CODE:
NTSYSAPI
NTSTATUS
NTAPI
ZwWriteFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN PVOID Buffer,
IN ULONG Length,
IN PLARGE_INTEGER ByteOffset OPTIONAL,
IN PULONG Key OPTIONAL
);

       这里有个参数ApcRoutine，这是一个函数指针。什么时候要用到这个指针呢？原来，文件操作有“同步”和“异步”之分。普通的写文件操作是同步写，启动这种操作的线程在内核进行写文件操作期间被“阻塞(blocked)”而进入“睡眠”，直到设备驱动完成了操作以后才又将该线程“唤醒”而从系统调用返回。但是，如果目标文件是按异步操作打开的，即在通过W32的API函数CreateFile()打开目标文件时把调用参数 dwFlagsAndAttributes设置成FILE_FLAG_OVERLAPPED，那么调用者就不会被阻塞，而是把事情交给内核、不等实际的操作完成就返回了。但是此时要把ApcRoutine设置成指向某个APC函数。这样，当设备驱动完成实际的操作时，就会使调用者线程执行这个APC函数，就像是发生了一次中断。执行该APC函数时的调用界面为：

CODE:
typedef
VOID
(NTAPI *PIO_APC_ROUTINE) (IN PVOID ApcContext,
IN PIO_STATUS_BLOCK IoStatusBlock, IN ULONG Reserved);

       这里的指针ApcContext就是NtWriteFile()调用界面上传下来的，至于作什么解释、起什么作用，那是包括APC函数在内的用户软件自己的事，内核只是把它传递给APC函数。
在这个过程中，把ApcRoutine设置成指向APC函数相当于登记了一个中断服务程序，而设备驱动在完成实际的文件操作后就向调用者线程发出相当于中断请求的“APC请求”，使其执行这个APC函数。
从这个角度说，APC机制又应该说是设备驱动框架的一部分。事实上，读者以后还会看到，APC机制与设备驱动的关系比这里所见的还要更加密切。此外，APC机制与异常处理的关系也很密切。

        不仅内核可以向一个线程发出APC请求，别的线程、乃至目标线程自身也可以发出这样的请求。Windows为应用程序提供了一个函数QueueUserAPC()，就是用于此项目的，下面是ReactOS中这个函数的代码：

CODE:
DWORD STDCALL
QueueUserAPC(PAPCFUNC pfnAPC, HANDLE hThread, ULONG_PTR dwData)
{
NTSTATUS Status;

Status = NtQueueApcThread(hThread, IntCallUserApc,
pfnAPC, (PVOID)dwData, NULL);
if (Status)
SetLastErrorByStatus(Status);

return NT_SUCCESS(Status);
}

      参数pfnAPC是函数指针，这就是APC函数。另一个参数hThread是指向目标线程对象(已打开)的Handle，这可以是当前线程本身，也可以是同一进程中别的线程，还可以是别的进程中的某个线程。值得注意的是：如果目标线程在另一个进程中，那么pfnAPC必须是这个函数在目标线程所在用户空间的地址，而不是这个函数在本线程所在空间的地址。最后一个参数dwData则是需要传递给APC函数的参数。
这里的NtQueueApcThread()是个系统调用。“Native API”书中有关于NtQueueApcThread()的一些说明。这个系统调用把一个“用户APC请求”挂入目标线程的APC队列(更确切地说，是把一个带有函数指针的数据结构挂入队列)。注意其第二个参数是需要执行的APC函数指针，本该是pfnAPC，这里却换成了函数 IntCallUserApc()，而pfnAPC倒变成了第三个参数，成了需要传递给IntCallUserApc()的参数之一。 IntCallUserApc()是kernel32.dll内部的一个函数，但是并未引出，所以不能从外部直接加以调用。
APC是针对具体线程、要求由具体线程加以执行的，所以每个线程都有自己的APC队列。内核中代表着线程的数据结构是ETHREAD，而ETHREAD中的第一个成分Tcb是KTHREAD数据结构，线程的APC队列就在KTHREAD里面：

CODE:
typedef struct _KTHREAD
{
. . . . . .
/* Thread state (one of THREAD_STATE_xxx constants below) */ UCHAR State; /* 2D */ BOOLEAN Alerted[2]; /* 2E */ . . . . . .
KAPC_STATE ApcState; /* 34 */ ULONG ContextSwitches; /* 4C */ . . . . . .
ULONG KernelApcDisable; /* D0 */ . . . . . .
PKQUEUE Queue; /* E0 */ KSPIN_LOCK ApcQueueLock; /* E4 */ . . . . . .
PKAPC_STATE ApcStatePointer[2]; /* 12C */ . . . . . .
KAPC_STATE SavedApcState; /* 140 */ UCHAR Alertable; /* 158 */ UCHAR ApcStateIndex; /* 159 */ UCHAR ApcQueueable; /* 15A */ . . . . . .
KAPC SuspendApc; /* 160 */ . . . . . .
} KTHREAD;

Microsoft 并不公开这个数据结构的定义，所以ReactOS代码中对这个数据结构的定义带有逆向工程的痕迹，每一行后面的十六进制数值就是相应结构成分在数据结构中的位移。这里我们最关心的是ApcState，这又是一个数据结构、即KAPC_STATE。可以看出，KAPC_STATE的大小是0x18字节。其定义如下：

CODE:
typedef struct _KAPC_STATE {
LIST_ENTRY ApcListHead[2];
PKPROCESS Process;
BOOLEAN KernelApcInProgress;
BOOLEAN KernelApcPending;
BOOLEAN UserApcPending;
} KAPC_STATE, *PKAPC_STATE, *__restrict PRKAPC_STATE;

显然，这里的ApcListHead就是APC队列头。不过这是个大小为2的数组，说明实际上(每个线程)有两个APC队列。这是因为APC函数分为用户 APC和内核APC两种，各有各的队列。所谓用户APC，是指相应的APC函数位于用户空间、在用户空间执行；而内核APC，则相应的APC函数为内核函数。
读者也许已经注意到，KTHREAD结构中除ApcState外还有SavedApcState也是KAPC_STATE数据结构。此外还有 ApcStatePointer[2]和ApcStateIndex两个结构成分。这是干什么用的呢？原来，在Windows的内核中，一个线程可以暂时 “挂靠(Attach)”到另一个进程的地址空间。比方说，线程T本来是属于进程A的，当这个线程在内核中运行时，如果其活动与用户空间有关(APC就是与用户空间有关)，那么当时的用户空间应该就是进程A的用户空间。但是Windows内核允许一些跨进程的操作(例如将ntdll.dll的映像装入新创进程B的用户空间并对其进行操作)，所以有时候需要把当时的用户空间切换到别的进程(例如B) 的用户空间，这就称为“挂靠(Attach)”，对此我将另行撰文介绍。在当前线程挂靠在另一个进程的期间，既然用户空间是别的进程的用户空间，挂在队列中的APC请求就变成“牛头不对马嘴”了，所以此时要把这些队列转移到别的地方，以免乱套，然后在回到原进程的用户空间时再于恢复。那么转移到什么地方呢？就是SavedApcState。当然，还要有状态信息说明本线程当前是处于“原始环境”还是“挂靠环境”，这就是ApcStateIndex的作用。代码中为SavedApcState的值定义了一种枚举类型：

CODE:
typedef enum _KAPC_ENVIRONMENT
{
OriginalApcEnvironment,
AttachedApcEnvironment,
CurrentApcEnvironment
} KAPC_ENVIRONMENT;

实际可用于ApcStateIndex的只是OriginalApcEnvironment和AttachedApcEnvironment，即0和1。读者也许又要问，在挂靠环境下原来的APC队列确实不适用了，但不去用它就是，何必要把它转移呢？再说，APC队列转移以后，ApcState不是空下来不用了吗？问题在于，在挂靠环境下也可能会有(针对所挂靠进程的)APC请求(不过当然不是来自用户空间)，所以需要有用于两种不同环境的APC队列，于是便有了ApcState和SavedApcState。进一步，为了提供操作上的灵活性，又增加了一个KAPC_STATE指针数组 ApcStatePointer[2]，就用ApcStateIndex的当前值作为下标，而数组中的指针则根据情况可以分别指向两个APC_STATE 数据结构中的一个。
这样，以ApcStateIndex的当前数值为下标，从指针数组ApcStatePointer[2]中就可以得到指向ApcState或 SavedApcState的指针，而要求把一个APC请求挂入队列时则可以指定是要挂入哪一个环境的队列。实际上，当ApcStateIndex的值为 OriginalApcEnvironment、即0时，使用的是ApcState；为AttachedApcEnvironment、即1时，则用的是 SavedApcState。
每当要求挂入一个APC函数时，不管是用户APC还是内核APC，内核都要为之准备好一个KAPC数据结构，并将其挂入相应的队列。

CODE:
typedef struct _KAPC
{
CSHORT Type;
CSHORT Size;
ULONG Spare0;
struct _KTHREAD* Thread;
LIST_ENTRY ApcListEntry;
PKKERNEL_ROUTINE KernelRoutine;
PKRUNDOWN_ROUTINE RundownRoutine;
PKNORMAL_ROUTINE NormalRoutine;
PVOID NormalContext;
PVOID SystemArgument1;
PVOID SystemArgument2;
CCHAR ApcStateIndex;
KPROCESSOR_MODE ApcMode;
BOOLEAN Inserted;
} KAPC, *PKAPC;

结构中的ApcListEntry就是用来将KAPC结构挂入队列的。注意这个数据结构中有三个函数指针，即KernelRoutine、 RundownRoutine、NormalRoutine。其中只有NormalRoutine才指向(执行)APC函数的请求者所提供的函数，其余两个都是辅助性的。以NtQueueApcThread()为例，其请求者(调用者)QueueUserAPC()所提供的函数是 IntCallUserApc()，所以NormalRoutine应该指向这个函数。注意真正的请求者其实是QueueUserAPC()的调用者，真正的目标APC函数也并非IntCallUserApc()，而是前面的函数指针pfnAPC所指向的函数，而IntCallUserApc()起着类似于“门户”的作用。

现在我们可以往下看系统调用NtQueueApcThread()的实现了。

CODE:
NTSTATUS
STDCALL
NtQueueApcThread(HANDLE ThreadHandle, PKNORMAL_ROUTINE ApcRoutine,
PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2)
{
PKAPC Apc;
PETHREAD Thread;
KPROCESSOR_MODE PreviousMode = ExGetPreviousMode();
NTSTATUS Status;

