判断 Windows 是否处于安全模式

一、前言

 

   在开发驱动的时候，在有的情况下需要查看操作系统是不是运行在安全模式下。比如我们如果判断出系统正处于安全模式下，就不让驱动程序加载成功。

二、原理

 

       微软以及估计到了开发中有这样的需求，在 Windows 操作系统核心中导出了一个指针变量，它保存了一个声明为 ULONG 类型的数据，这个指针变量被命名成 InitSafeBootMode 。这个变量保存着现在操作系统的安全模式情况的值。在设备驱动中，可以检查这个变量的值来判断 Windows 操作系统是否处于安全模式。

InitSafeBootMode 取值情况如下：

值	模式
0	操作系统不是处于安全模式中
1	SAFEBOOT_MINIMAL
2	SAF E B O O T _ N ET W O R K
3	SAF E B O O T _ DS R EP A I R

 

注：值 3 只适用于 Windows 域控制器版本。

 

三、使用方式

       为了使用这个变量，需要先声明这个变量：

extern PULONG InitSafeBootMode;

       在声明了 InitSafeBootMode 变量后，就可以按照下面的方式来使用这个变量：

        i f ( * In i t S af e B o ot M o d e > 0 )

      {

       / / 操作系统现在处于安全模式中，可以采取相应的行动

       //

     }

四、使用注意

       为了阻止在安全模式下对驱动进行操作，根据不同的驱动类型按照下面的列表的使用建议进行处理：

1.       功能驱动

如果驱动的服务启动类型是 SER V I CE_ BOO T_ ST AR T ，在功能驱动的AddDevice 例程中检查InitSafeBootMode 的值。如果系统处于安全模式下，则返回错误。

注：在DriverEntry 例程中，返回值一定不能为错误。

2.       过滤驱动

如果驱动是过滤驱动，则在系统启动过程中在 AddDevice 例程中检查InitSafeBootMode 的值。如果操作系统处于安全模式下，则：

            1）  不要附加过滤设备到设备堆栈上去

            2）  在过滤驱动的 AddDevice 例程中返回成功。

3.       其他驱动

对于其他驱动，在驱动的 DriverEntry 例程中检查 InitSafeBootModed 的值。如果系统处于安全模式，则返回表示错误的代码。