学步园

先说几句：
作为成熟的安全产品，稳定性是非常重要的，就算有些技术非常厉害，如果稳定性、兼容性不好的，安全公司宁愿放弃是用该技术。某人喜欢针对某安全工具开刀，须知人家需要顾及到稳定性等诸多因素，还有就是安全工具在明处，你在暗处，如果你的程序暴露给安全工具，相信安全工具也会轻而易举Kill你的程序（对某人无恶意）建议某人不要搞什么大杂烩破环，不如写个安全工具，看你的安全工具能在多少电脑上长期使用。

好了，分享一点小细节：

当响应 IRP_MJ_READ and IRP_MJ_WRITE 请求时使用 DIRECT 方式（METHOD_IN_DIRECT or METHOD_OUT_DIRECT），或者在AddDevice 中使用 fdo->Flags |= DO_DIRECT_IO;
这样IO管理器会构造一个MDL用于读写请求。看下面的代码：

NTSTATUS DispatchRead(PDEVICE_OBJECT fdo, PIRP Irp)
  {
  PULONG p = (PULONG) MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);
  *p = 42;
  Irp->IoStatus.Status = STATUS_SUCCESS;
  Irp->IoStatus.Information = sizeof(ULONG);
  IoCompleteRequest(Irp, IO_NO_INCREMENT);
  return STATUS_SUCCESS;
  }

看出来有BUG了么？

当用户模式这样调用：
char inbuf[50];
ReadFile(hDevice, &inbuf, 0);
虽然提供了一个有效的Buffer地址，但数据长度指定为0导致IO管理器并没有构造 MDL ！

所以为了防止恶意程序对你的产品进行破坏，请注意这个细节----检查MDL空指针。。。