S.l.e!ep.￠%

2.1.3 無處不在的內核模塊
http://book.51cto.com? 2009-05-26 22:56? 譚文/楊瀟/邵堅磊? 電子工業出版社? 我要評論(0)
摘要：《寒江獨釣：Windows內核安全編程》第2章內核編程環境及其特殊性，本章首先介紹內核程序的生存運行環境，然后介紹在Windows內核編程中，所習慣遵守的“WDK編碼習慣”，主要是其中所用的新定義的數據類型，以及在內核編程中所常用的一些函數調用等。本節為大家介紹無處不在的內核模塊。
標簽：Windows? 內核編程? 寒江獨釣：Windows內核安全編程

2.1.3? 無處不在的內核模塊

位于高2G空間內的操作系統內核，并非做死的一個巨大程序。因為計算機硬件種類繁多，不可能做出一個能支持所有硬件的巨大內核。

內核是有接口的，微軟提供規定的格式，讓硬件驅動的編程人員，能按照規定的格式編寫“驅動程序”。這些驅動程序能夠作為模塊加載到內核中，成為內核的一部分，這樣內核只要簡單地安裝驅動程序，就可以適應各種不同的硬件了。

本書中的大部分例子都是編譯成內核模塊的，實際上也可以稱為驅動程序（Driver）。但是它們大部分并不驅動任何硬件，有人稱之為“軟件驅動”。但是筆者認為這不夠貼切，所以本書使用Linux程序員們的叫法，稱之為內核模塊（Kernel module）。也許這樣要更貼切一些，驅動程序可以看成內核模塊的一種（少量的應用層驅動程序除外）。

內核模塊已經位于內核空間，作為R0代碼執行，所以不受任何限制，可以任意修改內核。因此許多使用應用程序無法實現的功能，可以通過編寫內核模塊來實現。

起初的Windows，似乎并沒有打算讓應用軟件的編程人員來提供內核模塊。但是，一些特殊的應用軟件的編程人員首先自己突破了這些限制，他們編寫了虛擬光驅、防毒軟件的實時監控、防火墻等特殊的不驅動任何硬件的內核模塊。最終微軟也意識到了內核編程對軟件也是很有用的，因此在內核中又提供了更多的接口，比如方便進行文件過濾、網絡過濾等的新接口，這些是專門提供給非硬件驅動開發的軟件編程人員使用的。

WDK是微軟目前提供的最新的驅動開發包，同時也包括了給軟件內核編程提供的所有接口和例子。硬件驅動與軟件的內核編程這二者目前并沒有嚴格分開，雙方的技術和許多代碼都是相通的。

初學者在編寫一個內核模塊時，常常有的一個疑問就是：這些代碼運行在哪個進程的空間中呢？

內核模塊位于內核空間，而內核空間又被所有的進程共享。因此，內核模塊實際上位于任何一個進程空間中。但是任意一段代碼的任意一次執行，一定是位于某個進程空間中的。這個進程是哪一個？這取決于請求的來源、處理的過程等。PsGetCurrentProcessId函數能得到當前進程的進程號，這個函數的原型如下：

HANDLE PsGetCurrentProcessId();
?

這個函數返回的HANDLE，實際上是一個進程ID。這個數字和我們打開任務管理器時，看到的PID是一樣的。

有些讀者會誤以為所有內核代碼都運行在系統進程內。

Windows的所謂系統進程是一個名為“System”的進程，是Windows自身生成的一個特殊進程，這個進程在Windows XP下PID始終為4。讀者只要調用PsGetCurrentProcessId就會發現內核模塊中分發函數調用時，當前進程一般都不是System進程。但是DriverEntry函數被調用時，一般都位于系統進程中。這是因為Windows一般都用系統進程來加載內核模塊，并不說明內核代碼始終運行在System進程里。