手把手教你写一个Ring 0层虚拟串口驱动:从零开始的内核级通信实战
你有没有遇到过这样的场景?一台工控机只有两个物理串口,却要同时连接PLC、传感器、扫码枪和调试终端;或者你想把老款只能通过COM端口通信的设备接入网络,实现远程控制?更头疼的是,很多老旧软件压根不支持TCP/IP,只认“COM1”“COM2”……
这时候,虚拟串口就成了破局的关键。而真正强大、稳定、能被系统完全识别的虚拟串口,必须在Ring 0(内核模式)实现。
今天,我们就来一起动手,深入Windows内核,亲手打造一个属于自己的虚拟串口驱动。这不是简单的用户态模拟,而是真正在操作系统底层注册一个可以被CreateFile("COM4", ...)打开的标准COM端口——哪怕它背后根本没有一根电线。
为什么非得是Ring 0?用户态不行吗?
先说结论:用户态做虚拟串口,兼容性差、性能低、功能残缺。
想象一下,你在用户程序里开了个线程监听某个端口,然后用DLL注入或钩子拦截所有对ReadFile/WriteFile的调用。这种方法看似可行,但问题一大堆:
- 老软件可能绕过API直接访问硬件;
- 钩子容易被杀毒软件干掉;
- 不支持即插即用(PnP),拔插没反应;
- 无法分配真正的COM编号(如COM5);
- 多进程并发访问时极易崩溃。
而在Ring 0层开发驱动,意味着你可以:
✅ 直接向系统注册标准串口设备
✅ 被任何遵循Win32 API的程序无缝使用
✅ 支持热插拔、电源管理、驱动签名等企业级特性
✅ 数据路径最短,延迟更低,吞吐更高
一句话:你要骗过整个操作系统,让它以为真的插了个串口卡——这活儿,只有内核能干。
我们要用什么技术框架?WDM到底是什么?
别被术语吓到。虽然你现在看到的是“驱动开发”,但实际上我们不是从石头里炼出芯片控制器,而是基于微软提供的WDM(Windows Driver Model)框架搭积木。
WDM不是最难的,但最适合入门
WDM是微软在Windows 98时代推出的统一驱动模型,至今仍是许多设备驱动的基础。相比更底层的NT式驱动,WDM的好处在于:
- 自动支持即插即用(PnP)
- 内建电源管理机制
- 可以通过INF文件安装并自动加载
- 兼容x86/x64平台
- 社区资料丰富,调试工具成熟
更重要的是,串口本身就是WDM的经典应用场景之一。Windows自带的serial.sys就是一个完整的串口类驱动参考实现。
我们的目标很明确:模仿serial.sys的行为,在Ring 0创建一个“假”的串口设备对象,并处理来自应用程序的所有请求。
核心机制拆解:IRP、派遣函数与设备栈
如果你第一次接触驱动开发,这几个词可能会让你头晕:IRP、Dispatch Routine、Device Object……别急,我们用“快递系统”来打个比方。
把I/O请求想象成快递单
当你的程序调用ReadFile(hCom, buffer, 100, &read, NULL);时,Windows内核并不会立刻执行读操作,而是生成一张“任务单”——这就是IRP(I/O Request Packet)。
这张单子上写着:
- 要干什么?(主功能码:IRP_MJ_READ)
- 想读多少字节?(参数Length = 100)
- 数据往哪儿放?(用户缓冲区地址)
- 完事后通知谁?(完成例程)
这张单子会被交给I/O Manager,再由它转发给对应的驱动去处理。
驱动靠“派遣函数”接单
每个驱动都要告诉系统:“我愿意处理哪些类型的请求”。这就需要设置一组派遣函数(Dispatch Routines):
driverObject->MajorFunction[IRP_MJ_CREATE] = DispatchCreate; driverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; driverObject->MajorFunction[IRP_MJ_WRITE] = DispatchWrite; driverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchIoControl; driverObject->MajorFunction[IRP_MJ_PNP] = DispatchPnp;每当有新的IRP进来,I/O Manager就会根据它的主功能码,跳转到相应的函数去执行。
比如,当程序第一次调用CreateFile("\\\\.\\COM4")时,系统会发送一个IRP_MJ_CREATE请求,你的DispatchCreate函数就要返回STATUS_SUCCESS表示“欢迎光临”,否则对方就打不开这个端口。
关键实战:如何处理读写请求?
