什么是 Windows 内核驱动程序？

Question

什么是用 WDK 编写的 Windows 内核驱动程序？

与普通应用程序或服务有什么不同？

Answer 1

内核驱动程序是针对 Windows NT 的本机 API（而不是 Win32 子系统的 API）编写的程序，并且在底层硬件上以内核模式执行。这意味着驱动程序需要能够处理进程之间虚拟内存上下文的切换，并且需要编写得非常稳定——因为内核驱动程序在内核模式下运行，如果一个崩溃，就会导致整个系统崩溃。内核驱动程序不适合除硬件设备之外的任何设备，因为它们需要管理访问权限才能安装或启动，并且因为它们消除了内核通常为崩溃程序提供的安全性，即它们本身崩溃，而不是整个系统崩溃。

长话短说：

• 驱动程序使用本机 API 而不是 Win32 API
  • 这意味着驱动程序通常无法显示任何 UI。
• 驱动程序需要管理内存以及如何显式地对内存进行分页——使用分页池和非分页池之类的东西。
• 驱动程序需要处理进程上下文切换，而不是依赖于哪个进程在运行时恰好拥有页表。
• 受限用户无法将驱动程序安装到内核中。
• 驱动程序在处理器级别以特权运行。
• 用户级程序中的错误会导致该程序进程的终止。驱动程序的故障会导致系统崩溃并出现蓝屏死机。
• 驱动程序需要处理低级硬件位，例如中断和中断请求级别 (IRQL)。

Answer 2

它是在内核模式而不是用户模式下运行的代码。内核模式代码可以直接访问操作系统、硬件等的内部结构。

您总是编写内核模式模块来实现 设备驱动程序。

Answer 3

内核驱动程序是“应用程序”的低级实现。
因为它运行在内核上下文中，所以它有能力直接访问内核API和内存。

例如，内核驱动程序应用于：

• 控制对文件的访问（密码保护、隐藏）
• 允许访问非标准文件系统（如 ext、reiserfs、zfs 等）和设备
• 真正的 API 挂钩
• ...以及许多其他原因

如果您想了解更多信息，您可以使用您喜欢的搜索引擎搜索关键字“ring0”。

Answer 4

其他人从系统级别的角度解释了这种差异。
如果您使用 C++ 进行开发，则用户模式开发和内核模式开发存在以下差异。

1. 未处理的异常会导致用户模式下的进程崩溃，但在内核模式下，它会导致整个系统崩溃（出现 BSOD）。
2. 当用户模式进程在没有释放私有内存的情况下终止时，系统会隐式释放进程内存。但在内核模式下，系统启动后剩余内存空闲。
3. 用户模式代码是在 PASSIVE_LEVEL 中编写和执行的。在内核模式下，有更多的IRQL级别。
4. 使用单独的机器完成内核代码调试。但您可以在同一台机器上调试用户模式。
5. 您不能在内核模式下使用所有 C++ 功能，例如异常处理和 STL。
6. 入口点不同，在用户模式下，您使用main作为入口点。但在内核模式下，我们需要使用DriverEntry。
7. 您不能在内核模式下使用 new 运算符，您需要显式重载它。