《Windows驱动开发技术详解》之驱动程序的同步处理

• 中断请求级

中断请求被分为软件中断和硬件中断两种，这些中断都映射成不同级别的中断请求级。每个中断请求都有各自的优先级别，正在运行的线程随时都可以被中断打断，进入到中断处理程序。优先级高的中断来临时，处在优先级低的中断处理程序，也会被打断，进入到更高级别的中断处理函数。

Windows规定了32个中断请求级别，分别是0~2级别为软件中断，3~31为硬件中断。0~31，优先级别递增。硬件的IRQL称为设备中断请求级，或者DIRQL。Windows大部分时间运行在软件中断级别中。当硬件中断请求来临时，操作系统将提升IRQL至DIRQL级别，并运行中断处理函数。当中断处理函数结束后，操作系统把IRQL降回到原来的级别。

用户模式的代码时运行在最低优先级的PASSIVE_LEVLE级别。驱动程序的DriverEntry函数、派遣函数、AddDevice等函数一般都运行在PASSIVE_LEVEL级别，它们在必要时可以申请进入DISPATCH_LEVEL级别。Windows负责线程调度的组件是运行在DISPATCH_LEVEL级别，当前的线程运行完时间片后，系统自动从PASSIVE_LEVEL级别提升到DISPATCH_LEVEL级别。当钱的线程切换完毕后，操作系统又从DISPATCH_LEVEL级别降到PASSIVE_LEVEL级别。

所有的应用程序都运行在PASSIVE_LEVEL级别上，它的优先级别最低，可以被其它级别的IRQL级别的程序打断。线程优先级只针对应用程序而言，只有程序运行在PASSIVE_LEVEL级别才有意义。线程优先级高的线程有更多的机会被内核调度。负责调度线程的内核组件运行在DISPATCH_LEVEL级别的IRQL上，这个时候所有应用程序都停止，等待着被调度。

下图描述了一个IRQL的变化：

首先，一个普通的线程A正在运行；这个时刻有一个中断发生，它的IRQL为0x0D。CPU中断当前运行的线程A，将IRQL提升至0x0D级别；这个时候又有一个更高优先级的中断发生，它的IRQL是0x1A。这时候CPU将IRQL提升至0x1A级别；这时候又有一个中断发生，它的IRQL是0x18，低于上一个中断优先级。CPU不会理睬这个中断；这时候IRQL为0x1A的中断结束了，操作系统进入IRQL为0x18的中断服务；这时候IRQL为0x18的中断结束，于是进入IRQL为0x0D的中断服务；最后IRQL为0x0D的中断结束，操作系统恢复线程A。

IRQL与内存分页：在使用分页内存时，可能会导致页故障。因为分页内存随时可能从物理内存交换到磁盘文件。读取不在物理内存中的分页内存时，会引发一个页故障，从而执行这个异常的处理函数。异常处理函数会重新将磁盘文件的内容交换到物理内存中。页故障允许出现在PASSIVE_LEVEL级别的程序中，但是如果在DISPATCH_LEVEL或者更高级别IRQL的程序中会带来系统崩溃。

But why?

这里引用看雪上的两段话进行解释吧：http://bbs.pediy.com/showthread.php?t=160200

 内核模式下的事件对象：

先来看一下用户模式下的事件对象，其代码示例如下：

UINT WINAPI Thread1(LPVOID para){
    printf("Enter thread1!\n");
    HANDLE *phEvent = (HANDLE*)para;
    SetEvent(*phEvent);
    return 0;
}

int main(){
    HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);
    HANDLE hThread1 = (HANDLE)_beginthreadex(NULL, 0, Thread1, &hEvent, 0, NULL);
    WaitForSingleObject(hEvent, INFINITE);
    system("pause");
    return 0;
}

等待执行完毕：

如果创建的事件对象是“通知事件”，当事件对象变为激发态时，程序员需要手动将其改为为激发态。如果创建的事件对象是“同步事件”，当时间对象为激发态时，如遇到KeWaitForXX等内核函数，事件对象则自动变回为未激发态。示例代码如下：

驱动程序与应用程序交互事件对象：在应用程序中创建的事件对象和在内核中创建的事件对象本质上是同一个东西。将用户模式下创建的时间传递给驱动程序的办法就是采用DeviceIoControl。DeviceIoControl将事件对象的句柄传递给内核，内核需要利用ObReferenceObjectByHandle将这个句柄转化为指针。

