來來來,一起進入這黑黑的驅動程序世界.:)
這里要講的是Vxd,Kernel Mode Driver,和WDM的一些基本問題.
什么是VxD?
VxD乃 VIRTUAL X
DRIVER.哎,說了也白說.其實就是虛擬設備驅動程序.是系統用于對各種硬件資源識別,管理,維護運作的擴展.VXD和VMM(虛擬機管理器)一起合
作,維持著系統的運作.VxD模式從WIN3X時代就開始了.一直到了WIN98還一直在MS的WIN系列操作系統中起主導作用.VxD運作在INTEL
系列CPU保護模式下的RING0.擁有對硬件的最高控制權.
什么是Kernel Mode Driver(KMD)?
Kernel Mode
Driver是NT下提出的管理,維護硬件運作的驅動程序模式.該DRIVER運行于NT的KERNEL模式下,類似于RING0.但是,一個KMD的運
作環境在不同的時候是根本不同的.DRIVER收到設備請求時的運行環境很可能和設備請求實際操作的運行環境根本不同.這也是NT下,DRIVER的運作也受到NT的許多限制,一不小心,DRIVER和NT就同歸于盡,來個BSOD(BLUE SCREEN OF DEATH).
什么是WDM?
WDM乃WIN32 DRIVER MODEL的簡寫.隨WIN95
OSR2.1推出,和WIN2000兼容.乃MS力推的'全新'的驅動程序模式.目前網上WDM的文章很多,但是成書不多.基本上由于98對WDM的支持
有限,而WIN2000又沒有正式版推出,WDM的實際應用還不多.但是很快,WDM將成為主流的DRIVER模式.在我看來,WDM只不過是個PNP的KMD而已.(也許是沒領悟到精髓說的話:))
早期的WIN3X,核心是VMM,當時的VMM已經具備了基本的操作系統核心的一些特征.但是WIN3X的驅動程序模式混亂不堪.硬件由VxD驅動,網絡和文件系統由實模式驅動程序驅動,多媒體硬件和打印機有RING3 DLL驅動,系統服務決大部分被轉到V86模式下由實模式的DOS完成.
到了WIN95很大一部分系統服務被轉換到了保護模式下.但是,混亂的驅動模式沒有改變.WIN95主攻方向是易用性,而且的確WIN95在用戶界面上有
些進步.當95開發組努力開發的時候,NT也推出了.這是個號稱C2極的OS.當然,我并不相信該系統的強壯性,如果它的源代碼公開的話,很可能就不堪一
擊.當然,NT比95還是有可圈點之處的.它乃是個真正的32位系統.而且,提供了5個應用環境:WIN32,VDM,POSIX.WOW,OS/2.這
5個環境相互獨立,并且操作系統僅對WIN32環境提供接口,WIN32提供其他環境接口,其他環境的API調用最終被轉換到WIN32,進入OS核心.
換言之:WIN32是屏幕,鼠標,鍵盤的擁有者,其他環境如要使用,就要向WIN32子系統申請.
現在的WIN98乃是一個大雜種.包含了所有95的驅動程序模式,加上了WDM.很難想象.如果有一個硬件需要開放驅動程序.你必須首先看一下,適合什么模式.MINIPORT? NDIS? HID? RING0? RING3? 幾乎每個硬件都對應一種模式.
::UNDOCUMENTED HINT
NT
隱藏了一個環境.那就是NATIVE環境.這個環境可以說基本上沒有在文檔里出現過.也沒有支持.在DDK里僅僅公開了一小部分NATIVE
API.NATIVE環境在系統啟動時尤其重要.NT的CHKDSK程序就是個NATIVE應用程序.在運行該程序時,根本就沒有WIN32環境,更沒有
WOW, POSIX環境.這時候只有NATIVE API可供調用.而MS在很多情況下就是靠NATIVE
API來獲取更高的應用程序效能.得到不公平的競爭優勢.某些NATIVE API甚至可饒過系統的安全檢查來完成原先不能完成的任務.
VXD和KMD的最大區別在于VXD不需要考慮多CPU的問題.而KMD需要調用自旋鎖來同步多CPU之間數據訪問.當然,如果必要的話,通過VXD來增
加對多CPU的支持應該并不困難,因為VMM提供了很開放的環境:VXD可以攔截VMM的調用入口.就類似于在DOS時代攔截INT21來擴展系統服務.
