Windows CE 6驅(qū)動程序新特性之訪問檢查

訪問檢查是用來檢查函數(shù)的調(diào)用者是否有足夠的權(quán)限去訪問傳遞給這個函數(shù)的內(nèi)存。訪問檢查是很必要的，它可以防止惡意的應(yīng)用程序利用驅(qū)動程序去完成需要特權(quán)才能訪問的資源。設(shè)備驅(qū)動程序由于在Windows Embedded CE 6.0中處于內(nèi)核空間所以是一種特權(quán)程序，可以訪問很多系統(tǒng)的資源。而工作在用戶態(tài)的應(yīng)用程序卻不是。如果一個應(yīng)用程序利用設(shè)備驅(qū)動程序去讀寫系統(tǒng)的內(nèi)存，那么設(shè)備驅(qū)動程序?qū)嶋H上就相當(dāng)于是授予了這個應(yīng)用程序高的訪問權(quán)限。所以在設(shè)備驅(qū)動程序中進行訪問檢查可以保護操作系統(tǒng)的內(nèi)存不受惡意應(yīng)用程序的破壞。

在Windows CE 5.0中，設(shè)備驅(qū)動程序是通過MapCallerPtr API來對指針參數(shù)和嵌套的指針參數(shù)進行訪問檢查的。

struct MyStruct { UCHAR *pEmbedded; DWORD dwSize; };  
 
// Windows CE 5.0 and prior versions  
 
// In XXX_IOControl...  
 
   
MyStuct *p = ( MyStruct*) pInput;  
 
g_pMappedEmbedded = MapCallerPtr(p->pEmbedded);  
 
// Fail if g_pMappedEmbedded == NULL ...  
 

在Windows Embedded CE 6.0中，設(shè)備驅(qū)動程序只需要檢查嵌套的指針參數(shù)是否有效就可以了。所不同的是在Windows Embedded CE 6.0中需要使用CeOpenCallerBuffer這個API來檢查是否對于某一段內(nèi)存，調(diào)用進程是否有訪問權(quán)限。

// Now in the New CE Version  
 
// In XXX_IOControl...  
 
hr = CeOpenCallerBuffer((PVOID*)&g_pMappedEmbedded, pInput->pEmbedded, pInput->dwSize, ARG_I_PTR, FALSE);  
 
// Fail if FAILED(hr) == true  
 
// When done with pointer...  
 
hr = CeCloseCallerBuffer((PVOID)g_pMappedEmbedded, pInput->pEmbedded, pInput->dwSize, ARG_I_PTR );  
 

Windows CE 6驅(qū)動程序新特性之Marshalling

處于內(nèi)核態(tài)的線程對位于用戶空間的內(nèi)存的訪問可以分為兩種方式。同步訪問（Synchronous Access）和異步訪問（Asynchronous Access）。同步訪問是指，當(dāng)訪問這塊內(nèi)存區(qū)域時，處于內(nèi)核態(tài)的線程是在調(diào)用者的上下文環(huán)境內(nèi)。而異步訪問正好相反，設(shè)備驅(qū)動程序所擁有的一個線程要訪問的一塊內(nèi)存區(qū)域，而該區(qū)域正位于其他進程的地址空間中，那么這就是異步訪問。

舉個異步訪問的例子，比如應(yīng)用程序通過WriteFile API來向設(shè)備SD卡中寫入一段數(shù)據(jù)，最后寫的請求會通過操作系統(tǒng)內(nèi)核發(fā)送到SD卡的設(shè)備驅(qū)動中，由設(shè)備驅(qū)動程序來寫入數(shù)據(jù)。但是I/O操作是一個很慢的操作，為了使CPU達到高的利用率，內(nèi)核往往會在這時重新調(diào)度一個線程開始執(zhí)行，這樣用戶空間就可能發(fā)生了一次切換。這里說可能，是因為如果被調(diào)度的線程和當(dāng)前的應(yīng)用程序（也就是當(dāng)前進程）處于同一進程空間的話，那么就不發(fā)生進程的切換，并且要寫入的這段數(shù)據(jù)由于還是位于當(dāng)前進程空間中，所以就是對于這塊數(shù)據(jù)的訪問就是同步的。反之，如果被調(diào)度的線程不處于當(dāng)前進程的空間，那么就會發(fā)生一次進程的切換，新的進程會替換老的進程，這時要寫入的這塊數(shù)據(jù)區(qū)域?qū)τ谠O(shè)備驅(qū)動程序中的線程來說就是無效的，這也稱為異步訪問。

