我正在编写一个驱动程序,需要立即弹出一个对话框来通知用户事件 (类似于NTFS的“Corrupt file”通知,除了这不是与文件系统相关的驱动程序。)
我知道ExRaiseHardError和IoRaiseInformationalHardError应该可以做到这一点,但它们似乎不起作用 - 它们“成功”返回而没有真正做任何事情。
我该怎么做(没有创建用户模式程序)?
用户模式版本的代码(正常工作)如下所示。
在内核模式版本中,我拨打ExRaiseHardError而不是NtRaiseHardError,但方式完全相同。
#include <windows.h>
#pragma comment(lib, "ntdll.lib") // Needs ntdll.lib from Windows Driver Kit
typedef enum HardErrorResponseType {
ResponseTypeAbortRetryIgnore,
ResponseTypeOK,
ResponseTypeOKCancel,
ResponseTypeRetryCancel,
ResponseTypeYesNo,
ResponseTypeYesNoCancel,
ResponseTypeShutdownSystem,
ResponseTypeTrayNotify,
ResponseTypeCancelTryAgainContinue
} HardErrorResponseType;
typedef enum HardErrorResponse {
ResponseReturnToCaller,
ResponseNotHandled,
ResponseAbort, ResponseCancel,
ResponseIgnore,
ResponseNo,
ResponseOk,
ResponseRetry,
ResponseYes
} HardErrorResponse;
typedef enum HardErrorResponseButton {
ResponseButtonOK,
ResponseButtonOKCancel,
ResponseButtonAbortRetryIgnore,
ResponseButtonYesNoCancel,
ResponseButtonYesNo,
ResponseButtonRetryCancel,
ResponseButtonCancelTryAgainContinue
} HardErrorResponseButton;
typedef enum HardErrorResponseDefaultButton {
DefaultButton1 = 0,
DefaultButton2 = 0x100,
DefaultButton3 = 0x200
} HardErrorResponseDefaultButton;
typedef enum HardErrorResponseIcon {
IconAsterisk = 0x40,
IconError = 0x10,
IconExclamation = 0x30,
IconHand = 0x10,
IconInformation = 0x40,
IconNone = 0,
IconQuestion = 0x20,
IconStop = 0x10,
IconWarning = 0x30,
IconUserIcon = 0x80
} HardErrorResponseIcon;
typedef enum HardErrorResponseOptions {
ResponseOptionNone = 0,
ResponseOptionDefaultDesktopOnly = 0x20000,
ResponseOptionHelp = 0x4000,
ResponseOptionRightAlign = 0x80000,
ResponseOptionRightToLeftReading = 0x100000,
ResponseOptionTopMost = 0x40000,
ResponseOptionServiceNotification = 0x00200000,
ResponseOptionServiceNotificationNT3X = 0x00040000,
ResponseOptionSetForeground = 0x10000,
ResponseOptionSystemModal = 0x1000,
ResponseOptionTaskModal = 0x2000,
ResponseOptionNoFocus = 0x00008000
} HardErrorResponseOptions;
typedef LONG NTSTATUS;
typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;
EXTERN_C DECLSPEC_IMPORT NTSTATUS NTAPI NtRaiseHardError(
IN NTSTATUS ErrorStatus, IN ULONG NumberOfParameters,
IN ULONG UnicodeStringParameterMask, IN PULONG_PTR Parameters,
IN ULONG ValidResponseOptions,
OUT HardErrorResponse *Response);
EXTERN_C DECLSPEC_IMPORT VOID NTAPI RtlInitUnicodeString(
IN OUT PUNICODE_STRING DestinationString, IN PCWSTR SourceString);
#define STATUS_ACCESS_DENIED ((NTSTATUS)0xC0000022L)
#define STATUS_SERVICE_NOTIFICATION ((NTSTATUS)0x50000018L)
int main(void)
{
HardErrorResponse r;
// To display a standard NTSTATUS value:
NtRaiseHardError(STATUS_ACCESS_DENIED, 0, 0, NULL, ResponseTypeOK, &r);
// To display a custom string:
UNICODE_STRING wTitle, wText;
RtlInitUnicodeString(&wTitle, L"Title");
RtlInitUnicodeString(&wText, L"Text");
ULONG_PTR params[4] = {
(ULONG_PTR)&wText,
(ULONG_PTR)&wTitle,
(
(ULONG)ResponseButtonOK |
(ULONG)IconInformation |
(ULONG)ResponseOptionNone |
(ULONG)DefaultButton1
),
INFINITE
};
NtRaiseHardError(STATUS_SERVICE_NOTIFICATION, 4, 0x3, params, 0, &r);
return 0;
}
答案 0 :(得分:3)
内核驱动程序无法显示MessageBox。如果您想这样做,那么您必须通过内核驱动程序通过用户登陆应用程序提供通信功能,然后从您的用户登陆应用程序中显示MessageBox。
所有关于[Zw/Nt]RaiseHardError的讨论都是无关紧要的。如果您反汇编MessageBox,您会注意到最终会调用此API。
答案 1 :(得分:0)
我不认为没有在用户模式下运行的应用程序(或服务),您可以在内存中加载驱动程序(即使它将成为过滤器驱动程序)。