windows驱动开发-内核编程技术汇总(一)

下面是整理过的一系列内核编程技术知识点。

使用本机系统服务例程

Windows 本机操作系统服务 API 作为一组在内核模式下运行的例程实现。这些例程的名称以前缀 Nt或 Zw开头。内核模式驱动程序可以直接调用这些例程。用户模式应用程序可以使用系统调用访问这些例程。

除了少数例外，每个本机系统服务例程都有两个略有不同的版本，它们名称相似，但前缀不同。例如，对 NtCreateFile 和 ZwCreateFile 的调用执行类似的操作，实际上由同一内核模式系统例程提供服务。对于来自用户模式的系统调用，例程的 Nt 和 Zw 版本的行为相同。对于来自内核模式驱动程序的调用，例程的 Nt 和 Zw 版本在处理调用方传递给例程的参数值的方式上有所不同。

内核模式驱动程序调用本机系统服务例程的 Zw 版本，以通知例程参数来自受信任的内核模式源。在这种情况下，例程假定它可以安全地使用参数，而无需先验证参数。但是，如果参数可能来自用户模式源或内核模式源，则驱动程序会改为调用例程的 Nt 版本，这将根据调用线程的历史记录确定参数是源自用户模式还是内核模式。

当用户模式应用程序调用本机系统服务例程的 Nt 或 Zw 版本时，例程始终将其接收的参数视为来自不受信任的用户模式源的值。例程在使用参数之前彻底验证参数值。具体而言，例程会探测调用方提供的任何缓冲区，以验证缓冲区是否位于有效的用户模式内存中并正确对齐。

本机系统服务例程对接收的参数进行额外的假设。如果例程收到指向由内核模式驱动程序分配的缓冲区的指针，则例程假定该缓冲区是在系统内存中分配的，而不是在用户模式内存中分配的。如果例程收到由用户模式应用程序打开的句柄，则例程在用户模式句柄表中查找句柄，而不是在内核模式句柄表中查找句柄。

在少数情况下，参数值的含义在用户模式和内核模式的调用之间差异更大。例如， ZwNotifyChangeKey 例程 (或其 NtNotifyChangeKey 对应) 具有一对输入参数 ApcRoutine 和 ApcContext，其含义不同，具体取决于参数是来自用户模式还是内核模式源。对于从用户模式调用， ApcRoutine 指向 APC 例程， ApcContext 指向操作系统在调用 APC 例程时提供的上下文值。对于从内核模式调用， ApcRoutine 指向 WORK_QUEUE_ITEM 结构， ApcContext 指定 WORK_QUEUE_ITEM 结构描述的工作队列项的类型。

PreviousMode

当用户模式应用程序调用本机系统服务例程的 Nt 或 Zw 版本时，系统调用机制会将调用线程捕获到内核模式。为了指示参数值源自用户模式，系统调用的陷阱处理程序将调用方线程对象中的 PreviousMode 字段设置为 UserMode。本机系统服务例程检查调用线程的 PreviousMode 字段，以确定参数是否来自用户模式源。

如果内核模式驱动程序调用本机系统服务例程并将参数值传递给来自内核模式源的例程，则驱动程序必须确保当前线程对象中的 PreviousMode 字段设置为 KernelMode。

内核模式驱动程序可以在任意线程的上下文中运行，并且此线程的 PreviousMode 字段可能设置为 UserMode。在这种情况下，内核模式驱动程序可以调用本机系统服务例程的 Zw 版本，以通知例程参数值来自受信任的内核模式源。 Zw 调用将转到一个精简包装器函数，该函数替代当前线程对象中的 PreviousMode 值。包装器函数将 PreviousMode 设置为 KernelMode 并调用例程的 Nt 版本。从 Nt 版本的例程返回时，包装器函数将还原线程对象的原始 PreviousMode 值并返回。

内核模式驱动程序可以直接调用本机系统服务例程的 Nt 版本。当内核模式驱动程序处理可在用户模式或内核模式下发起的 I/O 请求时，驱动程序可以调用例程的 Nt 版本，以便当前线程的 PreviousMode 值在调用期间保持不变。 NtXxx 例程检查调用线程的 PreviousMode 值，以确定参数值是来自用户模式应用程序还是内核模式组件，并相应地处理它们。

如果内核模式驱动程序调用 NtXxx 例程，并且当前线程对象中的 PreviousMode 值未准确指示参数值来自用户模式还是内核模式源，则可能会出现错误。

例如，假设内核模式驱动程序在任意线程的上下文中运行，并且此线程的 PreviousMode 值设置为 UserMode。如果驱动程序将内核模式文件句柄传递给 NtClose 例程，则此例程会检查 PreviousMode 值，并确定该句柄必须是用户模式句柄。当 NtClose 在用户模式句柄表中找不到句柄时，它将返回STATUS_INVALID_HANDLE错误代码。同时，驱动程序会泄漏从未关闭的内核模式句柄。