/* Get ETHREAD from Handle */ Status = ObReferenceObjectByHandle(ThreadHandle, THREAD_SET_CONTEXT,
PsThreadType, PreviousMode, (PVOID)&Thread, NULL);
. . . . . .
/* Allocate an APC */ Apc = ExAllocatePoolWithTag(NonPagedPool, sizeof(KAPC), TAG('P', 's', 'a', 'p'));
. . . . . .
/* Initialize and Queue a user mode apc (always!) */ KeInitializeApc(Apc, &Thread->Tcb, OriginalApcEnvironment,
KiFreeApcRoutine, NULL, ApcRoutine, UserMode, NormalContext);

if (!KeInsertQueueApc(Apc, SystemArgument1, SystemArgument2,
IO_NO_INCREMENT))
{
Status = STATUS_UNSUCCESSFUL;

} else {
Status = STATUS_SUCCESS;
}

/* Dereference Thread and Return */ ObDereferenceObject(Thread);
return Status;
}

先看调用参数。第一个参数是代表着某个已打开线程的Handle，这说明所要求的APC函数的执行者、即目标线程、可以是另一个线程，而不必是请求者线程本身。第二个参数不言自明。第三个参数NormalContext，以及后面的两个参数，则是准备传递给APC函数的参数，至于怎样解释和使用这几个参数是 APC函数的事。看一下前面QueueUserAPC()的代码，就可以知道这里的APC函数是IntCallUserApc()，而准备传给它的参数分别为pfnAPC、dwData、和NULL，前者是真正的目标APC函数指针，后两者是要传给它的参数。
根据Handle找到目标线程的ETHREAD数据结构以后，就为APC函数分配一个KAPC数据结构，并通过KeInitializeApc()加以初始化。

CODE:
[NtQueueApcThread() > KeInitializeApc()]

VOID
STDCALL
KeInitializeApc(IN PKAPC Apc,
IN PKTHREAD Thread,
IN KAPC_ENVIRONMENT TargetEnvironment,
IN PKKERNEL_ROUTINE KernelRoutine,
IN PKRUNDOWN_ROUTINE RundownRoutine OPTIONAL,
IN PKNORMAL_ROUTINE NormalRoutine,
IN KPROCESSOR_MODE Mode,
IN PVOID Context)
{
. . . . . .

/* Set up the basic APC Structure Data */ RtlZeroMemory(Apc, sizeof(KAPC));
Apc->Type = ApcObject;
Apc->Size = sizeof(KAPC);

/* Set the Environment */ if (TargetEnvironment == CurrentApcEnvironment) {

Apc->ApcStateIndex = Thread->ApcStateIndex;

} else {

Apc->ApcStateIndex = TargetEnvironment;
}

/* Set the Thread and Routines */ Apc->Thread = Thread;
Apc->KernelRoutine = KernelRoutine;
Apc->RundownRoutine = RundownRoutine;
Apc->NormalRoutine = NormalRoutine;

/* Check if this is a Special APC, in which case we use KernelMode and no Context */ if (ARGUMENT_PRESENT(NormalRoutine)) {

Apc->ApcMode = Mode;
Apc->NormalContext = Context;

} else {

Apc->ApcMode = KernelMode;
}
}

这段代码本身很简单，但是有几个问题需要结合前面NtQueueApcThread()的代码再作些说明。
首先，从NtQueueApcThread()传下来的KernelRoutine是KiFreeApcRoutine()，顾名思义这是在为将来释放PKAPC数据结构做好准备，而RundownRoutine是NULL。
其次，参数TargetEnvironment说明要求挂入哪一种环境下的APC队列。实际传下来的值是OriginalApcEnvironment，表示是针对原始环境、即当前线程所属(而不是所挂靠)进程的。注意代码中所设置的是Apc->ApcStateIndex、即PKAPC数据结构中的ApcStateIndex字段，而不是KTHREAD结构中的ApcStateIndex字段。另一方面，ApcStateIndex的值只能是 OriginalApcEnvironment或AttachedApcEnvironment，如果所要求的是 CurrentApcEnvironment就要从Thread->ApcStateIndex获取当前的环境值。
最后，APC请求的模式Mode是UserMode。但是有个例外，那就是：如果指针NormalRoutine为0，那么实际的模式变成了 KernelMode。这是因为在这种情况下没有用户空间APC函数可以执行，唯一将得到执行的是KernelRoutine，在这里是 KiFreeApcRoutine()。这里的宏操作ARGUMENT_PRESENT定义为：

CODE:
#define ARGUMENT_PRESENT(ArgumentPointer) \
((BOOLEAN) ((PVOID)ArgumentPointer != (PVOID)NULL))

回到NtQueueApcThread()代码中，下一步就是根据Apc->ApcStateIndex、Apc->Thread、和Apc- >ApcMode把准备好的KAPC结构挂入相应的队列。根据APC请求的具体情况，有时候要插在队列的前头，一般则挂在队列的尾部。限于篇幅，我们在这里就不看KeInsertQueueApc()的代码了；虽然这段代码中有一些特殊的处理，但都不是我们此刻所特别关心的。
如果跟Linux的Signal机制作一类比，那么NtQueueApcThread()相当于设置Signal处理函数(或中断服务程序)。在 Linux里面，Signal处理函数的执行需要受到某种触发，例如收到了别的线程或某个内核成分发来的信号；而执行Signal处理函数的时机则是在 CPU从内核返回目标线程的用户空间程序的前夕。可是Windows的APC机制与此有所不同，一般来说，只要把APC请求挂入了队列，就不再需要触发，而只是等待执行的时机。对于用户APC请求，这时机同样也是在CPU从内核返回目标线程用户空间程序的前夕(对于内核APC则有所不同)。所以，在某种意义上，把一个APC请求挂入队列，就同时意味着受到了触发。对于系统调用NtQueueApcThread()，我们可以理解为是把APC函数的设置与触发合在了一起。而对于异步的文件读写，则APC函数的设置与触发是分开的，内核先把APC函数记录在别的数据结构中，等实际的文件读写完成以后才把APC 请求挂入队列，此时实际上只是触发其运行。不过那已是属于设备驱动框架的事了。所以，一旦把APC请求挂入队列，就只是等待执行时机的问题了。从这个意义上说，“异步过程调用”还真不失为贴切的称呼。

下面就来看执行APC的时机，那是在(系统调用、中断、或异常处理之后)从内核返回用户空间的途中。

CODE:
_KiServiceExit:

/* Get the Current Thread */ cli
movl %fs:KPCR_CURRENT_THREAD, %esi

/* Deliver APCs only if we were called from user mode */ testb $1, KTRAP_FRAME_CS(%esp)
je KiRosTrapReturn

/* And only if any are actually pending */ cmpb $0, KTHREAD_PENDING_USER_APC(%esi)
je KiRosTrapReturn

/* Save pointer to Trap Frame */ movl %esp, %ebx

/* Raise IRQL to APC_LEVEL */ movl $1, %ecx
call @KfRaiseIrql@4

/* Save old IRQL */ pushl %eax

/* Deliver APCs */ sti
pushl %ebx
pushl $0
pushl $UserMode
call _KiDeliverApc@12
cli

/* Return to old IRQL */ popl %ecx
call @KfLowerIrql@4
. . . . . .

这是内核中处理系统调用返回和中断/异常返回的代码。在返回前夕，这里先通过%fs:KPCR_CURRENT_THREAD取得指向当前线程的ETHREAD(从而KTHREAD)的指针，然后依次检查：
● 即将返回的是否用户空间。
● 是否有用户APC请求正在等待执行(KTHREAD_PENDING_USER_APC是 ApcState.KernelApcPending在KTHREAD数据结构中的位移)。
要是通过了这两项检查，执行针对当前线程的APC请求的时机就到了，于是就调用KiDeliverApc()去“投递”APC函数，这跟Linux中对 Signal的处理又是十分相似的。注意在调用这个函数的前后还分别调用了KfRaiseIrql()和KfLowerIrql()，这是为了在执行 KiDeliverApc()期间让内核的“中断请求级别”处于APC_LEVEL，执行完以后再予恢复。我们现在暂时不关心“中断请求级别”，以后会回到这个问题上。
前面讲过，KTHREAD中有两个KAPC_STATE数据结构，一个是ApcState，另一个是SavedApcState，二者都有APC队列，但是要投递的只是ApcState中的队列。
注意在call指令前面压入堆栈的三个参数，特别是首先压入堆栈的%ebx，它指向(系统空间)堆栈上的“中断现场”、或称“框架”，即CPU进入本次中断或系统调用时各寄存器的值，这就是下面KiDeliverApc()的调用参数TrapFrame。
下面我们看KiDeliverApc()的代码。

CODE:
[KiDeliverApc()]

VOID
STDCALL
KiDeliverApc(KPROCESSOR_MODE DeliveryMode,
PVOID Reserved,
PKTRAP_FRAME TrapFrame)
{
PKTHREAD Thread = KeGetCurrentThread();
. . . . . .

ASSERT_IRQL_EQUAL(APC_LEVEL);

/* Lock the APC Queue and Raise IRQL to Synch */ KeAcquireSpinLock(&Thread->ApcQueueLock, &OldIrql);

/* Clear APC Pending */ Thread->ApcState.KernelApcPending = FALSE;

/* Do the Kernel APCs first */ while (!IsListEmpty(&Thread->ApcState.ApcListHead[KernelMode])) {
/* Get the next Entry */ ApcListEntry = Thread->ApcState.ApcListHead[KernelMode].Flink;
Apc = CONTAINING_RECORD(ApcListEntry, KAPC, ApcListEntry);

/* Save Parameters so that it's safe to free the Object in Kernel Routine*/ NormalRoutine = Apc->NormalRoutine;
KernelRoutine = Apc->KernelRoutine;
NormalContext = Apc->NormalContext;
SystemArgument1 = Apc->SystemArgument1;
SystemArgument2 = Apc->SystemArgument2;

/* Special APC */ if (NormalRoutine == NULL) {
/* Remove the APC from the list */ Apc->Inserted = FALSE;
RemoveEntryList(ApcListEntry);

/* Go back to APC_LEVEL */ KeReleaseSpinLock(&Thread->ApcQueueLock, OldIrql);

/* Call the Special APC */ DPRINT("Delivering a Special APC: %x\n", Apc);
KernelRoutine(Apc, &NormalRoutine, &NormalContext,
&SystemArgument1, &SystemArgument2);

/* Raise IRQL and Lock again */ KeAcquireSpinLock(&Thread->ApcQueueLock, &OldIrql);

