Волчьи IT-мысли » драйвер

IsDebug-ли?

SWW — Mon, 21 Mar 2011 17:10:02 +0000

Пришлось мне тут анализировать один элементарный руткит, никак не срасталось у нашего анти-руткита кое-что с ним. Ерунда в принципе, бага не критичная, но разобраться все-таки стоило. В последнее время не часто выпадает возможность проанализировать что-либо, но тут повезло, можно немного отвлечься от процесса исследования/кодинга.

Для дальнейшего понимания сути поста надо запомнить то, что дата компиляции дроппера — 27 февраля 2011 года, т.е. сэмпл далеко не старый.

В процессе динамического анализа я натолкнулся на полнейший отказ руткита работать, во-первых, под виртуальной машиной, а во-вторых, под виртуальной машиной с отладчиком ядра. Дроппер, кстати, также использовал парочку элементарных и устаревших проверок виртуальной машины, но не о дроппере речь.

Вот такой код я обнаружил в драйвере:

char __cdecl IsDebug()
{
  UNICODE_STRING DestinationString; // [sp+4h] [bp-Ch]@4
  PVOID Object; // [sp+Ch] [bp-4h]@4
 
  if ( KdDebuggerEnabledAddr && *(_BYTE *)KdDebuggerEnabledAddr )
    return 1;
  RtlInitUnicodeString(&DestinationString, L"\\Driver\\NTICE");
  if ( !ObReferenceObjectByName(&DestinationString, 0x40u, 0, 0x1F01FFu, IoDriverObjectType, 0, 0, &Object) )
  {
    ObfDereferenceObject(Object);
    return 1;
  }
  return 0;
}

Способ, основанный на проверке переменной KdDebuggerEnabled, известен очень давно, однако, проверка на наличие в системе активного отладчика Soft(Win)Ice (наличие драйвера NTICE) — это что-то из ряда вон выходящее. Неужели авторы думают, что антивирусные лаборатории до сих пор используют этот устаревший инструмент?

Что ж, живы еще олдскул разработчики в родных селениях!

Использование мэппинга драйверов

SWW — Thu, 08 Jul 2010 11:50:08 +0000

В отладчике WinDbg существует специальная возможность – мэппинг драйвера. Отладчик может перехватить момент загрузки драйвера на тестовой машине и загрузить в память копию драйвера с машины разработчика. Эта способность избавляет разработчика от проблемы копирования файла драйвера на тестовую машину и, конечно, от забывчивости.

Прежде всего, необходимо внести в переменные окружения компьютера разработчика параметр _NT_KD_FILES, где значением этого параметра должен быть полный путь до специального map-файла, например, c:\driver.map.

Далее, необходимо создать сам map-файл по выбранному пути с указанным содержимым:

map
\??\C:\1\driver32.sys
C:\project_path\out\debug\driver32.sys

Во второй строке файла необходимо указать путь до драйвера на тестовой машине (например, на VmWare) так, как он указан в реестре данного сервиса. В третьей строке необходимо указать путь до файла на машине разработчика. Удобнее всего использовать путь до директории, в которой собирается chk-билд драйвера. Тогда каждый раз при загрузке драйвера будет загружена его новая версия.

В отладчике процесс загрузки драйвера с машины разработчика на тестовую машину выглядит примерно так:

kd> g
KD: Accessing ‘C:\project_path\out \debug\driver32.sys’ (\??\C:\1\driver32.sys)
File size 91K…………………………….
MmLoadSystemImage: Pulled \??\C:\1\driver32.sys from kd

Удачной отладки!

Getting Started with the Windows Driver Development Environment

SWW — Fri, 28 May 2010 12:13:30 +0000

Getting started with Microsoft Windows device drivers can be difficult, even for experienced developers. This paper presents an overview of the debugging and testing tools that developers use to create a device driver for Windows operating systems. In particular, the paper examines ways to find and fix bugs early in development, to help you produce a high-quality device driver.

WDK MVP Don Burn shares his experience and insights about the hardware and software you need for driver development, how to get started with the WDK build environments and Build utility, and tips, techniques, and tools for all phases of development.

Неплохая статья для начинающих. Рекомендуется к просмотру.

