Run-down Protection

最新推荐文章于 2021-09-06 16:56:08 发布
最新推荐文章于 2021-09-06 16:56:08 发布
阅读量839 收藏 1
点赞数

原文连接:

http://bbs.pediy.com/showthread.php?t=173763

NT 5.1 内核引入的Run-down Protection


XP以后的windows内核,引用了一种新的同步技术,微软叫它: Run-down Protection。这种同步技术至今还很神密,连很多搞内核和驱动很有经验的朋友,和他们讨论起来的时候,了解的人也不多。所以今天我写篇短文简单介绍一下。

我们知道对象的删除在并行系统中是一个问题,如果一个对象一个执行流在使用对象,而另一个执行流却在删除对象,就会出现问题。解决这个问题的一个办法就是引用计数。我们今天介绍的 Run-down Protection 其实也就是引用计数,不过它还做了一些额外的工作。

Drivers can use run-down protection to safely access objects in shared system memory that are created and deleted by another kernel-mode driver.

这句话是微软MSDN里的介绍。简单点说,就是为了保护对象的安全的删除。现在XP中,主要用它来保护内核中进程对象和线程对象的删除。

我这里主要介绍它的四个例程  ExfInitializeRundownProtection,ExfAcquireRundownProtection, ExfReleaseRundownProtection,ExfWaitForRundownProtectionRelease

指出一下,在内核导出时,为这几个函数使用了别名, Exf的前缀换成了Ex。 例如 ExfInitializeRundownProtection 变成了 ExInitializeRundownProtection。

下面我一一介绍。 先说一下功能,顺便说一下原理。

代码: 
typedef struct _EX_RUNDOWN_REF {

#define EX_RUNDOWN_ACTIVE      0x1
#define EX_RUNDOWN_COUNT_SHIFT 0x1
#define EX_RUNDOWN_COUNT_INC   (1<<EX_RUNDOWN_COUNT_SHIFT)
    union {
        ULONG_PTR Count;
        PVOID Ptr;
    };
} EX_RUNDOWN_REF, *PEX_RUNDOWN_REF;

NTKERNELAPI
VOID
FASTCALL
ExfReInitializeRundownProtection (
     __out PEX_RUNDOWN_REF RunRef
     )。 
这个函数就是清0 run-down 数据块。不多说。 可以看到,它的数据结构其实就是一个引用计数器与一个指针的共用体。


代码: 
NTKERNELAPI
BOOLEAN
FASTCALL
ExfAcquireRundownProtection (
     __inout PEX_RUNDOWN_REF RunRef
     )
这个函数获取run-down protection。 这个函数其实就是增加引用计数。 它有两种返回值。 如果对象已经被设置为销毁中(EX_RUNDOWN_ACTIVE标志被设置),那么直接返回FALSE,否则增加引用计数,然后返回TRUE。 有源代码的同学可以看看它的源代码。 它先判断EX_RUNDOWN_ACTIVE标示是否设置,然后不断试着使用InterlockedCompareExchangePointer来原子的增加引用计数,直到成功。 需要不断循环的原因是,可能在这个过程中,run-down protection的状态已经被改变。 只有在确定按预期修改了状态时,才会退出循环。

代码: 
NTKERNELAPI
VOID
FASTCALL
ExfReleaseRundownProtection (
     __inout PEX_RUNDOWN_REF RunRef
     )
正如你猜测的那样,这个函数减少引用计数。源代码里头有着和ExfAcquireRundownProtection中类似的循环,原因上面解释过。还有一个不同的是,当EX_RUNDOWN_ACTIVE标志被设置时,减少了引用计数后,如果计数已经为0, 它会触发一个内核事件(KEVENT),具体原因,后面讲。


代码: 
NTKERNELAPI
VOID
FASTCALL
ExfWaitForRundownProtectionRelease (
     __inout PEX_RUNDOWN_REF RunRef
     )
这个函数是run-down protection最核心的一个函数。 它的作用是等待所有对该对象的引用释放。 也就是等待对象的引用计数减到0. 因为它会把对象设为run-down状态(EX_RUNDOWN_ACTIVE标志被设置),所以这个函数调用后,所有对该对象的引用都会失败。然后它就等待一个代表引用计数减到0的内核事件。当所有正在使用的对象都释放了引用,最后一个调用ExfReleaseRundownProtection的执行点会触发内核事件(KEVENT),ExfWaitForRundownProtectionRelease接收到事件通知,完成等待退出。驱动程序或内核代码即可以对对象进行内存层面的清除了。