来看最核心的部分——读写数据。
假设应用想从虚拟串口读取100个字节。如果此时还没有数据可读怎么办?不能卡住整个系统吧?
正确做法是:暂时挂起这个IRP,等数据来了再唤醒。
环形缓冲区 + 异步完成 = 高效通信基石
我们通常会在驱动中维护两个环形缓冲区:
typedef struct _SERIAL_DEVICE_EXTENSION { UCHAR RxBuffer[4096]; // 接收缓冲区 ULONG RxHead; // 写入位置 ULONG RxTail; // 读取位置 LIST_ENTRY ReadQueue; // 等待读取的IRP队列 KSPIN_LOCK BufferLock; // 自旋锁保护并发访问 ... } SERIAL_DEVICE_EXTENSION, *PSERIAL_DEVICE_EXTENSION;当收到IRP_MJ_READ请求时:
NTSTATUS DispatchRead(PDEVICE_OBJECT DeviceObject, PIRP Irp) { PSERIAL_DEVICE_EXTENSION devExt = (PSERIAL_DEVICE_EXTENSION)DeviceObject->DeviceExtension; PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(Irp); ULONG requestedLength = stack->Parameters.Read.Length; PUCHAR userBuffer = (PUCHAR)MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority); if (!userBuffer) { CompleteIrp(Irp, STATUS_INSUFFICIENT_RESOURCES, 0); return STATUS_INSUFFICIENT_RESOURCES; } // 尝试从环形缓冲区拷贝数据 ULONG available = (devExt->RxHead - devExt->RxTail) % 4096; ULONG toCopy = min(requestedLength, available); if (toCopy > 0) { SerialCopy(devExt->RxBuffer, devExt->RxTail, userBuffer, toCopy); devExt->RxTail = (devExt->RxTail + toCopy) % 4096; CompleteIrp(Irp, STATUS_SUCCESS, toCopy); return STATUS_SUCCESS; } // 没有数据?那就把IRP加入等待队列,稍后唤醒 InsertTailList(&devExt->ReadQueue, &Irp->Tail.Overlay.ListEntry); IoMarkIrpPending(Irp); return STATUS_PENDING; }注意这里的关键点:
- 使用
MmGetSystemAddressForMdlSafe()安全映射用户缓冲区,防止非法内存访问导致蓝屏; - 获取数据前加自旋锁,避免多线程竞争;
- 若无数据可用,将IRP放入链表并返回
STATUS_PENDING; - 后续当数据到达(例如从网络接收),遍历等待队列,逐一唤醒这些IRP。
这样,即使应用程序阻塞等待,也不会影响系统其他部分运行。
如何让系统把它当“真”串口?PnP与设备注册
光能读写还不够。你还得让Windows“相信”这是一个合法的串口设备,能出现在设备管理器里,能分配COM号。
这就涉及两个关键步骤:
第一步:创建设备对象并指定类型
在DriverEntry中:
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { PDEVICE_OBJECT deviceObject = NULL; UNICODE_STRING deviceName = RTL_CONSTANT_STRING(L"\\Device\\MyVirtualSerial"); UNICODE_STRING symbolicLink = RTL_CONSTANT_STRING(L"\\DosDevices\\COM4"); // 创建设备对象 status = IoCreateDevice( DriverObject, sizeof(SERIAL_DEVICE_EXTENSION), &deviceName, FILE_DEVICE_SERIAL_PORT, 0, FALSE, &deviceObject ); if (!NT_SUCCESS(status)) return status; // 设置为支持PnP和电源管理 deviceObject->Flags |= DO_BUFFERED_IO | DO_POWER_PAGABLE; deviceObject->Flags &= ~DO_DEVICE_INITIALIZING; // 创建符号链接(让用户可以用COM4访问) status = IoCreateSymbolicLink(&symbolicLink, &deviceName); if (!NT_SUCCESS(status)) { IoDeleteDevice(deviceObject); return status; } // 注册为标准串口类设备 status = IoRegisterDeviceInterface( deviceObject, (LPGUID)&GUID_DEVCLASS_PORTS, // {4D36E978-E325-11CE-BFC1-08002BE10318} NULL, &devExt->InterfaceName ); if (NT_SUCCESS(status)) { IoSetDeviceInterfaceState(&devExt->InterfaceName, TRUE); } return STATUS_SUCCESS; }重点说明:
FILE_DEVICE_SERIAL_PORT是串口的标准设备类型;GUID_DEVCLASS_PORTS告诉系统这是“端口类设备”,会出现在“端口(COM & LPT)”下;IoRegisterDeviceInterface是关键,它能让设备被枚举为可插拔设备,并触发PnP流程。
第二步:响应PnP请求,走完生命周期
接下来,系统会发来一系列PnP IRP,你必须正确回应:
| 请求 | 作用 |
|---|---|
IRP_MN_START_DEVICE | 设备启动,初始化资源 |
IRP_MN_QUERY_REMOVE_DEVICE | 是否允许移除? |
IRP_MN_REMOVE_DEVICE | 正式卸载,释放内存 |
典型处理逻辑如下:
case IRP_MN_START_DEVICE: status = StartDevice(DeviceObject); // 分配缓冲区、启动线程等 PoStartNextPowerIrp(Irp); break; case IRP_MN_REMOVE_DEVICE: StopDevice(DeviceObject); // 清理资源 IoSkipCurrentIrpStackLocation(Irp); status = STATUS_SUCCESS; break;其中StartDevice至少要做这几件事:
- 初始化环形缓冲区头尾指针
- 创建工作线程用于后台数据处理(可选)
- 初始化同步对象(自旋锁、事件等)
- 恢复之前保存的状态(如有)
记住:任何一个PnP请求都不能漏掉!否则可能导致系统无法正常卸载设备甚至蓝屏。
兼容性杀手锏:模拟串口控制命令(IOCTL)
你以为打开、读写就够了?错。真实串口还需要支持各种配置命令,比如设置波特率、数据位、奇偶校验等。
这些都通过IOCTL 控制码实现,定义在<ntddser.h>头文件中。
最常见的几个:
| IOCTL | 功能 |
|---|---|
IOCTL_SERIAL_GET_PROPERTIES | 查询设备能力 |
IOCTL_SERIAL_SET_BAUD_RATE | 设置波特率 |
IOCTL_SERIAL_SET_LINE_CONTROL | 设置数据格式 |
IOCTL_SERIAL_WAIT_ON_MASK | 等待特定事件 |
即使你是虚拟设备,也得“装得像样”。
示例:返回串口属性
NTSTATUS HandleGetProperties(PDEVICE_OBJECT devObj, PIRP Irp) { PSERIAL_DEVICE_EXTENSION ext = (PSERIAL_DEVICE_EXTENSION)devObj->DeviceExtension; PUCHAR buf = GetIrpBuffer(Irp); // 安全获取缓冲区 if (!buf) return CompleteIrp(Irp, STATUS_INSUFFICIENT_RESOURCES, 0); PSERIAL_COMMPROP prop = (PSERIAL_COMMPROP)buf; RtlZeroMemory(prop, sizeof(*prop)); prop->PacketLength = sizeof(SERIAL_COMMPROP); prop->PacketVersion = 2; prop->MaxBaud = CBR_115200; prop->ServiceMask = SERIAL_PNP | SERIAL_DTR_CONTROL | SERIAL_RTS_CONTROL; prop->SettableBaud = SERIAL_BAUD_9600 | SERIAL_BAUD_115200 | SERIAL_BAUD_USER; prop->SettableData = SERIAL_DATABITS_8 | SERIAL_DATABITS_7; prop->SettableStopParity = SERIAL_STOPBITS_1 | SERIAL_PARITY_NONE; return CompleteIrp(Irp, STATUS_SUCCESS, sizeof(SERIAL_COMMPROP)); }尽管你根本不会改变波特率,但只要返回合理的值,PuTTY、Tera Term这类工具就能正常显示配置界面,用户一点都不会察觉这是个“假”串口。
开发避坑指南:新手最容易犯的五个错误
别笑,下面这些问题我都踩过:
❌ 忘记映射MDL导致蓝屏
直接使用Irp->UserBuffer是大忌!必须通过:
PUCHAR kernelAddr = MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);否则一旦访问无效页面,直接BSOD(蓝屏死机)。
❌ 返回PENDING却不完成IRP
如果你在读取时返回了STATUS_PENDING,就必须保证:
在未来的某个时刻,调用
IoCompleteRequest(Irp, ...)!
