Windows NT架构内核分析

第２２卷　第５期　重庆工学院学报（自然科学）　２００８年５月　Ｖｏ１．２２　Ｎｏ．５　Ｊｏｕｒｎａｌ　ｏｆ　Ｃｈｏｎｇｑｉｎｇ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｔｅｃｈｎｏｌｏｇｙ（Ｎａｔｕｒａｌ　Ｓｃｉｅｎｃｅ）　Ｍａｙ　２００８　Ｗｉｎｄｏｗｓ　ＮＴ架构内核分析　李　双　（重庆工学院电子与自动化学院，重庆４０００５０）　Ｗｉｎｄｏｗｓ　ＮＴ　Ａｒｃｈｉｔｅｃｔｕｒｅ　Ｋｅｒｎｅｌ　Ａｎａｌｙｓｉｓ　ＬＩ　Ｓｈｕａｎｇ　（Ｓｃｈｏｏｌ　ｏｆ　Ｅｌｅｃｔｒｏｎｉｃ　ｈｆｆｏｒｍａｔｉｏｎ　ａｎｄ　Ａｕｔｏｍａｔｉｏｎ，Ｃｈｏｎｇｑｉｎｇ　Ｉｎｓｉｔｔｕｔｅ　ｏｆＴｅｃｈｎｏｌｏｇｙ，Ｃｈｏｎｇｑｉｎｇ　４０００５０，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｔｈｉｓ　ｐａｐｅｒ　ｄｅｓｃｒｉｂｅｓ　ｔｈｅ　ｈｉｓｔｏｒｙ　ｏｆ　Ｍｉｃｒｏｓｏｆｔ　Ｗｉｎｄｏｗｓ　ｏｐｅｒａｔｉｏｎ　ｓｙｓｔｅｍ，ａｎｄ　ｔｈｅ　ｎｅｗ　ｆｅａｔｕｒｅｓ　ｆｏｒ　３２ｂｉｔ　ｈａｒｄｗａｒｅ　ｐｌａｔｆｏｒｍ．Ｂｅｓｉｄｅｓ，ｔｈｉｓ　ｐａｐｅｒ　ａｎａｌｙｚｅｓ　ｋｅｒｎｅｌ　ａｒｃｈｉｔｃｅｔｕｒｅ　ｏｆ　Ｍｉｃｒｏｓｏｆｔ　Ｗｉｎｄｏｗｓ　ＮＴ／２０００／　ＸＰ　ｏｐｅｒａｔｉｏｎ　ｓｙｓｔｅｍ，ａｎｄ　ｄｅｓｃｒｉｂｅｓ　ＯＳ　ｋｅｒｎｅｌ　ｎｍｎｉｎｇ　ｌｅｖｅｌ，ｒｕｎｎｉｎｇ　ｒｕｌｅ　ａｎｄ　ｎｍｎｉｎｇ　ｆｌｏｗ．Ｆｉｎａｌｌｙ，ｉｔ　ｅｘｐｌｍｎｓ　ｗｉｔｈ　ａｎ　ｅｘａｍｐｌｅ　ｔｈｅ　ｉｎｔｅｒｒｕｐｔｉｏｎ—ｈａｎｄｌｉｎｇ　ｐｒｏｃｅｓｓ　ｉｎ　Ｗｉｎｄｏｗｓ　ＮＴ　ａｒｃｈｉｔｃｅｔｕｒｅ．　Ｋｅｙ　ｗｏｒｄｓ：Ｗｉｎｄｏｗｓ　ＮＴ；ｋｅｒｎｅｌ；ａｒｃｈｉｔｅｃｔｕｒｅ；ｉｎｔｅｒｒｕｐｔ　在Ｗｉｎｄｏｗｓ　３、０的开始过程中同步开发了全新的　１　Ｗｉｎｄｏｗｓ　ＮＴ的历史　３２位操作系统——ＭｉｃＩＤｓ０ｆＩ　Ｗｉｎｄｏｗ　ＮＴ．它的用户　界面和应用程序接口与Ｗｉｎｄｏｗｓ　３．０相同，但内核　１９９０年，Ｍｉｃｒｏｓｏｆｔ　Ｗｉｎｄｏｗｓ　３．０的出现使个人　却有了天翻地覆的变化、与ＣＰＵ紧密配合的３２位　计算机真正进入了图形时代．多媒体、ＣＤＲＯＭ和　内核代码可以将新ＣＰＵ的性能发挥到极致，同时　ＧＵＩ（图形用户界面）开始成为了新一代操作系统　安全性和稳定性也有了飞跃的变化．　的标准．不过Ｗｉｎｄｏｗｓ　３．０／３．