也许有人会疑惑,那个KEVENT,在哪个地方保存?EX_RUNDOWN_REF 里并没有相应的数据结构。答案在这里。
代码: 
EX_RUNDOWN_WAIT_BLOCK WaitBlock;
这段代码在ExfWaitForRundownProtectionRelease里,所以这个等待块在栈上,所以KEVENT在栈上。在ExfWaitForRundownProtectionRelease被调用时,kevent才建立。这样做的原因应该是出于空间效率的考虑。大部分时间,这个event对象确实也是没有用的。
在这里, WaitBlock要取代原来的引用计数。所以你可以看到EX_RUNDOWN_REF里Count和Ptr共用内存空间。在ExfWaitForRundownProtectionRelease调用前Count被用来计数,ExfWaitForRundownProtectionRelease调用之后,Ptr指向了WaitBlock,接管计数,并且提供KEVENT等待计数归0。*转载请注明来自看雪论坛@PEdiy.com  

qiaoli的知识备忘录
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同步下的资源互斥:停运保护(Run-Down Protection)机制
weixin_33872566的博客
09-18 289
背景 近期在学习ProcessHacker的源码,Process Hacker是一个免费的、功能强大的“任务管理器”,可用于监听系统资源的使用情况,调试软件以及检测恶意程序。使用中你会发现其可以与Sysinternals开发的Process Explorer相媲美。最重要的它是开源的,源码均可以在Github上查看,这使得我们有机会深入了解其实现原理和窥探一些重要的Windows系统接口。我的计划...
Run-Down 保护
商少
10-09 745
Run-Down 保护https://docs.microsoft.com/en-us/windows-hardware/drivers/kernel/run-down-protection *       从Windows XP 开始,内核可以使用 run-down 保护。驱动可以使用run-down 保护来安全访问另一个内核模式驱动在共享系统内存中创建和删除的对象。(这里“删除”的意思是,在
关于RundownProtect到底是什么东西
weixin_30867015的博客
05-30 384
RundownProtect这个字段相信只要是读过WRK源码的都会看过这个东西,这个字段在进程和线程的结构中都存在。最典型的例子就是对进程要进行什么操作的时候会先引用这个字段进行加保护,等操作结束后再进行解保护。但是一直没搞懂这个到底在保护什么和保护是怎么实现的。这里正好来看一下,首先是结构 EX_RUNDOWN_REF RundownProtect; 这是ETHRE...
程序性能优化手段-实际代码案例1
yeshahayes的博客
03-30 1199
  在前两篇中,分别介绍了通过数据分片和避免伪共享两种方法来增加程序性能。现在来看一个实际的代码案例。   在Windows内核中,有一些带CacheAware的函数,包括RundownProtection和PushLock系列的函数。顾名思义,这些函数是进行了Cache友好的优化,其中包括了对多核进行数据分片以及CacheLine大小对齐的内存块。   我们来看一下这些函数是如何工作的吧,这...
windows中的进程和线程
u012252959的博客
04-19 2142
 在讨论windows下的进程和线程时,我们先回顾下通用操作系统的进程和线程。之所以称之为通用是因为一贯的本科或者其他教材都是这么说的: 1、进程是系统分配资源的最小单位。 2、线程是处理器调度的最小单位。 3、一个进程可以包含很多线程,且这些线程共享进程内的所有资源。 然后又有大致三种线程模型:进程模型、用户级线程、内核级线程,三种模型如图所示 把线程模型按严格意义上的划分就
reactos操作系统实现(37)
anjichan4261的博客
07-09 162
下面来继续分析创建进程函数,过程如下: 保存工作集数据。 #070 /* Save working set data */ #071 MinWs = PsMinimumWorkingSet; #072 MaxWs = PsMaximumWorkingSet; #073 创建一个进程对象。 #074 /* Create t...
Hyper-V.for.VMware.Administrators
06-15
Whether you're looking to run both hypervisors in parallel or migrate completely, Hyper-V for VMware Administrators has everything you need to get started. The book begins with an overview of Hyper-...
BURNINTEST--硬件检测工具
05-12
- Added a hot Key, F4, to set the auto run flag and run the tests (i.e. set "-r" and then run the tests). - Other minor changes. Release 5.3 build 1018 WIN32 release 16 April 2008 - Added an ...
FastReport.v4.15 for.Delphi.BCB.Full.Source企业版含ClientServer中文修正版支持D4-XE5