Функции уведомления и функции обратного вызова в Windows (ч.1, Ps*)

SWW — Sun, 21 Feb 2010 11:35:19 +0000

В операционной системе Windows разработчиками было предусмотрено довольно много механизмов получения каких-либо уведомлений и событий. В некоторых случаях разработчик может влиять на возвращаемый результат, в некоторых – нет. В основном считается, что программист не может влиять на возвращаемый результат функций уведомления (notifications) и может влиять на возвращаемый результат функций обратного вызова (callbacks). Однако это совсем не означает, что функции уведомления вызываются асинхронно, поэтому необходимо обязательно возвращать управление из тех и из других.

Предоставленные функции связаны с различными объектами операционной системы, такими как процессы, потоки, файловые образы, объекты системного реестра и так далее.

PsSetLoadImageNotifyRoutine

PsSetLoadImageNotifyRoutine регистрирует функцию уведомления, которая вызывается в момент загрузки образа или отображения образа в память.

NTSTATUS
  PsSetLoadImageNotifyRoutine(
    IN PLOAD_IMAGE_NOTIFY_ROUTINE  NotifyRoutine
    );

Функция уведомления должна быть определена следующим образом:

VOID
(*PLOAD_IMAGE_NOTIFY_ROUTINE) (
    IN PUNICODE_STRING  FullImageName,
    IN HANDLE  ProcessId,
    IN PIMAGE_INFO  ImageInfo
    );

После регистрации данной функции она будет вызываться операционной системой после отображения в память исполняемого образа в пространстве ядра или в пользовательском пространстве, до начала исполнения образа. Данная функция вызывается, в том числе и в момент загрузки DLL в пользовательском пространстве.

В момент загрузки основного исполняемого образа в память нового процесса данная функция уведомления вызывается в контексте создаваемого процесса.

Пример регистрации функции уведомления:

NTSTATUS SetLoadImageNotifyRoutine(IN PLOAD_IMAGE_NOTIFY_ROUTINE Routine)
{
	PAGED_CODE();
 
	if ( !Routine )
		return STATUS_INVALID_PARAMETER;
 
	return PsSetLoadImageNotifyRoutine( Routine );
}
 
VOID LoadImageNotifyRoutine(IN PUNICODE_STRING FullImageName, IN HANDLE ProcessId, IN PIMAGE_INFO ImageInfo)
{
	PAGED_CODE();
 
	KdPrint( ( "LoadImageNotifyRoutine called with FullImageName = %wZ, ProcessId = 0x%08X\n", FullImageName, ProcessId ) );
}

Из переменной ImageInfo можно получить дополнительную информацию. Причем для систем Windows Vista и выше данная структура содержит больше информации, чем для предыдущих версий ОС (см. WDK Help).

Операционная система содержит список (массив) функций уведомления. Например, для Windows XP/2003 – это глобальный массив PspLoadImageNotifyRoutine. Вызов каждой зарегистрированной процедуры происходит последовательно в функции PsCallImageNotifyRoutines.

NTSTATUS
MmLoadSystemImage (
    IN PUNICODE_STRING ImageFileName,
    IN PUNICODE_STRING NamePrefix OPTIONAL,
    IN PUNICODE_STRING LoadedBaseName OPTIONAL,
    IN ULONG LoadFlags,
    OUT PVOID *ImageHandle,
    OUT PVOID *ImageBaseAddress
    )
{
…
 
        if (PsImageNotifyEnabled) {
            IMAGE_INFO ImageInfo;
 
            ImageInfo.Properties = 0;
            ImageInfo.ImageAddressingMode = IMAGE_ADDRESSING_MODE_32BIT;
            ImageInfo.SystemModeImage = TRUE;
            ImageInfo.ImageSize = DataTableEntry->SizeOfImage;
            ImageInfo.ImageBase = *ImageBaseAddress;
            ImageInfo.ImageSelector = 0;
            ImageInfo.ImageSectionNumber = 0;
 
            PsCallImageNotifyRoutines(ImageFileName, (HANDLE)NULL, &ImageInfo);
        }
 
…
}
 
PsCallImageNotifyRoutines(
    IN PUNICODE_STRING FullImageName,
    IN HANDLE ProcessId,
    IN PIMAGE_INFO ImageInfo
    )
{
    ULONG i;
    PEX_CALLBACK_ROUTINE_BLOCK CallBack;
    PLOAD_IMAGE_NOTIFY_ROUTINE Rtn;
 