 现在应用层设置一个未激活的event：

#define IOCTL_TRANSMIT_EVENT CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)

int main(){
    HANDLE hDevice = CreateFile("\\\\.\\HelloDDK",
        GENERIC_READ | GENERIC_WRITE,
        0, NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL);
    if (hDevice == INVALID_HANDLE_VALUE){
        printf("Error!\n");
        return 1;
    }
    BOOL bRet;
    DWORD dwOutput;
    getchar();
    //创建event对象，设置为未激发状态
    HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);
    printf("Create event!\n");
    bRet = DeviceIoControl(hDevice, IOCTL_TRANSMIT_EVENT, &hEvent,
        sizeof(hEvent), NULL, 0, &dwOutput, NULL);
    WaitForSingleObject(hEvent, INFINITE);
    printf("After wait!\n");
    CloseHandle(hDevice);
    CloseHandle(hEvent);
    system("pause");
    return 0;
}

然后在内核层中将这个event激活并返回用户层：

NTSTATUS HelloDDKDeviceIoControl_Event(PDEVICE_OBJECT pDevObj, PIRP pIrp){
    DbgPrint("Enter DeviceIoControl event!\n");
    UNREFERENCED_PARAMETER(pDevObj);
    NTSTATUS status = STATUS_SUCCESS;
    PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
    //ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;
    //ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;
    ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;
    ULONG info = 0;
    switch (code){
    case IOCTL_TRANSMIT_EVENT:
    {
        HANDLE hUserEvent = *(HANDLE*)pIrp->AssociatedIrp.SystemBuffer;
        PKEVENT pEvent;
        status = ObReferenceObjectByHandle(hUserEvent,
            EVENT_MODIFY_STATE,
            *ExEventObjectType,
            KernelMode,
            (PVOID*)&pEvent,
            NULL);
        KeSetEvent(pEvent, IO_NO_INCREMENT, FALSE);
        ObDereferenceObject(pEvent);
        break;
    }
    default:
        status = STATUS_INVALID_VARIANT;
    }
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = info;
    IoCompleteRequest(pIrp, IO_NO_INCREMENT);
    DbgPrint("Leave DeviceIoControl event!\n");
    return status;
}

运行效果如下：

驱动程序与驱动程序交互事件对象：

 有时候，需要在驱动程序与驱动程序中交互事件对象。例如，驱动程序A的某个派遣函数要与驱动程序B的派遣函数进行同步，就需要两个驱动程序之间交互事件对象。让驱动程序A获取驱动程序B中创建的事件对象的最简单的方法是驱动程序B创建一个有“名字”的事件对象，这样驱动程序A就可以根据“名字”寻找到事件对象的指针。

创建有名的事件可以通过IoCreateNotificationEvent和IoCreateSynchronizationEvent内核函数。其中，IoCreateNotificationEvent函数创建“同步事件”对象，而IoCreateSynchronizationEvent创建通知事件对象。

内核模式下信号灯：

这里先演示一下用户层的信号灯的使用：

UINT WINAPI Thread1(LPVOID para){
    printf("Enter Thread1!\n");
    HANDLE *phSemaphore = (HANDLE*)para;
    Sleep(3000);
    printf("Leave Thread1!\n");
    ReleaseSemaphore(*phSemaphore, 1, NULL);
    return 0;
}

int main(){
    HANDLE hSemaphore = CreateSemaphore(NULL, 2, 2, NULL);
    WaitForSingleObject(hSemaphore, INFINITE);
    WaitForSingleObject(hSemaphore, INFINITE);
    HANDLE hThread1 = (HANDLE)_beginthreadex(NULL, 0,
        Thread1,
        &hSemaphore,
        0, NULL);
    WaitForSingleObject(hSemaphore, INFINITE);
    system("pause");
    return 0;
}

可以正常运行并结束：

再来看内核下使用信号灯的示例代码：

VOID UserThreadSem(PVOID pContext){
    DbgPrint("Enter UserThreadSem!\n");
    PKSEMAPHORE pkSemaphore = (PKSEMAPHORE)pContext;
    KeReleaseSemaphore(pkSemaphore, IO_NO_INCREMENT, 1, FALSE);
    DbgPrint("Leave UserThreadSem!\n");
    PsTerminateSystemThread(STATUS_SUCCESS);
}

 

VOID SemTest(){
    HANDLE hMyThread;
    KSEMAPHORE kSemaphore;
    KeInitializeSemaphore(&kSemaphore, 2, 2);
    LONG count = KeReadStateSemaphore(&kSemaphore);
    DbgPrint("The semaphore count:%d\n", count);
    KeWaitForSingleObject(&kSemaphore, Executive, KernelMode, FALSE, NULL);
    count = KeReadStateSemaphore(&kSemaphore);
    DbgPrint("The semaphore count:%d\n", count);
    KeWaitForSingleObject(&kSemaphore, Executive, KernelMode, FALSE, NULL);
    count = KeReadStateSemaphore(&kSemaphore);
    DbgPrint("The semaphore count:%d\n", count);
    PsCreateSystemThread(&hMyThread, 0, NULL,
        NtCurrentProcess(),
        NULL,
        UserThreadSem,
        &kSemaphore);
    KeWaitForSingleObject(&kSemaphore, Executive, KernelMode, FALSE, NULL);
}

