windows驱动开发详解学习笔记

1. windows驱动分两类，NT式驱动和WDM驱动，后者支持即插即用；

2. DriverEntry是入口函数，传入参数：pDriverObject由IO管理器传入；

3. WDM驱动中，AddDevice创建设备对象，由PnP管理器调用；传入参数：(DriverObject, PhysicalDeviceObject)，第一个参数是DriverEntry的传入参数，第二个参数由总线驱动创建的PDO；

4. IRP_MJ_PNP分很多子类，包括IRP_MN_START_DEVICE、IRP_MN_REMOVE_DEVICE、IRP_MN_STOP_DEVICE等等；

5. PE格式(Portable Execute)，二进制可执行格式；

6. 函数调用这一过程用汇编语言展现出来是这样子的:参数入栈-->ebp入栈-->将esp作为ebp-->esp减一定空间(增长)-->处理-->将ebp作为esp-->ebp出栈-->返回。

7. 函数调用约定，重点区分_cdecl和_stdcall。函数在调用前后需要保持esp平衡，_cdecl是C语言默认调用约定，函数返回后由调用者将esp+参数占用字节数，保持平衡，例如调用int add(int, int)后，调用者执行 add,esp 8；_stdcall是标准调用约定，函数返回时执行ret x(参数占用字节数)，自助保持堆栈平衡，例如ret 8。不同调用约定会使函数在编译阶段产生差异的符号链接名。 例如_cdecl约定下为_add,而_stdcall约定下为_add@8. 不同的符号链接名可能导致link阶段的无法解析外部符号错误。

8. windows以树形结构组织系统内的设备，称之为设备树。垂直结构，从底到上的构建设备树，总线驱动构建设备的PDO，设备驱动构建设备对象，这种垂直结构成为设备堆栈。平行结构，相同的设备拥有一致的设备堆栈。

9. 在windows系统内，每个进程有自己独立的4GB虚拟内存空间，其中低2GB（0~0x7FFFFFFF）为用户模式空间，高2GB是内核模式空间，用户态程序只能访问用户模式空间，内核程序可以访问整个4GB空间。进程切换发生时，内核空间不切换，之切换用户模式空间。

10. 在驱动程序中，DriverEntry和AddDevice是由系统进程调用的，运行在系统进程上下文；而其他的派遣函数例程运行在程序上下文。

11. 分页内存和非分页内存。在虚拟内存管理中，分页内存会被交换出物理内存，非分页内存会一直驻留在物理内存中。分页内存只能被运行在DISPATCH_LEVEL级别以下的函数使用，如果程序运行在DISPATCH_LEVEL以上，一定要用非分页内存。因为缺页异常的回调函数运行在DISPATCH_LEVEL上, DISPATCH_LEVEL以上的程序使用分页内存会导致计算机蓝屏。

12. 内核堆内存分配的函数使用ExAllocatePool和ExFreePool, 需要指定内存分配的类型。在内核模式下，无法使用C++提供的new或delete操作，因为在windows平台下，new实现依赖于win32 API，而在内核模式下是无法使用win32 API。

13. windows DDK实现了一个内置的通用双向链表结构，LIST_ENTRY，类似于Linux中使用的双向链表结构，list_head

14. windows DDK内置了内存池Lookaside，只能的避免内存空洞。

15. 微软编译器提供的结构化异常处理机制，当程序在执行过程中遇到异常，就会在当前try块外寻找except块，如果当前try块没有设置except捕获异常块，则进入上一层try块，直至交由操作系统处理。这一过程成为回卷。

16. 如果if或者else，只有单个函数或语句的情况下是允许的。但是如果函数本质是一个多行的宏定义，则容易出现很难察觉的问题。所以在每次if或者else时，都要加一个{}，是非常必要的。

17. 应用程序向CreateFile传入符号链接名打开设备，一般是这个样子: \\.\helloWDM，写成C语言字符串成”\\\\.\\helloWDM”

18. 缓冲区读写/直接读写的区别：需要简单说明一下windows IO读写的机制。用户态程序调用win32 API WriteFile，对应到内核的Native API NtWriteFile，NtWriteFile负责创建IRP包分发给响应的Dispatch。用户态程序需要向WriteFile传入1个用户空间的数据缓冲区buf1，假设起始地址0x400。windows是多任务环境，当进程切换时，用户空间发生切换，所以NtWriteFile直接操作0x400就很可能进入其他进程的用户空间。

缓冲区读写，指的是windows负责在内核空间开辟一段相同大小的缓冲区，并将WriteFile的缓冲区复制过去，这样用户进程切换共用内核空间，不会出问题。读操作也是类似的操作。这种方式存在内核的缓冲区复制，效率较低，适合在小块内存的情况下。

直接读写：指的是，windows先锁住(不交换出物理内存)空间的缓冲区，然后将这块物理内存映射到内核空间，这样NtWriteFile操作的就是同一块物理内存，不会出问题。这种方式，涉及的过程比起简单的内存复制来说要复杂，但是效率高，适合数据量大的情况。另外，说明一下：windows内核采用MDL记录用户缓冲区到物理内存的映射关系。

19. PIC与APIC区别：PIC(Programable Interrupt Controller)，是传统PC的方案，使用2片8259级联实现最多16个中断信号；目前大部分机器采用APIC(Advanced Programable Interrupt Controller)，兼容PIC模式，实现最多24个中断信号。

20. 在PC机24个中断信号的基础上，windows设计了32级的IRQL。关心IRQL最低的PASSIVE_LEVEL，APC_LEVEL，DISPATCH_LEVEL。用户模式程序运行在PASSIVE_LEVEL，驱动程序的派遣函数、AddDevice、DriverEntry等一般函数也运行于PASSIVE_LEVEL，DPC和StartIO运行于DISPATCH_LEVEL，OS的线程调度程序运行于DISPATCH_LEVEL。对于线程来说，高的IRQL级别可以有更多的机会获得CPU。当线程执行ReadFile，其IRP对应的响应派遣函数运行于PASSIVE_LEVEL，与ReadFile同属于一个线程的上下文。

常常采用提高线程的IRQL的方式，实现多线程资源同步，避免切换。可是对于多核处理器，这并不好使。

21.