转载:
在驱动程序编写中,分配和管理内存不能使用熟知的Win32 API函数,取而代之的是DDK提供的高效的内核函数。程序员
必须小心地使用这些内存相关的内核函数,因为在内核模式下,OS不会检查内存使用的合法性。
1、 内存管理概念
1、1 物理内存概念(Physical Memory Address)
PC上有三条总线,分别是数据总线,地址总线和控制总线。32位的CPU的寻址能力为4G(2的32次方)个字节。用户最多可以使用4G的真实的物理内存。(所以在一般的XP电脑中只能使用4G的内存条,而在64位的电脑中却可以用4G以上的内存条)
PC中会拥有很多设备,其中很多设备都提供了自己的设备内存。例如,显卡就会提供自己的显存。这部分内在会映射到PC的物理内存上,
也就是读写这段物理地址,其实会读写的设备内存地址,而是不会写物理内存地址。
下图是我PC中显卡的显存地址,一个设备可以有好几块设备内存映射到物理内存上:
1、2 虚拟内存地址概念(Virtual Memory Address)
虽然可以寻址4G的内存,而在PC 往往没有如此多的真实物理内存。操作系统和硬件(这里指的是CPU中的内存管理单元MMU)为使用者提供了虚拟内存的根据。
Windows的所有程序(包括Ring0层和Ring3层的程序)可以操作的都是虚拟内存。之所以称为虚拟内存,是因为对它的所有操作,最终会变成一系列对真实内存的操作。
转换的过程是,在CPU中有一个重要的寄存器CR0,它是32位的寄存器,其中一个位(PG位)是负责告诉系统是否分页的。
Windows在启动前会将它的PG位置置1,即Windows允许分页。DDK中有个宏PAGE_SIZE记录着分页的大小,一般为4KB。
其中有一部分单元会和物理内存对应起来,即虚拟内存中第N个分页单元对应着物理内存第M个分页单元。这种对应不是一一对应,而是多对一映射的,多个虚拟内存页
可以映射到同一个物理内存页。
还有一部分单元会被映射成磁盘上的文件,并标记为脏的(Dirty)。读取这段虚拟内存时,系统会发出一个异常,此时会触发异常处理函数,异常处理函数会将
这个分页的磁盘文件读入内存,并将标记设置为不脏。当让经常不读写的内存页,可以交替(Swap)成文件,并将此页设置为脏。
还有一部分单元什么也没有对应,即空的。
1、3 用户模式地址和内核模式地址
虚拟地址在0-0x7FFFFFFF范围内的虚拟内存,即低2GB的虚拟地址,被称为用户模式地址,而0x80000000-0xFFFFFFFF范围内的虚拟内存,即高2G的虚拟内存,被称为内核模式地址。Windows规定运行在用户态(Ring3层)的程序,只能访问用户模式地址,而运行在核心态(Ring0层)的程序,可以访问整个4G的虚拟内存,即用户模式地址和内核模式地址。
Windows的核心代码和Windows的驱动程序加载的位置都是在高2G的内核地址里,所以一般应用程序是不能访问到这些核心代和重要数据的。这大大提高了系统的稳健性。
同时Windows操作系统在进程切换时,保持内核模式的地址是完全相同的,也就是说,所有进程的内核地址映射完全一致,进程切换时,只改变用户模式地址的映射。
1、4 Windows驱动程序和进程的关系
驱动程序可以看成是一个特殊的DLL,文件被应用程序加载到虚拟内存中,只不过加载地址是内核模式地址,而不是用户模式地址。
它能访问的只是这个进程的虚拟内存,而不能是其他进程的虚拟地址。
Window驱动程序里的不同例程运行在不同的进程中。
DriverEntry例程和AddDevice例程是运行在系统(System)进程中的,这个进程是Window中非常重要的进程,也是Windos第一个运行的进程。
当需要加载的时候,这个进程中会有一个线程将驱动程序加载到内核模式地址空间内,并调用DriverEntry例程。
而其它一些例程,如IRP_MJ_READ和IRP_MJ_WRITE的派遣函数会运行于应用程序的“上下文”中,所谓运行在进程的“上下文”,指的是运行于某个进程的环境中,
所能访问的虚拟地址是这个进程的虚拟地址。
有个技巧可以看出代码是运行于某个进程的上下文中,在代码中打印一行log信息,这行信息打印出当前进程的进程名。如果当前进程是发起I/O请求的进程,
则说明在进程的“上下文”中。下面给出的函数可以显示出当前进程的进程名,我们可以在任意的例程中调用这个函数,然后用DebugView软件查看LOG信息。
- VOID DisplayItsProcessName()
- {
- // 得到当前进程
- PEPROCESS pEProcess = PsGetCurrentProcess();
- // 得到当前进程名称
- PTSTR ProcessName = (PTSTR)((ULONG)pEProcess + 0x174);
- KdPrint(("%s\n", ProcessName));
- }
其中,PsGetCurrentProcess函数是得到当前运行的进程,它是EPROCESS的结构体,然而EPROCESS这个结构体是微软没有公开的结构体,其中0x174偏移的位置,
记录一个字符串指针。有兴趣的,可以利用WinDbg工具,查看该结构体的内容。和版本Windows的该结构,可能有些差别,下面是在Winows XP SP2的机器上用