對于異步訪問必須采用一種叫Marshalling的技術(shù)來處理被訪問的數(shù)據(jù)區(qū)域。

在Windows CE 5.0中，所有的用戶態(tài)進程共享底部的虛擬地址。所以當(dāng)Slot 0中被替換為不同進程時，由于所有的進程的虛擬地址空間對于設(shè)備驅(qū)動程序來說都可見，只需要對指向數(shù)據(jù)塊首地址的指針做一次偏移，就可以得到這塊數(shù)據(jù)。

在Windows Embedded CE 6.0中，每個用戶態(tài)的進程都有自己獨有的虛擬地址空間，每個進程的虛擬地址空間都是受到保護的。所以對一塊內(nèi)存做Marshall不再是簡單的將指針進行偏移。這時可以采用兩種方法來對一塊內(nèi)存做Marshall，一種方法是將這塊內(nèi)存拷貝一份這樣就可以安全的訪問，這種方法稱為復(fù)制。另一種方法是用一個新的虛擬地址去引用所對應(yīng)的物理，這樣一來這塊數(shù)據(jù)就分別被兩個指針分別引用，這種方法稱為別名。

Marshall一塊內(nèi)存區(qū)域需要區(qū)分同步訪問和異步訪問。在Windows CE 5.0中，對于同步訪問來說，不需要做多余的工作，只需要調(diào)用MapCallerPtr API來Marshall嵌套指針?biāo)傅牡刂芳纯?。對于異步訪問，線程對于每個Slot都有一定的訪問權(quán)限，所以需要通過調(diào)用SetProcPermissions來先獲得調(diào)用進程Slot的訪問權(quán)限，然后調(diào)用MapCallerPtr來Marshall所要異步訪問的內(nèi)存。

// Windows CE 5.0 and prior versions  
 
   
// In XXX_IOControl...  
 
   SetProcPermissions(-1);  
 
   g_pMappedEmbedded = MapCallerPtr( p->pEmbedded );  
 
// Fail if g_pMappedEmbedded == NULL ...  

在Windows Embedded CE 6.0中，對于同步訪問，通過設(shè)備驅(qū)動程序通過調(diào)用CeOpenCallerBuffer來Marshall嵌套指針?biāo)傅臄?shù)據(jù)塊的首地址，當(dāng)這塊數(shù)據(jù)使用完以后，設(shè)備驅(qū)動程序調(diào)用CeFreeCallerBuffer來釋放Marshall所得資源。對于異步訪問，假設(shè)設(shè)備驅(qū)動程序可以同步的訪問一塊內(nèi)存，那么這時就可以通過調(diào)用CeAllocAsynchronousBuffer來Marshall這塊內(nèi)存用來做異步訪問之用。在使用完之后，可以通過調(diào)用CeFreeAsynchronousBuffer來釋放Marshall所得資源。

// Now in the New OS Version  
 
// In XXX_IOControl after CeOpenCallerBuffer generates  
 
// g_pMappedEmbedded...  
 
 
hr = CeAllocAsynchronousBuffer((PVOID*)&g_pMarshalled, g_pMappedEmbedded, pInput->dwSize, ARG_I_PTR);   
 
// Fail if FAILED(hr) == true  
 
 
// When done with pointer...  
 
hr = CeFreeAsynchronousBuffer((PVOID)g_pMarshalled, g_pMappedEmbedded, pInput->dwSize, ARG_I_PTR);   
 
 
// Now call CeCloseCallerBuffer as usual...  
 