    PAGED_CODE();
 
    if (PsImageNotifyEnabled) { 
        for (i=0; i < PSP_MAX_LOAD_IMAGE_NOTIFY; i++) {
            CallBack = ExReferenceCallBackBlock (&PspLoadImageNotifyRoutine[i]);
            if (CallBack != NULL) {
                Rtn = (PLOAD_IMAGE_NOTIFY_ROUTINE) ExGetCallBackBlockRoutine (CallBack);
                Rtn (FullImageName,
                     ProcessId,
                     ImageInfo);
                ExDereferenceCallBackBlock (&PspLoadImageNotifyRoutine[i], CallBack);
            }
        }
    }
}

Удалить функцию уведомления можно с помощью вызова PsRemoveLoadImageNotifyRoutine, передав указатель на зарегистрированный обработчик.

PsSetCreateProcessNotifyRoutine и PsSetCreateProcessNotifyRoutineEx

PsSetCreateProcessNotifyRoutine и PsSetCreateProcessNotifyRoutineEx позволяют зарегистрировать функцию уведомления на создание и завершение процессов в системе. Последняя из перечисленных функций присутствует только начиная с Windows Vista SP1 и предоставляет больше информации и более удобный интерфейс для использования.

NTSTATUS
  PsSetCreateProcessNotifyRoutine(
    IN PCREATE_PROCESS_NOTIFY_ROUTINE  NotifyRoutine,
    IN BOOLEAN  Remove
    );
 
NTSTATUS
  PsSetCreateProcessNotifyRoutineEx(
    IN PCREATE_PROCESS_NOTIFY_ROUTINE_EX  NotifyRoutine,
    IN BOOLEAN  Remove
    );

В отличие от PsSetLoadImageNotifyRoutine для удаления обработчика не нужно вызывать другую функцию, достаточно вызвать ту же самую с параметром Remove равным TRUE.

Обработчики должны быть определены следующим образом:

VOID
(*PCREATE_PROCESS_NOTIFY_ROUTINE) (
    IN HANDLE  ParentId,
    IN HANDLE  ProcessId,
    IN BOOLEAN  Create
    );
 
VOID
  CreateProcessNotifyEx(
    __inout PEPROCESS  Process,
    __in HANDLE  ProcessId,
    __in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo
    );

Структура с дополнительной информацией:

typedef struct _PS_CREATE_NOTIFY_INFO {
  __in SIZE_T  Size;
  union {
    __in ULONG  Flags;
    struct {
      __in ULONG  FileOpenNameAvailable : 1;
      __in ULONG  Reserved : 31;
    };
  };
  __in HANDLE  ParentProcessId;
  __in CLIENT_ID  CreatingThreadId;
  __inout struct _FILE_OBJECT  *FileObject;
  __in PCUNICODE_STRING  ImageFileName;
  __in_opt PCUNICODE_STRING  CommandLine;
  __inout NTSTATUS  CreationStatus;
} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;

После регистрации функции уведомления операционная система вызывает зарегистрированный обработчик в двух случаях: когда процесс создается и когда процесс завершается. В случае создания процесса функция уведомления вызывается после того как создан начальный поток, но исполнение его еще не началось. В случае завершения процесса операционная система вызывает функцию уведомления, перед тем как последний поток в процессе завершится. В обработчике, зарегистрированном с помощью PsSetCreateProcessNotifyRoutineEx, можно влиять на результат создания процесса. Для этого необходимо использовать член CreationStatus структуры PS_CREATE_NOTIFY_INFO.

В момент создания нового процесса функция уведомления вызывается в контексте потока, который инициировал создание этого процесса. В момент уничтожения процесса функция уведомления вызывается в контексте последнего потока завершаемого процесса.

