KMDF中未分页内存的类型选择

最新推荐文章于 2020-10-08 23:16:38 发布
最新推荐文章于 2020-10-08 23:16:38 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: KMDF驱动的开发 文章标签: DRIVER_VERIFIER_DETE POOL_TYPE NonPagedPool NonPagedPoolNx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happy987818/article/details/50578370
版权
本文介绍了Windows内核驱动在分配未分页内存时,应当使用NonPagedPoolNx而非NonPagedPool以提高安全性。从Windows 8开始,NonPagedPool等同于NonPagedPoolExecute,允许代码执行,存在安全隐患。建议驱动开发者使用NonPagedPoolNx,防止恶意代码执行。
摘要由CSDN通过智能技术生成

内核驱动程序中,内存空间的动态分配不能使用C语言的malloc等函数,取而代之的是ExAllocatePoolWithTag()和ExFreePool(),使用方法举例如下:

#defineTEST_POOL_TAG            (ULONG)'test'

PUCHAR tempBuf = NULL;

tempBuf = ExAllocatePoolWithTag ( NonPagedPool,tempBufSize, TEST_POOL_TAG );

ExFreePool ( (PVOID)tempBuf ); //free memory

但此种写法在进行HLK测试时,会出现蓝屏的现象,具体的错误信息如下:

DRIVER_VERIFIER_DETECTED_VIOLATION(c4)

A device driverattempting to corrupt the system has been caught.  This is

because the driverwas specified in the registry as being suspect (by the

administrator) andthe kernel has enabled substantial checking of this driver.

