9、Windows系统机制解析

Windows系统机制解析

1. 无唤醒增强定时器

在系统运行中，我们能看到许多无唤醒（NW）增强定时器，它们会显示最小到期时间。部分定时器是周期性的（P），到期后会重新插入队列；还有一些有最大到期时间，意味着它们有指定的容差，显示了可能到期的最晚时间。最后，有一个增强定时器关联了一个回调，由Windows驱动基础（WDF）框架拥有。

示例如下：

ffffa48404c02938   18276c5890 [11/30/2020 20:50:18.943] (Interrupt) [None] NW P (27ef6380) 
ffffa483fde8e300   1827a0f6b5 [11/30/2020 20:50:19.288] (Interrupt) [None] NWF (183091c835 [11/30/2020 20:50:34.288]) 
ffffa483fde88580   1827d4fcb5 [11/30/2020 20:50:19.628] (Interrupt) [None] NWF (18290629b5 [11/30/2020 20:50:21.628])

2. 系统工作线程

2.1 系统工作线程概述

在系统初始化时，Windows会在系统进程中创建多个系统工作线程，这些线程专门为其他线程执行工作。很多情况下，在DPC/调度级别执行的线程需要执行只能在较低IRQL执行的函数。例如，DPC例程在DPC/调度级别IRQL的任意线程上下文中执行，可能需要访问分页池或等待用于与应用程序线程同步执行的调