Windows内核驱动创建线程

有时候需要使用线程来完成一个或者一组任务。这些任务可能耗时过长，而开发者又不想让当前系统停止下来等待。在驱动中停止等待很容易使整个系统陷入“停顿”，最后可能只能重启电脑。但一个单独的线程长期等待，还不至于对系统造成致命的影响。另一些任务是希望长期、不断的执行，比如不断写入日志。为此启动一个特殊的线程来执行它们是最好的方法。

在驱动中生成的线程一般是系统线程。系统线程所在的进程名为“System”。用到的内核API函数原型如下：

NTSTATUS PsCreateSystemThread(
    OUT PHANDLE  ThreadHandle,
    IN ULONG  DesiredAccess,
    IN POBJECT_ATTRIBUTES  ObjectAttributes  OPTIONAL,
    IN HANDLE  ProcessHandle  OPTIONAL,
    OUT PCLIENT_ID  ClientId  OPTIONAL,
    IN PKSTART_ROUTINE  StartRoutine,
    IN PVOID  StartContext
);

这个函数的参数也很多。不过作者本人的使用经验如下：ThreadHandle用来返回句柄。放入一个句柄指针即可。DesiredAccess总是填写0。后面三个参数都填写NULL。最后的两个参数一个用于改线程启动的时候执行的函数。一个用于传入该函数的参数。

下面要关心的就是那个启动函数的原型。这个原型比起定时器回调函数倒是异常的简单，没有任何多余的东西：

    VOID CustomThreadProc(IN PVOID context)

可以传入一个参数，就是那个context。context就是PsCreateSystemThread中的StartContext。值得注意的是，线程的结束应该在线程中自己调用PsTerminateSystemThread来完成。此外得到的句柄也必须要用ZwClose来关闭。但是请注意：关闭句柄并不结束线程。

下面举一个例子。这个例子传递一个字符串指针到一个线程中打印一下。然后结束该线程。当然打印字符串这种事情没有必要单独开一个线程来做。这里只是一个简单的示例。请注意，这个代码中有一个隐藏的错误，请读者指出这个错误是什么：

// 我的线程函数。传入一个参数，这个参数是一个字符串。
VOID MyThreadProc(PVOID context)
{
    PUNICODE_STRING str = (PUNICODE_STRING)context;
    // 打印字符串
    KdPrint((“PrintInMyThread:%wZ\r\n”,str));
    // 结束自己。
    PsTerminateSystemThread(STATUS_SUCCESS);
} 

VOID MyFunction()
{
    UNICODE_STRING str = RTL_CONSTANT_STRING(L“Hello!”);
    HANDLE thread = NULL;
    NTSTATUS status;

    status = PsCreateSystemThread(
        &thread,0L,NULL,NULL,NULL,MyThreadProc,(PVOID)&str);
    if(!NT_SUCCESS(status))
    {
        // 错误处理。
        …
    }
    // 如果成功了，可以继续做自己的事。之后得到的句柄要关闭
    ZwClose(thread);
}

以上错误之处在于：MyThreadProc执行的时候，MyFunction可能已经执行完毕了。执行完毕之后，堆栈中的str已经无效。此时再执行KdPrint去打印str一定会蓝屏。这也是一个非常隐蔽，但是非常容易犯下的错误。

合理的方法是是在堆中分配str的空间。或者str必须在全局空间中。请读者自己写出正确的方法。

但是读者会发现，以上的写法在正确的代码中也是常见的。原因是这样做的时候，在PsCreateSystemThread结束之后，开发者会在后面加上一个等待线程结束的语句。

这样就没有任何问题了，因为在这个线程结束之前，这个函数都不会执行完毕，所以栈内存空间不会失效。

这样做的目的一般不是为了让任务并发。而是为了利用线程上下文环境而做的特殊处理。比如防止重入等等。在后面的章节读者会学到这方面的技巧。