Пример регистрации функции уведомления:

typedef NTSTATUS (NTAPI* PSSETCREATEPROCESSNOTIFYROUTINEEX_PROC)(
	IN PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,
	IN BOOLEAN Remove
	);
 
NTSTATUS SetCreateProcessNotifyRoutine(VOID)
{
	NTSTATUS                               status;
	UNICODE_STRING                         szCreateProcessEx = {0};
	PSSETCREATEPROCESSNOTIFYROUTINEEX_PROC pCreateProcessEx  = NULL;
 
	PAGED_CODE();
 
	RtlInitUnicodeString( &szCreateProcessEx, L"PsSetCreateProcessNotifyRoutineEx" );
 
	pCreateProcessEx = (PSSETCREATEPROCESSNOTIFYROUTINEEX_PROC )MmGetSystemRoutineAddress( &szCreateProcessEx );
 
	if ( pCreateProcessEx )
	{
		status = pCreateProcessEx( CreateProcessNotifyRoutineEx, FALSE );
	}
	else
	{
		status = PsSetCreateProcessNotifyRoutine( CreateProcessNotifyRoutine, FALSE );
	}
 
	return status;
}
 
VOID CreateProcessNotifyRoutine(IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create)
{
	PAGED_CODE();
 
	KdPrint( ( "CreateProcessNotifyRoutine called with ParentId = 0x%08X, ProcessId = 0x%08X, Create = %d\n", ParentId, ProcessId, Create ) );
}
 
VOID CreateProcessNotifyRoutineEx(__inout PEPROCESS Process, __in HANDLE ProcessId, __in_opt PPS_CREATE_NOTIFY_INFO CreateInfo)
{
	PAGED_CODE();
 
	KdPrint( ( "CreateProcessNotifyRoutineEx called with Process = 0x%08X, ProcessId = 0x%08X\n", Process, ProcessId ) );
}

Как и в случае с PsLoadImageNotifyRoutine операционная система содержит список (массив) функций уведомления в глобальной переменной PspCreateProcessNotifyRoutine (Windows XP/2003). Вызов каждой зарегистрированной функции происходит из системных функций PspCreateThread и PspExitProcess.

VOID
PspExitProcess(
    IN BOOLEAN LastThreadExit,
    IN PEPROCESS Process
    )
{
 
…
 
    if (LastThreadExit) {
 
…
 
        if (PspCreateProcessNotifyRoutineCount != 0) {
            ULONG i;
            PEX_CALLBACK_ROUTINE_BLOCK CallBack;
            PCREATE_PROCESS_NOTIFY_ROUTINE Rtn;
 
            for (i = 0; i < PSP_MAX_CREATE_PROCESS_NOTIFY; i++) {
                CallBack = ExReferenceCallBackBlock (&PspCreateProcessNotifyRoutine[i]);
                if (CallBack != NULL) {
                    Rtn = (PCREATE_PROCESS_NOTIFY_ROUTINE) ExGetCallBackBlockRoutine (CallBack);
                    Rtn (Process->InheritedFromUniqueProcessId,
                         Process->UniqueProcessId,
                         FALSE);
                    ExDereferenceCallBackBlock (&PspCreateProcessNotifyRoutine[i],
                                                CallBack);
                }
            }
        }
    }
 
…
 
}

PsSetCreateThreadNotifyRoutine

PsSetCreateThreadNotifyRoutine регистрирует функцию уведомления, которая вызывается в момент создания и уничтожения потока.

NTSTATUS
  PsSetCreateThreadNotifyRoutine(
    IN PCREATE_THREAD_NOTIFY_ROUTINE  NotifyRoutine
    );

Функция уведомления должна быть определена следующим образом:

VOID
(*PCREATE_THREAD_NOTIFY_ROUTINE) (
    IN HANDLE  ProcessId,
    IN HANDLE  ThreadId,
    IN BOOLEAN  Create
    );

Для удаления обработчика необходимо использовать функцию PsRemoveCreateThreadNotifyRoutine.

В момент создания нового потока функция уведомления вызывается в контексте потока, который инициировал его создание. В момент уничтожения потока функция уведомления вызывается в контексте завершаемого потока.

