Windows CE 6驅動程序新特性之訪問檢查

訪問檢查是用來檢查函數的調用者是否有足夠的權限去訪問傳遞給這個函數的內存。訪問檢查是很必要的，它可以防止惡意的應用程序利用驅動程序去完成需要特權才能訪問的資源。設備驅動程序由于在Windows Embedded CE 6.0中處于內核空間所以是一種特權程序，可以訪問很多系統的資源。而工作在用戶態的應用程序卻不是。如果一個應用程序利用設備驅動程序去讀寫系統的內存，那么設備驅動程序實際上就相當于是授予了這個應用程序高的訪問權限。所以在設備驅動程序中進行訪問檢查可以保護操作系統的內存不受惡意應用程序的破壞。

在Windows CE 5.0中，設備驅動程序是通過MapCallerPtr API來對指針參數和嵌套的指針參數進行訪問檢查的。

struct MyStruct { UCHAR *pEmbedded; DWORD dwSize; };  
 
// Windows CE 5.0 and prior versions  
 
// In XXX_IOControl...  
 
   
MyStuct *p = ( MyStruct*) pInput;  
 
g_pMappedEmbedded = MapCallerPtr(p->pEmbedded);  
 
// Fail if g_pMappedEmbedded == NULL ...  
 

在Windows Embedded CE 6.0中，設備驅動程序只需要檢查嵌套的指針參數是否有效就可以了。所不同的是在Windows Embedded CE 6.0中需要使用CeOpenCallerBuffer這個API來檢查是否對于某一段內存，調用進程是否有訪問權限。

// Now in the New CE Version  
 
// In XXX_IOControl...  
 
hr = CeOpenCallerBuffer((PVOID*)&g_pMappedEmbedded, pInput->pEmbedded, pInput->dwSize, ARG_I_PTR, FALSE);  
 
// Fail if FAILED(hr) == true  
 
// When done with pointer...  
 
hr = CeCloseCallerBuffer((PVOID)g_pMappedEmbedded, pInput->pEmbedded, pInput->dwSize, ARG_I_PTR );  
 

Windows CE 6驅動程序新特性之Marshalling

處于內核態的線程對位于用戶空間的內存的訪問可以分為兩種方式。同步訪問（Synchronous Access）和異步訪問（Asynchronous Access）。同步訪問是指，當訪問這塊內存區域時，處于內核態的線程是在調用者的上下文環境內。而異步訪問正好相反，設備驅動程序所擁有的一個線程要訪問的一塊內存區域，而該區域正位于其他進程的地址空間中，那么這就是異步訪問。

舉個異步訪問的例子，比如應用程序通過WriteFile API來向設備SD卡中寫入一段數據，最后寫的請求會通過操作系統內核發送到SD卡的設備驅動中，由設備驅動程序來寫入數據。但是I/O操作是一個很慢的操作，為了使CPU達到高的利用率，內核往往會在這時重新調度一個線程開始執行，這樣用戶空間就可能發生了一次切換。這里說可能，是因為如果被調度的線程和當前的應用程序（也就是當前進程）處于同一進程空間的話，那么就不發生進程的切換，并且要寫入的這段數據由于還是位于當前進程空間中，所以就是對于這塊數據的訪問就是同步的。反之，如果被調度的線程不處于當前進程的空間，那么就會發生一次進程的切換，新的進程會替換老的進程，這時要寫入的這塊數據區域對于設備驅動程序中的線程來說就是無效的，這也稱為異步訪問。

對于異步訪問必須采用一種叫Marshalling的技術來處理被訪問的數據區域。

在Windows CE 5.0中，所有的用戶態進程共享底部的虛擬地址。所以當Slot 0中被替換為不同進程時，由于所有的進程的虛擬地址空間對于設備驅動程序來說都可見，只需要對指向數據塊首地址的指針做一次偏移，就可以得到這塊數據。

在Windows Embedded CE 6.0中，每個用戶態的進程都有自己獨有的虛擬地址空間，每個進程的虛擬地址空間都是受到保護的。所以對一塊內存做Marshall不再是簡單的將指針進行偏移。這時可以采用兩種方法來對一塊內存做Marshall，一種方法是將這塊內存拷貝一份這樣就可以安全的訪問，這種方法稱為復制。另一種方法是用一個新的虛擬地址去引用所對應的物理，這樣一來這塊數據就分別被兩個指針分別引用，這種方法稱為別名。

Marshall一塊內存區域需要區分同步訪問和異步訪問。在Windows CE 5.0中，對于同步訪問來說，不需要做多余的工作，只需要調用MapCallerPtr API來Marshall嵌套指針所指的地址即可。對于異步訪問，線程對于每個Slot都有一定的訪問權限，所以需要通過調用SetProcPermissions來先獲得調用進程Slot的訪問權限，然后調用MapCallerPtr來Marshall所要異步訪問的內存。

// Windows CE 5.0 and prior versions  
 
   
// In XXX_IOControl...  
 
