如何从内部卸载Windows内核模式驱动程序?
[英]How to unload Windows Kernel Mode Driver from the inside?
问题描述
我正在编写Windows内核驱动程序,我正在尝试实现以下内容。
假设已通过具有特定IOCTL代码的DeviceIoControl函数从用户模式调用驱动程序。 在这种情况下,驱动程序如何卸载? 换句话说,如何实现与运行net stop命令相同的行为?
更确切地说,在实现DispatchDeviceControl回调时我应该写什么
NTSTATUS IoctlDeviceControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp) {
// some code...
switch (ioctlCode) {
case IOCTL_MY_UNLOAD: <---
...
}
return Status;
}
1 个解决方案
解决方案1
4 2013-10-31 03:27:22
你可以使用ZwUnloadDriver Kernel函数!
文档:
ZwUnloadDriver例程从系统卸载驱动程序。 请谨慎使用此程序。 (参见以下备注部分。)
C / C ++定义:
NTSTATUS ZwUnloadDriver(
_In_ PUNICODE_STRING DriverServiceName
);
MSDN资料来源:
http://msdn.microsoft.com/en-us/library/windows/hardware/ff567117(v=vs.85).aspx
如何从 Windows 内核模式驱动程序代码中获取当前工作目录?
[英]How to get current working directory from windows kernel mode driver code?
如何从内核模式WFP标注驱动程序调用NtUserPostMessage?
[英]How to call NtUserPostMessage from kernel-mode WFP callout driver?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.