Пример регистрации функции уведомления:

NTSTATUS SetCreateThreadNotifyRoutine(IN PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine)
{
	PAGED_CODE();
 
	if ( !NotifyRoutine )
		return STATUS_INVALID_PARAMETER;
 
	return PsSetCreateThreadNotifyRoutine( NotifyRoutine );
}
 
VOID CreateThreadNotifyRoutine(IN HANDLE ProcessId, IN HANDLE ThreadId, IN BOOLEAN Create)
{
	PAGED_CODE();
 
	KdPrint( ( "CreateThreadNotifyRoutine called with ProcessId = 0x%08X, ThreadId = 0x%08X, Create = %d\n", ProcessId, ThreadId, Create ) );
}

Как и во всех вышеперечисленных функциях, операционная система хранит список (массив) функций уведомления в глобальной переменной PspCreateThreadNotifyRoutine (Windows XP/2003). Вызов каждой зарегистрированной функции происходит из функций PspCreateThread и PspExitThread.

NTSTATUS
PspCreateThread(
    OUT PHANDLE ThreadHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
    IN HANDLE ProcessHandle,
    IN PEPROCESS ProcessPointer,
    OUT PCLIENT_ID ClientId OPTIONAL,
    IN PCONTEXT ThreadContext OPTIONAL,
    IN PINITIAL_TEB InitialTeb OPTIONAL,
    IN BOOLEAN CreateSuspended,
    IN PKSTART_ROUTINE StartRoutine OPTIONAL,
    IN PVOID StartContext
    )
{
 
…
 
    if (PspCreateThreadNotifyRoutineCount != 0) {
        ULONG i;
        PEX_CALLBACK_ROUTINE_BLOCK CallBack;
        PCREATE_THREAD_NOTIFY_ROUTINE Rtn;
 
        for (i = 0; i < PSP_MAX_CREATE_THREAD_NOTIFY; i++) {
            CallBack = ExReferenceCallBackBlock (&PspCreateThreadNotifyRoutine[i]);
            if (CallBack != NULL) {
                Rtn = (PCREATE_THREAD_NOTIFY_ROUTINE) ExGetCallBackBlockRoutine (CallBack);
                Rtn (Thread->Cid.UniqueProcess,
                     Thread->Cid.UniqueThread,
                     TRUE);
                ExDereferenceCallBackBlock (&PspCreateThreadNotifyRoutine[i],
                                            CallBack);
            }
        }
    }
 
…
 
}

На этом первая часть цикла о функциях уведомления и функциях обратного вызова закончена. Исходные тексты к статье можно скачать здесь. После каждой новой главы я буду их обновлять.

Грамотная документация

SWW — Thu, 02 Jul 2009 12:53:59 +0000

Грамотная документация — залог здоровья и спокойствия программиста. Причем начинающего программиста, так как эксперт проблему решит намного быстрее. Да и не впервой ему — эксперту сталкиваться с плохой документацией, с программным кодом без комментариев и прочими неприятными вещами.

Одной из самых объемных и важных документаций для программистов является MSDN (Microsoft Developer Network). Для низкоуровневых программистов и программистов драйверов существует отдельная документация WDK (Windows Driver Kit), входящая в состав MSDN. В MSDN перечислены функции, параметры к ним, объяснения, примеры кода и многое другое.

Большая документация — сложный продукт. В любом сложном продукте есть недочеты, ошибки и недоработки. Встречаются они и в документации, ведь все мы люди, все мы ошибаемся. Недавно с такой ошибкой столкнулся и я.

Операционная система Windows предоставляет специальную функцию, которая позволяет отслеживать различные изменения в системном реестре указанного ключа. Она есть как в пользовательском пространстве (RegNotifyChangeKeyValue), так и в пространстве ядра (ZwNotifyChangeKey), там, где работает сама операционная система и драйверы. Этой функцией пользуются как антивирусные продукты, так и вредоносный код, который следит за изменениями своих вредоносных веток антивирусом (обычно это лечение веток реестра).