１从本质上来说不能　算是一个的操作系统，而只能算是依附于　２全新的３２位内核　ＤＯＳ之上的一个外壳（ＳＨＥＬＬ），与随后的继承者　Ｗｉｎｄｏｗｓ　９５／９８都是使用老旧的１６位内核．为了能　相对于８０２８６ＣＰＵ，８０３８６增加了３２位保护模　够发挥新式３２位ＣＰＵ一８０３８６的全部性能，微软　式和内存分页支持，使得这款ＣＰＵ能够实现提供　＊收稿日期：２００８—０３—０６　作者简介：李双（１９７８一），女，重庆永川人，实验师，主要从事电子技术实验教学与研究　维普资讯 http://www.cqvip.com １３２　重庆工学院学报　了完整的保护模式支持．以此ＣＰＵ为基础开发的　Ｗｉｎｄｏｗｓ　ＮＴ内核充分利用了保护模式的安全性和　３２位ＣＰＵ的扩展性．为了兼容ＤＥＣ的ＡｌｐｈａＣＰＵ，　定线程执行时间作出响应．如果硬件平台支持２　个时钟，内核就需添加另一时钟中断级别来度量　性能．ＨＡＬ提供了一系列的中断级别供中断驱动　的设备使用，具体数目随处理器和系统设置不同　而不同．另一组则关联到软件中断．内核使用这些　Ｗｉｎｄｏｗｓ　ＮＴ使用了２个特权级（ＩＡ３２ＣＰＵ支持４个　特权级）：特权级０可以访问所有系统资源（内存／　中断／端口），用于ＯＳ代码和驱动程序；特权级３　对所有资源的访问都有严格的．所有的操作　都必须经过ＯＳ的许可才能进行．如此一来，就可　以保证当某个用户程序崩溃或非法操作的时候不　至于影响其他用户程序和ＯＳ．　为了提高系统的工作效率，Ｗｉｎｄｏｗｓ　ＮＴ把内　核层又划分成了３２个优先级．微软公司将其命名　为软件中断请求级别（ＩＲＱＬ）．中断请求级别在内　核中表示为０～３１的数字，数字越大，优先级别就　越高．ＨＡＬ会将硬件中断映射到ＩＲＱＬ上．图１给　出了ＩＡ３２体系中定义的ＩＲＱＬ．　３ｌ　３０　掉电　２９　处理器间中断　２８　时钟　２７　配置文件　］　硬件中断　２６　设备Ｎ　ｌＩ　３　设备ｌ　—ｌ　ＤＰＣ／￣　２　ＤＰＣ／ｄ；ｓｐａｔｃｈ　线程优先级ｏ　ＡＰＣ　３－软件中断　无源级　图１　ＩＡ３２体系中定义的ＩＲＱＬ　中断和内核代码会按照优先级顺序获得服务．　优先级高的中断／代码先于优先级低的中断获得服　务，此时系统将屏蔽较低优先级的中断请求．当优　先级高的中断出现时，处理器保存被中断的纯种的　状态，并调用与中断相关的陷阱调度程序．陷阱调　度程序提升ｍＱＬ，并调用中断服务例程．当服务例　程执行完毕后，中断调度程序将处理器的ＩＲＱＬ恢　复到中断发生前的级别，然后加载保存的机器状　态，中断的线程继续从其停止处执行．内核降低　ＩＲＱＬ后，被屏蔽的低优先级中断才可能被触发．　