硬件检测：安装、停用

简介

现在对于IT的安全来说&＃xff0c;热插拨设备是个很大的威胁。在这篇文章中&＃xff0c;我将试着开发一个用户应用程序来检测本机系统上的设备改变。例如&＃xff1a;插入一个USB设备、Ipod、USB无线网卡等等。这个程序同样也可以停用任何支持插拔的设备。在文章的后面&＃xff0c;我会简述一下程序的工作原理和它的局限性。

怎么来检测硬件设备的改变&＃xff1f;

事实上&＃xff0c;Windows操作系统会对上层程序发送WM_DEVICECHANGE消息来通知设备的改变。我们所要作的仅仅是添加一个句柄来处理这个事件。

Collapse

BEGIN_MESSAGE_MAP(CHWDetectDlg, CDialog)

    // ... other handlers

    ON_MESSAGE(WM_DEVICECHANGE, OnMyDeviceChange)

END_MESSAGE_MAP()

LRESULT CHWDetectDlg::OnMyDeviceChange(WPARAM wParam, LPARAM lParam)

{

    // for more information, see MSDN help of WM_DEVICECHANGE

    // this part should not be very difficult to understand

    if ( DBT_DEVICEARRIVAL &＃61;&＃61; wParam || DBT_DEVICEREMOVECOMPLETE &＃61;&＃61; wParam ) {

        PDEV_BROADCAST_HDR pHdr &＃61; (PDEV_BROADCAST_HDR)lParam;

        switch( pHdr->dbch_devicetype ) {

            case DBT_DEVTYP_DEVICEINTERFACE:

                PDEV_BROADCAST_DEVICEINTERFACE pDevInf &＃61; (PDEV_BROADCAST_DEVICEINTERFACE)pHdr;

                // do something...

               break;

            case DBT_DEVTYP_HANDLE:

                PDEV_BROADCAST_HANDLE pDevHnd &＃61; (PDEV_BROADCAST_HANDLE)pHdr;

                // do something...

                break;

            case DBT_DEVTYP_OEM:

                PDEV_BROADCAST_OEM pDevOem &＃61; (PDEV_BROADCAST_OEM)pHdr;

                // do something...

                break;

            case DBT_DEVTYP_PORT:

                PDEV_BROADCAST_PORT pDevPort &＃61; (PDEV_BROADCAST_PORT)pHdr;

                // do something...

                break;

            case DBT_DEVTYP_VOLUME:

                PDEV_BROADCAST_VOLUME pDevVolume &＃61; (PDEV_BROADCAST_VOLUME)pHdr;

                // do something...

                break;

        }

    }

    return 0;

}

然而默认情况下&＃xff0c;Windows操作系统发送WM_DEVICECHANGE有些限制&＃xff1a;

1 只有顶层窗体的程序才能收到这个消息

2 仅仅串口、磁盘发生改变&＃xff0c;才对每个程序广播这个消息

的确不错&＃xff0c;至少你可以知道移动U盘、移动硬盘、光盘被安装或弹出了&＃xff0c;通过DEV_BROADCAST_VOLUME.dbcv_unitmask你也可以获得其对应的盘符。但实际上&＃xff0c;你不知道底层处理的是哪个物理设备实际上被安装到了系统中。

API:RegisterDeviceNotification()

所以&＃xff0c;你不得不调用RegisterDeviceNotification()API来注册其他类型的设备改变&＃xff0c;或是你的程序仅仅是一个服务程序、没有顶层窗体的程序。例如&＃xff1a;如下的例子是用来注册一个设备类型的接口的&＃xff1a;

Collapse

1.  DEV_BROADCAST_DEVICEINTERFACE NotificationFilter;

2.  ZeroMemory( &NotificationFilter, sizeof(NotificationFilter) );

3.  NotificationFilter.dbcc_size &＃61; sizeof(DEV_BROADCAST_DEVICEINTERFACE);

4.  NotificationFilter.dbcc_devicetype &＃61; DBT_DEVTYP_DEVICEINTERFACE;

5.  // assume we want to be notified with USBSTOR

6.  // to get notified with all interface on XP or above

7.  // ORed 3rd param with DEVICE_NOTIFY_ALL_INTERFACE_CLASSES and dbcc_classguid will be ignored

8.  NotificationFilter.dbcc_classguid &＃61; GUID_DEVINTERFACE_USBSTOR;

9.  HDEVNOTIFY hDevNotify &＃61; RegisterDeviceNotification(this->GetSafeHwnd(),

        amp;NotificationFilter, DEVICE_NOTIFY_WINDOW_HANDLE);

10. if( !hDevNotify ) {

11.     // error handling...

