之前有个驱动,其中有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思,所以很多本来"有效"的地址就返回了false导致了整个功能的失效。
然后我的另外一个同事就删除了这段代码:
if (!MmIsAddressValid(DbgDir))
break;
结果果不其然马上就有蓝屏出现了,抓了一个dump显示在windbg蓝屏代码如下:PAGE_FAULT_IN_NONPAGED_AREA加上符号之后,发现就奔溃就在去掉MmIsAddressValid的下一行,试图解引一个地址出事了,简单调试了下发现这个地址是一个 内核模块里面,模块imagebase大概是0xFFFFF8001137000,imagesize是0xD2000,那个要解引得地址是0xFFFFF8001208500没超出imagesize,但很接近了,实际上是被释放了,直接解引肯定会出事。
其实windbg后面有行小字就说的很清楚了:Invalid system memory was referenced. This cannot be protected by try-except,it must beprotected by a Probe.简单点说就是告诉要用 try-except和ProbeForRead(), ProbeForRead()