WindDbg查看该结构的结果。如下:
1、5 分页和非分页内存
Windows规定有些虚拟内存页面是可以交换到文件中的,这类内存被称为分页内存;
而有些虚拟内存页永远不会交换到文件中,这些内存被称为非分页内存。
当程序的中断请求级在DISPATCH_LEVEL之上时(包括DISPATCH_LEVEL层),程序只能使用非分页内存,否则会导致蓝屏死机。
在编译DDK提供的例程时,可以指定某个例程和某个全局变量是载入分页内存还是非分页内存,需要自己做如下定义:
- #define PAGEDCODE code_seg("PAGE")
- #define LOCKEDCODE code_seg()
- #define INITCODE code_seg("INIT")
- #define PAGEDDATA data_seg("PAGE")
- #define LOCKEDDATA data_seg()
- #define INITDATA data_seg("INIT")
如果将某个函数载入到分页内存中,我们需要在函数的实现中加入以下代码:
- #pragma PAGEDCODE
- VOID SomeFunction()
- {
- PAGED_CODE();
- }
其中,PAGED_CODE是DDK提供的宏,它只在check版本中生效,它会检查这个函数是否运行低于DISPATCH_LEVEL的中断请求级,如果
等于或高于这个中断请求级,将产生一个断言。
- #if DBG
- #define PAGED_CODE() \
- { if (KeGetCurrentIrql() > APC_LEVEL) { \
- KdPrint(( "EX: Pageable code called at IRQL %d\n", KeGetCurrentIrql() )); \
- ASSERT(FALSE); \
- } \
- }
- #else
- #define PAGED_CODE() NOP_FUNCTION;
- #endif
如果让函数加载到非分页内存中,需要在函数的实现加如下代码:
- #pragma LOCKEDCODE
- VOID SomeFunction()
- {
- // 做一些其他事情
- }
还有一种特殊情况,就是某个例程需要在初始化的时候载入内存,然后就可以从内存中卸载掉。这种情况指出现在DriverEntry情况下;
尤其是NT式的驱动,DriverEntry会很长,占据很大的空间,为了节省内存,需要及时从内存中卸载掉。代码如下:
- #pragma INITCODE
- extern "C" NTSTATUS DriverEntry (
- IN PDRIVER_OBJECT pDriverObject,
- IN PUNICODE_STRING pRegistryPath )
- {
- // 做一些事情
- }
1、6 分配内核内存
Windows驱动程序使用的内存资源非常珍贵,分配内存时要尽量节约。和应用程序一样,局部变量是在存放在(Stack)空间中的,但栈空间不会像应用程序那么大,
所以驱动程序不适合递归调用或局部变量是大型结构体。如果需要大型结构体,请在堆(Heap)中申请。
堆中申请内存的函数有以下几个,原型如下:
- NTKERNELAPI
- PVOID
- ExAllocatePool(
- IN POOL_TYPE PoolType,
- IN SIZE_T NumberOfBytes
- );
- NTKERNELAPI
- PVOID
- NTAPI
- ExAllocatePoolWithTag(
- IN POOL_TYPE PoolType,
- IN SIZE_T NumberOfBytes,
- IN ULONG Tag
- );
- NTKERNELAPI
- PVOID
- NTAPI
- ExAllocatePoolWithQuota(
- IN POOL_TYPE PoolType,
- IN SIZE_T NumberOfBytes,
- );
- NTKERNELAPI
- PVOID
- ExAllocatePoolWithQuotaTag(
- IN POOL_TYPE PoolType,
- IN SIZE_T NumberOfBytes,
- IN ULONG Tag
- );
** PoolType是个枚举变量,如果此值为NonPagedPool,则分配非分页内存,如果此值为PagedPool,则分配内存为分页内存、、、
- typedef enum _POOL_TYPE {
- NonPagedPool,
- PagedPool,
- NonPagedPoolMustSucceed,
- DontUseThisType,
- NonPagedPoolCacheAligned,
- PagedPoolCacheAligned,
- NonPagedPoolCacheAlignedMustS,
- MaxPoolType
** NumberOfBytes是分配内存的大小,注意最好是4的倍数。
** 返回值分配的内存地址,一定是内核模式地址,如果返回0,则代表分配失败。
以上四个函数功能类似,函数以WithQuota结尾的代码分配时按配额分配;