对于另一个示例，如果 NtXxx 例程的参数包含输入或输出缓冲区，并且如果 PreviousMode = UserMode，该例程将调用 ProbeForRead 或 ProbeForWrite 例程来验证缓冲区。如果在系统内存而不是用户模式内存中分配缓冲区，则 ProbeForXxx 例程将引发异常， NtXxx 例程返回STATUS_ACCESS_VIOLATION错误代码。

如有必要，驱动程序可以调用 ExGetPreviousMode 例程，从当前线程对象获取 PreviousMode 值。或者，驱动程序可以从描述所请求的 I/O 操作的 IRP 结构中读取 RequestorMode 字段。 RequestorMode 字段包含请求操作的线程的 PreviousMode 值的副本。

库和头文件

内核模式驱动程序通过调用 Ntoskrnl.exe 动态链接库中的 Nt 和 Zw 入口点 (DLL) 来使用本机系统服务例程。此 DLL 包含这些例程的实际实现。若要访问这些入口点，驱动程序会静态链接到 Ntoskrnl.lib 库，该库在 Windows 驱动程序工具包 (WDK) 中可用。在 Ntoskrnl.lib 中实现的例程是动态链接到运行时Ntoskrnl.exe入口点的存根。

WDK 文档介绍了Ntoskrnl.exe中的一些（但不是全部）Zw 入口点。大多数记录的 Zw 例程在 WDK 的 Wdm.h 头文件中定义，但有些例程在其他头文件（如 Ntddk.h 和 Ntifs.h）中定义。

通常，用户模式应用程序不调用 Nt 和 Zw 例程。相反，应用程序可能会调用 Win32 例程（例如 CreateFile），后者随后调用本机系统服务例程（如 NtCreateFile 或 ZwCreateFile）来执行请求的操作。但是，用户模式应用程序可以直接调用 Nt 或 Zw 例程来执行 Win32 例程不支持的操作。

用户模式应用程序通过调用Ntdll.dll动态链接库中的入口点来使用本机系统服务例程。这些入口点将对 Nt 和 Zw 例程的调用转换为捕获到内核模式的系统调用。若要访问这些入口点，用户模式应用程序会静态链接到 WDK 中提供的 Ntdll.lib 库。在 Ntdll.lib 中实现的例程是可在运行时动态链接到 Ntdll.dll 中的入口点的存根。

Windows SDK 文档介绍了 Ntdll.lib 中的一些（但不是全部） Nt 入口点。大多数记录的 Nt 例程都在 Windows SDK 的 Winternl.h 头文件中定义。本文档很少提及 Zw 入口点，Windows SDK 中没有头文件包含 Zw 例程的定义。

如果出现几个次要异常， Nt 例程Ntdll.dll中的每个入口点都有 Zw 例程的匹配入口点。 WDK 和 Windows SDK 的文档建议应用程序开发人员避免调用未记录的 Nt 入口点，并警告 Zw 入口点可能会在将来的 Windows 版本中从Ntdll.dll消失。从用户模式调用 Zw 例程的应用程序开发人员应为此做好准备。

有关可由应用程序调用的 Nt 例程的说明，请参阅 Winternl、 winternl.h 标头和杂项Low-Level客户端支持。 Windows SDK 文档中 Nt 例程的一些参考页将例程标记为“已弃用”，并建议读者使用等效的 Win32 例程，而不是已弃用的 Nt 例程。

用户模式应用程序无法调用 Ntoskrnl.exe 中的入口点，内核模式驱动程序无法调用 Ntdll.dll 中的入口点。

内核全局变量

Mm64BitPhysicalAddress

在 Wdm.h 中声明Mm64BitPhysicalAddress，声明如下:

PBOOLEAN Mm64BitPhysicalAddress
// Wdm.h

指定硬件和操作系统是否支持 64 位物理地址。如果硬件和操作系统支持 64 位物理地址，则指向值为 TRUE ，否则为 FALSE 。

用法如下:

向驱动程序添加 64 位寻址支持可以显著提高整体系统性能。对于 (DMA) 执行直接内存访问的设备驱动程序来说，这一点尤其重要。在 64 位 Microsoft Windows 中，执行 DMA 但不支持 64 位寻址的设备驱动程序是双缓冲的，这会导致相对性能降低。

