win10驱动开发5——内存管理

最新推荐文章于 2022-06-27 17:06:36 发布
最新推荐文章于 2022-06-27 17:06:36 发布
阅读量701 收藏 1
点赞数
文章标签: c语言 驱动开发 visual studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41610493/article/details/121619893
版权
本文探讨了Windows驱动程序如何与进程交互,特别是在DriverEntry和Unload函数中的过程。同时,解释了分页与非分页内存的区别,并展示了如何在驱动程序中使用ExAllocatePool进行内核内存的分配和释放。
摘要由CSDN通过智能技术生成

文章目录

Windows驱动程序与进程的关系

驱动:通过一定的方式加载到内存模式地址空间,通过某个进程调用驱动的入口函数,是通过微软提供的接口间接的调用dll的函数。

查看DriverEntry是由那个进程调用的。

#include <ntddk.h>   
//获取进程的主模块路径
PCHAR PsGetProcessImageFileName(IN PEPROCESS Process);


VOID Unload(IN PDRIVER_OBJECT pDriverObject)
{
	//PsGetProcessImageFileName:获取当前调用驱动的进程的EPROCESS结构
	KdPrint(("%s\n", PsGetProcessImageFileName(PsGetCurrentProcess())));
	KdPrint(("驱动卸载\n"));
}

NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject,
	IN PUNICODE_STRING RegistryPath
)
{
	KdPrint(("驱动加载\n"));
	DriverObject->DriverUnload = Unload;
	KdPrint(("%s\n", PsGetProcessImageFileName(PsGetCurrentProcess())));
	return STATUS_SUCCESS;
}

PsGetCurrentProcess:获取当前调用驱动的进程的EPROCESS结构
可以看到进程由system进程: 调用 初始化 卸载
在这里插入图片描述

分页与非分页内存

分页指的是拟内存可以交换到磁盘上,非分页内存代表拟内存不可交换到磁盘上。
Windows规定有些虚拟内存可以交换到文件中,这类内存被称为分页内存
#pragma code_seg(“PAGE”)//分页内存
#pragma code_seg() //非分页的
#pragma code_seg(“INIT”) 加载到 INIT 内存区域中
在这里插入图片描述

分配内核内存

ExAllocatePoolExFreePool
ExAllocatePoolWithTagExFreePoolWithTag
ExAllocateWithQuotaExFreePool
ExAllocateWithQuotaTagExFreePoolWithTag
#include <ntddk.h>   
//获取进程的主模块路径
//PCHAR PsGetProcessImageFileName(IN PEPROCESS Process);


VOID Unload(IN PDRIVER_OBJECT pDriverObject)
{
	//PsGetProcessImageFileName:获取当前调用驱动的进程的EPROCESS结构
	//KdPrint(("%s\n", PsGetProcessImageFileName(PsGetCurrentProcess())));
	KdPrint(("驱动卸载\n"));
}

NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject,
	IN PUNICODE_STRING RegistryPath
)
{
	PCHAR pcstr;
	KdPrint(("驱动加载\n"));
	DriverObject->DriverUnload = Unload;
	//PagedPool 分页 NonPagedPool非分页
	pcstr = (PCHAR)ExAllocatePoolWithTag(PagedPool, 1024,'abc');
	if (pcstr==NULL)
	{
		KdPrint(("内存分配失败\n"));
		return STATUS_INSUFFICIENT_RESOURCES;
	}
	KdPrint(("内存分配成功\n"));
	//清空内存
	RtlZeroMemory(pcstr, 1024);
	strcpy(pcstr, "内存分配strcpy测试");
	KdPrint(("%s\n", pcstr));
	ExFreePoolWithTag(pcstr,'abc');
	return STATUS_SUCCESS;
}
华阙之梦
关注
驱动开发基础知识
张公子:桃花落影飞神剑,碧海潮生按玉箫。欢迎共赴知识与乐趣的探索之旅!
11-04 3180
驱动开发前部分知识储备
Windows内核原理与实现之Windows内存管理概述
首席技术总监的专栏
12-01 478
Windows采用了页式内存管理方案,在Intel x86处理器上,Windows不使用段来管理虚拟内存,但是,Intel x86处理器在访问内存时必须要通过段描述符,这意味着Windows将所有的段描述符都构造成了从基地址0开始,且段的大小设置为0x80000000、0xc0000000或0xffffffff,具体取决于段的用途和系统设置。所以,Windows系统中的代码,包括操作系统本身的代码...
全面介绍Windows内存管理机制及C++内存分配实例(一):进程空间
热门推荐
北海-叶明的专栏
01-16 2万+
本文背景:在编程中,很多Windows或C++的内存函数不知道有什么区别,更别谈有效使用;根本的原因是,没有清楚的理解操作系统的内存管理机制,本文企图通过简单的总结描述,结合实例来阐明这个机制。本文目的:对Windows内存管理机制了解清楚,有效的利用C++内存函数管理和使用内存。本文内容:本文一共有六节,由于篇幅较多,故按节发表。其他章节请看本人博客的Windows内
Windows内核中的内存管理
Masimaro的专栏
11-26 2919
内存管理的要点 内核内存是在虚拟地址空间的高2GB位置,且由所有进程所共享,进程进行切换时改变的只是进程的用户分区的内存 驱动程序就像一个特殊的DLL,这个DLL被加载到内核的地址空间中,DriverEntry和AddDevice例程在系统的system进程中运行,派遣函数会运行在应用程序的进程上下文中所能访问的地址空间是这个进程的虚拟地址空间利用_EPROCESS结构可以查看该进程的相关信息 当程
win10驱动开发
momodeconger的博客
04-13 2588
整体开发环境 win10 开发机 vmware 上的 win10 调试机 开发机环境 windows sdk: 版本 10.0.16299.0 wdk 版本10.0.16299.15 vs2017 vmware 16.2 测试机 windows sdk: 版本 10.0.16299.0 driver monitor 工具 驱动签名的问题 修改bootload参数,让系统进入测试模式 管理员模式打开命令行,执行: bcdedit-set loadoptions DDISABLE_INTE
Win10内存管理探索
qq_42191914的博客
12-05 3919
最近烦恼于电脑内存日常80%+,苦不堪言,明明物理内存有8G,为何那么容易爆满呢?然后就开启了我的内存管理探索之旅~ 1. 任务管理器—内存解析 查看内存状况的第一反应是,任务管理器~ 我们发现一个奇怪的事情,PyCharm 848MB占16.3%?算下来,我们的内存只有5个G左右?不是8个G嘛? **PS:**其实今天中午看的时候更恐怖,因为电脑好几天不关机了,算了下使用内存仅1.5G!然...
Window内核驱动开发】——内存映射的基本使用
zcr214的博客
11-28 1919
【我的】Window驱动开发——内存映射的基本使用 作者:zcr214 时间:2016/5/18   内存映射文件可以用于3个不同的目的。 •系统使用内存映射文件,以便加载和执行. exe和DLL文件。这可以大大节省页文件空间和应用程序启动运行所需的时间。 •可以使用内存映射文件来访问磁盘上的数据文件。这使你可以不必对文件执行I/O操作,并且可以不必对文件内容进行缓存。 •可以使用内存
一学就会——win10安装win7虚拟机linux虚拟机
06-18
在本课程《一学就会——win10安装win7虚拟机linux虚拟机》中,我们将深入探讨如何在Windows 10操作系统上安装Windows 7以及Linux的虚拟机环境。这是一项非常实用的技术,尤其对于开发者、系统管理员或者对多操作系统...
ndisapi.zip_ndisapi_visual c_虚拟网卡开发_虚拟网卡驱动
07-15
5. 编程语言:虽然可以使用不同的编程语言来开发NDISAPI驱动,但Visual C++是常见的选择,因为它提供了强大的内存管理和调试工具,同时与Windows API的兼容性极佳。 在实际开发过程中,我们可能需要使用如下的步骤...
Windows内核安全与驱动开发PDF版
08-14
本书共分三篇,基础篇囊括了驱动开发的基础知识,降低了入门的难度;开发篇介绍了在实际工作中可能遇到的各种开发需求的技术实现,包括:串口的过滤、键盘的过滤、磁盘的虚拟、磁盘的过滤、文件系统的过滤与监控、...
WIN10+VS2017一个最简单的WDK驱动工程
02-14
WIN10+VS2017+WDK开发的一个最简单的驱动程序实例,详见我的博客【https://blog.csdn.net/LEON1741/article/details/87291839】
驱动保护隐藏.ec
08-08
易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .子程序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某程序,并保护程序不被注入,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等程序,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .子程序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .子程序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64位WIn7,与所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .子程序 置格盘陷阱, 逻辑型, 公开 .子程序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .子程序 置死机陷阱, 逻辑型, 公开 .子程序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
Windows的内存管理机制
Albert_weiku的博客
06-27 3106
内存管理方式建议大家多看看计算机组成原理,回过头来看windows的内存管理机制就能更好的明白windows为啥这么做~而不是直接让你操作物理内存
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1613
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
win10驱动开发3——编写HelloDriver
qq_41610493的博客
11-28 874
在这里插入图片描述](https://img-blog.csdnimg.cn/de416eb585cc48e9b19bbd1ab1feeeaa.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5Y2O6ZiZ5LmL5qKm,size_20,color_FFFFFF,t_70,g_se,x_16) C语言风格生成驱动 #include <ntddk.h> VO.
Windows驱动内存操作
PwnGuo的博客
05-25 2459
内存复制 内存复制分两种情况,非重叠和可重叠 如图:当复制A~C到B~D段内存b-c段内存重叠 RtlCopyMemory为非重叠复制,即不能使用RtlCopyMemory操作上图中的内存段,RtlMoveMemory为可重叠复制,此函数对内存是否重叠进行判断。 void RtlCopyMemory( Destination, //表示要复制内存的目的地址 Sourc...
windows内存管理机制(一)
weixin_30652879的博客
04-12 41
逻辑地址到物理地址的映射过程: 转载于:https://www.cnblogs.com/donneyming/archive/2010/04/12/1710030.html
Windows 7 设备驱动深度开发指南:UMDF与KMDF详解
这部分内容更加底层,涉及到对操作系统的直接访问,比如处理中断、内存管理等关键任务。内核模式驱动的安全性和效率至关重要,因此会深入探讨如何确保驱动程序的正确性和系统稳定性。 此外,书中还提到了Windows 7...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值