函数以WithTag结尾的函数,和ExtAllocatePool功能类似,唯一不同的是多了一个Tag参数,系统在要求的内存外又额外多分配了4个字节的标签。在调试时,可以找到是否有标有这个标签的内存没有被释放。
将分配的内存,进行回收的函数是ExtFreePool()和ExtFreePoolWithTag。
2、在驱动中使用链表
在驱动程序开发中,经常使用链表这种数据结构,DDK为用户提供两种链表的数据结构,简化了对链表的操作。
链表中可以记录将整型、浮点、字符型或者程序员自定义的数据结构。链表通过指针将这些数据结构组成一个“链”,链中每个元素对应着记录的数据。
对于单向链表,每个元素中有一个Next指针指向一下元素。对于双向链表,每个元素有两个指针:BLINK指针指向前一个元素,FLINK指向后一个元素。
2、1 链表结构
DDK提供了标准的双向链表,双向链表可以将链表形成一个环。BLINK指针指向前一个元素,FLINK指向后一个元素。
以下是DDK提供的双向链表的数据结构。读者会奇怪这个数据只有指向前后的指针,而没有数据,这个问题在下一节介绍。
- typedef struct _LIST_ENTRY {
- struct _LIST_ENTRY *Flink;
- struct _LIST_ENTRY *Blink;
- } LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;
2、2 链表初始化
每个双向链表都是以一个链表头作为链表的第一个元素。初次使用链表需要初始化,主要将链表头FLink和BLink两个指针指向自己,这意味着链表空。如下所示。
如何判断链表是否为空,可以判断链表头的FLink和Blink是否指向自己。DDK为程序员提供一个宏简化这种检查,这就是IsListEmpty。
- #define IsListEmpty(ListHead) \
- ((ListHead)->Flink == (ListHead))
程序员需要自己定义链表中每个元素的数据类型,并将LIST_ENTRY结构作为自定义结构的一个子域。LIST_ENTRY的作用是将自定义的
数据结构串成一个链表。
- typedef struct _WORK_QUEUE_ITEM {
- LIST_ENTRY List;
- PWORKER_THREAD_ROUTINE WorkerRoutine;
- PVOID Parameter;
- } WORK_QUEUE_ITEM, *PWORK_QUEUE_ITEM;
2、3 从首部插入链表
对链表的插入有两种方式,一种是在链表的头部插入,一种是在链表的尾部插入。
在头部使用的语句是InsertHeadList,用法如下:
- InsertHeadList(&targetPortGroup->TargetPortList, &listEntry->ListEntry);
其中targetPortGroup->TargetPortList是LIST_ENTRY结构的链表头,listEntry是用户定义的数据结构,而它的子域ListEntry是包含其中的LIST_ENTRY数据结构。
假设链表中已经有一个元素Entry1,如下图,现在将另外一个元素Entry2插入链表,InsertHeadList插入后的结果如下:
2、4 从尾部插入链表
使用语句InsertTailList,
2、5 从链表删除
和插入链表一样,删除也有两种对应的方法,一种是从链表头删除,一种是从链表尾部删除。分别对应RemoveHeadList和RemoveTailList函数。用法如下:
- Entry = RemoveHeadList( &VolDo->OverflowQueue );
- RemoveTailList( &InstCtx->QueueHead );
其中VolDo->OverflowQueue是链表头,Entry是从链表删除下来的元素中的ListEntry,这里有一个问题,就是如何从pEntry得到用户自定义的数据结构的指针,有以下两种情况。
(1)当自定义数据结构的第一个字段是LIST_ENTRY时,如:
- typedef struct _WORK_QUEUE_ITEM {
- LIST_ENTRY List;
- PWORKER_THREAD_ROUTINE WorkerRoutine;
- PVOID Parameter;
- } WORK_QUEUE_ITEM, *PWORK_QUEUE_ITEM;
此时,RemoveHeadList 返回的指针可以当做用户自定义的指针,即:
- PLIST_ENTRY pEntry = RemoveHeadList(&head);
- PWORK_QUEUE_ITEM pMyData = (PWORK_QUEUE_ITEM)pEntry;
(2)当自定义的数据结构第一个字段不是LIST_ENTRY时,如:
- typedef struct _IRP_CONTEXT_LITE {
- // Type and size of this record (must be CDFS_NTC_IRP_CONTEXT_LITE)
