ERESOURCE：和你玩躲猫猫

我是一直都知晓你的存在的，虽然你从未现身，任何时候都像操控着一切的隐形之手，但在我心里，你是世界的主宰，规则的制定者，高高在上的上帝。

我只是一个小螺丝钉，每天只是重复地做着我被要求的工作。关于我的出生，我并不清楚，因为我的创造者-“瓶瓶”老爷向来沉默寡言，从不多说话，并且一直都是忙忙碌碌。我也只能在他有空的时候，和他有一句没一句得聊聊天，这才从他口中得知关于我身世一星半点的信息。

听“瓶瓶”老爷说，他是最不愿意制造我们这些螺丝钉的。他说，每制造出一个，他的负担就会增加了一个，虽然我们都是他的长工，每时每刻不停得为他工作，但我们的衣食住行还是要“瓶瓶”老爷为我们打点才行，这也是忙碌的他在空闲时经常向我们发的牢骚。不过，尽管他爱发些不着边的牢骚，我们还是很喜欢他，毕竟他创造了并一直照顾着我们，我们真心地愿意为他打长工，哪怕是一辈子，只要这个世界存在并运转着。

但就在前些日子，世界不在像以前那么可靠了，原因是那只隐形的上帝之手在规则上所做的一个很小的改动，改动虽小，对我来说却是灾难，从此我的世界整个都变成瓦蓝瓦蓝的了（Blue Screen Of Death）。生活如此简单的我，与世无争，咱这井水犯不着任何一条河水，真想不到哎，躺着也会中枪。

我只是重复着做一丁点儿的事，说来也很简单：以Paging I/O的方式去从文件里读数据出来。至于为什么要以Paging I/O方式，我曾问过“瓶瓶”老爷，他说的话很长很长，很深奥很深奥，我只记住了一点点，希望我的复述你能听得明白：

我要读的文件是于用户层中打开的，而我却生活在内核里，我的另一个哥们会将用户层的HANDLE转成FileObject并交给我，之后用户层会将这个HANDLE释放掉（CloseHandle），这时候我虽然手上有Fileobject这把钥匙，但通向Cached I/O及Direct I/O的路全给封上了，只有Paging I/O这条黑路让我去走，我的职责如此，即便是刀山火海，也只能认了。但自从世界变成Win7之后，我总会遇到麻烦，连Paging I/O这条黑道有时也不让我走了，特别是看起来更炫的Win8世界，任何时候都是瓦蓝瓦蓝的。

当时我很伤心，世界一片惨蓝，我以为再也见不着太阳了。可“瓶瓶”老爷又让我重获新生。所以我更感激他了，我发誓愿意为他打二辈子长工，最多只能二辈子，不能再多了，因为我们所处的这个世界一直是很二很二的。

在世界又恢复至正常后，“瓶瓶”老爷曾对我说，或者是老爷他自言自语地说：Win7世界的NTFS动了点手脚，在获取文件ERESOURCE锁后，它会改变此ERESOURCE的Owner Thread’s Pointer（参见ExSetResourceOwnerPointer）！虽然我知道在Filter中是不应该操作此ERESOURCE锁的，但针对这种情况，也是不得已而为之，做个简单的Paging I/O也不是什么危险或惹事的操作。

“瓶瓶”老爷现在让我获取两次共享锁并在释放锁时多做个判断，你想看看我最得意时的状态吗？

0: kd> dt _ERESOURCE 0xfffffa80`02b62050; !locks -v 0xfffffa80`02b62050;
nt!_ERESOURCE
+0x000 SystemResourcesList : _LIST_ENTRY [ 0xfffffa80`02b620f8 - 0xfffffa80`029030d0 ]
+0x010 OwnerTable       : 0xfffffa80`03ba48c0 _OWNER_ENTRY
+0x018 ActiveCount      : 1
+0x01a Flag             : 0
+0x020 SharedWaiters    : (null)
+0x028 ExclusiveWaiters : (null)
+0x030 OwnerEntry       : _OWNER_ENTRY
+0x040 ActiveEntries    : 2
+0x044 ContentionCount  : 0
+0x048 NumberOfSharedWaiters : 0
+0x04c NumberOfExclusiveWaiters : 0
+0x050 Reserved2        : (null)
+0x058 Address          : (null)
+0x058 CreatorBackTraceIndex : 0
+0x060 SpinLock         : 0

Resource @ 0xfffffa8002b62050    Shared 2 owning threads
<strong>     Threads: fffffa800196ab53-01<*> *** Actual Thread fffffa800196ab50</strong>

THREAD fffffa800196ab50  Cid 1364.1368  Teb: 000007fffffde000 Win32Thread: fffff900c229fc20 RUNNING on processor 0
IRP List:
fffffa80042c2c40: (0006,0118) Flags: 00060043  Mdl: fffffa80045c7340
Not impersonating
DeviceMap                 fffff8a00256f460
Owning Process            fffffa80019b9b30       Image:         notepad.exe
Attached Process          N/A            Image:         N/A
Wait Start TickCount      8907           Ticks: 0
Context Switch Count      219                 LargeStack
UserTime                  00:00:00.000
KernelTime                00:00:00.592
Win32 Start Address 0x00000000ff383570
Stack Init fffff880171f1db0 Current fffff880171f0940
Base fffff880171f2000 Limit fffff880171e9000 Call 0
Priority 10 BasePriority 8 UnusualBoost 0 ForegroundBoost 2 IoPriority 2 PagePriority 5
Child-SP          RetAddr           Call Site
fffff880`171f17b0 fffff880`159d69de Foobar!FbDirectReadWriteSingle+0x2a1 [Foobar\read.c @ 332]
fffff880`171f1840 fffff880`159d73a8 Foobar!FbDirectReadWrite+0x85e [Foobar\read.c @ 628]
fffff880`171f1930 fffff800`01cbb1b5 Foobar!FbDispatchRead+0x18 [Foobar\read.c @ 1172]
fffff880`171f1960 fffff800`01cbac89 nt!IoPageRead+0x255
fffff880`171f19f0 fffff800`01ca165a nt!MiIssueHardFault+0x255
fffff880`171f1ac0 fffff800`01c920ee nt!MmAccessFault+0x146a
fffff880`171f1c20 00000000`ff384061 nt!KiPageFault+0x16e (TrapFrame @ fffff880`171f1c20)
00000000`000fde80 00000000`00000000 0xff384061

<strong>              fffffa800196ab50-01<*> </strong>

THREAD fffffa800196ab50  Cid 1364.1368  Teb: 000007fffffde000 Win32Thread: fffff900c229fc20
……

哈哈，不论你怎么躲，也躲不开我了，因为我知道了你所有的藏身之所。现在想改变规则了？你想怎么改呢？

我是个简单的小螺丝钉，我不惧怕任何权威，我吃苦耐劳，我要求很少，只要不让我的世界一片惨蓝，做再多的事我也愿意。

现在我的生命力更顽强了，我不仅会点自检，还会些自愈。面对这个美好的世界，只想说一句话，那就是：活着真好。

最后，我的id是“螺丝钉小P”。你的呢？我知道你有多个马甲的，嘿嘿!

摘自“螺丝钉小P”的日记（DEC/12/2012）