} else {

/* Normal Kernel APC */ if (Thread->ApcState.KernelApcInProgress || Thread->KernelApcDisable)
{
/*
* DeliveryMode must be KernelMode in this case, since one may not
* return to umode while being inside a critical section or while
* a regular kmode apc is running (the latter should be impossible btw).
* -Gunnar
*/ ASSERT(DeliveryMode == KernelMode);

KeReleaseSpinLock(&Thread->ApcQueueLock, OldIrql);
return;
}

/* Dequeue the APC */ RemoveEntryList(ApcListEntry);
Apc->Inserted = FALSE;

/* Go back to APC_LEVEL */ KeReleaseSpinLock(&Thread->ApcQueueLock, OldIrql);

/* Call the Kernel APC */ DPRINT("Delivering a Normal APC: %x\n", Apc);
KernelRoutine(Apc,
&NormalRoutine,
&NormalContext,
&SystemArgument1,
&SystemArgument2);

/* If There still is a Normal Routine, then we need to call this at PASSIVE_LEVEL */ if (NormalRoutine != NULL) {

/* At Passive Level, this APC can be prempted by a Special APC */ Thread->ApcState.KernelApcInProgress = TRUE;
KeLowerIrql(PASSIVE_LEVEL);

/* Call and Raise IRQ back to APC_LEVEL */ DPRINT("Calling the Normal Routine for a Normal APC: %x\n", Apc);
NormalRoutine(&NormalContext, &SystemArgument1, &SystemArgument2);
KeRaiseIrql(APC_LEVEL, &OldIrql);
}

/* Raise IRQL and Lock again */ KeAcquireSpinLock(&Thread->ApcQueueLock, &OldIrql);
Thread->ApcState.KernelApcInProgress = FALSE;
}
} //end while

参数DeliveryMode表示需要“投递”哪一种APC，可以是UserMode，也可以是KernelMode。不过，KernelMode确实表示只要求执行内核APC，而UserMode却表示在执行内核APC之外再执行用户APC。这里所谓“执行内核APC”是执行内核APC队列中的所有请求，而“执行用户APC”却只是执行用户APC队列中的一项。
所以首先检查内核模式APC队列，只要非空就通过一个while循环处理其所有的APC请求。队列中的每一项(如果队列非空的话)、即每一个APC请求都是KAPC结构，结构中有三个函数指针，但是这里只涉及其中的两个。一个是NormalRoutine，若为非0就是指向一个实质性的内核APC函数。另一个是KernelRoutine，指向一个辅助性的内核APC函数，这个指针不会是0，否则这个KAPC结构就不会在队列中了(注意 KernelRoutine与内核模式NormalRoutine的区别)。NormalRoutine为0是一种特殊的情况，在这种情况下 KernelRoutine所指的内核函数无条件地得到调用。但是，如果NormalRoutine非0，那么首先得到调用的是 KernelRoutine，而指针NormalRoutine的地址是作为参数传下去的。KernelRoutine的执行有可能改变这个指针的值。这样，如果执行KernelRoutine以后NormalRoutine仍为非0，那就说明需要加以执行，所以通过这个函数指针予以调用。不过，内核 APC函数的执行是在PASSIVE_LEVEL级别上执行的，所以对NormalRoutine的调用前有KeLowerIrql()、后有 KeRaiseIrql()，前者将CPU的运行级别调整为PASSIVE_LEVEL，后者则将其恢复为APC_LEVEL。
执行完内核APC队列中的所有请求以后，如果调用参数DeliveryMode为UserMode的话，就轮到用户APC了。我们继续往下看：

CODE:
[KiDeliverApc()]

/* Now we do the User APCs */ if ((!IsListEmpty(&Thread->ApcState.ApcListHead[UserMode])) &
(DeliveryMode == UserMode) && (Thread->ApcState.UserApcPending == TRUE)) {

/* It's not pending anymore */ Thread->ApcState.UserApcPending = FALSE;

/* Get the APC Object */ ApcListEntry = Thread->ApcState.ApcListHead[UserMode].Flink;
Apc = CONTAINING_RECORD(ApcListEntry, KAPC, ApcListEntry);

/* Save Parameters so that it's safe to free the Object in Kernel Routine*/ NormalRoutine = Apc->NormalRoutine;
KernelRoutine = Apc->KernelRoutine;
NormalContext = Apc->NormalContext;
SystemArgument1 = Apc->SystemArgument1;
SystemArgument2 = Apc->SystemArgument2;

/* Remove the APC from Queue, restore IRQL and call the APC */ RemoveEntryList(ApcListEntry);
Apc->Inserted = FALSE;

KeReleaseSpinLock(&Thread->ApcQueueLock, OldIrql);
DPRINT("Calling the Kernel Routine for for a User APC: %x\n", Apc);
KernelRoutine(Apc,
&NormalRoutine,
&NormalContext,
&SystemArgument1,
&SystemArgument2);

if (NormalRoutine == NULL) {
/* Check if more User APCs are Pending */ KeTestAlertThread(UserMode);
}else {
/* Set up the Trap Frame and prepare for Execution in NTDLL.DLL */ DPRINT("Delivering a User APC: %x\n", Apc);
KiInitializeUserApc(Reserved,
TrapFrame,
NormalRoutine,
NormalContext,
SystemArgument1,
SystemArgument2);
}

} else {

/* Go back to APC_LEVEL */ KeReleaseSpinLock(&Thread->ApcQueueLock, OldIrql);
}
}

当然，执行用户APC是有条件的。首先自然是用户APC队列非空，同时调用参数DeliveryMode必须是UserMode；并且ApcState中的UserApcPending为TRUE，表示队列中的请求确实是要求尽快加以执行的。
读者也许已经注意到，比之内核APC队列，对用户APC队列的处理有个显著的不同，那就是对用户APC队列并不是通过一个while循环处理队列中的所有请求，而是每次进入KiDeliverApc()只处理用户APC队列中的第一个请求。同样，这里也是只涉及两个函数指针，即NormalRoutine 和KernelRoutine，也是先执行KernelRoutine，并且KernelRoutine可以对指针NormalRoutine作出修正。但是再往下就不同了。
首先，如果执行完KernelRoutine(所指的函数)以后指针NormalRoutine为0，这里要执行KeTestAlertThread ()。这又是跟设备驱动有关的事(Windows术语中的Alert相当于Linux术语中的“唤醒”)，我们在这里暂不关心。
反之，如果指针NormalRoutine仍为非0，那么这里执行的是KiInitializeUserApc()，而不是直接调用 NormalRoutine所指的函数，因为NormalRoutine所指的函数是在用户空间，要等CPU回到用户空间才能执行，这里只是为其作好安排和准备。

CODE:
[KiDeliverApc() > KiInitializeUserApc()]

VOID
STDCALL
KiInitializeUserApc(IN PVOID Reserved,
IN PKTRAP_FRAME TrapFrame,
IN PKNORMAL_ROUTINE NormalRoutine,
IN PVOID NormalContext,
IN PVOID SystemArgument1,
IN PVOID SystemArgument2)
{
PCONTEXT Context;
PULONG Esp;

. . . . . .
/*
* Save the thread's current context (in other words the registers
* that will be restored when it returns to user mode) so the
* APC dispatcher can restore them later
*/ Context = (PCONTEXT)(((PUCHAR)TrapFrame->Esp) - sizeof(CONTEXT));
RtlZeroMemory(Context, sizeof(CONTEXT));
Context->ContextFlags = CONTEXT_FULL;
Context->SegGs = TrapFrame->Gs;
Context->SegFs = TrapFrame->Fs;
Context->SegEs = TrapFrame->Es;
Context->SegDs = TrapFrame->Ds;
Context->Edi = TrapFrame->Edi;
Context->Esi = TrapFrame->Esi;
Context->Ebx = TrapFrame->Ebx;
Context->Edx = TrapFrame->Edx;
Context->Ecx = TrapFrame->Ecx;
Context->Eax = TrapFrame->Eax;
Context->Ebp = TrapFrame->Ebp;
Context->Eip = TrapFrame->Eip;
Context->SegCs = TrapFrame->Cs;
Context->EFlags = TrapFrame->Eflags;
Context->Esp = TrapFrame->Esp;
Context->SegSs = TrapFrame->Ss;

/*
* Setup the trap frame so the thread will start executing at the
* APC Dispatcher when it returns to user-mode
*/ Esp = (PULONG)(((PUCHAR)TrapFrame->Esp) -
(sizeof(CONTEXT) + (6 * sizeof(ULONG))));
Esp[0] = 0xdeadbeef;
Esp[1] = (ULONG)NormalRoutine;
Esp[2] = (ULONG)NormalContext;
Esp[3] = (ULONG)SystemArgument1;
Esp[4] = (ULONG)SystemArgument2;
Esp[5] = (ULONG)Context;
TrapFrame->Eip = (ULONG)LdrpGetSystemDllApcDispatcher();
TrapFrame->Esp = (ULONG)Esp;
}

这个函数的名字取得不好，很容易让人把它跟前面的KeInitializeApc()相连系，实际上却完全是两码事。参数TrapFrame是由 KiDeliverApc()传下来的一个指针，指向用户空间堆栈上的“中断现场”。这里要做的事情就是在原有现场的基础上“注水”，伪造出一个新的现场，使得CPU返回用户空间时误认为中断(或系统调用)发生于进入APC函数的前夕，从而转向APC函数。
怎么伪造呢？首先使用户空间的堆栈指针Esp下移一个CONTEXT数据结构的大小，外加6个32位整数的位置(注意堆栈是由上向下伸展的)。换言之就是在用户空间堆栈上扩充出一个CONTEXT数据结构和6个32位整数。注意，TrapFrame是在系统空间堆栈上，而TrapFrame-> Esp的值是用户空间的堆栈指针，所指向的是用户空间堆栈。所以这里扩充的是用户空间堆栈。这样，原先的用户堆栈下方是CONTEXT数据结构 Context，再往下就是那6个32位整数。然后把TrapFrame的内容保存在这个CONTEXT数据结构中，并设置好6个32位整数，那是要作为调用参数传递的。接着就把保存在TrapFrame中的Eip映像改成指向用户空间的一个特殊函数，具体的地址通过 LdrpGetSystemDllApcDispatcher()获取。这样，当CPU返回到用户空间时，就会从这个特殊函数“继续”执行。当然，也要调整TrapFrame中的用户空间堆栈指针Esp。
LdrpGetSystemDllApcDispatcher()只是返回一个(内核)全局量SystemDllApcDispatcher的值，这个值是个函数指针，指向ntdll.dll中的一个函数，是在映射ntdll.dll映像时设置好的。

