Windows驱动开发详解：从Ring0到WDM

"分层驱动-Windows驱动开发详解的PPT" 在Windows驱动开发中，分层驱动模型是一种常见的实现方式，它允许驱动程序按照功能进行模块化，从而提高代码的可维护性和复用性。这一模型特别适用于处理复杂的硬件设备，如网络适配器、硬盘控制器等。驱动程序在Windows系统中运行于Ring 0级别，拥有对硬件的直接访问权限，以实现操作系统无法直接处理的任务。 IRP（I/O Request Packet，I/O请求包）是Windows内核中用于传递I/O请求的关键结构。在分层驱动模型中，IRP处理流程至关重要： 1. **直接处理**：当一个驱动能够完全处理IRP时，它会直接调用`IoCompleteRequest()`来结束IRP的处理，并将结果返回给调用者。这是最简单的情况，驱动完成了IRP所请求的操作。 2. **StartIO**：某些驱动可能需要先进行一些初始化工作，例如设置硬件状态，然后才能处理IRP。在这种情况下，驱动会调用`StartIO`函数来启动I/O操作。 3. **向下转发**：如果驱动不能直接处理IRP，它会使用`IoCallDriver()`函数将IRP向下传递给驱动堆栈中的下一个驱动。这个过程会持续到IRP被某个驱动完全处理，或者到达硬件设备驱动。 在IRP的处理过程中，`IO_STACK_LOCATION`结构用于记录每层驱动对IRP的操作。此外，可以使用`IoSetCompletionRoutine()`函数设置完成例程（completeroutine），该例程会在IRP结束并回卷栈时执行。如果没有设置完成例程，IRP将继续回卷，直到所有相关的驱动都已完成它们的任务。 Windows驱动开发主要包括两种类型：NT驱动和WDM驱动。 - **NT驱动**：通常基于NT Driver Development Kit (NTDDK)，其入口函数是`DriverEntry`，位于初始化标志内存中。驱动会使用`IoCreateDevice`创建设备对象，然后创建符号链接。驱动还需要注册一系列回调函数，如`HelloDDKDispatchRoutine`，这些函数会被I/O管理器调用来处理I/O请求。卸载驱动时，会调用`UnloadNTDriver`。 - **WDM驱动**：Windows Driver Model，是一个更加灵活且可扩展的驱动框架，支持即插即用和电源管理。WDM驱动通常包括PnP管理和电源管理的回调函数，同时保持与NT驱动的兼容性。WDM驱动同样需要`DriverEntry`，但其处理机制更为复杂，能够更好地与其他驱动协同工作，提供更好的系统集成。 驱动开发中涉及的其他关键组件包括： - **执行体组件**：提供大量内核函数供驱动调用，负责进程、线程调度。 - **对象管理器**：管理DriverObject和DeviceObject等内核对象的创建、管理和回收。 - **进程管理器**：负责进程的创建和终止，而线程调度由内核负责。 - **虚拟内存管理**：每个进程有4GB的虚拟地址空间，其中用户模式占2GB，内核模式占2GB。 - **I/O管理器**：通过IRP统一处理读写操作，将其传递给相应的驱动完成。 - **配置管理器**：管理软硬件配置，保存在注册表数据库中。 Windows驱动开发涉及到多个层面的知识，包括内核模式编程、中断处理、设备驱动模型、IRP处理机制以及系统服务等。理解并熟练掌握这些知识对于开发高效、稳定的驱动程序至关重要。