首先我们需要了解，在操作系统中，是分两种权限的，一种是内核态，我们也称为0环，一种是用户态，称之为3环。而在我们的电脑中，驱动程序是运行在内核态的，这意味着和操作系统内核是在同一权限的，而普通的应用程序的权限是最低的。高权限谁不想拥有呢，因此驱动程序是很有必要了解与学习的。比如我们熟知的防病毒软件，游戏保护等，现在都在利用内核驱动技术来保护自己的数据。

windows提供了好几种驱动框架模型，这里我们采用WDM模型，这是自winodws 2000来提供给开发者的一种框架，我们用来开发NT驱动。下面我们介绍驱动程序该如何编写，其实驱动程序和普通的应用程序C语言没什么特别大的区别，在C语言中我们需要一个main函数作为入口，那么在驱动程序中DriverEntry就是主函数入口，下面我们来实现一个hello,world版本的驱动程序，代码如下：

#include<Ntddk.h>
void Unload(IN PDRIVER_OBJECT DriverObject)
{
	UNREFERENCED_PARAMETER(DriverObject);
	DbgPrint("Unload\n");

	}

}

NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject,
	IN PUNICODE_STRING RegistryPathName)
{
	UNREFERENCED_PARAMETER(RegistryPathName);
	DbgPrint("Hello Driver！！\n");
    DriverObject->DriverUnload = Unload;
    return  STATUS_SUCCESS;

}

我第一次接触这段代码的时候非常陌生和惶恐，竟然没有一句看懂的，但是只要我们耐下性子来研究这个东西，没什么难的。我们再写一个C语言版本的helo,world来对比研究：

#include<stdio.h>

int main(){

printf("hello,world!");
return 0;
}

 在编写一个程序时我们需要一个主函数，而且需要一个返回值来表示程序的结束。在驱动中返回值一般都是NTSTATUS，这是一种状态码，成功的时候需要返回STATUS_SUCCESS。相当于C语言中的return 0。接着看驱动程序主函数中有两个参数，第一个是一个驱动对象。在内核中，系统管理的都是对象。一些重要的数据结构都是以对象为主体来操控的。我们写的是驱动程序，自然需要一个驱动对象。PDRIVER_OBJECT是一个指针，指向一个驱动对象。这个驱动对象就是对应着我们写的这个驱动程序。是系统帮我们规划好的模板，按照这个模板写程序就行了。因此我们可以看看这个驱动对象的样子：

typedef struct _DRIVER_OBJECT {
    CSHORT Type;
    CSHORT Size;

    //
    // The following links all of the devices created by a single driver
    // together on a list, and the Flags word provides an extensible flag
    // location for driver objects.
    //

    PDEVICE_OBJECT DeviceObject;
    ULONG Flags;

    //
    // The following section describes where the driver is loaded.  The count
    // field is used to count the number of times the driver has had its
    // registered reinitialization routine invoked.
    //

    PVOID DriverStart;
    ULONG DriverSize;
    PVOID DriverSection;
    PDRIVER_EXTENSION DriverExtension;

    //
    // The driver name field is used by the error log thread
    // determine the name of the driver that an I/O request is/was bound.
    //

    UNICODE_STRING DriverName;

    //
    // The following section is for registry support.  This is a pointer
    // to the path to the hardware information in the registry
    //

    PUNICODE_STRING HardwareDatabase;

    //
    // The following section contains the optional pointer to an array of
    // alternate entry points to a driver for "fast I/O" support.  Fast I/O
    // is performed by invoking the driver routine directly with separate
    // parameters, rather than using the standard IRP call mechanism.  Note
    // that these functions may only be used for synchronous I/O, and when
    // the file is cached.
    //

    PFAST_IO_DISPATCH FastIoDispatch;

    //
    // The following section describes the entry points to this particular
    // driver.  Note that the major function dispatch table must be the last
    // field in the object so that it remains extensible.
    //

    PDRIVER_INITIALIZE DriverInit;
    PDRIVER_STARTIO DriverStartIo;
    PDRIVER_UNLOAD DriverUnload;
    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;
typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT; 

        这是WDK里面跟进去看到的驱动对象。学过C语言的一定看得懂，其实就是个结构体。虽然在winodws内核中是用纯C写的，但是却用到了面向对象的思想。只用C语言的结构体，一样可以实现面向对象编程。这个对象是什么时候生成的呢？这也是我在学习驱动时候的好奇。后来我想明白了，在我们想要加载我们的驱动程序的时候，操作系统其实为我们做好了初始化，为我们创建一个驱动对象。如果创建成功将把这个驱动对象的地址返回给我们，因此我们就能拿着这个地址对这个驱动对象做很多事了。接下来介绍第二个参数RegistryPathName。这个参数指的是在注册表中的位置。返回给我们的也是一个指针，告诉我们它在注册表何处。接着我们用内核提供的"printf"打印一句话--Hello Driver!!。到这里和C语言相同的地方我们就讲的差不多了。下面还有一些区别于C语言的东西。

        现在我们知道驱动程序加载是在内核空间的。内核空间不像用户空间那么随意，有些东西想关就关，想开就开。稍不留神可能就造成电脑蓝屏。因此我们可能还需要提供一个卸载的功能，否则这个驱动将无法卸载。但是其实这个也不是必要的。很多商用的软件并不想别人把它关掉，自然不会提供这么一个卸载功能。这就像为啥有些杀软删不掉的原因（懂得都懂）。但是我们在做测试过程中，还是要提供这么一个卸载函数。这个函数是我们自己写的。驱动对象中会记录这个回调函数。可以参考下上面驱动对象中有一个成员叫DriverUnload，这就是指向我们提供的卸载函数的指针。因此通过驱动对象指针能访问到它。将它设置为我们提供的卸载函数。在我们提供的卸载函数中，我们目前也只提供打印一句话的功能。卸载驱动的过程是操作系统为我们隐式做的。当系统检测到驱动对象中有这么个卸载函数，将去执行我们提供的回调函数。并把我们的驱动从内核中卸载。大致了解这个过程就OK了。因此，到目前为止，我们的第一个驱动程序就完成了。我们在XP下试验一下:

我们在测试工具中看到了Hello Driver，后面两句不用管那是后续实现的功能。我们再看卸载后的状态：

我们看到停止驱动后，系统会调用我们提供的卸载回调函数，并打印了一句Unload。证明我们的驱动是没问题的。