12.     return FALSE;

13. }

请注意第8行&＃xff0c;NotificationFilter.dbcc_classguid关注的就是你关心的一类设备。

参考这个blog&＃xff1a; Doron Holan&＃39;s blog

一个支持即插即用的设备&＃xff0c;有2个不同的GUID相关&＃xff0c;一个设备接口GUID&＃xff0c; 一个是设备类GUID

设备类GUID:定义了广泛意义上一类设备的GUID&＃xff0c;如果你打开设备管理器[我的电脑右键—>设备管理器],默认的是按照“类型”排列的&＃xff0c;每一个“类型”就是一个设备类&＃xff0c;同时每一个设备类有一个唯一的ID就是设备类GUID。设备GUID定义了此类设备的图标、默认的安全设置、安装属性&＃xff08;例如用户不能手动安装这类设备&＃xff0c;而必须通过PNP来遍历&＃xff09;&＃xff0c;以及其他的设置信息。设备类GUID没有定义对应的I/O接口(请参考术语表),而更像是设备的分组。我认为一个比较好的例子是端口类。串口COM和并口LPT 都是端口类的一部分&＃xff0c;但其各有各的I/O接口&＃xff0c;而且彼此互不兼容.一个设备仅仅属于一个设备类。我们可以通过设备驱动的INF文件的开头来查看该设备的设备类GUID。

设备接口GUID&＃xff1a;定义了相互关联I/O接口的GUID&＃xff0c;每一个接口GUID的具体实例都支持基本的I/O设置。设备接口GUID也是对应的驱动程序基于PNP状态来注册、启用、禁用设备。如果需要&＃xff0c;一个设备甚至可以注册多个同样GUID的实例(假使每个都有相同的名字)[注&＃xff1a;在实际的程序中&＃xff0c;多次插拔USB口&＃xff0c;确实会驱出相同的串口&＃xff0c;例如port12,port12,port12…]&＃xff0c;尽管在现实世界中完全不需要这样。一个简单的I/O关联接口是键盘设备&＃xff0c;每个键盘设备的接口GUID必须相同。

可以通过如下的注册表路径来查看当前设备类GUID&＃xff0c; 设备接口GUID&＃xff1a;

• \\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class
• \\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

常用设备的接口GUID如下&＃xff1a;

DEV_BROADCAST_DEVICEINTERFACE的解码

如下是修改处理捕获对应事件的函数&＃xff1a;

Collapse

LRESULT CHWDetectDlg::OnMyDeviceChange(WPARAM wParam, LPARAM lParam)

{

    ....

    ....

    if ( DBT_DEVICEARRIVAL &＃61;&＃61; wParam || DBT_DEVICEREMOVECOMPLETE &＃61;&＃61; wParam )

    {

        PDEV_BROADCAST_HDR pHdr &＃61; (PDEV_BROADCAST_HDR)lParam;

        switch( pHdr->dbch_devicetype )

        {

            case DBT_DEVTYP_DEVICEINTERFACE:

                PDEV_BROADCAST_DEVICEINTERFACE pDevInf &＃61; (PDEV_BROADCAST_DEVICEINTERFACE)pHdr;

                UpdateDevice(pDevInf, wParam);

                break;

    ....

    ....

}

从MSDN中&＃xff0c;我们知道

Collapse

typedef struct _DEV_BROADCAST_DEVICEINTERFACE {

    DWORD dbcc_size;

    DWORD dbcc_devicetype;

    DWORD dbcc_reserved;

    GUID dbcc_classguid;

    TCHAR dbcc_name[1];

} DEV_BROADCAST_DEVICEINTERFACE *PDEV_BROADCAST_DEVICEINTERFACE;

我们似乎可以通过dbcc_name知道那个设备安装到了当前系统。J&＃xff0c;答案是不对&＃xff0c;dbcc_name仅仅是操作系统内部使用来做为ID的&＃xff0c;其实不易读的&＃xff0c;例如下面的这个dbcc_name:

\\?\USB#Vid_04e8&Pid_503b#0002F9A9828E0F06#{a5dcbf10-6530-11d2-901f-00c04fb951ed}