12-10
FastReport.v4.15 for.Delphi.BCB.Full.Source企业版含ClientServer中文修正版支持Delphi 4-XE5 and C++Builder 6-XE5. D2010以上版本(D14_D19)安装必读 delphi2010以上版本(D14_D19)使用者安装时,请将res\frccD14_...
Windows内核驱动API大全.pdf
04-10
Windows内核驱动API大约有两千多个,仅有函数名,没有函数原型
Total.Commander.v7.55.RC2.Multilingual.WinALL.Cracked-BLiZZARD
08-14
drop-down menu. The actual directory and/or the file under the 捋? 圹? cursor can be delivered to the application. 捋? 圹? - Configurable main menu. 捋? 圹? - Built in file viewer (Lister) to view...
Windows中进程和线程数据结构(下)
maomao171314的专栏
11-26 777
2 执行体层的进程和线程对象 执行体层进程对象的数据结构EPROCESS,第一部分 Pcb : KPROCESS 内嵌结构体 ProcessLock : 一个推锁(push lock)对象,用于保护EPROCESS中的数据成员 CreateTime : 进程的创建时间 ExitTime : 进程的退出时间 RundownProtect : 进程的停止保护锁。当一个进程到最后被销毁时,它要等到所有其他进程和线程以及释放了此锁,才可继续进行 UniqueProcessId : 进程的唯一编号.
僵尸进程的一点玩法
BY_HEY的博客
09-06 3265
这几天在看WRK的时候,偶然间发现的一个东西,逆向之后,发现了个僵尸进程的玩法。目前菜鸡一枚,有说的不准确的地方,请大家多多指正!如果我们修改RundownProtect为1,那么是否可以实现任何API访问此进程都失败呢,接下来做一下实验。
检测当前进程是否被挂起
zhuhuibeishadiao
06-04 7642
KTHREAD的结构: +0x16c SuspendApc : _KAPC +0x19c SuspendSemaphore : _KSEMAPHORE +0x1b0 ThreadListEntry : _LIST_ENTRY +0x1b8 FreezeCount : Char +0x1b9 SuspendCount : Char
Mini-filter driver 读写文件
VHeroin的博客
03-27 992
在kernel中读写文件要比在应用层麻烦一些,但是基本思路大体上还是一致的。 在内核中,也有很多相关的读写文件的API,本文只对 FltCreateFileEx FltReadFile FltWriteFile 进行简单说明。 这三个API和应用层的API CreateFileEx,ReadFile和WriteFile相对应。其作用分别是打开文件,从文件中读取数据和将数据写入文件。下面这个函数实现了文件拷贝操作,即将FullFileName的文件内容拷贝到FullFileName2中。 NTS
[已完结]我在学校举办软件安全讲座提纲
zhuhuibeishadiao
04-16 2123
主流软件的保护--比如SSDT Inline Hook 了哪些函数 这些函数有什么用 在x86下 在x64下 讲解进线程回调并AnTi这些回调(可用自己的例子,比如保护计算器 然后Anti后在结束) 讲解为什么x64下不能随意HOOK,并怎么突破(破PG),突破后SSDT HOOK 进行测试 讲解x64下DSE 以及如何过掉DSE(仅仅讲win7 x64)并演示 讲解一般软件的保护
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
weixin_34323858的博客
12-02 724
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。   1. 相关阅读材料 《windows 内...
vcs双机基础
iteye_11217的博客
07-31 449
1,VCS双机的基本结构 VCS 使用的心跳协议叫做LLT(低延迟传输协议,Low Latency Transport),LLT运行在IP之下。这个协议比IP更快且更可靠。这能确保集群成员保持同步和在集群中能马上联系对方; 相关的配置项为: /etc/llttab文件(主备机不一样,包含各自主机的Link定义和主机名定义) /etc/llthosts文件(主备机内容一样)...
docker run --hostname
最新发布
04-26
docker run --hostname 是用于在Docker容器中设置主机名的命令。主机名是用于标识计算机或容器的名称。通过设置主机名,可以方便地区分不同的容器或主机。 在使用 docker run --hostname 命令时,可以指定一个自定义的主机名,也可以使用默认的主机名。如果没有指定主机名,则默认使用容器的ID作为主机名。 以下是使用 docker run --hostname 命令的示例: docker run --hostname my-container my-image 上述命令将创建一个名为my-container的容器,并将其主机名设置为my-container。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值