这３２个ＩＲＱＬ被分为２级，其中一组关联到硬　件中断，比如：处理器间中断（ＩＰＩ—ＩＲＱＬ２９）时，请　求另一处理器动作，如调度执行某一特定线程或　更新其变换监视缓冲区高速缓存，系统时钟以固　定时间间隔产生中断，内核则通过更新时钟和测　中断来启动线程调度，并异步中断线程的执行．　３映射硬件中断到ＩＲＱＬ　这些ＩＲＱＬ级别与ＩＡ３２架构的中断请求　（ＩＲＱ）不同，ＩＡ３２架构没有在硬件中实现ＩＲＱＬ概　念．从ＩＲＱ到ＩＲＱＬ的映射是由Ｗｉｎｄｏｗｓ　ＮＴ的ＨＡＬ　实现的．总线驱动程序在枚举硬件设备的时候会　为每个设备配置相应的中断，然后再按照分配规　则把中断映射到ＩＲＱＬ（对于单处理器和多处理器，　分配规则是不同的）．　４映射软件中断到ＩＲＱＬ　ＤＰＣ／Ｄｉｓｐａｔｃｈ级别以下的ＩＲＱＬ是映射到软件　中断．ＩＲＱＬ０一无源级别，它实际上不是真正的中　断级别，而是正常线程运行允许所有中断发生的　设置．ＩＲＱＬ１一ＡＰＣ级别和ＩＲＱＬ２一ＤＰＣ级别是由　内核和设备驱动程序产生的软件中断使用．　在ＤＰＣ／Ｄｉｓｐａｔｃｈ级别或之上级别运行的代码　有一个重要就是它不能在对象上等待，如果　它在对象上等待就使得调度程序需要选择运行另　一线程．另一条是在这些级别上只能访问非　分页内存．这一规则是第１条的延伸．因为试　图访问分页内存可能会引起页面异常（当该页面　已经被转储到外部存储器上时）．当出现页面异常　时，内存管理器会初始化磁盘操作，然后需要等待　文件系统驱动程序从磁盘将该页面读入内存．该　等待接送请求调度程序执行环境切换（如果此时　没有用户线程运行就可能切换到空闲线程），因　此，违反该规则就无法调用调度程序（因为在访问　磁盘时，ＩＲＱＬ处于ＤＰＣ／Ｄｉｓｐａｔｃｈ或者更高的级　别）．如果违反以上２条规则的任意一条，系　统将出现崩溃，并产生ＩＲＱＬ—ＮＯＴ—ＬＥＳＳ—ＯＲ—Ｅ．　ＱＵＡＬ崩溃代码，具体细节请参考Ｍｉｃｏｒｏｓｏｆｔ关于　维普资讯 http://www.cqvip.com 李双：Ｗｉｎｄｏｗｓ　ＮＴ架构内核分析　１３３　系统崩溃的帮助信息．　下面就以Ｗｉｎｄｏｗｓ　２０００ＤＤＫ自带的ＦＤＣ驱动　为例分析Ｗｉｎｄｏｗｓ　ＮＴ架构下的ＩＲＱＬ的应用．　５整体描述　综合上面的描述，可以得出在Ｗｉｎｄｏｗｓ　ＮＴ架　在驱动程序被装人内存之后，首先初始化　ＤＰＣ以备使用．　构下的内核运行框图，如图２所示．　图２正常情况下的线程调度　当一个硬件中断产生时，对象管理器中断当　前运行的线程并保护当前运行环境，将ＩＲＱＬ提高　到该中断注册的ＩＲＱＬ级别，然后将控制权转交给　设备注册的ＩＳＲ（Ｉｎｔｅｒｒｕｐｔ　Ｓｅｒｖｉｃｅ　Ｒｏｕｔｉｎｅ）．