   SetProcPermissions(-1);  
 
   g_pMappedEmbedded = MapCallerPtr( p->pEmbedded );  
 
// Fail if g_pMappedEmbedded == NULL ...  

在Windows Embedded CE 6.0中，對于同步訪問，通過設備驅動程序通過調用CeOpenCallerBuffer來Marshall嵌套指針所指的數據塊的首地址，當這塊數據使用完以后，設備驅動程序調用CeFreeCallerBuffer來釋放Marshall所得資源。對于異步訪問，假設設備驅動程序可以同步的訪問一塊內存，那么這時就可以通過調用CeAllocAsynchronousBuffer來Marshall這塊內存用來做異步訪問之用。在使用完之后，可以通過調用CeFreeAsynchronousBuffer來釋放Marshall所得資源。

// Now in the New OS Version  
 
// In XXX_IOControl after CeOpenCallerBuffer generates  
 
// g_pMappedEmbedded...  
 
 
hr = CeAllocAsynchronousBuffer((PVOID*)&g_pMarshalled, g_pMappedEmbedded, pInput->dwSize, ARG_I_PTR);   
 
// Fail if FAILED(hr) == true  
 
 
// When done with pointer...  
 
hr = CeFreeAsynchronousBuffer((PVOID)g_pMarshalled, g_pMappedEmbedded, pInput->dwSize, ARG_I_PTR);   
 
 
// Now call CeCloseCallerBuffer as usual...  
 

Windows CE 6驅動程序新特性之用戶模式下的驅動程序

在Windows Embedded CE 6.0之前，設備驅動程序是加載在device.exe進程之中的，而device.exe與普通應用程序一樣也是用戶態的進程。所以每次應用程序希望能夠與外設進行交互時，都需要通過操作系統內核轉發請求到相應的驅動程序。這樣一個請求就可以需要反復的進出內核多次，還需要在不同的進程間進行切換。這樣做的好處和缺點同樣的明顯，優點是操作系統的穩定性得到了提高，不會因為某個設備驅動中的缺陷而使整個操作系統崩潰。但缺點是完成請求的效率太低。

在Windows Embedded CE 6.0中，設備驅動程序能夠工作在用戶模式或是內核模式兩種不同的模式。由于在Windows Embedded CE 6.0新的體系結構中將操作系統關鍵的部件如文件系統Filesystem.exe、設備驅動程序管理Device.exe等都移進了操作系統內核之中，驅動程序完成一個請求不再需要在不同的進程下進行切換，也不需要反復的進出內核，所以內核模式下的驅動程序完成請求的效率將會大大的提高。但是這樣的效率提高也是要有代價的。內核模式下的驅動程序需要有很高的穩定性，任何一個錯誤都可能引起整個操作系統的崩潰。為了解決這個問題，Windows Embedded CE 6.0中還設計了另一類稱為用戶模式的設備驅動程序。

Windows Embedded CE 6.0中設計了一個用戶進程udevice.exe用來加載設備驅動程序。因為是被用戶態的進程所加載，所以這類驅動程序就工作在用戶空間，這類驅動程序就成為用戶模式下的設備驅動程序。用戶模式的驅動程序無疑將增加操作系統的穩定性，并且由于這類驅動程序工作在用戶空間，所以能力有限，不能使用諸如VirtualCopy這樣的特權API，也不能對系統中的硬件資源有任意的訪問權限。

用戶模式的設備驅動程序還有一個特點就是它們與內核模式的設備驅動程序具有高度的兼容性。一個好的用戶模式的設備驅動程序的源代碼不需要做任何的改動就可以做為內核模式的設備驅動程序被加載進內核空間。區分用戶模式的設備驅動程序和內核模式的設備驅動程序標志就是設備驅動程序在系統注冊表中的Flag值。當Flag具有DEVFLAGS_LOAD_AS_USERPROC（0x10）時，系統會將設備驅動程序加載成用戶模式，如果沒有該標志就加載成內核模式。

總的來說，用戶模式下Windows CE 6驅動程序新特性的設備驅動程序和內核模式下的設備驅動程序是很相似的。在有了用戶模式設備驅動程序和內核模式設備驅動程序后，在OEM開發BSP的過程中，如果采用了某些第三方的，未經充分測試的驅動程序后?？梢韵葘⑦@些驅動程序做為用戶模式下的設備驅動程序加載到用戶空間，等到整個系統經過測試可以長時間穩定運行后，再將其轉變成內核模式下的驅動程序加載到內核空間以提高整個系統的效率。

【編輯推薦】

1. WinCE編譯過程的四個階段
2. WinCE中觸摸屏驅動開發詳解
3. Windows Mobile和WinCE的區別
4. WinCE中串口驅動及接口函數介紹
5. WinCE中nandflash驅動開發介紹