- NODE_TYPE_CODE NodeTypeCode;
- NODE_BYTE_SIZE NodeByteSize;
- // Fcb for the file object being closed.
- PFCB Fcb;
- // List entry to attach to delayed close queue.
- LIST_ENTRY DelayedCloseLinks;
- // User reference count for the file object being closed.
- ULONG UserReference;
- // Real device object. This represents the physical device closest to the media.
- PDEVICE_OBJECT RealDevice;
- } IRP_CONTEXT_LITE;
此时,RemoveHeadList 返回的指针不能当做用户的自定义的指针。此时需要通过返回指针的地址逆向算出自定义数据的指针。一般通过RemoveHeadList返回指针在自定义数据中的偏移量,用返回指针减去这个偏移量,就会得到用户自定义结构的指针的地址。
如下图,指针A是自定义的数据地址,指针B是自定义数据结构中的pEntry 。
为了简化这个操作,DDK为程序员提供了宏CONTAINING_RECORD,其用法如下:
- PIRP_CONTEXT_LITE NextIrpContextLite = CONTAINING_RECORD( Entry,
- IRP_CONTEXT_LITE,
- DelayedCloseLinks );
CONTAINING_RECORD的第一参数是相当于上图中的指针B,第二个参数是数据结构的名字,第三个参数是数据结构中的字段,返回相当于上图中的A。
2、6 实验
- #pragma INITCODE
- VOID LinkListTest()
- {
- LIST_ENTRY linkListHead;
- //初始化链表
- InitializeListHead(&linkListHead);
- PMYDATASTRUCT pData;
- ULONG i = 0;
- //在链表中插入10个元素
- KdPrint(("Begin insert to link list"));
- for (i=0 ; i<10 ; i++)
- {
- pData = (PMYDATASTRUCT)
- ExAllocatePool(PagedPool,sizeof(MYDATASTRUCT));
- pData->number = i;
- InsertHeadList(&linkListHead,&pData->ListEntry);
- }
- //从链表中取出,并显示
- KdPrint(("Begin remove from link list\n"));
- while(!IsListEmpty(&linkListHead))
- {
- PLIST_ENTRY pEntry = RemoveTailList(&linkListHead);
- pData = CONTAINING_RECORD(pEntry,
- MYDATASTRUCT,
- ListEntry);
- KdPrint(("%d\n",pData->number));
- ExFreePool(pData);
- }
- }
3 、Lookaside结构
频繁申请和回收内存,会导致在内存上产生大量的内存“空洞”,从而导致最终无法申请内存。DDK为程序员提供了Lookaside结构来解决这个问题。
3、1 频繁申请内存的弊端
如下图显示,在内存中先后申请三块内存。最开始可用的内存是连续的。当某个时刻内存块2被回收后,如果系统想分配一块略大于原先的块2的内存,这时原先的内存
2就不能被申请成功,因此频繁地申请、回收内存会导致在内存上产生大量的内存空洞。
3、2 使用Lookaside
如果驱动程序频繁地从内存中申请、回收固定大小的内存,DDK提供了一种机制来解决这个问题,就是使用Lookaside 对象。
可将Lookaside对象想象成一个内存容器。在初始时,它先向Windows申请了一块比较大的内存,以后程序员每次申请内存时,不是直接向Windows申请内存,
而是向Lookaside对象申请内存。Lookaside对象会智能地避免产生内存“空洞”。
如果Lookaside对象内部的内存不够时,它会向操作系统申请更多的内存。当Lookaside对象内部有大量未使用的内存时,它会让Winodws回收一部分内存。
总之,Lookaside是一个自动的内存分配容器。通过对Lookaside对象申请内存,效率高于直接向Windows申请内存。
Loodaside一般会在以下情况下使用:
(1)程序员每次申请固定大小的内存;
(2)申请和回收操作十分频繁。
如果程序员遇到上述两种情况,可以考虑使用Lookaside对象,驱动程序中的运行效率是程序员必须考虑的问题。如果驱动程序效率低,会严重影响到OS的性能。
使用Lookaside,首先要初始化Lookaside对象,有以下两个函数可用:
- NTKERNELAPI
- VOID
- ExInitializeNPagedLookasideList (
- IN PNPAGED_LOOKASIDE_LIST Lookaside,
- IN PALLOCATE_FUNCTION Allocate,
- IN PFREE_FUNCTION Free,
- IN ULONG Flags,
- IN SIZE_T Size,
- IN ULONG Tag,
- IN USHORT Depth
- );
- NTKERNELAPI
- VOID
- ExInitializePagedLookasideList (
- IN PPAGED_LOOKASIDE_LIST Lookaside,
- IN PALLOCATE_FUNCTION Allocate,
- IN PFREE_FUNCTION Free,
- IN ULONG Flags,
- IN SIZE_T Size,
- IN ULONG Tag,
- IN USHORT Depth
- );
这两个函数分别是对非分页和分页Loodaside对象进行初始化。
在初始化完成Lookaside对象后,可以进行申请内存操作了,有以下两个函数:
- __inline
- PVOID
- ExAllocateFromNPagedLookasideList(
- IN PNPAGED_LOOKASIDE_LIST Lookaside
- )
- __inline
- PVOID
- ExAllocateFromPagedLookasideList(
- IN PPAGED_LOOKASIDE_LIST Lookaside
- )
这两个函数分别是对非分页和分页的内存的申请。
对Lookaside对象回收内存操作,有以下函数:
- __inline
- VOID
- ExFreeToNPagedLookasideList(
- IN PPAGED_LOOKASIDE_LIST Lookaside,
- IN PVOID Entry
- )
- __inline
- VOID
- ExFreeToPagedLookasideList(
- IN PPAGED_LOOKASIDE_LIST Lookaside,
- IN PVOID Entry
- )
使用完Lookaside对象后,需要删除Lookaside对象,有以下函数:
- NTKERNELAPI
- VOID
- ExDeleteNPagedLookasideList (
- IN PPAGED_LOOKASIDE_LIST Lookaside
- );
- NTKERNELAPI
- VOID
- ExDeletePagedLookasideList (
- IN PPAGED_LOOKASIDE_LIST Lookaside
- );
3、3 实验
- typedef struct _MYDATASTRUCT
- {
- CHAR buffer[64];
- } MYDATASTRUCT, *PMYDATASTRUCT;
- #pragma INITCODE
- VOID LookasideTest()
- {
- //初始化Lookaside对象
- PAGED_LOOKASIDE_LIST pageList;
- ExInitializePagedLookasideList(&pageList,NULL,NULL,0,sizeof(MYDATASTRUCT),'1234',0);
- #define ARRAY_NUMBER 50
- PMYDATASTRUCT MyObjectArray[ARRAY_NUMBER];
- //模拟频繁申请内存
- for (int i=0;i<ARRAY_NUMBER;i++)
- {
- MyObjectArray[i] = (PMYDATASTRUCT)ExAllocateFromPagedLookasideList(&pageList);
- }
- //模拟频繁回收内存
- for (i=0;i<ARRAY_NUMBER;i++)
- {
- ExFreeToPagedLookasideList(&pageList,MyObjectArray[i]);
- MyObjectArray[i] = NULL;
- }
- ExDeletePagedLookasideList(&pageList);
- //删除Lookaside对象
- }
4、运行时函数
4、1 内存间复制(非重叠)
在驱动程序开发中,经常会用到内存的复制。例如,将需要显示的内容,从缓冲区复制到显卡内存中。
DDK为程序员提供以下函数:
- NTSYSAPI
- VOID
- NTAPI
- RtlCopyMemory (
- VOID UNALIGNED *Destination,
- CONST VOID UNALIGNED *Source,
- SIZE_T Length
- );
Destination:表示要复制内存的目的地址;
Source: 表示要复制内存的源地址;
Length: 表示要复制的内存的长度,单位是字节。
和RtlCopyMemory功能类似的函数有RtlCopyBytes,这两个函数的参数全部一样,功能也完全一样,只是在不同的平台下有不同的实现。
