Windows内核I/O系统与驱动开发实战教程

1. Windows I/O系统概述

Windows I/O系统通过抽象化简化了逻辑和物理设备的交互，其主要特点包括：

• 统一命名和安全机制
• 支持异步通信
• 即插即用功能
• 驱动程序的动态加载和卸载
• 电源管理功能

I/O系统层次结构

1. 应用层：应用程序和服务负责与用户交互
2. 接口层（用户模式与内核模式接口）：
   • WMI服务
   • PnP管理器
   • 安装组件等
3. 内核模式层：
   • WMI例程
   • I/O管理器
   • PnP管理器
   • 电源管理器
4. 底层：
   • 驱动程序
   • 硬件抽象层(HAL)

2. 硬件抽象层(HAL)

硬件抽象层(HAL)是操作系统的关键组件，负责：

• 将操作系统与底层硬件设备隔离
• 提供标准化接口
• 使操作系统能够与各种硬件平台交互
• 避免针对特定硬件进行修改和优化

3. 用户模式与内核模式

CPU权限级别

基于x86架构的权限环：

• Ring 3：用户模式，权限最低
  • 无法访问CR3等内核模式寄存器
  • 不能与硬件外设直接交互
  • 不能执行HLT等特权指令
• Ring 0：内核模式，权限最高
  • 可以执行任何指令
  • 可以访问所有寄存器
  • 内核运行的地方
• Ring -1：管理模式（主要用于虚拟化）
  • 可以拦截敏感操作
  • 确保虚拟机中的用户内核不能无限制访问主机硬件

4. 设备驱动程序

设备驱动程序是操作系统和硬件设备之间的桥梁，主要分为：

用户模式驱动程序

• 应用于较简单的设备（如打印机）
• 通过UMDF框架运行
• 优点：崩溃不会导致系统蓝屏

内核模式驱动程序

• 负责核心功能：
  • 文件系统
  • 即插即用设备管理
  • 非即插即用设备管理
• 作为可加载模块
• 确保第三方硬件与操作系统无缝协作

UMDF框架

UMDF(User-Mode Driver Framework)是微软提供的框架：

• 用于编写在用户模式下运行的设备驱动程序
• 主要用于低风险、低复杂度的设备
• 与传统内核模式驱动程序不同

5. 设备访问机制

设备访问流程

1. 应用程序通过CreateFile或类似函数打开设备句柄
2. 使用特定格式访问设备（如\\.\name）
3. 通过符号链接而非传统文件路径访问设备

设备命名空间

• GLOBAL??：定义设备符号链接，方便用户模式程序访问
• Device目录：包含设备对象，每个设备创建时会在其中注册

示例代码：访问设备

#include <Windows.h>
#include <stdio.h>

int main() {
    HANDLE hDevice = CreateFile(
        L"\\\\.\\Pcsched", 
        GENERIC_WRITE, 
        0, 
        nullptr, 
        OPEN_EXISTING, 
        0, 
        nullptr
    );
    
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("Failed to open device (%d)\n", GetLastError());
        return 1;
    }
    
    CloseHandle(hDevice);
    return 0;
}

6. I/O操作核心API

主要I/O函数

1. ReadFile：从文件或设备句柄读取数据

   BOOL ReadFile(
       HANDLE hFile,
       LPVOID lpBuffer,
       DWORD nBufferSize,
       LPDWORD lpBytesRead,
       LPOVERLAPPED lpOverlapped
   );
   

2. WriteFile：将数据写入文件或设备

   BOOL WriteFile(
       HANDLE hFile,
       LPCVOID lpBuffer,
       DWORD nBufferSize,
       LPDWORD lpBytesWritten,
       LPOVERLAPPED lpOverlapped
   );
   

3. DeviceIoControl：与设备驱动程序交互

   BOOL DeviceIoControl(
       HANDLE hDevice,
       DWORD dwIoControlCode,
       LPVOID lpInBuffer,
       DWORD nInBufferSize,
       LPVOID lpOutBuffer,
       DWORD nOutBufferSize,
       LPDWORD lpBytesReturned,
       LPOVERLAPPED lpOverlapped
   );
   

