如何從內部卸載Windows內核模式驅動程序?
[英]How to unload Windows Kernel Mode Driver from the inside?
問題描述
我正在編寫Windows內核驅動程序,我正在嘗試實現以下內容。
假設已通過具有特定IOCTL代碼的DeviceIoControl函數從用戶模式調用驅動程序。 在這種情況下,驅動程序如何卸載? 換句話說,如何實現與運行net stop命令相同的行為?
更確切地說,在實現DispatchDeviceControl回調時我應該寫什么
NTSTATUS IoctlDeviceControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp) {
// some code...
switch (ioctlCode) {
case IOCTL_MY_UNLOAD: <---
...
}
return Status;
}
1 個解決方案
解決方案1
4 2013-10-31 03:27:22
你可以使用ZwUnloadDriver Kernel函數!
文檔:
ZwUnloadDriver例程從系統卸載驅動程序。 請謹慎使用此程序。 (參見以下備注部分。)
C / C ++定義:
NTSTATUS ZwUnloadDriver(
_In_ PUNICODE_STRING DriverServiceName
);
MSDN資料來源:
http://msdn.microsoft.com/en-us/library/windows/hardware/ff567117(v=vs.85).aspx
如何從 Windows 內核模式驅動程序代碼中獲取當前工作目錄?
[英]How to get current working directory from windows kernel mode driver code?
如何從內核模式WFP標注驅動程序調用NtUserPostMessage?
[英]How to call NtUserPostMessage from kernel-mode WFP callout driver?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.