ProbeForRead(),ProbeForWrite()

最新推荐文章于 2024-05-13 14:08:24 发布
最新推荐文章于 2024-05-13 14:08:24 发布
阅读量4.7k 收藏
点赞数
分类专栏: windows 文章标签: windows驱动开发 内核

ProbeForRead(),ProbeForWrite()函数

ProbeForRead MSDN解释  http://msdn.microsoft.com/en-us/library/windows/hardware/ff559876%28v=vs.85%29.aspx
ProbeForWrite MSDN解释 http://msdn.microsoft.com/en-us/library/windows/hardware/ff559879%28v=vs.85%29.aspx

 ProbeForWrite (
    __inout_bcount(Length) PVOID Address,
    __in SIZE_T Length,
    __in ULONG Alignment
    )

/*++

Routine Description:

    This function probes a structure for write accessibility and ensures
    correct alignment of the structure. If the structure is not accessible
    or has incorrect alignment, then an exception is raised.

Arguments:

    Address - Supplies a pointer to the structure to be probed.

    Length - Supplies the length of the structure.

    Alignment - Supplies the required alignment of the structure expressed
        as the number of bytes in the primitive datatype (e.g., 1 for char,
        2 for short, 4 for long, and 8 for quad).

Return Value:

    None.

--*/

{

    ULONG_PTR EndAddress;
    ULONG_PTR StartAddress;

#define PageSize PAGE_SIZE

    //
    // If the structure has zero length, then do not probe the structure for
    // write accessibility or alignment.
    //

    if (Length != 0) {

        //
        // If the structure is not properly aligned, then raise a data
        // misalignment exception.
        //

        ASSERT((Alignment == 1) || (Alignment == 2) ||
               (Alignment == 4) || (Alignment == 8) ||
               (Alignment == 16));  //如果对齐值为其中的一个,则不产生断言

        StartAddress = (ULONG_PTR)Address;
        if ((StartAddress & (Alignment - 1)) == 0) {  //判断StartAddress是否为0地址打头(根据字节对齐指定多少位0)

            //
            // Compute the ending address of the structure and probe for
            // write accessibility.
            //

            EndAddress = StartAddress + Length - 1; //获得缓冲区的最后一个字节地址
            if ((StartAddress <= EndAddress) &&
                (EndAddress < MM_USER_PROBE_ADDRESS)) { //如果是合法用户地址

                //
                // N.B. Only the contents of the buffer may be probed.
                //      Therefore the starting byte is probed for the
                //      first page, and then the first byte in the page
                //      for each succeeding page.
                //
                // If this is a Wow64 process, then the native page is 4K, which
                // could be smaller than the native page size/
                //

                EndAddress = (EndAddress & ~(PageSize - 1)) + PageSize; 
                                           //这个的意思是内存对齐,(如果 EndAddress大小为1个字节, PageSize为512字节,这样对齐以后,EndAddress 就等于512了)
                do {
                    *(volatile CHAR *)StartAddress = *(volatile CHAR *)StartAddress;
                    StartAddress = (StartAddress & ~(PageSize - 1)) + PageSize;
                } while (StartAddress != EndAddress); 

                return;

            } else {
                ExRaiseAccessViolation();
            }

        } else {
            ExRaiseDatatypeMisalignment();
        }
    }

    return;
}
转自: http://bbs.pediy.com/showthread.php?p=1121442

ProbeForRead()和MmIsAddressValid()