CODE:
PVOID LdrpGetSystemDllApcDispatcher(VOID)
{
return(SystemDllApcDispatcher);
}

与全局变量SystemDllApcDispatcher相似的函数指针有：
● SystemDllEntryPoint，指向LdrInitializeThunk()。
● SystemDllApcDispatcher，指向KiUserApcDispatcher()。
● SystemDllExceptionDispatcher，指向KiUserExceptionDispatcher()。
● SystemDllCallbackDispatcher，指向KiUserCallbackDispatcher()。
● SystemDllRaiseExceptionDispatche r，指向KiRaiseUserExceptionDispatcher()。
这些指针都是在LdrpMapSystemDll()中得到设置的。给定一个函数名的字符串，就可以通过一个函数LdrGetProcedureAddress()从(已经映射的)DLL映像中获取这个函数的地址(如果这个函数被引出的话)。
于是，CPU从KiDeliverApc()回到_KiServiceExit以后会继续完成其返回用户空间的行程，只是一到用户空间就栽进了圈套，那就是KiUserApcDispatcher()，而不是回到原先的断点上。关于原先断点的现场信息保存在用户空间堆栈上、并形成一个CONTEXT数据结构，但是“深埋”在6个32位整数的后面。而这6个32位整数的作用则为：
● Esp[0]的值为0xdeadbeef，用来模拟KiUserApcDispatcher()的返回地址。当然，这个地址是无效的，所以KiUserApcDispatcher()实际上是不会返回的。
● Esp[1]的值为NormalRoutine，在我们这个情景中指向“门户”函数IntCallUserApc()。
● Esp[2]的值为NormalContext，在我们这个情景中是指向实际APC函数的指针。
● 余类推。其中Esp[5]指向(用户)堆栈上的CONTEXT数据结构。
总之，用户堆栈上的这6个32位整数模拟了一次CPU在进入KiUserApcDispatcher()还没有来得及执行其第一条指令之前就发生了中断的假象，使得CPU在结束了KiDeliverApc()的执行、回到_KiServiceExit中继续前行、并最终回到用户空间时就进入 KiUserApcDispatcher()执行其第一条指令。
另一方面，对于该线程原来的上下文而言，则又好像是刚回到用户空间就发生了中断，而KiUserApcDispatcher()则相当于中断相应程序。

CODE:
VOID STDCALL
KiUserApcDispatcher(PIO_APC_ROUTINE ApcRoutine, PVOID ApcContext,
PIO_STATUS_BLOCK Iosb, ULONG Reserved, PCONTEXT Context)
{
/* Call the APC */ ApcRoutine(ApcContext, Iosb, Reserved);
/* Switch back to the interrupted context */ NtContinue(Context, 1);
}

这里的第一个参数ApcRoutine指向IntCallUserApc()，第二个参数ApcContext指向真正的(目标)APC函数。

CODE:
[KiUserApcDispatcher() > IntCallUserApc()]

static void CALLBACK
IntCallUserApc(PVOID Function, PVOID dwData, PVOID Argument3)
{
PAPCFUNC pfnAPC = (PAPCFUNC)Function;
pfnAPC((ULONG_PTR)dwData);
}

可见，IntCallUserApc()其实并无必要，在KiUserApcDispatcher()中直接调用目标APC函数也无不可，这样做只是为将来可能的修改扩充提供一些方便和灵活性。从IntCallUserApc()回到KiUserApcDispatcher()，下面紧接着是系统调用 NtContinue()。

KiUserApcDispatcher()是不返回的。它之所以不返回，是因为对NtContinue()的调用不返回。正如代码中的注释所述， NtContinue()的作用是切换回被中断了的上下文，不过其实还不止于此，下面读者就会看到它还起着循环执行整个用户APC请求队列的作用。

CODE:
[KiUserApcDispatcher() > NtContinue()]

NTSTATUS STDCALL
NtContinue (IN PCONTEXT Context, IN BOOLEAN TestAlert)
{
PKTHREAD Thread = KeGetCurrentThread();
PKTRAP_FRAME TrapFrame = Thread->TrapFrame;
PKTRAP_FRAME PrevTrapFrame = (PKTRAP_FRAME)TrapFrame->Edx;
PFX_SAVE_AREA FxSaveArea;
KIRQL oldIrql;

DPRINT("NtContinue: Context: Eip=0x%x, Esp=0x%x\n", Context->Eip, Context->Esp );
PULONG Frame = 0;
__asm__("mov %%ebp, %%ebx" : "=b" (Frame) : );
. . . . . .

/*
* Copy the supplied context over the register information that was saved
* on entry to kernel mode, it will then be restored on exit
* FIXME: Validate the context
*/ KeContextToTrapFrame ( Context, TrapFrame );

/* Put the floating point context into the thread's FX_SAVE_AREA
* and make sure it is reloaded when needed.
*/ FxSaveArea = (PFX_SAVE_AREA)((ULONG_PTR)Thread->InitialStack –
sizeof(FX_SAVE_AREA));
if (KiContextToFxSaveArea(FxSaveArea, Context))
{
Thread->NpxState = NPX_STATE_VALID;
KeRaiseIrql(DISPATCH_LEVEL, &oldIrql);
if (KeGetCurrentPrcb()->NpxThread == Thread)
{
KeGetCurrentPrcb()->NpxThread = NULL;
Ke386SetCr0(Ke386GetCr0() | X86_CR0_TS);
}
else
{
ASSERT((Ke386GetCr0() & X86_CR0_TS) == X86_CR0_TS);
}
KeLowerIrql(oldIrql);
}

/* Restore the user context */ Thread->TrapFrame = PrevTrapFrame;
__asm__("mov %%ebx, %%esp;\n" "jmp _KiServiceExit": : "b" (TrapFrame));

return STATUS_SUCCESS; /* this doesn't actually happen */ }

注意从KiUserApcDispatcher()到NtContinue()并不是普通的函数调用，而是系统调用，这中间经历了空间的切换，也从用户空间堆栈切换到了系统空间堆栈。CPU进入系统调用空间后，在_KiSystemServicex下面的代码中把指向中断现场的框架指针保存在当前线程的 KTHREAD数据结构的TrapFrame字段中。这样，很容易就可以找到系统空间堆栈上的调用框架。当然，现在的框架是因为系统调用而产生的框架；而要想回到当初、即在执行用户空间APC函数之前的断点，就得先恢复当初的框架。那么当初的框架在哪里呢？它保存在用户空间的堆栈上，就是前面 KiInitializeUserApc()保存的CONTEXT数据结构中。所以，这里通过KeContextToTrapFrame()把当初保存的信息拷贝回来，从而恢复了当初的框架。
下面的KiContextToFxSaveArea()等语句与浮点处理器有关，我们在这里并不关心。
最后，汇编指令“jmp _KiServiceExit”使CPU跳转到了返回用户空间途中的_KiServiceExit处(见前面的代码)。在这里，CPU又会检查APC请求队列中是否有APC请求等着要执行，如果有的话又会进入KiDeliverApc()。前面讲过，每次进入KiDeliverApc()只会执行一个用户 APC请求，所以如果用户APC队列的长度大于1的话就得循环着多次走过上述的路线，即：
1. 从系统调用、中断、或异常返回途径_KiServiceExit，如果APC队列中有等待执行的APC请求，就调用KiDeliverApc()。
2. KiDeliverApc()，从用户APC队列中摘下一个APC请求。
3. 在KiInitializeUserApc()中保存当前框架，并伪造新的框架。
4. 回到用户空间。
5. 在KiUserApcDispatcher()中调用目标APC函数。
6. 通过系统调用NtContinue()进入系统空间。
7. 在NtContinue()中恢复当初保存的框架。
8. 从NtContinue()返回、途径_KiServiceExit时，如果APC队列中还有等待执行的APC请求，就调用KiDeliverApc()。于是转回上面的第二步。
这个过程一直要循环到APC队列中不再有需要执行的请求。注意这里每一次循环中保存和恢复的都是同一个框架，就是原始的、开始处理APC队列之前的那个框架，代表着原始的用户空间程序断点。一旦APC队列中不再有等待执行的APC请求，在_KiServiceExit下面就不再调用 KiDeliverApc()，于是就直接返回用户空间，这次是返回到原始的程序断点了。所以，系统调用neContinue()的作用不仅仅是切换回到被中断了的上下文，还包括执行用户APC队列中的下一个APC请求。
对于KiUserApcDispatcher()而言，它对NtContinue()的调用是不返回的。因为在NtContinue()中CPU不是“返回”到对于KiUserApcDispatcher()的另一次调用、从而对另一个APC函数的调用；就是返回到原始的用户空间程序断点，这个断点既可能是因为中断或异常而形成的，也可能是因为系统调用而形成的。

理解了常规的APC请求和执行机制，我们不妨再看看启动执行PE目标映像时函数的动态连接。以前讲过，PE格式EXE映像与(除ntdll.dll外的) DLL的动态连接、包括这些DLL的装入，是由ntdll.dll中的一个函数LdrInitializeThunk()作为APC函数执行而完成的，所以这也是对APC机制的一种变通使用。
要启动一个EXE映像运行时，首先要创建进程，再把目标EXE映像和ntdll.dll的映像都映射到新进程的用户空间，然后通过系统调用 NtCreateThread()创建这个进程的第一个线程、或称“主线程”。而LdrInitializeThunk()作为APC函数的执行，就是在 NtCreateThread()中安排好的。

CODE:
NtCreateThread(OUT PHANDLE ThreadHandle, IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
IN HANDLE ProcessHandle, OUT PCLIENT_ID ClientId,
IN PCONTEXT ThreadContext, IN PINITIAL_TEB InitialTeb,
IN BOOLEAN CreateSuspended)
{
HANDLE hThread;

. . . . . .
. . . . . .
/*
* Queue an APC to the thread that will execute the ntdll startup
* routine.
*/ LdrInitApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
KeInitializeApc(LdrInitApc, &Thread->Tcb, OriginalApcEnvironment,
LdrInitApcKernelRoutine,
LdrInitApcRundownRoutine,
LdrpGetSystemDllEntryPoint(), UserMode, NULL);
KeInsertQueueApc(LdrInitApc, NULL, NULL, IO_NO_INCREMENT);

/*
* The thread is non-alertable, so the APC we added did not set UserApcPending to TRUE.
* We must do this manually. Do NOT attempt to set the Thread to Alertable before the call,
* doing so is a blatant and erronous hack.
*/ Thread->Tcb.ApcState.UserApcPending = TRUE;
Thread->Tcb.Alerted[KernelMode] = TRUE;
. . . . . .
. . . . . .
}

