Windows驱动程序开发：入门与I/O请求处理

"这篇文档是关于Windows个人防火墙的设计与实现的硕士学位论文，详细探讨了驱动程序的基本结构和I/O请求分派机制。" 在Windows操作系统中，驱动程序扮演着核心角色，它们提供了硬件和系统软件之间的接口。驱动程序通常由多个例程组成，其中最重要的三个基本例程是： 1. 入口点例程`DriverEntry`：当驱动程序被加载到内存时，`DriverEntry`是首先被调用的例程。它负责驱动程序的初始化工作，接收两个参数——`DriverObject`和`RegistryPath`。`DriverObject`是I/O管理器为驱动创建的驱动对象，用于存储驱动的其他例程的地址。`RegistryPath`指示驱动在注册表中的位置，驱动可以使用这个信息来读取配置或存储状态。 2. 卸载例程：在NDIS中间层驱动中，例如`PtUnload`，在驱动卸载时自动被I/O管理器调用。这个例程的任务是释放资源，删除由驱动创建的设备对象和符号连接，完成必要的清理工作。 3. 打开/关闭例程：当应用程序与驱动的设备对象交互时，I/O管理器会调用`Open`和`Close`例程。例如在本文档的NDIS中间层驱动中，除了基本的`DevOpen`和`DevClose`外，还包含一个扩展的`DevControl`例程，用于处理Windows个人防火墙的内核态封包过滤和监控。 I/O请求分派机制是Windows操作系统处理输入/输出的关键部分，主要依赖于I/O请求包（IRP）。IRP是一个动态大小的数据结构，用于在驱动程序之间传递I/O请求。每个I/O操作对应一个IRP，它包含了操作的信息以及执行过程中所需的上下文。驱动程序通过处理IRP来响应I/O请求，通常会根据IRP中的信息调用相应的处理例程。 这篇论文的作者是魏震，他在南开大学信息技术科学学院攻读通信与信息系统的硕士学位，并在2011年5月完成了关于Windows个人防火墙的设计与实现的研究。论文详细讨论了驱动程序在防火墙实现中的作用，尤其是如何通过驱动程序实现内核态的封包过滤和监控，对理解Windows个人防火墙的工作原理和驱动开发具有重要意义。