而NT如果要擴展系統的化就很困難了.因為這是未公開的.(當然,方法還是有的.等過一段時間我再寫:))
另外一個重要的區別是VXD可以在CPU處于實模式時就獲得系統的控制.而KMD不能.等KMD獲得第一個啟動時機,CPU已經處于保護模式,甚至你替換調HAL或NTOSKRNL也無濟于事.因為CPU的模式切換是有NTLDR進行的:(
到底如何決定該用VXD還是KMD還是WDM呢?
當然,首先應該考慮的是應用平臺.如果是NT4.X,你沒得選了,肯定是KMD了.如果是WIN95,那也只有VXD一種選擇.當目標平臺是98或WIN2000,可
供選擇的方法多點.但是也受到OS規范的限制.
98下.如果想開發的是FSD,那么必須用VXD.盡管98有個WDMFS.SYS的東西.但是它并非真正的WDM的文件系統驅動程序.98支持的FSD是以
IFSMGR.VXD為基礎的VXD.
如果想搞DISK,COMM...等一系列的DRIVER.你也要寫VXD.因為98并沒有提供該類的WDM支持.那么98下什么可以用WDM呢?HID,網絡類,多媒體類
的硬件支持已經轉化到了WDM.你已經可以從DDK里發現這幾類驅動程序的樣板程序.
在NT2000下.我還不是很熟.但是很顯然.對WDM的支持會更多.老的KMD將逐漸退出舞臺.當然,KMD有他不可磨滅的優勢.(在NT下,KMD的限制比9X
下的VXD多.但是它仍有一些活絡余地.例如DISK驅動程序可以訪問視頻硬件,或者其他資源,但隨NT的發展,早晚這些活絡余地也會被取消.)WDM
需要將自己注冊到相應的類里.有相應的例程必須輸出.有些類似于MINIDRIVER.
最終要考慮的是DRIVER作者的習慣.對哪1種模式更熟悉,寫作更方便,那就用哪個.
我個人開發98/95平臺更多些.所以自己更傾向于VXD:安全限制最少.并且,我喜歡匯編.:) ?
NTKERN.VXD的一些東東
NTKERN.VXD乃是WIN98提供NT類服務的核心驅動程序.它輸出了幾個VXD服務.盡管有頭文件,但是卻沒有文檔.這里告訴大家一個訣竅,很多服務和NT下ZwXXX例程具有相同的參數,乃是VXD版的ZwXXX.
例如NtKernCreateFile就是ZwCreateFile的翻版.它也具有11個參數.
下面是NTKERN.VXD的VXD服務列表.
NTKERN_Service _NTKERN_Get_Version, LOCAL
NTKERN_StdCall_Service _NtKernCreateFile, 11, VxD_CODE
NTKERN_StdCall_Service _NtKernClose, 1, VxD_CODE
NTKERN_StdCall_Service _NtKernReadFile, 9, VxD_CODE
NTKERN_StdCall_Service _NtKernWriteFile, 9, VxD_CODE
NTKERN_StdCall_Service _NtKernDeviceIoControl, 10, VxD_CODE
NTKERN_Service _NtKernGetWorkerThread, VxD_CODE
NTKERN_StdCall_Service _NtKernLoadDriver, 1, VxD_CODE
NTKERN_StdCall_Service _NtKernQueueWorkItem, 2, VxD_CODE
NTKERN_Service _NtKernPhysicalDeviceObjectToDevNode, VxD_CODE
NTKERN_StdCall_Service _NtKernSetPhysicalCacheTypeRange, 4, VxD_CODE
NTKERN_Service _NtKernWin9XLoadDriver, VxD_CODE
NTKERN_StdCall_Service _NtKernCancelIoFile, 2, VxD_CODE
NTKERN_Service _NtKernGetVPICDHandleFromInterruptObj, VXD_CODE
NTKERN_StdCall_Service _NtKernInternalDeviceIoControl, 10, VxD_CODE
上
述服務里,部分是未公開的.如果大家參悟透了,NT下也有很多東西可迎刃而解.我想,文件IO應該沒什么問題,但是其他東西就難搞了.在這里,我在網絡上
僅看到了_NtKernLoadDriver的接口.他和ZwLoadDriver具有相同的參數,用來從VXD加載KMD.(ZwLoadDriver
本身又是個未公開的函數)具體接口如下:
NTSTATUS __stdcall ZwLoadDriver( PUNICODE_STRING ServiceKeyPath ).