NeCreateThread ()要做的事当然很多，但是其中很重要的一项就是安排好APC函数的执行。这里的KeInitializeApc()和KeInsertQueueApc 读者都已经熟悉了，所以我们只关心调用参数中的三个函数指针，特别是其中的KernelRoutine和NormalRoutine。前者十分简单：

CODE:
VOID STDCALL
LdrInitApcKernelRoutine(PKAPC Apc, PKNORMAL_ROUTINE* NormalRoutine,
PVOID* NormalContext, PVOID* SystemArgument1, PVOID* SystemArgument2)
{
ExFreePool(Apc);
}

而NormalRoutine，这里是通过LdrpGetSystemDllEntryPoint()获取的，它只是返回全局量SystemDllEntryPoint的值：

CODE:
PVOID LdrpGetSystemDllEntryPoint(VOID)
{
return(SystemDllEntryPoint);
}

前面已经讲到，全局量SystemDllEntryPoint是在LdrpMapSystemDll()时得到设置的，指向已经映射到用户空间的 ntdll.dll映像中的LdrInitializeThunk()。注意这APC请求是挂在新线程的队列中，而不是当前进程的队列中。事实上，新线程和当前进程处于不同的进程，因而不在同一个用户空间中。还要注意，这里的NormalRoutine直接就是LdrInitializeThunk()，而不像前面通过QueueUserAPC()发出的APC请求那样中间还有一层IntCallUserApc()。至于 KiUserApcDispatcher()，那是由KeInitializeApc()强制加上的，正是这个函数保证了对NtContinue()的调用。
此后的流程本来无需细说了，但是由于情景的特殊性还是需要加一些简要的说明。由NtCreateProcess()创建的进程并非一个可以调度运行的实体，而NtCreateThread()创建的线程却是。所以，在NtCreateProcess()返回的前夕，系统中已经多了一个线程。这个新增线程的“框架”是伪造的，目的在于让这个线程一开始在用户空间运行就进入预定的程序入口。从NtCreateProcess()返回是回到当前线程、而不是新增线程，而刚才的APC请求是挂在新增线程的队列中，所以在从NtCreateThread()返回的途中不会去执行这个APC请求。可是，当新增线程受调度运行时，首先就是按伪造的框架和堆栈模拟一个从系统调用返回的过程，所以也要途径_KiServiceExit。这时候，这个APC请求就要得到执行了(由KiUserApcDispatcher()调用LdrInitializeThunk())。然后，在用户空间执行完APC函数 LdrInitializeThunk()以后，同样也是通过NtContinue()回到内核中，然后又按原先的伪造框架“返回”到用户空间，这才真正开始了新线程在用户空间的执行。

最后，我们不妨比较一下APC机制和Unix/Linux的Signal机制。
Unix/Linux的Signal机制基本上是对硬件中断机制的软件模拟，具体表现在以下几个方面：
1） 现代的硬件中断机制一般都是“向量中断”机制，而Signal机制中的Signal序号(例如SIG_KILL)就是对中断向量序号的模拟。
2）作为操作系统对硬件中断机制的支持，一般都会提供“设置中断向量”一类的内核函数，使特定序号的中断向量指向某个中断服务程序。而系统调用signal ()就相当于是这一类的函数。只不过前者在内核中、一般只是供其它内核函数调用，而后者是系统调用、供用户空间的程序调用。
3）在硬件中断机制中，“中断向量”的设置只是为某类异步事件、及中断的发生做好了准备，但是并不意味着某个特定时间的发生。如果一直没有中断请求，那么所设置的中断向量就一直得不到执行，而中断的发生只是触发了中断服务程序的执行。在Signal机制中，向某个进程发出“信号”、即Signal、就相当于中断请求。
相比之下，APC机制就不能说是对于硬件中断机制的模拟了。首先，通过NtQueueApcThread()设置一个APC函数跟通过signal()设置一个“中断向量”有所不同。将一个APC函数挂入APC队列中时，对于这个函数的得到执行、以及大约在什么时候得到执行，实际上是预知的，只是这得到执行的条件要过一回儿才会成熟。而“中断”则不同，中断向量的设置只是说如果发生某种中断则如何如何，但是对于其究竟是否会发生、何时发生则常常是无法预测的。所以，从这个意义上说，APC函数只是一种推迟执行、异步执行的函数调用，因此称之为“异步过程调用”确实更为贴切。
还有，signal机制的signal()所设置的“中断服务程序”都是用户空间的程序，而APC机制中挂入APC队列的函数却可以是内核函数。
但是，尽管如此，它们的(某些方面的)实质还是一样的。“中断”本来就是一种异步执行的机制。再说，(用户)APC与Signal的执行流程几乎完全一样，都是在从内核返回用户空间的前夕检查是否有这样的函数需要加以执行，如果是就临时修改堆栈，偏离原来的执行路线，使得返回用户空间后进入APC函数，并且在执行完了这个函数以后仍进入内核，然后恢复原来的堆栈，再次返回用户空间原来的断点。这样，对于原来的流程而言，就相当于受到了中断。

Preinstalling Driver Packages

To preinstall driver files, your device installation application should follow these steps:

1. On the target system, create a directory for the driver files. If your device installation application installs an application, the driver files should be stored in a subdirectory of the application directory.

2. Copy all files in the driver package from the distribution media to the directory created in step (1). The driver package includes the driver or drivers, the INF file, the catalog file, and other installation files.

3. Call  SetupCopyOEMInf specifying the INF file in the directory created in step (1). Specify SPOST_PATH for the OEMSourceMediaType parameter and specify NULL for the OEMSourceMediaLocation parameter. SetupCopyOEMInf copies the INF file for the driver package into the %windir%\Inf directory on the target system and directs Windows to store the source location of the INF file in its list of preprocessed INF files. SetupCopyOEMInf also processes the catalog file, so the PnP manager will install the driver the next time it recognizes a device listed in the INF file.

When the user plugs in the device, the PnP manager recognizes the device, finds the INF file copied by SetupCopyOEMInf, and installs the drivers copied in step (2). (For more information about copying INF files, see Copying INFs.)

安装时直接把inf文件拷windows\inf下，卸载时删除，防止被命名成oem*.inf，在某种情况下发生重复预注册，同时也便于卸载时删除inf文件

 未完待续。。。

regini 权限代码表

 1  - Administrators 完全访问
 2  - Administrators 读取访问
 3  - Administrators 读取、写入访问
 4  - Administrators 读取、写入、删除访问

 5  - Creator 完全访问
 6  - Creator 读取、写入访问

 7  - everyone 完全访问
 8  - everyone 读取访问
 9  - everyone 读取、写入访问
 10 - everyone 读取、写入、删除访问

 11 - Power Users 完全访问
 12 - Power Users 读取、写入访问
 13 - Power Users 读取、写入、删除访问

 14 - System Operators 完全访问
 15 - System Operators 读取、写入访问
 16 - System Operators 读取、写入、删除访问

 17 - System 完全访问
 18 - System 读取、写入访问
 19 - System 读取访问

 20 - Administrators 读取、写入、执行访问

 21 - Interactive User 完全访问
 22 - Interactive User 读取、写入访问
 23 - Interactive User 读取、写入、删除访问

IRP是从文件系统->卷驱动 -> 磁盘驱动-> 类驱动-> 端口驱动-> 微端口驱动
ntfs/fat32.sys->partmgr.sys->ftdisk.sys->disk.sys->classpnp.sys->acpi.sys->atapi.sys
　　其中不少是value-added和filter驱动，主要的是文件系统驱动ntfs/fat32.sys，storage驱动disk.sys和总线驱动atapi.sys，我们知道，文件系统驱动做的工作就是把下层读扇区得到的RAW数据转换成文件，向上提供，磁盘驱动这层就是把上层请求的读扇区的IRP换成带SCSI命令的IRP发给下层的miniport ATAPI.sys，ATAPI.sys调用hal中的write_port_char最后来直接端口I/O了。还原程序是在哪一层呢？是在disk.sys之上插了一个filter，如果直接绕过上层的驱动直接发带SRB的IRP给Disk.sys或是ATAPI.sys,那么就实现了穿透。另外，当然还有别的方法，譬如端口I/O，但是通用性不好，与硬盘具体的接口有关(IDE,SCSI等)
kd>bu atapi!IdePortStartIo

　设备类型特定命令
mode sense（获取目标机操作参数信息）和mode select（改变参数）有6字节和10字节
Read和Write命令有6字节和10字节版本，分属与0号组和2号组
数据阶段
状态阶段
消息输入阶段
　　SCSI miniport驱动器实现了对SCSI接口适配器的直接控制。miniport驱动器对SCSI适配器进行初始化，并向硬件传输I/O请求，处理中断的产生，执行适配器水平的错误修复和记录。miniport驱动器是一种小型的仿制的SCSI I/O模型，它隐藏了SCSI适配器硬件水平上的细节内容。它提供了带有连续，低层次的借口的高水平的SCSI模型，而根本不用考虑实际的硬件接口。只要实现了规定的SCSI miniport 接口，SCSI miniport驱动器就不必对传统的SCSI适配器进行控制，这就允许外设制造商在他们的硬件上使用不同的总线接口。ATAPI设备拥有一套几乎与SCSI完全一致的命令，但是它们进行的数据传输却是基于IDE总线的。windows中的ATAPI的miniport驱动接受了低层次的SCSI命令，并把它们通过IDE总线发送出去
　　SCSIPORT驱动器对于系统中的所有SCSI请求提供了唯一的入口点，对系统中各种各样的miniport驱动器进行初始化，把系统特有的SCSI I/O请求转化成标准的SRB，并把这些请求发送给适当的miniport驱动器。由于硬件细节被隐藏在了miniport驱动器中，所以高层次的驱动器可以调用SCSIPORT驱动器来执行所有的SCSI I/O操作，而不必在乎所使用的硬件接口，在windows NT中，有很多种标准的SCSI类驱动器，包括用来处理磁盘驱动器(disk.sys)和CD-ROM驱动器的类驱动器。文件系统的驱动器可以调用磁盘类驱动器来执行高层次，面向块的I/O请求。磁盘类驱动会把文件系统的请求转化成一系列的SCSI I/O请求，然后它们会被传送到SCSIPORT驱动。
　　sense data(检测数据) ：当一个SCSI设备（通常是一个LUN）发现它自己处于异常状态时，它就拒绝执行下面的命令，并返回一个check condition状态。产生至少18个字节长的数据，包括经过编码的关于错误的信息，称为检测数据。
IOCTL_SCSI_PASS_THROUGH
IOCTL_SCSI_PASS_THROUGH_DIRECT
　　NTFS使用逻辑簇号（Logical Cluster Number，LCN）和虚拟簇号（Virtual Cluster Number，VCN）来对簇进行定位。LCN是对整个卷中所有的簇从头到尾所进行的简单编号。用卷因子乘以LCN，NTFS就能够得到卷上的物理字节偏移量，从而得到物理磁盘地址。VCN则是对属于特定文件的簇从头到尾进行编号，以便于引用文件中的数据。VCN可以映射成LCN，而不必要求在物理上连续。
　　总之，不用担心下层的具体硬件接口是什么，是IDE还是SCSI，都可以用SCSI命令发给ATAPI，实现文件的读写。其实正常的文件读写也是这样的流程，只不过我们自己绕过上层，自己构造SRB而已~