ＩＳＲ对设　备的状态／数据／命令作出相应的处理，然后返回　对象管理器．对象管理器再将ＩＲＱＬ恢复到被中断　时的级别，然后恢复被中断的线程的运行．当ＣＰＵ　运行于一个较高的ＩＲＱＬ级别时，低于此级别的中　断请求将被屏蔽，如果ＣＰＵ长时间运行高级别的　ＩＲＱＬ上，则可能会影响低级中断的处理，因此，在　ＩＳＲ中应该尽可能只做最必须的动作，然后为未完　成的处理工作建立一个ＤＰＣ例程或者建立一个线　程来完成，这样可以减少ＣＰＵ处于高ＩＲＱＬ级别的　时间，确保系统能够响应尽可能多的中断．这样同　时也有效地提高了系统工作的效率．而较关键的　是，时间关联性高的代码在短时间内可不被打断　地运行，大量普通代码则平衡ＣＰＵ的负荷，以尽可　能有效利用ＣＰＵ．此时的内核运行流程如图３所　示．　图３有中断发生时的调度　ＩｏＩｎｉｔｉａｌｉｚｅＤｐｃＲｅｑｕｅｓｔ（ｆｄｏＥｘｔｅｎｓｉｏｎ一＞Ｓｅｌｆ，　ＦｄｃＤｅ￣ｒｒｅｄＰｒｏｃｅｄｕｒｅ）；　然后继续其他部分的初始化，在枚举ＦＤＣ控　制器设备之后，将中断服务例程挂接到相对应的　中断级别上，并为之指定相应的ＩＲＱＬ级别．　ｎｔＳｔａｔｕｓ＝ＩｏＣｏｎｎｅｃｔＩｎｔｅｒｒｕｐｔ（＆ＦｄｏＥｘｔｅｎｓｉｏｎ一　＞ＩｎｔｅｒｒｕｐｔＯｂｊｅｃｔ，　ＦｄｃＩｎｔｅｒｒｕｐｔＳｅｒｖｉｃｅ，　ＦｄｏＥｘｔｅｎｓｉｏｎ，　ＮＵＬＬ，　ＦｄｏＥｘｔｅｎｓｉｏｎ一＞ＣｏｎｔｒｏｌｌｅｒＶｅｃｔｏｒ．　ＦｄｏＥｘｔｅｎｓｉｏｎ一＞ＣｏｎｔｒｏｌｌｅｒＩｒｑ１．　ＦｄｏＥｘｔｅｎｓｉｏｎ一＞ＣｏｎｔｒｏｌｌｅｒＩｒｑ１．　ＦｄｏＥｘｔｅｎｓｉｏｎ～＞ＩｎｔｅｒｒｕｐｔＭｏｄｅ．　ＦｄｏＥｘｔｅｎｓｉｏｎ一＞ＳｈａｒａｂｌｅＶｅｃｔｏｒ．　ＦｄｏＥｘｔｅｎｓｉｏｎ一＞ＰｒｏｃｅｓｓｏｒＭａｓｋ．　ＦｄｏＥｘｔｅｎｓｉｏｎ～＞ＳａｖｅＦｌｏａｔＳｔａｔｅ）；　驱动程序在接受到操作之后，向ＦＤＣ发出命　令，并为之设置相应的参数．　ＦｃＩｓｓｕｅＣｏｍｍａｎｄ（…）　｛　ｎｔＳｔａｔｕｓ：ＦｃＳｔａｒｔＣｏｍｍａｎｄ（ＦｄｏＥｘｔｅｎｓｉｏｎ，　ＦｉｆｏＩｎＢｕｆｆｅｒ，　ＦｉｆｏＯｕｔＢｕｆｆｅｒ，　ＩｏＨａｎｄｌｅ，　ＩｏＯｆｆｓｅｔ，　ＴｒａｎｓｆｅｒＢｙｔｅｓ，　ＴＲＵＥ）；　然后将挂起当前线程等待中断事件的完成　ｎｔＳｔａｔｕｓ：ＫｅＷａｉｔＦｏｒＳｉｎｇｌｅＯｂｊｅｃｔ（　维普资讯 http://www.cqvip.com ｌ３４　重庆工学院学报　＆ＦｄｏＥｘｔｅｎｓｉｏｎ一＞ＩｎｔｅｒｒｕｐｔＥｖｅｎｔ，　Ｅｘｅｃｕｔｉｖｅ，　ＫｅｍｅｌＭｏｄｅ，　ＦＡＬＳＥ，　＆ＦｄｏＥｘｔｅｎｓｉｏｎ一＞ＩｎｔｅｒｒｕｐｔＤｅｌａｙ）；注ｌ　ＦＤＣ接受命令之后对软盘进行操作，操作完　毕后并生中断，然后内核就会调用驱动程序关连　到该中断的服务例程ＦｄｃＩｎｔｅｒｒｕｐｔＳｅｒｖｉｃｅ（）．