Windows CE 6驅(qū)動程序新特性之用戶模式下的驅(qū)動程序

在Windows Embedded CE 6.0之前，設(shè)備驅(qū)動程序是加載在device.exe進程之中的，而device.exe與普通應(yīng)用程序一樣也是用戶態(tài)的進程。所以每次應(yīng)用程序希望能夠與外設(shè)進行交互時，都需要通過操作系統(tǒng)內(nèi)核轉(zhuǎn)發(fā)請求到相應(yīng)的驅(qū)動程序。這樣一個請求就可以需要反復(fù)的進出內(nèi)核多次，還需要在不同的進程間進行切換。這樣做的好處和缺點同樣的明顯，優(yōu)點是操作系統(tǒng)的穩(wěn)定性得到了提高，不會因為某個設(shè)備驅(qū)動中的缺陷而使整個操作系統(tǒng)崩潰。但缺點是完成請求的效率太低。

在Windows Embedded CE 6.0中，設(shè)備驅(qū)動程序能夠工作在用戶模式或是內(nèi)核模式兩種不同的模式。由于在Windows Embedded CE 6.0新的體系結(jié)構(gòu)中將操作系統(tǒng)關(guān)鍵的部件如文件系統(tǒng)Filesystem.exe、設(shè)備驅(qū)動程序管理Device.exe等都移進了操作系統(tǒng)內(nèi)核之中，驅(qū)動程序完成一個請求不再需要在不同的進程下進行切換，也不需要反復(fù)的進出內(nèi)核，所以內(nèi)核模式下的驅(qū)動程序完成請求的效率將會大大的提高。但是這樣的效率提高也是要有代價的。內(nèi)核模式下的驅(qū)動程序需要有很高的穩(wěn)定性，任何一個錯誤都可能引起整個操作系統(tǒng)的崩潰。為了解決這個問題，Windows Embedded CE 6.0中還設(shè)計了另一類稱為用戶模式的設(shè)備驅(qū)動程序。

Windows Embedded CE 6.0中設(shè)計了一個用戶進程udevice.exe用來加載設(shè)備驅(qū)動程序。因為是被用戶態(tài)的進程所加載，所以這類驅(qū)動程序就工作在用戶空間，這類驅(qū)動程序就成為用戶模式下的設(shè)備驅(qū)動程序。用戶模式的驅(qū)動程序無疑將增加操作系統(tǒng)的穩(wěn)定性，并且由于這類驅(qū)動程序工作在用戶空間，所以能力有限，不能使用諸如VirtualCopy這樣的特權(quán)API，也不能對系統(tǒng)中的硬件資源有任意的訪問權(quán)限。

用戶模式的設(shè)備驅(qū)動程序還有一個特點就是它們與內(nèi)核模式的設(shè)備驅(qū)動程序具有高度的兼容性。一個好的用戶模式的設(shè)備驅(qū)動程序的源代碼不需要做任何的改動就可以做為內(nèi)核模式的設(shè)備驅(qū)動程序被加載進內(nèi)核空間。區(qū)分用戶模式的設(shè)備驅(qū)動程序和內(nèi)核模式的設(shè)備驅(qū)動程序標(biāo)志就是設(shè)備驅(qū)動程序在系統(tǒng)注冊表中的Flag值。當(dāng)Flag具有DEVFLAGS_LOAD_AS_USERPROC（0x10）時，系統(tǒng)會將設(shè)備驅(qū)動程序加載成用戶模式，如果沒有該標(biāo)志就加載成內(nèi)核模式。

總的來說，用戶模式下Windows CE 6驅(qū)動程序新特性的設(shè)備驅(qū)動程序和內(nèi)核模式下的設(shè)備驅(qū)動程序是很相似的。在有了用戶模式設(shè)備驅(qū)動程序和內(nèi)核模式設(shè)備驅(qū)動程序后，在OEM開發(fā)BSP的過程中，如果采用了某些第三方的，未經(jīng)充分測試的驅(qū)動程序后?？梢韵葘⑦@些驅(qū)動程序做為用戶模式下的設(shè)備驅(qū)動程序加載到用戶空間，等到整個系統(tǒng)經(jīng)過測試可以長時間穩(wěn)定運行后，再將其轉(zhuǎn)變成內(nèi)核模式下的驅(qū)動程序加載到內(nèi)核空間以提高整個系統(tǒng)的效率。

【編輯推薦】

1. WinCE編譯過程的四個階段
2. WinCE中觸摸屏驅(qū)動開發(fā)詳解
3. Windows Mobile和WinCE的區(qū)別
4. WinCE中串口驅(qū)動及接口函數(shù)介紹
5. WinCE中nandflash驅(qū)動開發(fā)介紹