首先看驱动发SRB
参见http://www.osronline.com/DDKx/storage/k306_0hte.htm
typedef struct _SCSI_REQUEST_BLOCK {
    USHORT Length;                  // 该SRB的长度
    UCHAR Function;                 // 功能码，如果想发SCSI命令，设置为SRB_FUNCTION_EXECUTE_SCSI
    UCHAR SrbStatus;                // SRB发送后返回的状态，一般SRB发送后不会立即执行，会放入一个队列中，所以通常返回

SRB_STATUS_PENDING
    UCHAR ScsiStatus;               // 是否成功发送，与上面一样均为返回值
    UCHAR PathId;                   // 指明是总线ID,(PathId，TargetId，Lun)来确定一个设备
    UCHAR TargetId;                 //
    UCHAR Lun;                      //
    UCHAR QueueTag;                 // 队列TAG
    UCHAR QueueAction;              // 与上述结构有关
    UCHAR CdbLength;                // SCSI命令块长度
    UCHAR SenseInfoBufferLength;    // 存储返回经过编码的关于错误的信息的缓冲区的长度
    ULONG SrbFlags;                 // Srb的相关参数，SRB_FLAGS_DATA_IN为读出，SRB_FLAGS_DATA_OUT为写入设备
    ULONG DataTransferLength;       // 指出传输数据的大小
    ULONG TimeOutValue;             // 设定超时
    PVOID DataBuffer;               // 数据缓冲区
    PVOID SenseInfoBuffer;          // 检测缓冲区
    struct _SCSI_REQUEST_BLOCK *NextSrb; // 下一个SRB，一般的命令只要一个SRB
    PVOID OriginalRequest;          // 指向原始IRP
    PVOID SrbExtension;             //
    union {
        ULONG InternalStatus;       //
        ULONG QueueSortKey;         //
    };
    UCHAR Cdb[16];                  // SCSI总线命令了，这里不一定是16字节，正如上面所说，具体几个字节，得看第一个字节。
} SCSI_REQUEST_BLOCK, *PSCSI_REQUEST_BLOCK;
　　SRB是与操作系统相关的，即是操作系统定义的结构，不在SCSI规范里的，相当于对CDB的一层包裹。而真正执行命令的是CDB

//据MJ的说法，disk.sys对于上层的SCSI_PASS_THROUGH是直接转发给总线设备，那么构造

//相应的IRP直接发给总线设备也可以~这样貌似更底层
//MajorFunction为自定义的一个参数，根据传输进来IRP功能IRP_MJ_READ和IRP_MJ_WRITE

//来转换。可以查SCSI Primary Commands - 3的B章的operation codes知道10字节的写为2Ah，

//读为28h，机器狗代码中是将2*((UCHAR)MajorFunction+ 17)付给了srb->Cdb[0]，我们知道ntd

//dk.h中定义IRP_MJ_READ为0x3，IRP_MJ_WRITE为0x4，其实这只是个简单的换算而已
//buffer为输入输出的缓冲区
//DiskPos为32位指定的磁盘起始逻辑扇区号
//BlockCount为要读（写）的扇区数
......
srb->Length=sizeof(SCSI_REQUEST_BLOCK);
        srb->Function=0;     //0即是SRB_FUNCTION_EXECUTE_SCSI
        srb->DataBuffer=buffer;
        srb->DataTransferLength=BlockCount<<9;//因为每扇区是512字节
        srb->QueueAction=SRB_FLAGS_DISABLE_AUTOSENSE;
        srb->SrbStatus=0;
        srb->ScsiStatus=0;//这两个都是输出，随便填
        srb->NextSrb=0;
        srb->SenseInfoBuffer=sense;
        srb->SenseInfoBufferLength=sizeof(SENSE_DATA);
        if(MajorFunction==IRP_MJ_READ)
                srb->SrbFlags=SRB_FLAGS_DATA_IN;
        else
                srb->SrbFlags=SRB_FLAGS_DATA_OUT;

        if(MajorFunction==IRP_MJ_READ)
                srb->SrbFlags|=SRB_FLAGS_ADAPTER_CACHE_ENABLE;

            srb->SrbFlags|=SRB_FLAGS_DISABLE_AUTOSENSE;
                srb->TimeOutValue=(srb->DataTransferLength>>10)+1;
                srb->QueueSortKey=DiskPos;//指定从目标设备的开始位置
                srb->CdbLength=10;
                srb->Cdb[0]=2*((UCHAR)MajorFunction+ 17);//参见上图10字节CDB的格式
                srb->Cdb[1]=srb->Cdb[1] & 0x1F | 0x80;//高三位是保留位，与0x1f清0高三位，高位置1
                srb->Cdb[2]=(unsigned char)(DiskPos>>0x18)&0xFF;     //大端点数，右移24位，取高8位放入Cdb
                srb->Cdb[3]=(unsigned char)(DiskPos>>0x10)&0xFF;     //
                srb->Cdb[4]=(unsigned char)(DiskPos>>0x08)&0xFF;     //
                srb->Cdb[5]=(UCHAR)DiskPos;           //填写sector位置
                srb->Cdb[7]=(UCHAR)BlockCount>>0x08;
                srb->Cdb[8]=(UCHAR)BlockCount;
......
}
　　当然SRB也是属于IRP中一部分，自己发IRP给总线设备，当然还得自己填充IRP包，这个就不具体讨论了
　　总的思路是：先发IoControlCode=FSCTL_GET_RETRIEVAL_POINTERS的IRP给文件系统驱动，得到某个文件的起始逻辑扇区号和大小，然后得到disk.sys的dev，再发构造好的SRB的IRP给disk.sys就ok了，这样就绕过了还原软件

RING3发SCSI_PASS_THROUGH：
遍历符号链接找到总线设备对应的符号链接，发送SCSI_PASS_THROUGH_DIRECT给总线设备实现文件读写，从而绕过主动防御，其中思路MJ0011说了，不过他给的代码基本没用，好几个暗桩~

                                                                                                   by CuteK

如何利用SCSI miniport driver呢, 先了解该驱动在系统中的位置,想想大家都可以做些什么吧,

虚拟光驱? 还原卡? bootkit ?

一, 看看windows启动链条

MBR               16位实模式

boot sector     16位实模式 读入根目录 加载ntldr

Ntldr       

• 将系统从16位模式切换到32位模式
• 开启(内存)分页管理
• 如果启动卷为SCSI磁盘，从系统卷上读取Ntbootdd.sys对SCSI磁盘进行I/O操作、检测 不使用bios的scsi和ata使用Ntbootdd.sys 驱动读取磁盘数据, 该驱动是SCSI miniport driver 由厂商自行开发, 开发后改为这个名字即可 ,
• 查找启动卷中是否包含有效的Hiberfil.sys文件，如果有效，跳过如下步骤，直接读取Hiberfil.sys中的信息到内存中，是系统恢复到休眠前的状态

               读取boot.ini   三种方式multi ,scsi, signature启动, 后两种需要scsi miniport driver 帮助读取磁盘

Ntdetct.com    16位实模式

Ntoskrnl.exe/ntkrnlpa.exe    

Hal.dll

smss

winlogon

二, 驱动所处位置

SCSI miniport driver 开发比较容易因为可以调用微软提供的scsiport.sys提供的通用功能.针对具体的硬件做srb的处理

驱动栈层次

-----------------------

文件系统过滤驱动

-----------------------

文件驱动ntfs.sys

-----------------------

磁盘过滤驱动

-----------------------

disk.sys 类驱动

-----------------------

miniport driver     (实例sptd.sys cercsr6.sys)

(miniport driver 调用 port driver的函数,scsiport.sys为port driver ,  

deamo tool复制scsiport.sys为sptd0157.sys ,然后在sptd.sys中调用sptd0157.sys 的导出函数ScsiPortInitialize )

------------------------

磁盘

三 如何使用

1 做虚拟光驱已经实现了,不讲了

2 做还原卡 机器狗发irp 到disk.sys中然后分发到scsi miniport driver,

IRP_MJ_SCSI   SCSI_REQUEST_BLOCK 这个在我们写的小端口驱动中判断重定位.....