• \\?\USB: USB 意思是这是一个USB设备类
• Vid_04e8&Pid_053b: Vid/Pid 是一个厂商ID和产品ID&＃xff08;但这是由设备类指定的&＃xff0c;USB设备类使用VID/PID&＃xff0c;不同的设备类使用不同的命名约定&＃xff09;
• 002F9A9828E0F06: 不清楚是怎么生成的&＃xff0c;是唯一设备ID
• {a5dcbf10-6530-11d2-901f-00c04fb951ed}:设备接口类GUID

现在&＃xff0c;我们来解出设备描述信息或是设备别名&＃xff0c;有2种办法&＃xff1a;

1 直接读注册表, \\HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_04e8&Pid_503b\0002F9A9828E0F06

2 使用 SetupDiXxx 系列API

API:SetupDiXxx()

Windows定义了一组API&＃xff0c;让用户通过编程的办法来获取对应的硬件设备信息。例如&＃xff0c;我们可以通过dbcc_name来获得设备描述信息或是设备别名。下面是这个办法都具体步骤&＃xff1a;

1 首先通过SetupDiGetClassDevs()来获得设备信息集 HDEVINFO&＃xff0c;这个操作等同于是一个获取目录句柄的过程。

2 接着使用SetupDiEnumDeviceInfo()来遍历出这个设备信息集内的所有设备&＃xff0c;这个操作等同于把目录列表的过程。对于每个遍历出的&＃xff0c;我们可以获得SP_DEVINFO_DATA,这个等同于是文件句柄。

3 在上面的枚举过程中&＃xff0c;使用SetupDiGetDeviceInstanceId()来读取每个设备的实例ID&＃xff0c;这个操作等同于是读文件的属性&＃xff0c;一个设备的实例ID类似这个&＃xff1a;”USB\Vid_04e8&Pid_503b\0002F9A9828E0F06”,和dbcc_name非常像。

4 如果设备的实例ID等同于dbcc_name&＃xff0c;则通过SetupDiGetDeviceRegistryProperty()来获取设备描述信息或是设备别名信息。

程序如下&＃xff1a;

Collapse

void CHWDetectDlg::UpdateDevice(PDEV_BROADCAST_DEVICEINTERFACE pDevInf, WPARAM wParam)

{

    // dbcc_name:

    // \\?\USB#Vid_04e8&Pid_503b#0002F9A9828E0F06#{a5dcbf10-6530-11d2-901f-00c04fb951ed}

    // convert to

    // USB\Vid_04e8&Pid_503b\0002F9A9828E0F06

    ASSERT(lstrlen(pDevInf->dbcc_name) > 4);

    CString szDevId &＃61; pDevInf->dbcc_name&＃43;4;

    int idx &＃61; szDevId.ReverseFind(_T(&＃39;#&＃39;));

    ASSERT( -1 !&＃61; idx );

    szDevId.Truncate(idx);

    szDevId.Replace(_T(&＃39;#&＃39;), _T(&＃39;\\&＃39;));

    szDevId.MakeUpper();

    CString szClass;

    idx &＃61; szDevId.Find(_T(&＃39;\\&＃39;));

    ASSERT(-1 !&＃61; idx );

    szClass &＃61; szDevId.Left(idx);

    // if we are adding device, we only need present devices

    // otherwise, we need all devices

    DWORD dwFlag &＃61; DBT_DEVICEARRIVAL !&＃61; wParam

        ? DIGCF_ALLCLASSES : (DIGCF_ALLCLASSES | DIGCF_PRESENT);

    HDEVINFO hDevInfo &＃61; SetupDiGetClassDevs(NULL, szClass, NULL, dwFlag);

    if( INVALID_HANDLE_VALUE &＃61;&＃61; hDevInfo )

    {

        AfxMessageBox(CString("SetupDiGetClassDevs(): ")

            &＃43; _com_error(GetLastError()).ErrorMessage(), MB_ICONEXCLAMATION);

        return;

    }

    SP_DEVINFO_DATA* pspDevInfoData &＃61;

        (SP_DEVINFO_DATA*)HeapAlloc(GetProcessHeap(), 0, sizeof(SP_DEVINFO_DATA));

    pspDevInfoData->cbSize &＃61; sizeof(SP_DEVINFO_DATA);

    for(int i&＃61;0; SetupDiEnumDeviceInfo(hDevInfo,i,pspDevInfoData); i&＃43;&＃43;)

    {

        DWORD DataT ;

        DWORD nSize&＃61;0 ;