If the driverattempts to corrupt the system, bugchecks 0xC4, 0xC1 and 0xA will</

最低0.47元/天 解锁文章
happy987818
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nonpaged Pool(未分页池)占用内存过多分析定位
weixin_40188600的博客
09-26 1万+
Nonpaged Pool(未分页池)占用内存过多分析定位 问题定位用到三个小工具:RAMMap、Poolmon、Strings.exe 背景:接到项目反馈,应用服务器内存占用达到80%以上,w3wp占400M,剩余的11G内存跑哪里去了呢,任务管理器看不到,但是可以看到Nonpaged Pool(未分页池)占用内存很多。非产品问题本应该由客户管理员去解决,但问题原因与之前微软case案例相似,邮...
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1563
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
文件服务器的未分页内存
weixin_34289744的博客
09-05 248
在某些情况下,由 IIS 报告的与 UNC 路径名相关的错误是由于文件服务器而不是 IIS 上的问题所引发的。如前面提到的,一个 UNC 连接可引入一个 SMB 连接。结果将创建一个或更多的工作项目 用于 SMB 连接。工作项目是 SMB 针对 I/O 操作所用的数据结构对象,可以在不同的时间以各种方式加以使用。例如,对文件执行一项操作,如:CreateFile 或 GetFileAttribut...
driver verifier查找隐藏的内存泄露BUG
lixiangminghate的专栏
10-17 3776
转自看雪论坛:http://bbs.pediy.com/showthread.php?t=186922 在原文上略作改动     verifier是微软提供的驱动测试工具,可以用来识别内存损坏、错误处理的 I/O 请求包 (IRP)、无效的直接内存访问 (DMA) 缓冲区占用、可能的死锁以及低资源模拟等情况。在开始菜单->运行中输入 verifier后,可以弹出如下菜单: 选择默认选项
PagedPool 和 NoPagedPool的区别
CSDN博客
01-02 1578
PoolType在MSDN的介绍上有N种, 其实常用的只有2种:PagedPoolNonPagedPoolPagedPool分页内存,简单来说就是物理内存不够时,会把这片内存移动到硬盘上,而NonPagedPool是无论物理内存如何紧缺,都绝对不把这片内存的内容移动到硬盘上。 在往下讲之前,先补充一个知识, 就是我们操作的内存,都是虚拟内存,和物理内存是两码事。 但虚拟内...
未公开的windows核心技术
05-07
它支持两种模式:通用WDF(UMDF)和内核模式WDF(KMDF),分别适用于不同类型的驱动程序。 - **WDK(Windows Driver Kit)**:WDK是一组工具集合,用于帮助开发者编写、调试和测试驱动程序。它包含了编译器、调试器...
开发64位系统驱动文献
04-10
此外,还要注意非分页池和分页池的使用,它们分别用于分配不会被交换到磁盘的内存和可以被交换的内存。 4. **DMA操作**:DMA在驱动开发中扮演着重要角色,它允许硬件直接读写系统内存,减少了CPU的干预。在64位系统...
WIN2000驱动程序设计中文编程资料
04-06
5. **内存管理**:驱动程序需要理解如何正确地分配和释放非分页池和分页内存,以及如何使用IoAllocateMdl等函数处理I/O缓冲区。 6. **同步和并发控制**:驱动程序需要处理多个线程的并发访问,如使用...
Windows驱动编程基础教程代码
01-30
5. 安全性和调试:驱动程序编写过程中,要特别注意避免内存泄漏、死锁等问题,同时要进行充分的测试和调试。Windows提供了Kernel Debugging工具,如KD或WinDbg,用于调试内核模式驱动。 6. 编译和安装:使用Visual ...
Windows内核情景分析上.rar
07-12
Windows内核使用分页内存管理系统,将物理内存和虚拟内存相结合,实现了动态内存分配和虚拟地址到物理地址的映射。此外,还引入了内存换页机制,以解决物理内存不足的问题。 设备驱动程序是内核与硬件之间的接口,...
windows 8开发实例
11-20
关于windows 8开发的一些示例小程序。
中国移动网站控件引发的蓝屏问题分析
weixin_30546189的博客
02-26 669
本周四(2月23日),我接到了我们同事的一个奇怪的蓝屏case,据他回忆,他最近没有安装任何软件和驱动,也没有更改计算机的硬件配置,除了Windows后台进行的自动更新之外,他实在想不起来到底对计算机有什么额外的改变。可是突然,就从前一天23日周三晚上起,他的计算机就开始蓝屏,重启之后,进系统之前就会蓝屏,或者进了系统用不到一会儿也会蓝屏。因此,他怀疑是硬件(如内存)故障导致的,或者是 Windo...
内核字符串与链表
qq_22038209的博客
01-04 613
字符串与链表Review 1.字符串操作: char *str = { “my first string” };   //ANSI字符串 wchar_t *wstr = { L“my first string” };//Unicode字符串   区别: ANSI( char)是用一个字节来表示的,最多256个符号。 Unicode( w_char )是用两个字节来表示的,能代表更多的
[Win驱动3] Windows内核态的堆管理, LookAside,链表以及运行时函数
輚至消亡
10-08 487
内存机制简述 现代操作系统一般都有分页机制,其控制方式是通过Cr0控制寄存器中的PG位,如果PG位置位则表示分页机制开启,这种机制在还未进入保护模式时就已经确定了。在32位的CPU下,假设是4KB为一页,则4GB内存可以被分成2^20个页,并且通过页表来映射到各个进程或者磁盘上去。同一页可以映射到多个进程的虚拟内存空间中。 内核态堆空间分配 内核态中可以分配分页内存以及非分页内存, 分页内存是CPU开启分页机制时才存在,如果没有开启分页机制,所有内存都是非分页的。 分页机制作用主要是为了给进程一个
分页内存和非分页内存
蜗牛的专栏
09-04 8558
分页内存和非分页内存   首先介绍几个术语: 进程上下文,就是表示进程信息的一系列东西,包括各种变量、寄存器以及进程的运行的环境。这样,当进程被切换后,下次再切换回来继续执行,能够知道原来的状态。 中断上下文,就是中断发生时,原来的进程执行被打断,那么就要把原来的那些变量保存下来,以便中断完成后再恢复。 Windows NT和Windows 98都是运行在支持虚拟地
KMDF驱动中如何通过内存映射读写硬盘原始数据
最新发布
06-02
KMDF 驱动中,可以通过内存映射的方式来读写硬盘的原始数据。具体来说,可以使用 `MmMapLockedPagesSpecifyCache` 函数将物理内存页面映射到驱动程序的虚拟地址空间中,然后使用指针访问这些内存页面,实现对硬盘数据的读写。 以下是一个示例代码: ```C NTSTATUS ReadWriteRawDiskData(PDEVICE_OBJECT DeviceObject, ULONGLONG Offset, PVOID Buffer, ULONG Length, BOOLEAN IsWrite) { NTSTATUS Status; PPHYSICAL_MEMORY_RANGE PhysicalRanges = NULL; ULONG PhysicalRangeCount = 0; PHYSICAL_ADDRESS PhysicalAddress; PVOID MappedAddress = NULL; ULONG_PTR MdlHack; ULONG_PTR PageOffset; ULONG_PTR PageCount; ULONG_PTR i; // Calculate the physical memory ranges that correspond to the buffer Status = IoGetDmaAdapter(DeviceObject, NULL, &PhysicalRanges, &PhysicalRangeCount); if (!NT_SUCCESS(Status)) { return Status; } PhysicalAddress.QuadPart = Offset; MappedAddress = MmMapLockedPagesSpecifyCache(PhysicalRanges, PhysicalRangeCount, MmCached, NULL, FALSE, HighPagePriority | MdlMappingNoExecute); if (MappedAddress == NULL) { IoFreeMapRegisters(DeviceObject->DeviceExtension, PhysicalRanges, PhysicalRangeCount); return STATUS_INSUFFICIENT_RESOURCES; } // Calculate the page offset and the number of pages MdlHack = (ULONG_PTR)(MappedAddress); PageOffset = MdlHack & (PAGE_SIZE - 1); PageCount = ADDRESS_AND_SIZE_TO_SPAN_PAGES(MdlHack - PageOffset, Length + PageOffset); // Adjust the physical address to point to the correct page PhysicalAddress.QuadPart -= PageOffset; if (IsWrite) { // Write the data to the mapped memory RtlCopyMemory((PVOID)((ULONG_PTR)MappedAddress + PageOffset), Buffer, Length); } else { // Read the data from the mapped memory RtlCopyMemory(Buffer, (PVOID)((ULONG_PTR)MappedAddress + PageOffset), Length); } // Flush the data to the disk KeFlushIoBuffers(MappedAddress, Length); // Unmap the memory MmUnmapLockedPages(MappedAddress, NULL); IoFreeMapRegisters(DeviceObject->DeviceExtension, PhysicalRanges, PhysicalRangeCount); return STATUS_SUCCESS; } ``` 在调用 `ReadWriteRawDiskData` 函数时,需要指定要读写的设备对象、读写的偏移量、读写的数据缓冲区以及要读写的数据长度等参数。例如: ```C ReadWriteRawDiskData(DeviceObject, 0x1000, pData, 0x100, FALSE); ``` 这将从设备对象 `DeviceObject` 的偏移量 `0x1000` 处开始读取长度为 `0x100` 字节的数据到缓冲区 `pData` 中。 需要注意的是,通过内存映射读写硬盘数据需要谨慎操作,因为这可能会对硬盘的数据造成破坏。在进行读写操作之前,需要确保已经对硬盘进行了备份,并且已经获得了足够的权限来进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值