3 做bootkit,可以先于windows系统加载, 在有anti rootkit 直接检测磁盘数据时可以进行欺骗

最近的Stealth MBR rootkit被rku通过发IRP_MJ_SCSI检测/gmer通过Driver\Disk -> MajorFunction[IRP_MJ_READ] = CLASSPNP!ClassReadWrite检测, 可以用miniport来让rku和gmer检不出来, miniport中HwStartIo处理传入的srb, 检查cdb中OperationCode 当为SCSIOP_READ和SCSIOP_WRITE的时候,判断扇区位置,如果是MBR则返回正确的mbr信息          

研究时间比较短,大有错误之处,还请各位指正

参考文献

强制删除文件的思路就是，把SECTION_OBJECT_POINTERS结构的DataSectionObject和ImageSectionObject两个域清空即可删除正在运行的文件。如果不清空就不能删除运行中的文件。正在运行的文件的这两个域值不为0而文件系统正在根据这两个域决定该文件是否可以删除。如果文件系统检测这两个值为0，就理解为文件没有被使用，可以删除。接下去，就是直接发IRP,初始化IRP,设置IRP堆栈信息，设置完成例程，派发IRP。

一、获得文件内核句柄

RtlInitUnicodeString ( &FileName, L” \\DosDevices\\C:\\test.exe” ) ;

InitializeObjectAttributes ( &objectAttributes, &FileName,\

OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE, \

NULL, NULL ) ;  

ntStatus = IoCreateFile ( &hFile,FILE_READ_ATTRIBUTES, &objectAttributes, &ioStatus, \

              0,FILE_ATTRIBUTE_NORMAL,FILE_SHARE_DELETE,FILE_OPEN,0,NULL,0,\

CreateFileTypeNone,NULL, IO_NO_PARAMETER_CHECKING);

打开文件应该传入这个文件的路径。但是实际上这个函数IoCreateFile并不直接接受一个字符串。使用者必须首先填写一个OBJECT_ATTRIBUTES 结构。

用到一个宏：InitializeObjectAttributes用来初始化对象属性

我们是对c:\test.exe，这是个固定的文件了，属性应该也固定了，为什么还要初始化属性呢？

其实这里的初始化属性，主要是为了包含文件的对象路径，然后在指明该代码对该文件的一些要求，如获得内核句柄，不区分文件名的大小写，而不是对文件的操作。即将FileName,OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE，全放入objectAttributes这个结构中。

typedef struct _OBJECT_ATTRIBUTES {

    ULONG Length;

    HANDLE RootDirectory;

    PUNICODE_STRING ObjectName;

    ULONG Attributes;

    PVOID SecurityDescriptor;

    PVOID SecurityQualityOfService;

} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

要说明2点：

1、objectAttributes结构中的ObjectName要求的是对象的路径名，因此不能写成c:\test,

c:是一个符号链接对象，内核模式下，符号链接要写成\\??\\C:或者\\DosDevices\\C:

因此对象路径名为：\\DosDevices\\C:\\test.exe或\\??\\C:\\test.exe

2、InitializeObjectAttributes 只需要填写OBJ_CASE_INSENSITIVE| OBJ_KERNEL_HANDLE即可

OBJ_CASE_INSENSITIVE意味着名字字符串是 不区分大小写的

OBJ_KERNEL_HANDLE表明打开的文件句柄一个“内核句柄”

二、发送IRP去除文件的只读属性

对文件的任何操作，最终都是通过IRP请求，然后文件系统驱动对该IRP进行处理，完成对文件的指定操作。

驱动程序，则可以自己创建IRP，初始化IRP,设置IRP堆栈信息，设置完成例程，派发IRP。这里我们采用的就是这种方法。

三、发送IRP删除文件

把自己重写的代码贴一下：

bp 程序运行过程中下断点

bu 程序未加载之前下断点

bl  列出所有断点

bc  清除断点

今天在调试驱动的时候 发现下好断点后 无法调试

WinDbg显示

kd> g
Breakpoint 11's offset expression evaluation failed.
Check for invalid symbols or bad syntax.
WaitForEvent failed
nt!DebugService2+0x11:

按照字面的理解意思就是11号断点有问题

于是 上网找WinDbg的相关操作说明

找到了一点东西  就是上面的基础知识

下面说说解决过程

首先

kd> bl
 0 eu             0001 (0001) (@@masm(`HelloDDK!Driver.cpp:35+`))
 1 eu             0001 (0001) (HelloDDK!DriverEntry)
 2 eu             0001 (0001) (HelloDDK!DriverEntry)
 3 eu             0001 (0001) (HelloDDK!DriverEntry)
 4 e f9ed4890     0001 (0001) MyDDK!DriverEntry
 5 eu             0001 (0001) (HelloDDK!DriverEntry)
 6 e f9ed4900     0001 (0001) MyDDK!CreateDevice
 7 eu             0001 (0001) (Test!DriverEntry)
 8 eu             0001 (0001) (Driver!DriverEntry)
 9 eu             0001 (0001) (@@masm(`Driver.cpp:18+`))
10 e f9ed4890     0001 (0001) MyDDK!DriverEntry
11 eu             0001 (0001) (MyDDK!lCreateFile)
12 e f9ed4890     0001 (0001) MyDDK!DriverEntry
13 e f9ed4890     0001 (0001) MyDDK!DriverEntry
14 e f9ed4890     0001 (0001) MyDDK!DriverEntry
15 e f9ed48ad     0001 (0001) MyDDK!DriverEntry+0x1d

发现有很多地方没有地址  应该是这些地方的断点有问题  删除之

kd> bc 0 1 2 3 5 7 8 9
kd> bl
 4 e f9ed4890     0001 (0001) MyDDK!DriverEntry
 6 e f9ed4900     0001 (0001) MyDDK!CreateDevice
10 e f9ed4890     0001 (0001) MyDDK!DriverEntry
12 e f9ed4890     0001 (0001) MyDDK!DriverEntry
13 e f9ed4890     0001 (0001) MyDDK!DriverEntry
14 e f9ed4890     0001 (0001) MyDDK!DriverEntry
15 e f9ed48ad     0001 (0001) MyDDK!DriverEntry+0x1d

再继续

kd> g
可以运行

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/lijiawlm/archive/2009/08/05/4412289.aspx

         创建 IRP 总共有 4 种方法。分别通过调用： IoBuildSynchronousFsdRequest 、 IoBuildAsynchronousFsdRequest 、 IoBuildDeviceIoControl 和 IoAllocateIrp 这 4 个内核函数来完成。这其中， IoAllocateIrp 是比较底层的内核函数，其余的三个内核函数是属于靠近上层的内核函数，而且这三个函数都是通过调用 IoAllocateIrp 实现的。

         这几个函数都是文档化的函数，原型都可以在 DDK Documentation 中查到，这里就不多说了，下面主要来说说它们的不同点：

1.       可创建的 IRP 类型

这四个函数可以创建的 IRP 的类型是不同的。 IoBuildSynchronousFsdRequest 用于创建同步的 IRP 请求，但是只可以创建以下类型的 IRP ： IRP_MJ_PNP ,IRP_MJ_READ,IRP_MJ_WRITE,IRP_MJ_FLUSH_BUFFERS 和IRP_MJ_SHUTDOWN ； IoBuildAsynchronousFsdRequest 可创建的 IRP 类型和 IoBuildSynchronousFsdRequest 一样（从名字就可以看出来），只是它是用来创建异步的 IRP 请求。 IoBuildDeviceIoControl 可以创建的 IRP 类型为：IRP_MJ_DEVICE_CONTROL 和IRP_MJ_INTERNAL_DEVICE_CONTROL 。而且 IoBuildDeviceIoControl 只能创建同步的 IRP 。在这三个函数中，都有一个 ULONG 的输入参数指定创建的 IRP 类型。 IoAllocateIrp 函数的使用比较灵活，他可以创建任意类型的 IRP ，但不是由参数指定，而是创建后自行填写，要求用户对 IRP 的结构有比较熟悉的理解。

2.       创建后 IRP 对象的删除

IoBuildSynchronousFsdRequest 、 IoBuildAsynchronousFsdRequest 和 IoBuildDeviceIoControl 内核函数在创建完 IRP 后，不需要程序员负责删除 IRP ，操作系统会自动删除。而用 IoAllocateIrp 内核函数创建 IRP 时，需要程序员自己调用 IoFreeIrp 内核函数删除 IRP 对象。

3.       关联的事件

IoBuildSynchronousFsdRequest 和 IoBuildDeviceIoControl 在创建 IRP 时，需要为它们准备好一个事件，这个事件会和 IRP 请求相关联，当 IRP 请求被结束时该事件触发。程序中要用 KeWaitForSingleObject 函数等待。 IoBuildAsynchronousFsdRequest 函数创建 IRP 时则不需要准备事件，不过可以通过 IRP 的 UserEvent 子域来通知 IRP 请求的结束。

当执行 IoCompleteRequest 内核函数时，操作系统会检查 IRP 的 UserEvent 子域是否为空。如果该子域为空，则它代表一个事件指针，这时 IoCompleteRequest 会设置这个事件。

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/vangoals/archive/2009/07/26/4381567.aspx

A 是的。这里举一个制作软盘镜像文件，功能类似于“DISKCOPY”的例子。
本例实现其功能的核心代码如下：

将软盘保存成镜像文件的步骤简单描述为：
1、创建空的镜像文件。
2、调用OpenDisk打开软盘。成功转3，失败转8。
3、调用LockVolume将卷锁定。成功转4，失败转7。
4、调用GetDiskGeometry获取参数。成功转5，失败转6。
5、将磁盘参数写入镜像文件作为文件头。调用ReadTracks按柱面读出数据，保存在镜像文件中。循环次数等于柱面数。
6、调用UnlockVolume将卷解锁。
7、调用CloseDisk关闭软盘。
8、关闭镜像文件。

将镜像文件载入软盘的步骤简单描述为：
1、打开镜像文件。
2、调用OpenDisk打开软盘。成功转3，失败转11。
3、调用LockVolume将卷锁定。成功转4，失败转10。
4、调用GetDiskGeometry获取参数。成功转5，失败转9。
5、从镜像文件中读出文件头，判断两个磁盘参数是否一致。不一致转6，否则转7。
6、调用LowLevelFormatTracks按柱面格式化软盘。循环次数等于柱面数。成功转7，失败转8。
7、从镜像文件中读出数据，并调用WriteTracks按柱面写入磁盘。循环次数等于柱面数。
8、调用DismountVolume将卷卸下。
9、调用UnlockVolume将卷解锁。
10、调用CloseDisk关闭软盘。
11、关闭镜像文件。

Q 我注意到，磁盘读写和格式化是按柱面进行的，有什么道理吗？

A 没有特别的原因，只是因为在这个例子中可以方便地显示处理进度。
有一点需要特别提及，按绝对地址读写磁盘数据时，“最小单位”是扇区，地址一定要与扇区对齐，长度也要等于扇区长度的整数倍。比如，每扇区512字节，那么起始地址和数据长度都应能被512整除才行。

Q 我忽然产生了一个伟大的想法，用绝对地址读写的方式使用磁盘，包括U盘啦，MO啦，而不是用现成的文件系统，那不是可以将数据保密了吗？

A 当然，只要你喜欢。可千万别在你的系统盘上做试验，否则......可别怪bhw98没有提醒过你喔！

Q 我知道怎么测试光驱的传输速度了，就用上面的方法，读出一定长度数据，除以所需时间，应该可以吧？

A 可以。但取光盘参数时要用IOCTL_STORAGE_GET_MEDIA_TYPES_EX，我们已经探讨过的。

一个驱动程序为它所控制的每个设备产生设备对象，设备对象代表驱动程序的设备。从PnP的角度看有三种设备对象：

n 物理设备对象（PDO）---代表一个总线驱动程序的总线上的设备

n 功能设备对象（FDO）---代表一个功能驱动程序的设备

n 过滤程序设备对象（Filter DO）---代表一个过滤器驱动程序的设备

这三种设备对象都是DEVICE_OBJECT类型，但是使用方式不同并有不同的设备扩展。

通过产生一设备对象（IoCreateDevice）并将其附着到设备堆栈（IoAttachDeviceToDevice_Stack），驱动程序将其本身添加到处理设备的I/O驱动程序堆栈，IoAttachDeviceToDeviceStack决定设备堆栈当前的顶层和附着新的设备对象到设备堆栈的顶层。