否则那个线程会永远卡住,文件句柄也无法关闭,最终拖垮整个系统。
❌ 忽视并发访问引发数据错乱
多个程序同时读写同一个COM口?很常见。务必使用自旋锁保护共享资源:
KIRQL oldIrql; KeAcquireSpinLock(&devExt->BufferLock, &oldIrql); // 操作RxHead/RxTail KeReleaseSpinLock(&devExt->BufferLock, oldIrql);❌ 没签名导致x64系统拒绝加载
从Vista开始,64位Windows强制要求内核驱动必须经过数字签名才能加载。
开发阶段可以用测试签名模式(bcdedit /set testsigning on),但发布前一定要走WHQL认证。
❌ 日志太少,出了问题无从查起
内核调试本来就难,没有日志简直是盲人摸象。
善用DbgPrint("Recv: %d bytes\n", len);,配合 WinDbg 或 DebugView 查看输出。
建议封装一个带前缀的日志宏:
#define LOG(fmt, ...) DbgPrint("[VSerial] " fmt "\n", __VA_ARGS__)它能用来做什么?不只是“多几个COM口”那么简单
掌握了这个技能,你能玩的花样远超想象:
🌐 网络转串口(Serial over TCP)
前端是虚拟串口驱动,后端连上TCP socket。本地程序以为在跟COM口通信,实际上数据正通过Wi-Fi传到千里之外的嵌入式设备。
工业物联网中的“串口服务器”本质就是这个原理。
🧪 自动化测试神器
让虚拟串口模拟任意响应行为:
- 收到“A”就回“ACK”
- 模拟超时、校验错误、帧丢失
- 自动生成大量随机数据用于压力测试
再也不用手动拨码开关验证协议容错性。
🔁 协议转换中间件
前端接老软件的COM口,后端转成MQTT、HTTP、WebSocket发出去。旧系统不动一行代码,就能接入现代云平台。
结语:你离成为系统级开发者只差一次尝试
Ring 0听起来神秘,其实不过是一套规则之下的编程实践。当你亲手写出第一个能在设备管理器里出现的虚拟COM口时,那种成就感,堪比第一次点亮LED。
本文带你走完了从环境搭建到核心编码的全过程,涵盖:
- WDM驱动结构设计
- IRP分发与异步处理
- PnP生命周期管理
- 串口类接口模拟
- 常见陷阱规避
下一步你可以尝试:
🔧 添加对RTS/DTR信号的模拟
📡 实现与TCP客户端的数据桥接
📦 编写INF安装文件自动注册COM端口
如果你在实现过程中遇到了具体问题,欢迎留言讨论。毕竟,每一个优秀的驱动开发者,都是从无数次蓝屏重启中走出来的。
提示:完整工程模板可在GitHub搜索 “virtual serial port driver wdm” 找到开源参考项目,推荐学习
com0com和vspe的设计思路。
