用汇编写windows驱动非常简单，只要有汇编基础和用C写驱动的能力即可。有了这两样基础，我们距离用汇编写驱动，只剩下一层窗户纸，一戳就破。

一、准备软件：Radasm   
    为了快速入门，好的IDE是降低入门难度的有效手段。Radasm是我最为钟爱的一款软件，第一次使用过它，我就果断地将masm32删除了。
   RadASM是一款著名的WIN32汇编编辑器，精通win32汇编的人对它应该不会陌生。支持MASM、TASM等多种汇编编译器，提供优秀的IDE，自带一个资源编辑器和一个调试器（OD）。拥有较强的工程管理功能，加之众多插件的支持，使得它用汇编语言编写Windows软件变得得心应手。

二、认识KmdKit   
   之所以能用Radasm编写驱动，就是因为它整合了KmdKit，它是由俄国人开发的，KmdKit的全称是Kernel Mode Driver development Kit for assembly language programmers，即内核模式驱动程序汇编开发包，KmdKit中包括了用宏汇编编译器开发驱动程序需要用到的所有东西。你也可以从http://www.wasm.ru/或者http://www.freewebs.com/four-f/下载到最新版本的KmdKit。

三、汇编写驱动的基本框架

.386
.model flat, stdcall
option casemap:none

.data

.code
;;;DriverEntry这个入口函数还是老样子
DriverEntry proc pDriverObject:PDRIVER_OBJECT,pusRegistryPath:PUNICODE_STRING

        ret

DriverEntry endp

end DriverEntry  ;;;这里和用户模式有点不同

四、可供使用的系统调用库   
    KmdKit开发包提供的inc和lib库文件都分别保存在“w2k”“wnet”和“wxp”三个的文件夹里，其大部分内容都在w2K里。对应的，Radasm也在masm32文件夹中的Include和Lib文件夹里，也分别保存了这三个文件夹。
   
    另外，有一个特别值得注意的问题，当Radasm引用以上三个文件夹里lib文件时，要使用绝对路径，为什么必须要这样我也不清楚，如果有明白这个问题的朋友，也请你告诉我。
五、示例
.386
.model flat, stdcall
option casemap:none

include w2k\ntddk.inc
include w2k\ntoskrnl.inc
includelib D:\RadASM\masm32\lib\w2k\ntoskrnl.lib ;;请填写自己的绝对路径
.data
Hello_Str db 'Hello,world',0
Unload_Str db "Driver has been unloaded",0
.code

DriverEntry proc pDriverObject:PDRIVER_OBJECT,pusRegistryPath:PUNICODE_STRING
    push offset Hello_Str
    call DbgPrint
    add  esp,4
   
    mov  eax,pDriverObject
    mov [eax+34H],offset DriverUnloadProc ;;xp里pDriverObject.DriverUnload   
    mov eax,STATUS_SUCCESS
    ret

DriverEntry endp

DriverUnloadProc proc  DriverObject:PDRIVER_OBJECT
    push offset Unload_Str
    call DbgPrint
    add  esp,4
    ret
DriverUnloadProc endp
end DriverEntry

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！