2.1.3 無處不在的內(nèi)核模塊
http://book.51cto.com? 2009-05-26 22:56? 譚文/楊瀟/邵堅(jiān)磊? 電子工業(yè)出版社? 我要評(píng)論(0)
摘要:《寒江獨(dú)釣:Windows內(nèi)核安全編程》第2章內(nèi)核編程環(huán)境及其特殊性,本章首先介紹內(nèi)核程序的生存運(yùn)行環(huán)境,然后介紹在Windows內(nèi)核編程中,所習(xí)慣遵守的“WDK編碼習(xí)慣”,主要是其中所用的新定義的數(shù)據(jù)類型,以及在內(nèi)核編程中所常用的一些函數(shù)調(diào)用等。本節(jié)為大家介紹無處不在的內(nèi)核模塊。
標(biāo)簽:Windows? 內(nèi)核編程? 寒江獨(dú)釣:Windows內(nèi)核安全編程
2.1.3? 無處不在的內(nèi)核模塊
位于高2G空間內(nèi)的操作系統(tǒng)內(nèi)核,并非做死的一個(gè)巨大程序。因?yàn)橛?jì)算機(jī)硬件種類繁多,不可能做出一個(gè)能支持所有硬件的巨大內(nèi)核。
內(nèi)核是有接口的,微軟提供規(guī)定的格式,讓硬件驅(qū)動(dòng)的編程人員,能按照規(guī)定的格式編寫“驅(qū)動(dòng)程序”。這些驅(qū)動(dòng)程序能夠作為模塊加載到內(nèi)核中,成為內(nèi)核的一部分,這樣內(nèi)核只要簡(jiǎn)單地安裝驅(qū)動(dòng)程序,就可以適應(yīng)各種不同的硬件了。
本書中的大部分例子都是編譯成內(nèi)核模塊的,實(shí)際上也可以稱為驅(qū)動(dòng)程序(Driver)。但是它們大部分并不驅(qū)動(dòng)任何硬件,有人稱之為“軟件驅(qū)動(dòng)”。但是筆者認(rèn)為這不夠貼切,所以本書使用Linux程序員們的叫法,稱之為內(nèi)核模塊(Kernel module)。也許這樣要更貼切一些,驅(qū)動(dòng)程序可以看成內(nèi)核模塊的一種(少量的應(yīng)用層驅(qū)動(dòng)程序除外)。
內(nèi)核模塊已經(jīng)位于內(nèi)核空間,作為R0代碼執(zhí)行,所以不受任何限制,可以任意修改內(nèi)核。因此許多使用應(yīng)用程序無法實(shí)現(xiàn)的功能,可以通過編寫內(nèi)核模塊來實(shí)現(xiàn)。
起初的Windows,似乎并沒有打算讓應(yīng)用軟件的編程人員來提供內(nèi)核模塊。但是,一些特殊的應(yīng)用軟件的編程人員首先自己突破了這些限制,他們編寫了虛擬光驅(qū)、防毒軟件的實(shí)時(shí)監(jiān)控、防火墻等特殊的不驅(qū)動(dòng)任何硬件的內(nèi)核模塊。最終微軟也意識(shí)到了內(nèi)核編程對(duì)軟件也是很有用的,因此在內(nèi)核中又提供了更多的接口,比如方便進(jìn)行文件過濾、網(wǎng)絡(luò)過濾等的新接口,這些是專門提供給非硬件驅(qū)動(dòng)開發(fā)的軟件編程人員使用的。
WDK是微軟目前提供的最新的驅(qū)動(dòng)開發(fā)包,同時(shí)也包括了給軟件內(nèi)核編程提供的所有接口和例子。硬件驅(qū)動(dòng)與軟件的內(nèi)核編程這二者目前并沒有嚴(yán)格分開,雙方的技術(shù)和許多代碼都是相通的。
初學(xué)者在編寫一個(gè)內(nèi)核模塊時(shí),常常有的一個(gè)疑問就是:這些代碼運(yùn)行在哪個(gè)進(jìn)程的空間中呢?
內(nèi)核模塊位于內(nèi)核空間,而內(nèi)核空間又被所有的進(jìn)程共享。因此,內(nèi)核模塊實(shí)際上位于任何一個(gè)進(jìn)程空間中。但是任意一段代碼的任意一次執(zhí)行,一定是位于某個(gè)進(jìn)程空間中的。這個(gè)進(jìn)程是哪一個(gè)?這取決于請(qǐng)求的來源、處理的過程等。PsGetCurrentProcessId函數(shù)能得到當(dāng)前進(jìn)程的進(jìn)程號(hào),這個(gè)函數(shù)的原型如下:
HANDLE PsGetCurrentProcessId();
?
這個(gè)函數(shù)返回的HANDLE,實(shí)際上是一個(gè)進(jìn)程ID。這個(gè)數(shù)字和我們打開任務(wù)管理器時(shí),看到的PID是一樣的。
有些讀者會(huì)誤以為所有內(nèi)核代碼都運(yùn)行在系統(tǒng)進(jìn)程內(nèi)。
Windows的所謂系統(tǒng)進(jìn)程是一個(gè)名為“System”的進(jìn)程,是Windows自身生成的一個(gè)特殊進(jìn)程,這個(gè)進(jìn)程在Windows XP下PID始終為4。讀者只要調(diào)用PsGetCurrentProcessId就會(huì)發(fā)現(xiàn)內(nèi)核模塊中分發(fā)函數(shù)調(diào)用時(shí),當(dāng)前進(jìn)程一般都不是System進(jìn)程。但是DriverEntry函數(shù)被調(diào)用時(shí),一般都位于系統(tǒng)進(jìn)程中。這是因?yàn)閃indows一般都用系統(tǒng)進(jìn)程來加載內(nèi)核模塊,并不說明內(nèi)核代碼始終運(yùn)行在System進(jìn)程里。