        TCHAR buf[MAX_PATH];

        if ( !SetupDiGetDeviceInstanceId(hDevInfo, pspDevInfoData, buf, sizeof(buf), &nSize) )

        {

            AfxMessageBox(CString("SetupDiGetDeviceInstanceId(): ")

                &＃43; _com_error(GetLastError()).ErrorMessage(), MB_ICONEXCLAMATION);

            break;

        }

        if ( szDevId &＃61;&＃61; buf )

        {

            // device found

            if ( SetupDiGetDeviceRegistryProperty(hDevInfo, pspDevInfoData,

                SPDRP_FRIENDLYNAME, &DataT, (PBYTE)buf, sizeof(buf), &nSize) ) {

                // do nothing

            } else if ( SetupDiGetDeviceRegistryProperty(hDevInfo, pspDevInfoData,

                SPDRP_DEVICEDESC, &DataT, (PBYTE)buf, sizeof(buf), &nSize) ) {

                // do nothing

            } else {

                lstrcpy(buf, _T("Unknown"));

            }

            // update UI

            // .....

            // .....

            break;

        }

    }

    if ( pspDevInfoData ) HeapFree(GetProcessHeap(), 0, pspDevInfoData);

    SetupDiDestroyDeviceInfoList(hDevInfo);

}

禁用设备

假使你有一个正确的HDEVINFO和SP_DEVINFO_DATA(实际上&＃xff0c;我们保持dbcc_name座位树节点的tag&＃xff0c;当右键单击某一个节点的时候&＃xff0c;可以通过调用SetupDiGetClassDevs和SetupDiEnumDeviceInfo来获得所需东西)&＃xff0c;按照如下的步骤即可禁用一个设备&＃xff1a;

1 给SP_PROPCHANGE_PARAMS结构体赋上正确的值

2 把上面赋完值的SP_PROPCHANGE_PARAMS作为参数传入到SetupDiSetClassInstallParams&＃xff08;&＃xff09;

3 调用SetupDiCallClassInstaller()&＃xff0c;传递参数DIF_PROPEFRTYCHANGE

实际上&＃xff0c;DIF也是按位做与运算后兼容的&＃xff0c;你也可以去传递不同的DIF参数来调用SetupDiSetClassInstallParams()。 更多信息&＃xff0c;请参考MSDN”Handling DIF Codes”

Collapse

SP_PROPCHANGE_PARAMS spPropChangeParams ;

spPropChangeParams.ClassInstallHeader.cbSize &＃61; sizeof(SP_CLASSINSTALL_HEADER);

spPropChangeParams.ClassInstallHeader.InstallFunction &＃61; DIF_PROPERTYCHANGE ;

spPropChangeParams.Scope &＃61; DICS_FLAG_GLOBAL ;

spPropChangeParams.HwProfile &＃61; 0; // current hardware profile

spPropChangeParams.StateChange &＃61; DICS_DISABLE

if( !SetupDiSetClassInstallParams(hDevInfo, &spDevInfoData,

    // note we pass spPropChangeParams as SP_CLASSINSTALL_HEADER

    // but set the size as sizeof(SP_PROPCHANGE_PARAMS)

    (SP_CLASSINSTALL_HEADER*)&spPropChangeParams, sizeof(SP_PROPCHANGE_PARAMS)) )

{

    // handle error

}

else if(!SetupDiCallClassInstaller(DIF_PROPERTYCHANGE, hDevInfo, &spDevInfoData))

{

    // handle error

}

else

{

    // ok, show disable success dialog

    // note, after that, the OS will post DBT_DEVICEREMOVECOMPLETE for the disabled device

}

附录&＃xff1a;

我使用这个程序&＃xff0c;已经多次测试了USB的无线网卡的&＃xff0c;插入、拔出测试。

局限性&＃xff1a;

1 明显的&＃xff0c;必须先运行该程序&＃xff0c;才能检测硬件设备。例如&＃xff1a;设备在操作系统启动前就已经连接&＃xff0c;或者在这个程序运行前的连接都不会被检测。但这个问题&＃xff0c;可以通过保存当前系统配置到远程计算机上&＃xff0c;等启动完这个程序后再坚持不同的配置来解决

2 我们可以禁用设备&＃xff0c;换而言之这也是我们所有能做到。我们不能访问设备底层控制。 我认为可以通过重新用基于内核的过滤驱动来实现&＃xff0c;则可以解决这个问题。