4. CloseHandle：关闭文件或设备句柄

   BOOL CloseHandle(HANDLE hFile);
   

7. 驱动程序开发基础

驱动程序类型

1. 内核设备驱动程序：

   • 运行在内核模式下
   • 直接与硬件交互
   • 崩溃会导致系统蓝屏
   • 文件扩展名为.SYS

2. 即插即用(PnP)驱动程序：

   • 功能驱动程序：与硬件直接交互
   • 总线驱动程序：管理连接多个设备的总线
   • 过滤驱动程序：拦截和修改I/O请求

Windows驱动模型

1. WDM(Windows Driver Model)：

   • 解决不同Windows版本间的兼容性问题
   • 支持多种设备类型(PCI、USB等)
   • 不支持文件系统驱动和视频驱动

2. WDF(Windows Driver Framework)：

   • KMDF：内核模式驱动框架
   • UMDF：用户模式驱动框架
   • 特点：
     • 基于对象的编程模型
     • 自动实现PnP和电源管理
     • 向后兼容

8. 开发环境搭建

所需工具

1. Visual Studio 2022
2. Windows Driver Kit (WDK)
3. Spectre缓解库

安装步骤

1. 安装Visual Studio 2022，勾选"C++桌面开发"等必要组件
2. 安装WDK
3. 安装Spectre缓解库

验证安装：在Visual Studio中新建项目，搜索"Windows Driver"，应能看到相关模板。

9. Windows内核API

常见API前缀

• Ex：通用执行函数
• Ke：通用内核函数
• Cc：缓存控制(管理器)
• Mm：内存管理
• Rtl：通用运行库
• FsRtl：文件系统运行库
• Flt：文件系统迷你过滤器
• Ob：对象管理器
• Io：输入/输出管理器
• Se：安全
• Ps：进程结构
• Po：电源管理
• Wmi：Windows管理规范
• Zw：本地API包装器
• Hal：硬件抽象层

Nt与Zw函数

• 功能类似，但调用方式和安全性不同
• Zw*函数推荐用于内核模式调用
• 省去某些安全检查，适合内核内部调用

10. 驱动程序开发实战

驱动程序入口

每个驱动程序必须有DriverEntry入口函数：

#include <ntddk.h>

extern "C" NTSTATUS DriverEntry(
    PDRIVER_OBJECT DriverObject, 
    PUNICODE_STRING RegistryPath
) {
    UNREFERENCED_PARAMETER(DriverObject);
    return STATUS_SUCCESS;
}

卸载程序

void MyDriverUnload(PDRIVER_OBJECT DriverObject);

完整示例

#include <ntddk.h>

void ProcessPowerUnload(PDRIVER_OBJECT);
extern "C" NTSTATUS DriverEntry(
    PDRIVER_OBJECT DriverObject, 
    PUNICODE_STRING RegistryPath
) {
    KdPrint(("ProcessPower: DriverEntry\n"));
    KdPrint(("Registry path: %wZ\n", RegistryPath));
    
    DriverObject->DriverUnload = ProcessPowerUnload;
    
    RTL_OSVERSIONINFOW vi = { sizeof(vi) };
    NTSTATUS status = RtlGetVersion(&vi);
    if (!NT_SUCCESS(status)) {
        KdPrint(("Failed in RtlGetVersion (0x%x)\n", status));
        return status;
    }
    
    KdPrint(("Windows version: %u.%u.%u\n", 
        vi.dwMajorVersion, 
        vi.dwMinorVersion, 
        vi.dwBuildNumber));
    
    return STATUS_SUCCESS;
}

void ProcessPowerUnload(PDRIVER_OBJECT) {
    KdPrint(("ProcessPower: Unload\n"));
}

11. 设备对象与符号链接

创建设备对象

UNICODE_STRING devName = RTL_CONSTANT_STRING(L"\\Device\\BaimaoPower");
PDEVICE_OBJECT DeviceObject;
status = IoCreateDevice(
    DriverObject, 
    0, 
    &devName, 
    FILE_DEVICE_UNKNOWN, 
    0, 
    FALSE, 
    &DeviceObject
);

