关于内存写保护和IRQL

最新推荐文章于 2022-06-11 01:43:27 发布
最新推荐文章于 2022-06-11 01:43:27 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 驱动

摘自胡文亮win64驱动编程基础



在内核里想要写入“别人的” 内存( 一般指 NTOS 等系统模块的内存空间),还有另外的规矩,这里又涉及到另外两个概念: IRQL 和内存保护。 IRQL 成为中断请求级别,从 031 32 个级别; 内存保护可以打开和关闭, 如果在内存处于保护状态时写入,会导致蓝屏。 一般来说,要写入别人的内核内存, 必须关闭内存写保护,并把 IRQL 提升到 2 才行(绝大多数时候 IRQL 都为 0, 当 IRQL=2 时,会阻断大部分线程执行, 防止执行出错)。 内存是否处于写保护的状态记录在 CR0 寄存器上,因此直接修改 CR0 寄存器的值即可;而提升或降低IRQL 则使用 KeRaiseIrqlToDpcLevel KeLowerIrql 实现( WIN64 IRQL 值记录在 CR8 寄存器上, 而 WIN32 IRQL 值记录在 KPCR 上)。 代码如下:
KIRQL WPOFFx64()
{
KIRQL irql=KeRaiseIrqlToDpcLevel();
UINT64 cr0=__readcr0();
cr0 &= 0xfffffffffffeffff;
__writecr0(cr0);
_disable();
return irql;
}


void WPONx64(KIRQL irql)
{
UINT64 cr0=__readcr0();
cr0 |= 0x10000;
_enable();
__writecr0(cr0);
KeLowerIrql(irql);

void test()
{
KIRQL irql=WPOFF();
RtlMoveMemory(NtOpenProcess,HookCode,15);
WPON(irql);
}