Прототип функции ZwNotifyChangeKey выглядит так:

NTSTATUS
ZwNotifyChangeKey(
  __in HANDLE  KeyHandle,
  __in_opt HANDLE  Event,
  __in_opt PIO_APC_ROUTINE  ApcRoutine,        // указатель на нашу функцию
  __in_opt PVOID  ApcContext,
  __out PIO_STATUS_BLOCK  IoStatusBlock,
  __in ULONG  CompletionFilter,
  __in BOOLEAN  WatchTree,
  __out_bcount_opt(BufferSize) PVOID  Buffer,
  __in ULONG  BufferSize,
  __in BOOLEAN  Asynchronous
  );

Через параметр KeyHandle необходимо передать дескриптор открытого ключа, изменения которого мы хотим отслеживать. Параметр ApcRoutine — это указатель на нами реализованную функцию, которая будет вызываться в случае изменений в указанной ветке реестра.

Функция должна быть определена так:

typedef VOID (NTAPI *PIO_APC_ROUTINE) ( IN PVOID ApcContext, IN PIO_STATUS_BLOCK IoStatusBlock, IN ULONG Reserved )

Не суть важно, что тут за параметры, главное — то, что у функции три аргумента. Это важно.

В одном из драйверов мне понадобилась эта функция. Я написал весь сопутствующий код, использовал функцию, скомпилировал драйвер, положил в нужное место и запустил. Система упала в BSOD. ‘Не в первый и не в последний раз’, — подумал я и начал проверять параметры функции. Все было идеально, все было правильно, а BSOD повторялся каждый раз.

Google не смог мне помочь с данной проблемой и пришлось разбираться самому. Потратив некоторое количество часов, я выяснил, что в недрах операционной системы при определенных обстоятельствах указатель PIO_APC_ROUTINE трактуется совершенно по-другому, как указатель на структуру WORK_QUEUE_ITEM, в которой содержится указатель на нами определенную функцию. И этого не было в документации, эту информацию я даже не смог найти в сети.

Структура выглядит следующим образом:

typedef struct _WORK_QUEUE_ITEM {
    LIST_ENTRY List;
    PWORKER_THREAD_ROUTINE WorkerRoutine;        // указатель на нашу функцию
    __volatile PVOID Parameter;
} WORK_QUEUE_ITEM, *PWORK_QUEUE_ITEM;

Функция должна быть определена так:

typedef VOID (*PWORKER_THREAD_ROUTINE)( IN PVOID Parameter )

И она принимает всего один параметр. И это важно.

Довольно быстро я переписал код, и драйвер перестал рушить операционную систему. Сразу после этого я написал письмо в компанию Microsoft где указал им на это досадное упущение с их стороны. Примерно через три часа (около четырех часов утра) я получил от них ответ, в котором они обещали исправить документацию в ближайшее время (в конце месяца).

Ошибки бывают разные, но ошибки в документации дорогого стоят. До следующих ошибок, а они обязательно будут.

Оригинал

Ребутни меня жестко

SWW — Tue, 17 Mar 2009 09:45:26 +0000

В некоторых ситуациях возникает потребность перезагрузить операционную систему прямо из ядра. Когда-то давно я был озадачен такой проблемой, так как существующие способы меня не устраивали по разным причинам. Пришлось копать, искать и спрашивать. В результате были найдены следующие варианты.

В режиме пользователя можно использовать функцию ExitWindowsEx (она ведет в NtShutdownSystem):

BOOL WINAPI ExitWindowsEx(
                                       __in UINT    uFlags,
                                       __in DWORD dwReason
);

Все достаточно подробно описано в MSDN и, конечно, не забываем про включенную Shutdown привилегию.

Давайте рассмотрим варианты, которые нам доступны из режима ядра. Один из них — это использование функции NtShutdownSystem. Конечно, она недокументированная. Реализация для Windows XP выглядит так (вот такой забавный switch, видимо из-за оптимизаций):

NTSTATUS __stdcall NtShutdownSystem(SHUTDOWN_ACTION Action)
{
        POWER_ACTION SystemAction;
 
        if ( Action )
        {
                if ( Action == 1 ) // ShutdownReboot
                {
                        SystemAction = 5; // PowerActionShutdownReset
                }
                else // ShutdownPowerOff
                {
                        if ( Action != 2 )
                                return STATUS_INVALID_PARAMETER;
                        SystemAction = 6; // PowerActionShutdownOff
                }
        }
        else // ShutdownNoReboot
        {
                SystemAction = 4; // PowerActionShutdown
        }
 
        return NtSetSystemPowerState(SystemAction, PowerSystemSleeping3, 0xC0000004u);
}

typedef enum _POWER_ACTION {
        PowerActionNone            = 0,
        PowerActionReserved,
        PowerActionSleep,
        PowerActionHibernate,
        PowerActionShutdown,
        PowerActionShutdownReset,
        PowerActionShutdownOff,
        PowerActionWarmEject
} POWER_ACTION, *PPOWER_ACTION;

Вышеуказанные функции нужно использовать тогда, когда вам необходимо все сделать красиво и чисто.