在Inter 32位的CPU平台下,这两个函数其实是两个宏。
- #define RtlCopyBytes RtlCopyMemory
另外Windows XP DDK又添加了一个新的函数RtlCopyMemory32,这个函数不是依靠memcpy实现的,因为是针对32位搬移,速度做了优化。
- NTSYSAPI
- VOID
- NTAPI
- RtlCopyMemory32 (
- VOID UNALIGNED *Destination,
- CONST VOID UNALIGNED *Source,
- ULONG Length
- );
4、2 内存间复制(可重叠)
用RtlCopyMemory可以复制内存,但其内部没有考虑内存重叠的情况。如下图所示,有三段等长的内存,ABCD分别代表三段内存的起始地址和终止地址。
如果需要将A到C段的内存复制到B到D这段上,这时B到C的内存是重叠的部分。
RtlCopyMemory函数的内部实现是依靠memcpy函数实现的。依据C99定义,memcpy没有考虑重叠部分,因此它不能保证重叠部分是否被复制。
为了保证重叠部分也能被正确复制,C99规定memmove函数完成这个任务,这个函数对两个内存内容是否重叠进行了判断,这种判断牺牲了速度。
如果程序员能确保复制的内存没重叠,请选择使用memcpy 函数。DDK用宏对memmove进行了封装,名称变为RtlMoveMemory。
- NTSYSAPI
- VOID
- NTAPI
- RtlMoveMemory (
- VOID UNALIGNED *Destination,
- CONST VOID UNALIGNED *Source,
- SIZE_T Length
- );
4、3 填充内存
在驱动开发中,还经常用到对某段内存区域用固定字节填充。DDK为程序员提供了函数RtlFillMemory,它在32平台下是个宏,实际函数是memset函数。
- NTSYSAPI
- VOID
- NTAPI
- RtlFillMemory (
- VOID UNALIGNED *Destination,
- SIZE_T Length,
- UCHAR Fill
- );
Fill: 需要填充的字节
在驱动程序开发中,还经常对某段内存填零,DDK提供的宏是RtlZeroBytes和RtlZeroMemory。
- NTSYSAPI
- VOID
- NTAPI
- RtlZeroMemory (
- VOID UNALIGNED *Destination,
- SIZE_T Length
- );
4、4 内存比较
在驱动开发中,还会用到比较两块内存是否是一致的,该函数是RtlCompareMemory。
- NTSYSAPI
- SIZE_T
- NTAPI
- RtlCompareMemory (
- const VOID *Source1,
- const VOID *Source2,
- SIZE_T Length
- );
Source1:比较的第一个内存地址;
Source2:比较的第二个内存地址;
Length : 比较的长度;
4、5 关于运行时函数的注意事项
DDK提供的标准的运行时函数名都是RtlXXX形式的,其中,大部分以宏的形式给出的,例如RtlCopyMemory就是一个宏,定义为:
- #define RtlEqualMemory(Destination,Source,Length) (!memcmp((Destination),(Source),(Length)))
- #define RtlMoveMemory(Destination,Source,Length) memmove((Destination),(Source),(Length))
- #define RtlCopyMemory(Destination,Source,Length) memcpy((Destination),(Source),(Length))
- #define RtlFillMemory(Destination,Length,Fill) memset((Destination),(Fill),(Length))
- #define RtlZeroMemory(Destination,Length) memset((Destination),0,(Length))
memcpy这些函数是由ntoskrnl.exe导出的函数。
下面通过VC提供的工具Depends查看这些导出函数。
用Depends工具打开编译的DDK驱动程序,显示出以下4部信息:
(1)标号为1的窗口,可以看出驱动程序HelloDDK.sys依赖的动态链接库(ntoskrnl.exe)。一般的动态链接库都是以DLL文件存在的,而ntoskrnl.exe却是以EXE文件形式
存在的。但不管什么,它都是PE格式文件。ntoskrnl.exe同时依赖于三个动态链接库。
(2)标号为2的窗口,列出了HelloDDK.sys中使用的ntoskrnl.exe的导出函数。例如,这个驱动程序中用到了RtlCopyMemory宏,而这个宏的定义是memcopy函数,
因此在导出函数中可以找到memcopy函数。
