基于WDF的vs驱动程序

Question

WDF驱动程序模型与WDM对于rootkits和防病毒驱动程序的利弊。根据我所见和个人经验(虽然我还是个新手)，WDM很好，因为您必须手动完成大部分工作，同时，您可以获得正确的基础元素，这就像构建乐高一样。另一方面，我还没有看到任何WDF提到用WDF编写的rootkit？WDF和更具体的KMDF有什么特殊的原因(为什么UMDF甚至没有？)不是很广泛(一点也不？)用于开发rootkit/安全类型的软件？

Answer 1

我的一个朋友回答了这个问题：

这与安全性类似，实际上(例如，使用PGP而不是不加密)。增加更多的安全性，它必须变得更不方便，谁做的人必须知道一些细节。让事情变得更方便，他们变得不那么安全。有了WDF，你就放弃了权力(和可能性)。因此，就像安全一样，方便是要付出代价的。但是让我把WDF / WDM的讨论比作是杀毒软件领域中完美的东西。文件系统过滤驱动程序(FSFDs)。传统的FSFDs很难编写、调试和维护。有些细节以微妙的方式变化，取决于操作系统的修补程序级别，更不用说破碎的API了，或者某些API只存在于某些OS版本中。我认识的大多数AV供应商都使用了更简单的方法--使用mini-FSFDs，与WDF类似，顺便说一句，从逻辑的角度来看，另一个驱动程序位于您和内核之间(您仍然可以直接调用)，并抽象出许多困难的细节。如果有人用WDF编写一个rootkit --这可能已经尝试过了--就会更容易捕捉，顺便说一句。记住，rootkit的主要目标之一是去雷达。还请记住，通过引入新的驱动程序模型，MS有两个目标：

• 满足开发人员的需要，使他们有更简单的方法来完成工作和更快地运送。
• 使他们(即MS)更容易测试驱动程序(驱动程序模型通常抽象出复杂性)
• 为最终用户提供更稳定的操作系统(BSOD常常被归咎于MS，而不是创建驱动程序的供应商！)