运行结果如下：

 内核模式下的互斥体：

VOID UserThreadMutex1(PVOID pContext){
    DbgPrint("Enter UserThreadMutex1!\n");
    PKMUTEX pkMutex = (PKMUTEX)pContext;
    //等待获取mutex
    KeWaitForSingleObject(pkMutex, Executive, KernelMode, FALSE, NULL);
    KeStallExecutionProcessor(50);
    //释放已经获取了的mutex
    KeReleaseMutex(pkMutex, FALSE);
    DbgPrint("Leave UserThreadMutex1!\n");
    PsTerminateSystemThread(STATUS_SUCCESS);
}

VOID UserThreadMutex2(PVOID pContext){
    DbgPrint("Enter UserThreadMutex2!\n");
    PKMUTEX pkMutex = (PKMUTEX)pContext;
    //等待获取mutex
    KeWaitForSingleObject(pkMutex, Executive, KernelMode, FALSE, NULL);
    KeStallExecutionProcessor(50);
    //释放已经获取了的mutex
    KeReleaseMutex(pkMutex, FALSE);
    DbgPrint("Leave UserThreadMutex2!\n");
    PsTerminateSystemThread(STATUS_SUCCESS);
}

VOID MutexTest(){
    HANDLE hMyThread1, hMyThread2;
    KMUTEX kMutex;
    KeInitializeMutex(&kMutex, 0);
    PsCreateSystemThread(&hMyThread1, 0, NULL, NtCurrentProcess(), NULL, UserThreadMutex1, &kMutex);
    PsCreateSystemThread(&hMyThread2, 0, NULL, NtCurrentProcess(), NULL, UserThreadMutex2, &kMutex);
    PVOID Poiner_Array[2];
    ObReferenceObjectByHandle(hMyThread1, 0, NULL, KernelMode, &Poiner_Array[0], NULL);
    ObReferenceObjectByHandle(hMyThread2, 0, NULL, KernelMode, &Poiner_Array[1], NULL);
    KeWaitForMultipleObjects(2, Poiner_Array, WaitAll, Executive, KernelMode, FALSE, NULL, NULL);
    ObDereferenceObject(Poiner_Array[0]);
    ObDereferenceObject(Poiner_Array[1]);

}

运行结果如下：

使用自旋锁进行同步：

如果程序获得了自旋锁，其它程序希望获取自旋锁时，则不停的进入自旋状态。无法获得自旋锁的线程会不停地自旋，这会浪费很多CPU时间。因此，需要同步的代码区域不能过长。

示例代码如下：

UINT WINAPI Thread1(LPVOID pContext){
    BOOL bRet;
    DWORD dwOutput;
    bRet = DeviceIoControl(*(PHANDLE)pContext, IOCTL_TEST1, NULL, 0, NULL, 0, &dwOutput, NULL);
    return 0;
}

int main(){
        HANDLE hDevice = CreateFile("\\\\.\\HelloDDK",
            GENERIC_READ | GENERIC_WRITE,
            0, NULL,
            OPEN_EXISTING,
            FILE_ATTRIBUTE_NORMAL,
            NULL);
        if (hDevice == INVALID_HANDLE_VALUE){
            printf("Error!\n");
            return 1;
        }
        HANDLE hThread[2];
        hThread[0] = (HANDLE)_beginthreadex(NULL, 0, Thread1, &hDevice, 0, NULL);
        hThread[1] = (HANDLE)_beginthreadex(NULL, 0, Thread1, &hDevice, 0, NULL);
        WaitForMultipleObjects(2, hThread, TRUE, INFINITE);
        CloseHandle(hThread[0]);
        CloseHandle(hThread[1]);
        CloseHandle(hDevice);
        return 0;
}

NTSTATUS HelloDDKDeviceIoControl_SpinLock(PDEVICE_OBJECT pDevObj, PIRP pIrp){
    ASSERT(KeGetCurrentIrql() == PASSIVE_LEVEL);
    PDEVICE_EXTENSION pdx = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
    KIRQL oldIrql;
    //获取自旋锁，保存原先的Irql
    KeAcquireSpinLock(&pdx->My_SpinLock, &oldIrql);
    NTSTATUS status = STATUS_SUCCESS;
    DbgPrint("Enter HelloDDKDeviceIoControl_SpinLock!\n");
    //使用自旋锁后，IRQL提升至Dispatch级别
    ASSERT(KeGetCurrentIrql() == DISPATCH_LEVEL);
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0;
    IoCompleteRequest(pIrp, IO_NO_INCREMENT);
    DbgPrint("Leave HelloDDKDeviceIoControl_SpinLock!\n");
    KeReleaseSpinLock(&pdx->My_SpinLock, oldIrql);
    return status;
}

运行结果如下：