如何从内部卸载Windows内核模式驱动程序?

时间:2013-10-30 22:19:59

标签: windows kernel driver windows-kernel

我正在编写一个Windows内核驱动程序,我正在尝试实现以下内容。

假设已通过具有特定IOCTL代码的DeviceIoControl函数从用户模式调用驱动程序。在这种情况下,驱动程序如何卸载?换句话说,如何实现与运行net stop命令相同的行为?

更准确地说,在实施DispatchDeviceControl callback

时我应该写些什么 
NTSTATUS IoctlDeviceControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp) {
    // some code...

    switch (ioctlCode) {
        case IOCTL_MY_UNLOAD:  <---
        ...
    }

    return Status;
}

1 个答案:

答案 0 :(得分:4)

您可以使用ZwUnloadDriver核心功能!

<强>文档

  

ZwUnloadDriver例程从系统中卸载驱动程序。用这个   常规,极其谨慎。 (参见以下备注部分。)

C / C ++定义: 

NTSTATUS ZwUnloadDriver(
  _In_  PUNICODE_STRING DriverServiceName
);

MSDN来源:

http://msdn.microsoft.com/en-us/library/windows/hardware/ff567117(v=vs.85).aspx

相关问题
最新问题