尽管双缓冲通常 (8 GB 系统上) 单个百分点的影响相对较小，但这足以影响 I/O 密集型任务，例如数据库活动。随着物理内存量的增加，这种负面的性能影响也会增加。

若要支持 64 位 DMA，驱动程序应遵循以下准则：

使用 PHYSICAL_ADDRESS 结构进行物理地址计算；
将整个 64 位地址视为有效的物理地址。例如，驱动程序不应在锁定的缓冲区上调用 MmGetPhysicalAddress 、放弃高 32 位，并将截断的地址传递给 32 位组件适配器。这会导致内存损坏、I/O 丢失和系统故障；
添加 GetScatterGatherList 和 PutScatterGatherList的高性能散点/收集例程；
检查 Mm64BitPhysicalAddress 全局系统变量的值。如果为 TRUE，则系统支持 64 位物理寻址；
将 DEVICE_DESCRIPTION 结构的 Dma64BitAddresses 成员设置为 TRUE 以指示驱动程序支持 64 位 DMA 地址；
32 位 Windows 中的 DMA 例程是 64 位就绪的。如果设备驱动程序正确使用这些例程，则 DMA 代码应在 64 位 Windows 上无需修改即可正常工作；

MmBadPointer

声明如下:

PVOID MmBadPointer;
// Wdm.h 中声明

它指向保证无效的内存位置的指针，注意从 Windows 8.1 开始，MmBadPointer 已弃用。驱动程序应改用 MM_BAD_POINTER 宏。如果访问由 MmBadPointer 变量指定的内存地址，操作系统将生成一个 bug 检查。

可以使用 MmBadPointer 调试驱动程序代码。将任何未初始化的指针变量设置为 MmBadPointer ，以查找代码首次尝试取消引用无效指针的时间。

MmBadPointer PAGE_SIZE中的所有地址都保证无效。例如，如果 Address 是指针，并且 MmBadPointer<= Address<MmBadPointer + PAGE_SIZE，则尝试访问 *Address 会导致操作系统检查生成 bug，MmBadPointer + PAGE_SIZE不保证无效。

MM_BAD_POINTER

驱动程序可以使用 MM_BAD_POINTER 宏作为要分配给未初始化或不再有效的指针变量的错误指针值，尝试访问此无效指针变量指向的内存位置将导致 bug 检查。

在许多硬件平台上，地址 0，往往表示为命名常量 NULL是无效地址，但驱动程序开发人员不应假设地址 0 在所有平台中均无效。将未初始化或无效的指针变量设置为地址 0 不一定总能保证可以检测到通过这些指针进行的不当访问。

相反，可以保证 MM_BAD_POINTER 值是运行驱动程序的每个平台上的无效地址。

在地址 0 是无效地址的平台上，访问 IRQL < DISPATCH_LEVEL 地址 0 的驱动程序会导致异常 (访问冲突) ，该异常会被try/except 语句无意中捕获。因此，驱动程序的异常处理代码可能会屏蔽无效访问，并在调试过程中阻止检测这种访问。但是，可以保证对 MM_BAD_POINTER 地址的访问会导致 bug 检查，异常处理程序无法对此进行屏蔽。

下面的代码示例演示如何将 MM_BAD_POINTER 值分配给名为 ptr 的指针变量。 Ntdef.h 标头文件将 PUCHAR 类型定义为指向 unsigned char 的指针。

PUCHAR ptr = (PUCHAR)MM_BAD_POINTER; // Now ptr is guaranteed to fault.

将 ptr 设置为 MM_BAD_POINTER 后，尝试访问 ptr 指向的内存位置会导致 bug 检查。

事实上，MM_BAD_POINTER 是无效地址的整个页面的基址。因此，对 MM_BAD_POINTER 至 (MM_BAD_POINTER + PAGE_SIZE - 1) 范围内的地址进行任何访问都会导致 bug 检查。

从 Windows 8.1 开始，MM_BAD_POINTER 宏在 Wdm.h 标头文件中定义。但是，使用此宏定义的驱动程序代码可以在 Windows Vista 及更低版本的 Windows 中运行。

PsInitialSystemProcess

定义为:

PEPROCESS PsInitialSystemProcess;
// 在 Ntddk.h 中声明

指向系统进程的 EPROCESS 结构，该结构是一个不透明结构，后续会详细介绍。

注意: 在这里解释一下为什么很少去明确介绍一些内核内部使用的数据结构，对于驱动开发人员，逆向出某个内核布局和结构，并不难！但是，作为驱动开发工程师，需要知道不应该去假定内核使用的数据结构是什么样的，用于正式驱动发布的代码不应依赖于一些未公开的结构，这些结构可能在不同版本之间存在差异，这会导致驱动的可移植性和稳定性下降。