多处理器环境出错
在基于 NT 的操作系统上,驱动程序是多线程的;它们可以同时接收来自不同线程的多个 I/O 请求。 在设计驱动程序时,必须假定它将在 SMP 系统上运行,并采取适当的措施来确保数据完整性。
具体而言,每当驱动程序更改全局或文件对象数据时,它必须使用锁或联锁序列来防止争用条件。
引用全局或文件对象特定的数据时遇到争用条件,在以下代码片段中,当驱动程序访问 Data.LpcInfo 上的全局数据时,可能会出现争用条件:
PLPC_INFO pLpcInfo = &Data.LpcInfo; //Pointer to global data
...
...
// This saved pointer may be overwritten by another thread.
pLpcInfo->LpcPortName.Buffer = ExAllocatePool(
PagedPool,
arg->PortName.Length);由于 IOCTL 调用而输入此代码的多个线程可能会导致内存泄漏,因为指针被覆盖。 若要避免此问题,驱动程序在更改全局数据时应使用 ExInterlockedXxx 例程或某种类型的锁。 驱动程序的要求决定了可接受的锁类型。
以下示例尝试将特定于文件的缓冲区重新分配 (Endpoint-LocalAddress>) 以保存终结点地址:
Endpoint = FileObject->FsContext;
if ( Endpoint->LocalAddress != NULL &&
Endpoint->LocalAddressLength <
ListenEndpoint->LocalAddressLength ) {
FREE_POOL (Endpoint->LocalAddress,
LOCAL_ADDRESS_POOL_TAG
);
Endpoint->LocalAddress = NULL;
}
if ( Endpoint->LocalAddress == NULL ) {
Endpoint->LocalAddress =
ALLOCATE_POOL (NonPagedPool,
ListenEndpoint->LocalAddressLength,
LOCAL_ADDRESS_POOL_TAG);
}在此示例中,访问文件对象时可能会出现争用条件。 由于驱动程序不保留任何锁,因此对同一文件对象的两个请求可以进入此函数。 结果可能是对已释放内存的引用、多次尝试释放同一内存或内存泄漏。 为了避免这些错误,应将两个 if 语句括在旋转锁中。
无法验证设备对象
许多驱动程序通过调用 IoCreateDevice 创建多种类型的设备对象。 某些驱动程序在其 DriverEntry 例程中创建控制设备对象,以允许应用程序与驱动程序通信,甚至在驱动程序创建 FDO 之前也是如此。 例如,文件系统驱动程序创建设备对象,以便在将自身注册为 使用 IoRegisterFileSystem 的文件系统时处理文件系统通知。
驱动程序应准备好为其创建的任何设备对象 IRP_MJ_CREATE 请求。 在以成功状态完成请求后,驱动程序应会收到对创建的文件对象的任何用户可访问的 I/O 请求。 因此,任何创建多个设备对象的驱动程序都必须检查每个 I/O 请求指定的设备对象。
例如,假设驱动程序在 DriverEntry 中创建整体控制设备对象,然后在其 AddDevice 例程中创建另一组设备对象。 假设 AddDevice 例程使用有关较低级别驱动程序的信息初始化设备扩展,但控制设备对象不包含此信息。 在这种情况下,所有调度例程都必须小心检查它们接收的每个设备对象。 否则,尝试使用设备扩展信息时,驱动程序可能会崩溃。
无法验证对象句柄
某些驱动程序必须操作调用方传递给它们的 对象,或者必须同时处理两个文件对象。 例如,调制解调器驱动程序可能会接收事件对象的句柄,或者网络驱动程序可能会接收两个不同文件对象的句柄。 驱动程序必须验证这些句柄。 由于它们由调用方传递,而不是通过 I/O 管理器传递,因此 I/O 管理器无法执行任何验证检查。
例如,在以下代码片段中,驱动程序已传递句柄 AscInfo->AddressHandle,但在调用 ObReferenceObjectByHandle 之前尚未对其进行验证:
//
// This handle is embedded in a buffered request.
//
status = ObReferenceObjectByHandle(
AscInfo->AddressHandle,
0,
NULL,
KernelMode,
&fileObject,
NULL);
if (NT_SUCCESS(status)) {
if ( (fileObject->DeviceObject == DeviceObject) &&
(fileObject->FsContext2 == TRANSPORT_SOCK) ) {虽然调用 ObReferenceObjectByHandle 成功,但代码无法确保返回的指针引用文件对象;它信任调用方传入正确的信息。
即使调用 ObReferenceObjectByHandle 的所有参数都正确且调用成功,如果文件对象不用于其驱动程序,驱动程序仍可能获得意外结果。 在以下代码片段中,驱动程序假定成功的调用返回指向预期文件对象的指针:
status = ObReferenceObjectByHandle (
AcpInfo->Handle,
0L,
DesiredAccess,
*IoFileObjectType,
Irp->RequestorMode,
(PVOID *)&AcpEndpointFileObject,
NULL);
if ( !NT_SUCCESS(status) ) {
goto complete;
}
AcpEndpoint = AcpEndpointFileObject->FsContext;
if ( AcpEndpoint->Type != BlockTypeEndpoint )尽管 ObReferenceObjectByHandle 返回指向文件对象的指针,但驱动程序不保证指针引用它所需的文件对象。 在这种情况下,驱动程序应在访问 AcpEndpointFileObject->FsContext 处的特定于驱动程序的数据之前验证指针。
为了避免此类问题,驱动程序应检查获取有效数据,如下所示:
- 检查对象类型,确保它是驱动程序所需的类型;
- 确保请求的访问权限适用于对象类型和所需任务。 例如,如果驱动程序执行快速文件复制,请确保句柄具有读取访问权限;
- 请确保 (UserMode 或 KernelMode) 指定正确的访问模式,并且访问模式与请求的访问权限兼容;
- 如果驱动程序需要驱动程序本身创建的文件对象的句柄,请针对设备对象或驱动程序验证句柄。 但是,请注意不要破坏为奇怪设备发送 I/O 请求的Filter;
- 如果驱动程序支持多种文件对象 ,例如控制通道、地址对象和 TDI 驱动程序的连接或文件系统 的卷、目录和 File 对象,请确保有办法区分它们;
无法检查驱动程序的状态
在以下示例中,驱动程序使用 ASSERT 宏在驱动程序映像的调试版本中检查正确的设备状态,但不在同一驱动程序源的发布版本中检查设备状态:
case IOCTL_WAIT_FOR_EVENT:
ASSERT((!Extension->WaitEventIrp));
Extension->WaitEventIrp = Irp;
IoMarkIrpPending(Irp);
status = STATUS_PENDING;在调试驱动程序映像中,如果驱动程序已保留 IRP 挂起,系统将断言。 但是,在发布版本中,驱动程序不会检查此错误。 对同一 IOCTL 的两次调用会导致驱动程序失去 IRP 的跟踪。
在多处理器系统上,此代码片段可能会导致其他问题。 假设此例程在输入时拥有 (操作此 IRP) 权限。 当例程将 Irp 指针保存在 Extension->WaitEventIrp 的全局结构中时,另一个线程可以从该全局结构获取 IRP 地址,并在 IRP 上执行操作。 若要防止此问题,驱动程序应在保存 IRP 之前将 IRP 标记为挂起,并且应在互锁序列中包含对 IoMarkIrpPending 的 调用和分配。 可能还需要 IRP 的 Cancel 例程。
扫一扫
792
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
