimeToTimeFields函數將其轉換為TIME_FIELDS結構體格式。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

#include <ntifs.h>
#include <wdm.h>
#include <ntstrsafe.h>

/*
	typedef struct TIME_FIELDS
	{
	CSHORT Year;
	CSHORT Month;
	CSHORT Day;
	CSHORT Hour;
	CSHORT Minute;
	CSHORT Second;
	CSHORT Milliseconds;
	CSHORT Weekday;
	} TIME_FIELDS;
*/

// 核心中獲取時間
VOID MyGetCurrentTime()
{
	LARGE_INTEGER CurrentTime;
	LARGE_INTEGER LocalTime;
	TIME_FIELDS   TimeFiled;
	
	// 得到格林威治時間
	KeQuerySystemTime(&CurrentTime);
	
	// 轉成本地時間
	ExSystemTimeToLocalTime(&CurrentTime, &LocalTime);
	
	// 轉換為TIME_FIELDS格式
	RtlTimeToTimeFields(&LocalTime, &TimeFiled);

	DbgPrint("[時間與日期] %4d年%2d月%2d日 %2d時%2d分%2d秒",
		TimeFiled.Year, TimeFiled.Month, TimeFiled.Day,
		TimeFiled.Hour, TimeFiled.Minute, TimeFiled.Second);
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	MyGetCurrentTime();

	DbgPrint("hello lyshark \n");

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

執行後即可在核心中得到當前系統的具體時間;