Следующий вариант — это использовать функцию HalReturnToFirmware. Она также описана в MSDN.

VOID HalReturnToFirmware(IN FIRMWARE_REENTRY Routine);

На вход функция может принимать параметр HalRebootRoutine, что нам собственно и нужно. Честно говоря, меня смущает то, что написано в MSDN:

Requirements

Versions: Available in Microsoft Windows Server 2003 and Windows XP.

DLL: Requires Hal.dll.

Под рукой у меня нет Hal.dll от Windows 2000, так что проверить экспортируется ли она или нет, я не могу, а память меня подводит.

Третий вариант — это спровоцировать BSOD. Шучу, шучу, но близко к правде. Вызовем KeBugcheckEx с параметром POWER_FAILURE_SIMULATE. KeBugcheckEx — это обыкновенная обертка над KeBugcheck2:

int __stdcall KeBugCheck2(int BugCheckCode, )
{
 
        if ( BugCheckCode == POWER_FAILURE_SIMULATE )
        {
                KiScanBugCheckCallbackList();
                HalReturnToFirmware(3); // HalRebootRoutine
        }
}

Знакомая картина, но помнится мне, что на каких-то системах вместо перезагрузки я получал самый натуральный BSOD с POWER_FAILURE_SIMULATE. Однако поехали дальше.

Мне, как любителю минимализма хотелось чего-нибудь быстрого, без проверок. Хоп и готово. Не знаю, что может быть быстрее этого:

WRITE_PORT_UCHAR( (PUCHAR )0x64, 0xFE ); // пишем RESET
                                         // в контроллер клавиатуры

При таких перезагрузках не забывайте предупреждать ваших пользователей о том, чтобы они сохранили свои документы.

Кто какие способы знает еще?

Супер BUILD

SWW — Sun, 22 Feb 2009 14:04:45 +0000

Рано или поздно драйверописатель сталкивается с необходимостью использовать в своем проекте чужой код. Обычно, для сборки драйвера используется утилита BUILD, идущая в поставке WDK. Буквально недавно я столкнулся с очевидной проблемой данного инструмента:

С:\path1\path2\path3>build -g
BUILD: Compile and Link for x86
BUILD: Loading c:\winddk\6001\build.dat…
BUILD: Computing Include file dependencies:
BUILD: Start time: Fri Feb 06 15:50:51 2009
errors in directory С:\path1\path2\path3

Ignoring invalid directory prefix in SOURCES= entry: D:\somepath1\somepath2\somepath3\somepath4\somepath5\file.c

Поиск в гугле вывел меня на ветку форума OSR Online:

«Welcome to the wonderful world of BUILD. It can only deal with source code in the same or parent directory of the «sources» file. It cannot use source files from arbitrary locations.»

Таким образом, подключить в свой проект чужие исходные коды по произвольному пути не получится. Выходов из сложившейся ситуации я вижу два:

Чужой код должен быть реализован в виде статической библиотеки. У этого способа есть как очевидные плюсы, так и очевидные минусы. Одним из минусов я считаю то, что разработчику, который пишет код для вас, придется часто собирать эту самую библиотеку или это должна делать build-машина.
Использовать преимущества современных систем управления версиями. Проблема решается выкачиванием нужного проекта в директорию, которая доступна инструменту BUILD. Свою проблему я решил именно так. Конечно, не стоит забывать и о синхронизации выкаченных файлов.

Иногда на форумах появляются вопросы, в которых люди спрашивают можно ли управлять инструментом BUILD. В MSDN есть отдельный раздел, посвященный этой утилите: Win32 and COM Development -> Windows Driver Kit -> Driver Development Tools -> Tools for Building Drivers -> Build. Подраздел Build Utility Macros самый интересный.