在中断　服务例程中，驱动程序检查ＦＤＣ的状态，如果操作　完成并且没有错误，则向对象管理器申请调度　ＤＰＣ进行后续操作．　ＩｏＲｅｑｕｅｓｔＤｐｃ（ｃｕｒｒｅｎｔＤｅｖｉｃｅＯｂｊｅｃｔ，　ｃｕｒｒｅｎｔＤｅｖｉｃｅＯｂｊｅｃｔ一＞ＣｕｒｒｅｎｔＩｒｐ．　（ＰＶＯＩＤ）ＮＵＩＪＬＪ）；　然后清除ＦＤＣ状态后结束中断服务例程．由　于ＤＰＣ例程在软中断中是最高ＩＲＱＬ级别，因此在　中断完成ＩＲＱＬ级别降低后，系统会立刻调度ＤＰＣ　例程．在ＤＰＣ例程中，完成ＦＤＣ命令的后续操作．　比如将读入的数据拷贝到调用者指定的缓冲区．　ＦｄｃＤｅｆｅｒｒｅｄＰｒｏｃｅｄｕｒｅ（…）　｛　ｎｔＳｔａｔｕｓ＝ＦｃＦｉｎｉｓｈＣｏｍｍａｎｄ（　ｆｄｏＥｘｔｅｎｓｉｏｎ，　ｉｓｓｕｅＣｏｍｍａｎｄＰａｒｍｓ一＞ＦｉｆｏＩｎＢｕｆｆｅｒ，　ｉｓｓｕｅＣｏｍｍａｎｄＰａｒｍｓ一＞ＦｉｆｏＯｕｔＢｕｆｆｅｒ．　ｉｓｓｕｅＣｏｍｍａｎｄＰａｒｍｓ一＞ＩｏＨａｎｄｌｅ．　ｉｓｓｕｅＣｏｍｍａｎｄＰａｒｍｓ一＞ＩｏＯｆｆｓｅｔ，　ｉｓｓｕｅＣｏｍｍａｎｄＰａｒｍｓ一＞ＴｒａｎｓｆｅｒＢｙｔｅｓ，　ＦＡＬｓＥ）：　ＫｅＳｅｔＥｖｅｎｔ（＆ｆｄｏＥｘｔｅｎｓｉｏｎ一＞ＩｎｔｅｒｒｕｐｔＥｖｅｎｔ，　（ＫＰＲＩＯＲＩＴＹ）０，ＦＡＬＳＥ）；　｝　然后置位中断完成事件．然后系统就会恢复　被挂起的线程，向上层完成当前的操作．　以上简要的介绍了在驱动程序中内核架构的　运行流程，作为一个完整的Ｗｉｎｄｏｗｓ　ＮＴ架构驱动，　完整的操作远不止以上描述的如此简单，不过那　已经超出本研究的讨论范围．　注意，此时线程是运行在ＰＡＳＳＩＶＥ．ＬＥＶＥＬ级　别之上，所以允许等待事件，在ＤＰＣ及以上级别运　行时只能检查事件是否置位，这一规则在本研究　中已经详细说明．　参考文献：　［１］ＳｏｌｏｍｏｎＤＡ，ＲｕｓｓｉｎｏｖｉｃｈＭ　Ｅ．Ｗｉｎｄｏｗｓ　２０００内部揭秘　［Ｍ］．北京：机械工业出版社，２０００．　［２］Ｔｏｍ　Ｓｈａｎｌｅｙ，Ｄｏｎ　Ａｎｄｅｒｓｏｎ．ＰＣ！系统结构［Ｍ］．北京：　电子工业出版社。２０００．　［３］Ｂａｋｅｒ　Ａ，Ｌｏｚａｎｏ　Ｊ．Ｗｉｎｄｏｗｓ　２０００设备驱动程序设计　指南［Ｍ］．北京：机械工业出版社，２００１．　［４］徐显秋．Ｗｉｎｄｏｗｓ　２０ＯＯ和ＸＰ系统常用安全策略［Ｊ］．　重庆科技学院学报：自然科学版，２００５（４）：８６—８７．　（责任编辑刘舸）