图1.7给出了设备对象的可能种类，该设备对象可附着于设备堆栈里，表示处理一个设备的I/O请求的驱动程序。

这一部分描述了每一类的设备对象并注意到何时产生该类。参看第2章获得关于在必要的PnP驱动程序例程里产生设备对象的细节信息，要获得PnP设备枚举的更多信息，参见第2部分。

开始于图1.7的底部：

n 总线驱动程序为总线上它所枚举的每个设备产生PDO。

当总线驱动程序枚举其设备时，它为每个子设备产生PDO。总线驱动程序枚举一设备为PnP管理器的BusRelations响应一个IRP_MN_QUERY_DEVICE_RELATIONS请求。如果自从最近一次总线驱动程序响应BusRelations的查询关系请求以来（或者这是机器被引导以来第一次查询关系）设备已经添加到总线上，则总线驱动程序为每个子设备产生一个PDO。

PDO表示了总线驱动程序的设备，其他内核模式系统组件也和它一样，如电源管理器、PnP管理器和I/O管理器。

一个设备其他的驱动程序附着于PDO顶端的设备对象，但是PDO一直在设备堆栈的底端。

n 可选择的总线过滤器驱动程序为它们过滤的每个设备产生过滤程序DO。

当PnP管理器在BusRelations列表里发现一个新设备时，它决定是否有该设备的任何总线过滤器驱动程序。如果是这样的话，对每个这样的驱动程序PnP管理器确保它们被装载（如果需要调用DriverEntry）并调用驱动程序AddDevice例程。如果总线过滤器驱动程序为这个设备过滤操作，过滤器驱动程序产生一个设备对象并附着它到AddDevice例程里的设备堆栈上。如果不止一个总线过滤器驱动程序存在，且与这个设备相关，每个这样的过滤器驱动程序产生并附着于它自己的设备对象。

n 可选择的，低层过滤器驱动程序为它们过滤的每个设备产生过滤程序DO。

如果一可选择的低层过滤器驱动程序由于这个设备的原因而存在，PnP管理器确信在总线驱动程序和任何总线过滤器驱动程序之后装载了这样的驱动程序。PnP管理器调用过滤器驱动程序的AddDevice例程，在它的AddDevice例程里，低层的过滤器驱动程序为设备产生一个过滤程序DO且附着它到设备堆栈里。如果不止一个低层过滤器驱动程序存在，每个这样的驱动程序将产生并附着它自己的过滤程序DO。

n 功能驱动程序为设备产生一个FDO。

PnP管理器确信已安装了设备的功能驱动程序并调用功能驱动程序的AddDevice例程，功能驱动程序产生一个FDO并附着它到设备堆栈里。

n 可选择的，顶层过滤器驱动程序为它们过滤的每个设备产生过滤程序DO。

如果任何可选择的，顶层过滤器驱动程序为设备而存在，PnP管理器确信在功能驱动程序调用它们的AddDevice例程之后被安装，每个这样的过滤器驱动程序附着它的设备对象到设备堆栈。

总之，设备堆栈包括每一驱动程序的设备对象，该驱动程序参与了特定设备的I/O处理。父总线驱动程序有一个PDO，功能驱动程序有一个FDO，每一个可选择的过滤器驱动程序有一个过滤程序DO。

注意到所有的设备---总线适配器/控制器设备和非总线设备---在它们的设备堆栈里有一个PDO和FDO。总线适配器/控制器的PDO由父总线的总线驱动程序产生。例如，如果一个SCSI适配器插入一个PCI总线，PCI总线驱动程序为SCSI适配器产生一个PDO。

如果一个设备正以原始模式使用，则没有功能驱动程序或过滤器驱动程序（没有FDO或过滤程序DO）。此时还有父总线驱动程序的一个PDO和零个或更多总线过滤程序DO。

要获取哪一个驱动程序例程负责产生和附着设备对象的信息，参看第2章。

设备堆栈和一些额外信息构成了一个devnode设备。在一个设备的devnode里，PnP管理器保留诸如是否设备已经启动和哪一个驱动程序，如有，登记通知设备上的改变。内核调试程序！devnode命令显示了关于一个devnode的信息。

　　1. 预引导(Pre-Boot)阶段；

　　2. 引导阶段；

　　3. 加载内核阶段；

　　4. 初始化内核阶段；

　　5. 登录。

　　每个启动阶段的详细介绍

　　a) 预引导阶段

　　在按下计算机电源使计算机启动，并且在Windows XP专业版操作系统启动之前这段时间，我们称之为预引导（Pre-Boot）阶段，在这个阶段里，计算机首先运行Power On Self Test（POST），POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的，那么计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统（BIOS）定位计算机的引导设备，然后MBR(Master Boot Record)被加载并运行。在预引导阶段，计算机要加载Windows XP的NTLDR文件。

　　b) 引导阶段

Windows XP Professional引导阶段包含4个小的阶段。

首先，计算机要经过初始引导加载器阶段（Initial Boot Loader），在这个阶段里，NTLDR将计算机微处理器从实模式转换为32位平面内存模式。在实模式中，系统为MS-DOS保留640kb内存，其余内存视为扩展内存，而在32位平面内存模式中，系统（Windows XP Professional）视所有内存为可用内存。接着，NTLDR启动内建的mini-file system drivers，通过这个步骤，使NTLDR可以识别每一个用NTFS或者FAT文件系统格式化的分区，以便发现以及加载Windows XP Professional，到这里，初始引导加载器阶段就结束了。

　　接着系统来到了操作系统选择阶段，如果计算机安装了不止一个操作系统（也就是多系统），而且正确设置了boot.ini使系统提供操作系统选择的条件下，计算机显示器会显示一个操作系统选单，这是NTLDR读取boot.ini的结果。

　　在boot.ini中，主要包含以下内容：

　　[boot loader]

　　timeout=30

　　default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

　　[operating systems]

　　multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

　　multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows Windows 2000 Professional"

　　其中，multi(0)表示磁盘控制器，disk(0)rdisk(0)表示磁盘，partition(x)表示分区。NTLDR就是从这里查找Windows XP Professional的系统文件的位置的。（*本文不会更详细地讲解boot.ini的组成结构，因为其与本主题关系不大，如果想了解，可以到一些专门的网站处查询相关信息。）如果在boot.ini中只有一个操作系统选项，或者把timeout值设为0，则系统不出现操作系统选择菜单，直接引导到那个唯一的系统或者默认的系统。在选择启动Windows XP Professional后，操作系统选择阶段结束，硬件检测阶段开始。

　　在硬件检测阶段中，ntdetect.com将收集计算机硬件信息列表并将列表返回到NTLDR，这样做的目的是便于以后将这些硬件信息加入到注册表HKEY_LOCAL_MACHINE下的hardware中。

　　硬件检测完成后，进入配置选择阶段。如果计算机含有多个硬件配置文件列表，可以通过按上下按钮来选择。如果只有一个硬件配置文件，计算机不显示此屏幕而直接使用默认的配置文件加载Windows XP专业版。

引导阶段结束。在引导阶段，系统要用到的文件一共有：NTLDR，Boot.ini，ntdetect.com，ntokrnl.exe，Ntbootdd.sys，bootsect.dos（可选的）。

c) 加载内核阶段

在加载内核阶段，ntldr加载称为Windows XP内核的ntokrnl.exe。系统加载了Windows XP内核但是没有将它初始化。接着ntldr加载硬件抽象层（HAL，hal.dll），然后，系统继续加载HKEY_LOCAL_MACHINE\system键，NTLDR读取select键来决定哪一个Control Set将被加载。控制集中包含设备的驱动程序以及需要加载的服务。NTLDR加载HKEY_LOCAL_MACHINE\system\service\...下start键值为0的最底层设备驱动。当作为Control Set的镜像的Current Control Set被加载时，ntldr传递控制给内核，初始化内核阶段就开始了。

d) 初始化内核阶段

在初始化内核阶段开始的时候，彩色的Windows XP的logo以及进度条显示在屏幕中央，在这个阶段，系统完成了启动的4项任务：

内核使用在硬件检测时收集到的数据来创建注册表中HKEY_LOCAL_MACHINE\ HARDWARE键。

内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制Control Set来创建了Clone Control Set。Clone Control Set配置是计算机数据的备份，不包括启动中的改变，也不会被修改。

系统完成初始化以及加载设备驱动程序，内核初始化那些在加载内核阶段被加载的底层驱动程序，然后内核扫描HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start键值为1的设备驱动程序。这些设备驱动程序在加载的时候便完成初始化，如果有错误发生，内核使用ErrorControl键值来决定如何处理，值为3时，错误标志为危机/关键，系统初次遇到错误会以LastKnownGood Control Set重新启动，如果使用LastKnownGood Control Set启动仍然产生错误，系统报告启动失败，错误信息将被显示，系统停止启动；值为2时错误情况为严重，系统启动失败并且以LastKnownGood Control Set重新启动，如果系统启动已经在使用LastKnownGood值，它会忽略错误并且继续启动；当值是1的时候错误为普通，系统会产生一个错误信息，但是仍然会忽略这个错误并且继续启动；当值是0的时候忽略，系统不会显示任何错误信息而继续运行

Session Manager启动了Windows XP高级子系统以及服务，Session Manager启动控制所有输入、输出设备以及访问显示器屏幕的Win32子系统以及Winlogon进程，初始化内核完毕。

e) 登录

Winlogon.exe启动Local Security Authority，同时Windows XP Professional欢迎屏幕或者登录对话框显示，这时候，系统还可能在后台继续初始化刚才没有完成的驱动程序。

提示输入有效的用户名或密码。

Service Controller最后执行以及扫描HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Servives来检查是否还有服务需要加载，Service Controller查找start键值为2或更高的服务，服务按照start的值以及DependOnGroup和DepandOnService的值来加载。

只有用户成功登录到计算机后，Windows XP的启动才被认为是完成，在成功登录后，系统拷贝Clone Control Set到LastKnownGood Control Set，完成这一步骤后，系统才意味着已经成功引导了。