本文讨论了驱动开发中检查应用层地址有效性的问题。原本使用MmIsAddressValid函数导致误判,引起功能失效。通过分析蓝屏dump,发现应使用ProbeForRead配合try-except来安全地检查应用层地址。对于内核地址的有效性检查则更为复杂,MmIsAddressValid会考虑更多因素。博客提供了正确检查应用层地址的示例代码,强调稳定和良好编程风格的重要性。
之前有个驱动,其中有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思,所以很多本来"有效"的地址就返回了false导致了整个功能的失效。
然后我的另外一个同事就删除了这段代码:
if (!MmIsAddressValid(DbgDir))
break;结果果不其然马上就有蓝屏出现了,抓了一个dump显示在windbg蓝屏代码如下:PAGE_FAULT_IN_NONPAGED_AREA加上符号之后,发现就奔溃就在去掉MmIsAddressValid的下一行,试图解引一个地址出事了,简单调试了下发现这个地址是一个 内核模块里面,模块imagebase大概是0xFFFFF8001137000,imagesize是0xD2000,那个要解引得地址是0xFFFFF8001208500没超出imagesize,但很接近了,实际上是被释放了,直接解引肯定会出事。
其实windbg后面有行小字就说的很清楚了:Invalid system memory was referenced. This cannot be protected by try-except,it must beprotected by a Probe.简单点说就是告诉要用 try-except和ProbeForRead(), ProbeForRead()
最低0.47元/天 解锁文章
扫一扫
7112
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