创建符号链接

UNICODE_STRING symLink = RTL_CONSTANT_STRING(L"\\??\\BaimaoPower");
status = IoCreateSymbolicLink(&symLink, &devName);

卸载时清理

void ProcessPowerUnload(PDRIVER_OBJECT DriverObject) {
    KdPrint(("ProcessPower: Unload\n"));
    UNICODE_STRING symLink = RTL_CONSTANT_STRING(L"\\??\\BaimaoPower");
    IoDeleteSymbolicLink(&symLink);
    IoDeleteDevice(DriverObject->DeviceObject);
}

12. 调度例程

主要功能代码

• IRP_MJ_CREATE：处理CreateFile请求
• IRP_MJ_CLOSE：处理CloseHandle请求
• IRP_MJ_READ：处理读取请求
• IRP_MJ_WRITE：处理写入请求
• IRP_MJ_DEVICE_CONTROL：处理DeviceIoControl请求

示例代码

DriverObject->MajorFunction[IRP_MJ_CREATE] = ProcessPowerCreateClose;
DriverObject->MajorFunction[IRP_MJ_CLOSE] = ProcessPowerCreateClose;
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = ProcessPowerDeviceControl;

NTSTATUS ProcessPowerCreateClose(PDEVICE_OBJECT, PIRP Irp) {
    Irp->IoStatus.Status = STATUS_SUCCESS;
    Irp->IoStatus.Information = 0;
    IoCompleteRequest(Irp, 0);
    return STATUS_SUCCESS;
}

13. I/O请求包(IRP)

IRP(I/O Request Packet)是Windows内核中用于驱动程序通信和数据传输的核心数据结构。

IRP主要组成部分

1. MDL (Memory Descriptor List)：指向用户模式或内核模式缓冲区
2. MdlAddress：指向MDL的地址
3. AssociatedIrp：关联IRP指针
4. Current I/O Stack Location：当前I/O栈位置
5. I/O Stack Locations Count：I/O栈位置计数
6. IoStatus：存储请求的状态信息
7. User Event：用户事件指针
8. User Buffer：用户缓冲区
9. Cancel Routine：取消例程指针
10. MasterIrp：主IRP指针
11. IrpCount：IRP计数器
12. SystemBuffer：系统缓冲区
13. Status：操作状态码
14. Information：信息字段

IoStatus块内容

• Major Function和Minor Function：指定I/O请求的主要和次要操作
• Parameters：包含特定于请求的参数
• FileObject：关联的文件对象
• DeviceObject：执行请求的设备对象
• CompletionRoutine：请求完成后调用的例程
• Context：I/O操作的上下文信息

14. 驱动程序安装与测试

启用测试签名模式

bcdedit /set testsigning on

安装驱动程序

sc create baimaopower type= kernel binPath= c:\Dir\Driver.sys

启动驱动程序

sc start baimaopower

停止驱动程序

sc stop baimaopower

调试工具

• WinObj：查看和管理Windows对象管理器命名空间
• DebugView：捕获和查看调试输出
• Process Explorer：查看系统进程和加载的驱动程序

15. 客户端程序示例

#include <windows.h>
#include <stdio.h>

int main() {
    HANDLE hDevice = CreateFile(
        L"\\\\.\\BaimaoPower",
        GENERIC_WRITE | GENERIC_READ,
        0,
        nullptr,
        OPEN_EXISTING,
        0,
        nullptr
    );
    
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("Error opening device (%u)\n", GetLastError());
        return 1;
    }
    
    CloseHandle(hDevice);
}

16. 总结

本教程详细介绍了Windows内核I/O系统的架构和驱动开发实战，包括：

1. I/O系统层次结构和核心组件
2. 硬件抽象层的作用
3. 用户模式与内核模式的区别
4. 设备驱动程序的分类和特点
5. 设备访问机制和符号链接
6. 核心I/O操作API
7. 驱动程序开发基础和模型
8. 开发环境搭建
9. Windows内核API
10. 驱动程序开发实战
11. 设备对象与符号链接创建
12. 调度例程实现
13. I/O请求包结构
14. 驱动程序安装与测试方法
15. 客户端程序示例

通过本教程，读者可以全面了解Windows内核I/O系统的工作原理，并掌握驱动程序开发的基本技能。