duhaomin
关注
专栏目录
ProbeForRead&&ProbeForWrite(Windows内核学习笔记)
KOOKNUT的博客
04-01 1435
上篇博文提到了Ring0层对于Ring3层地址的校验方法,我将源码中的实现放到这里: 其中判断是否越界的那个宏: MmUserProbeAddress,在源码中没有找到它的定义,所以用Windbg看了看。 Windbg: /* ProbeForRead例程检查用户模式缓冲区是否实际驻留在地址空间的用户部分中,并且是否正确对齐。 简而言之,就是看看这块内存是否是Ring3的内存,并不检查内存是...
学习windows驱动(32位与64位兼容)
mofabang的专栏
10-30 8828
32位和64位Windows驱动有什么不同? 怎么兼容32位和64位Windows驱动?在编程的时候,32位系统跟64位系统数据类型是有些不一样的。在64位环境下,指针、句柄是64位的。 Windows为64位环境提供了一些指针类型的数据类型。固定精度的数据类型 类型 定义 DWORD32 32位无符号整数 DWORD64 64位无符号整数 INT32 32位有符号整数 INT64
probeForRead
yymiaoxin2010的博客
07-30 635
ProbeForReadProbeForWrite函数探测地址是否可读和可写
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2881
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
windows核心编程》学习笔记(一)内核对象
ASEE的专栏
02-21 1723
1.内核对象:    1).符号对象    2).事件对象    3).文件对象    4).文件影象对象    5).I/O完成对象    6).作业对象    7).信箱对象    8).互斥对象    9).管道对象    10).进程对象    11).信标对象    12).线程对象    13).等待计时器对象2.内核对象只能由内核所拥有,而不是由进程拥有.3.内核对象的数据结构有
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 976
ProbeForRead/Write开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现: ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
Windows C语言驱动遍历进程获取进程参数
05-30
要在Windows C语言驱动程序中遍历进程并获取...注意:在驱动程序中访问用户空间的数据需要使用特殊函数,如ProbeForReadProbeForWrite,以确保内存访问的安全性。此外,要在驱动程序中进行此类操作需要管理员权限。
Windows 驱动层读取用户层地址
05-31
2. 使用函数 ProbeForRead() 或 ProbeForWrite() 来验证给定的用户层地址是否具有正确的访问权限,并将其转换为内核层地址。 3. 使用函数 KeStackAttachProcess() 来切换到用户进程的上下文中,并在用户进程的地址...
BypassDriverDetection_And_Kill360Process:感谢所有帮助我的人
05-14
BypassDriverDetection_And_Kill360Process 环境:Win7 7600 x86 360版本:11.4.0.2002 目标1:绕过360加载驱动检测。...3.2、ProbeForRead() 3.3、ProbeForWrite() 3.4、总结: 三、实现代码: 1、结束进程代码
驱动漏洞中的__try和ProbeForRead
weixin_30567471的博客
11-26 224
__try,__except在HIPS驱动中的实现。 一般出现异常,流程到__except中,会直接放行。 wooyun上有一个漏洞跟这个有关: http://www.wooyun.org/bugs/wooyun-2012-013160 用PAGE_GUARD,造成第一次访问参数会出异常 mj0011,也有一个类似的ProbeBypass http://hi.baidu.c...
MmIsAddressValid、ProbeForReadProbeForWrite函数分析
zz_strive_2012的专栏
12-19 1163
MmIsAddressValid WDK文档中给出的功能描述: The MmIsAddressValid routine checks whether a page fault will occur for a read or write operation at a given virtual address. 根据描述来看这个函数的功能只是去检查读写操作会不会触发一个页错误,但是作为一个...
read与for语句循环
banboca48339的博客
08-17 646
交互输入与for语句  1.交互输入 readpython中用input()函数,进行输入;     read命令同时可以定义多个变量值;而输入的内容默认以空格符为分隔符,将值输入到对应的变量中;     如果默认值过多,最后所有的值都会被赋予给最后一个变量;     如果默认值过少,多余的变量则为空值;   示例:     read a...
Linux学习 --Shell之循环、read
qq_50929489的博客
10-06 1388
Linux学习 --Shell之循环、read,包括for循环,while循环
shell脚本的for循环与read
baconn3971的博客
08-16 587
交互输入与for语句 1、交互输入 read Python中用input()函数,进行输入; read命令同时可以定义多个变量值;而输入的内容默认以空格为分隔符,将值输入到对应的变量中; 如果默认值过多,最后所有的值都会被赋予给最后一个变量; 如果默认值过少,多余的变量则为空值; 示例: read a b c aa bb cc read如何输入: echo "请输...
shell笔记_read与for语句循环
banai1390的博客
08-23 612
交互输入与for语句 1、交互输入 read Python中用input()函数,进行输入; read命令同时可以定义多个变量值;而输入的内容默认以空格为分隔符,将值输入到对应的变量中; 如果默认值过多,最后所有的值都会被赋予给最后一个变量; 如果默认值过少,多余的变量则为空值; 示例: ...
MS08-066 : 绕过ProbeForRead/ProbeForWrite及修复
09-26 511
MS08-066 : Catching and fixing a ProbeForRead / ProbeForWrite bypass The driver afd.sys is responsible for handling socket connections.
win10驱动开发10——异常处理
qq_41610493的博客
12-05 1036
驱动内存异常 ProbeForRead 判断内存是否可读 ProbeForWrite 判断内存是否可写 ExRaiseStatus 指定状态代码触发异常 ExRaiseAccessViolation 触发STATUS_ACCESS_VIOLATION异常(访问异常) ExRaiseDatatypeMisalignment 触发STATUS_DATATYPE_MISALIGNMENT异常(数据类型异常) 注意不要通过触发异常告诉你的调用者你在普通执行状态中的信息,你完全可以返回
windows内存管理-检查内存可用性
最新发布
wendyWJGU的博客
05-13 287
windows内存管理-检查内存可用性
ProbeForWrite函数有什么用
04-04
ProbeForWrite函数是Windows内核中的一个函数,用于验证指定的内存区域是否可写。其作用是确保内核代码在访问用户空间的内存时不会导致操作系统崩溃或数据损坏。 在内核编程中,如果需要在内核代码中访问用户空间的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值