FltRegisterFilter 调用失败的处理
今天准备调试昨天的一个mini filter 的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?于是启动 windDBG 进行调试。
一 调试
在DriverEntry 里下了断点,运行到 FltRegisterFilter 时,返回值 status 给出了错误,是一个负数,但是这个数值是十进制的,显示的格式是 On-1********* 。不知道这样格式的数据代表什么样的错误。
在WDK 的文档中,我查了一下, FltRegisterFilter 的返回值错误有如下的:
1. STATUS_INSUFFICIENT_RESOURCES
内存分配失败
2. STATUS_INVALID_PARAMETER
有两种情况,一个是传入的第二个参数中的Version 没有设置成 FLT_REGISTRATION_VERSION ,一个是传入的第二个参数中的命名提供者函数是一个非法的非 NULL 值。
3. STATUS_FLT_NOT_INITIALIZED
Filter管理器还没有初始化就调用注册函数。需要确保 filter 管理器已经作为一个驱动启动了。
二 获取返回值
由于在调试器中返回值是比较奇怪的格式:On-1********* 。把后边的数当作十进制的数换算成 16 进制的,没有找到这个错误。在 ntstatus.h 中我找到了 STATUS_FLT_NOT_INITIALIZED 的值,定义是:
#define STATUS_FLT_NOT_INITIALIZED ((NTSTATUS)0xC01C0007L)
在WDK 文档中说过的其他值也找到了定义,但就是没有办法找到调试中返回的这个 status 值。
既然在WinDBG 中是显示成十进制的,那么联系到 Visual Studiao 可以让变量按照 16 进制方式显示,是不是也可以让 WinDBG 显示 16 进制格式的值?我查了一下 WinDBG 的文档,介绍了 n 可以用来设置。但是试了一下发现没有效果,返回的 status 值还是那样的格式,没有变化。
这样的办法不行,又想了一个办法:看内存。把status 的内存显示出来,那么就能获取返回值的 16 进制表示。于是在 WinDBG 的帮助文件中查了一下 d 的用法,感觉 dyd 符合我的要求,显示了一下 status ,出来一个二进制的显示列表。粗看一下,没有搞明白。接着用 dd ,终于露出了 status 的庐山真面目,是 C0000034 。
三 理解返回的错误值
在知道了错误返回值后,终于找到了它的定义:
#define STATUS_OBJECT_NAME_NOT_FOUND ((NTSTATUS)0xC0000034L)
不过这个返回值如果表示对象的名字没有发现,那么还是很令人很困惑的,因为在这里没有涉及到什么对象,不明白返回值里说的对象是指哪个对象。立即上Google 搜索了一把,嘿嘿,出来了,有个人在邮件列表中问到了跟我现在一模一样的问题,后边有人回答他了,说是在 minifilter 装载的时候,默认实例的名字设置不对,没有找到 。
难道是我修改的filter 的安装 inf 文件中设置有误,马上查看,确实是。改之,问题解决。