`北极星
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IRQL-thread-中文翻译.doc
01-10
windows驱动 中断请求等级 IRQL 微软IRQL_thread文档翻译 中文
IRQL_NOT_LESS_OR_EQUAL的问题终于算解决了
热门推荐
滴水穿石,点石成金
07-19 45万+
IRQL_NOT_LESS_OR_EQUAL的问题终于算解决了
Win64 驱动内核编程-21.DKOM隐藏和保护进程
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
Windows 64位驱动 关闭内存保护
whatday的专栏
07-27 4287
包含头文件#include 关闭内存保护的代码: KIRQL WPOFFx64() { KIRQL irql=KeRaiseIrqlToDpcLevel(); UINT64 cr0=__readcr0(); cr0 &= 0xfffffffffffeffff; __writecr0(cr0); _disable(); return irql; }
windows驱动 - IRQL
qq726232111的博客
12-21 453
0x00 IRQL IRQL -> Interrupt Request Level 中断请求等级 0x01 函数 KeRaiseIrqlToDpcLevel 将 硬件优先级提高到IRQL=DISPATCH_LEVEL,从而屏蔽当前处理器上等效或较低的IRQL中断 KeRaiseIrql 将硬件优先级提高到指定的IRQL值,从而屏蔽当前处理器上等效或较低IRQL中断 KeLowerIrql 将当前处理器上的IRQL还原为其原始值。 KeInitializeDpc...
电脑蓝屏死机_IRQL_NOT_LESS_OR_EQUAL_错误代码大全
轨 迹
01-24 15万+
1、0x0000000A:IRQL_NOT_LESS_OR_EQUAL  ◆错误分析:主要是由问题的驱动程序、有缺陷或不兼容的硬件与软件造成的. 从技术角度讲. 表明  在内核模式中存在以太高的进程内部请求级别(IRQL)访问其没有权限访问的内存地址.  ◇解决方案:请用前面介绍的解决方案中的2、3、5、8、9方案尝试排除. 2、0x00000012:TRAP_CAUSE_UNKNOW
Windows 驱动开发 新手入门(三)
Doub1's Blog
06-11 1711
之前的文章 Windows 驱动开发 新手入门(一) Windows 驱动开发 新手入门(二)在之前我们大概知道驱动是什么,应用层如何和内核层通信后,我打算再补充一些知识。在第一篇文章中,为了好理解,我过一句话,是,就是,在驱动中入口函数中打印,可以看见所属,也就是。我们知道在应用层开发时,通过Windows公开的API,我们可以在应用层去设置线程,进程的优先级,优先级越高,那么下次它获得CPU调度的机会就越大,此时我们可以通过SwitchToThread允许执行优先级较低的线程,或Sleep(0)立即重
中断请求级
倪勋的专栏
11-27 3098
[返回] [上一页] [下一页] 中断请求级Windows NT为每个硬件中断和少数软件事件赋予了一个优先级,即中断请求级(interrupt request level - IRQL)。IRQL为单CPU上的活动提供了同步方法,它基于下面规则:一旦某CPU执行在高于PASSIVE_LEVEL的IRQL上时,该CPU上的活动仅能被拥有更高IRQL的活动抢先。图4-1显示
windows内核开发笔记十一:IRQL级别调用说明
jyl_sh的专栏
03-22 2807
windows内核开发笔记十一:IRQL级别调用说明 IRQL是Interrupt ReQuest Level,中断请求级别。处理器在一个IRQL上执行线程代码。IRQL是帮助决定线程如何被中断的。在同一处理器上,线程只能被更高级别IRQL的线程能中断。每个处理器都有自己的中断IRQL。 常见的IRQL级别有四个:Passive、APC、 Dispatch、DIRQL。 PASSIVE_LEVEL IRQL最低级别,没有被屏蔽的中断,线程执行用户模式,可以访问分页内存。 APC_LEVEL 只有
IRQL(多线程中断请求级别)
迪迦 • 奥特曼
03-25 1945
IRQL IRQL(Interrupt ReQuest Level)中断请求级别,什么是"中断"呢? 中断就是硬件设备通过8259A中的中断控制器,向CPU发送的一个电信号,电信号表明中断控制码.CPU在收到电信号后就会停止正在执行的程序.识别控制码,根据中断码去中断向量表中找到对应的中断处理函数并执行,这时CUP就处于中断上下文中. 中断上下文就是系统代替硬件去做一些事情,进程上下文是系统代替进程做一些事情. 进程上下文是可以睡眠的,但中断上下文不可以睡眠. 中断又分为:外部中断和内部中断.由CPU内部引
关于中断处理程序中的关中断函数disable_irq和disable_irq_nosync
joard_yang的专栏
02-23 1789
disable_irq关闭中断并等待中断处理完后返回, 而disable_irq_nosync立即返回. 那么在中断处理程序中应该使用哪一个函数来关闭中断呢?在<linux设备驱动开发详解>中的按键驱动中, 使用disable_irq来关闭中断, 但是我在测试时进入中断后系统会死在中断处理程序, 而改为disable_irq_nosync则能正常退出中断处理程序.下面从内核代码来找一下原因:先看一下disable_irq_nosync,内核代码中是这样解释的:<br />/**<br /> *    dis
Scheduling, Thread Context, and IRQL
07-08
This paper presents information about how thread scheduling, thread context, and a processor’s current interrupt request level (IRQL) affect the operation of kernel-mode drivers for the Microsoft® ...
Scheduling, Thread Context, and IRQL.pdf
11-10
Scheduling, Thread Context, and IRQL.pdf
Scheduling, Thread Context, and IRQL.doc
11-10
Scheduling, Thread Context, and IRQL.doc
windows帮助文档
06-29
Scheduling, Thread Context, and IRQL Locks, Deadlocks, and Synchronization
中断级别提升修改
dengjiatao9832的博客
09-21 153
KeGetCurrentIrql 获取当前IRQL级别 KeRaiseIrql 提高IRQL级别 KeLowerIrql 恢复IRQL级别 转载于:https://www.cnblogs.com/IMyLife/p/4826203.html
windows驱动开发---中断级(IRQL
Taozigu
10-22 6596
最近开始入门windows 驱动开发,遇到一个IRQL。不知道何解,于是找了些资料,顺带记录下。下面的东西可能有不准确,如发现错误之处请指正,以免误导他人(罪过),谢谢!。 1.什么是中断级(IRQL中断是一个大家都很熟悉的概念,这里只通俗的解释一下。假如我正在课堂看小说,这时老师过来了,于是我以大家都有的速度迅速将将小说切换为课本。这个过程中,“老师过来”中断了“看小说”转而为“看课本”
过TP保护与解除游戏驱动保护(可以借鉴)
eldn__的专栏
02-23 3万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
Win64 驱动内核编程-3.内核里使用内存
天使也掉毛
03-04 4580
内核里使用内存 内存使用,无非就是申请、复制、设置、释放。在 C 语言里,它们对应的函数是:malloc、memcpy、memset、free;在内核编程里,他们分别对应 ExAllocatePool、RtlMoveMemory、 RtlFillMemory、ExFreePool。它们的原型分别是:                                需要注意的是,RtlFi
irql not less or equal
最新发布
03-16
"IRQL NOT LESS OR EQUAL"是Windows系统中常见的蓝屏错误。这通常是由于驱动程序或硬件问题导致的。请检查您的系统是否有损坏或过时的驱动程序,并尝试更新或卸载它们。如果问题仍然存在,建议您运行系统检查或联系...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值