4、6 实现
- #pragma INITCODE
- VOID RtlTest()
- {
- PUCHAR pBuffer = (PUCHAR)ExAllocatePool(PagedPool,BUFFER_SIZE);
- //用零填充内存
- RtlZeroMemory(pBuffer,BUFFER_SIZE);
- PUCHAR pBuffer2 = (PUCHAR)ExAllocatePool(PagedPool,BUFFER_SIZE);
- //用固定字节填充内存
- RtlFillMemory(pBuffer2,BUFFER_SIZE,0xAA);
- //内存拷贝
- RtlCopyMemory(pBuffer,pBuffer2,BUFFER_SIZE);
- //判断内存是否一致
- ULONG ulRet = RtlCompareMemory(pBuffer,pBuffer2,BUFFER_SIZE);
- if (ulRet==BUFFER_SIZE)
- {
- KdPrint(("The two blocks are same.\n"));
- }
- }
5、使用C++特性分配内存
在C++语言中分配内存时,可以使用new操作符,回收内存时使用delete操作符。但是在驱动程序中,使用new和delete操作符,将得到错误的链接提示。如:
- PCHAR p = new CHAR[1024];
编译时,会得到以下错误:
- 1>Driver.obj : error LNK2019: 无法解析的外部符号 "void * __cdecl operator new(unsigned int)" (??2@YAPAXI@Z),该符号在函数 "void __stdcall RtlTest(void)" (?RtlTest@@YGXXZ) 中被引用
- 1>MyDriver_Check/HelloDDK.sys : fatal error LNK1120: 1 个无法解析的外部命令
如果希望在驱动程序中使用new和delete操作符,应该对new和delete操作符进行重载。
new和delete操作符可以通过内核函数ExAllocatePool 和回收函数ExFreePool实现。同时还可通过new操作符指定颁布内存还是非分布内存。
以下给出示例代码:
- //全局new操作符
- void * __cdecl operator new(size_t size,POOL_TYPE PoolType=PagedPool)
- {
- KdPrint(("global operator new\n"));
- KdPrint(("Allocate size :%d\n",size));
- return ExAllocatePool(PagedPool,size);
- }
- //全局delete操作符
- void __cdecl operator delete(void* pointer)
- {
- KdPrint(("Global delete operator\n"));
- ExFreePool(pointer);
- }
- class TestClass
- {
- public:
- //构造函数
- TestClass()
- {
- KdPrint(("TestClass::TestClass()\n"));
- }
- //析构函数
- ~TestClass()
- {
- KdPrint(("TestClass::~TestClass()\n"));
- }
- //类中的new操作符
- void* operator new(size_t size,POOL_TYPE PoolType=PagedPool)
- {
- KdPrint(("TestClass::new\n"));
- KdPrint(("Allocate size :%d\n",size));
- return ExAllocatePool(PoolType,size);
- }
- //类中的delete操作符
- void operator delete(void* pointer)
- {
- KdPrint(("TestClass::delete\n"));
- ExFreePool(pointer);
- }
- private:
- char buffer[1024];
- };
- void TestNewOperator()
- {
- TestClass* pTestClass = new TestClass;
- delete pTestClass;
- pTestClass = new(NonPagedPool) TestClass;
- delete pTestClass;
- char *pBuffer = new(PagedPool) char[100];
- delete []pBuffer;
- pBuffer = new(NonPagedPool) char[100];
- delete []pBuffer;
- }
3279
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
