内核空间与内核模块

最新推荐文章于 2022-12-26 19:12:02 发布
最新推荐文章于 2022-12-26 19:12:02 发布
阅读量552 收藏 1
点赞数
分类专栏: 内核学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superchickenchicken/article/details/104902289
版权

内核空间与内核模块

文章目录

内核空间

进程A,B两个不同进程,低2G内存空间(ring 3)所对应的物理页几乎是不一样的,而高2G的内存空间对应的物理页却几乎是一样的.

在这里插入图片描述
不是每一个进程都有自己的内核空间,而是所有的进程共享一个内核空间

可以做个实验

驱动环境:win7 x64

//定义一个变量,输出变量线性地址

#include<ntddk.h>
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	DbgPrint("EXIT!");

}
ULONG x = 0x12345678;
extern"C"
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	DbgPrint("Welcome Driver,\r\n");
    DbgPrint("addr64 = %llx\n", &x);
	driver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;

}

拿到线性地址
0xfffff88003173000 很明显这是高2G的内存地址空间

在这里插入图片描述

然后利用windbg切换到另一个进程,并查看那个进程的0xfffff88003173000地址内容

在这里插入图片描述

可以看到不同进程的高2G内存都是通用的!

内核模块

在这里插入图片描述
模块为硬件和操作系统之间的交互做桥梁

  • 硬件种类繁多,不可能做一个兼容所有硬件的内核,所以,微软提供规定的接口格式,让硬件驱动人员安装规定的格式编写"驱动程序"
  • 这些驱动程序每一个都是一个模块,称为"内核模块",都可以加载到内核中,像之前的ntoskrnl.exe也是模块,和现在自己编写的驱动程序两者没有什么差别.

DRIVER_OBJECT

既然给了你写模块的权利,那就需要一些约束,比如模块们都有相同的入口点DriverEntry一样,这样才好管理.

就像我们即将说的DRIVER_OBJECT 这是一个结构体,这个结构体约束了你想要称为模块而要做出的规范,你的驱动需要按照该结构体来做.每一个模块都需要这个结构体来描述重要信息

1: kd> dt _DRIVER_OBJECT
ntdll!_DRIVER_OBJECT
   +0x000 Type             : Int2B
   +0x002 Size             : Int2B
   +0x008 DeviceObject     : Ptr64 _DEVICE_OBJECT
   +0x010 Flags            : Uint4B
   +0x018 DriverStart      : Ptr64 Void//驱动模块所处位置
   +0x020 DriverSize        : Uint4B//大小
   +0x028 DriverSection    : Ptr64 Void//对应一个指针,指向的是LDR_DATA_TABLE_ENTRY,这样的一个链表把所有的内核模块全部圈在了一起.
   +0x030 DriverExtension  : Ptr64 _DRIVER_EXTENSION
   +0x038 DriverName       : _UNICODE_STRING//名称
   +0x048 HardwareDatabase : Ptr64 _UNICODE_STRING
   +0x050 FastIoDispatch   : Ptr64 _FAST_IO_DISPATCH
   +0x058 DriverInit       : Ptr64     long 
   +0x060 DriverStartIo    : Ptr64     void 
   +0x068 DriverUnload     : Ptr64     void 
   +0x070 MajorFunction    : [28] Ptr64     long

实验:

#include<ntddk.h>
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	DbgPrint("EXIT!");

}
ULONG x = 0x12345678;
extern "C"
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	DbgPrint("Welcome Driver,\r\n");

	DbgPrint("addr64 = %llx\n", driver);//读取指向当前驱动程序模块的结构体地址
	driver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;

}

拿到结构体地址,用windbg 查看

在这里插入图片描述

便可以看到当前驱动模块的信息:

在这里插入图片描述

上面结构体还有比较重要的一个

 +0x028 DriverSection    : Ptr64 Void//对应一个指针,指向的是LDR_DATA_TABLE_ENTRY,这样的一个链表把所有的内核模块全部圈在了一起.

kd> dt _LDR_DATA_TABLE_ENTRY 0xfffffa80`02b8f030

在DriverSection的值的地方查看该结构体:

在这里插入图片描述

找到这里 你会发现这张图覆盖了模块的所有细节

并且可以顺着这条链 一直找到所有模块,注意链表有些节点内容是空的,但是不影响可以继续往下找!
在这里插入图片描述

0F34
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux用户空间内核空间
03-02
Linux操作系统和驱动程序运行在内核空间,应用程序运行在用户空间,两者不能简单地使用...当内核模块代码或线程访问内存时,代码中的内存地址都为逻辑地址,而对应到真正的物理内存地址,需要地址一对一的映射,如逻
Windows内核驱动EPROCESS遍历进程模块
12-14
EPROCESS结构体是Windows内核中的核心数据结构之一,它包含了关于进程的各种信息,如进程ID、安全上下文、虚拟地址空间等。遍历EPROCESS结构体可以帮助我们获取到进程的一些关键信息,包括其加载的模块列表。这些...
5.内核空间内核模块
Mikasys的博客
10-25 375
0x5内核空间内核模块 1.内核空间 对于低2G,每个进程是独立的,而高2G是共享的 如果在一个驱动中定义一个变量,然后能够在另一个驱动中进行读取,那就说明高2G确实是所有程序共用的! #include <ntddk.h> //卸载函数 VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("驱动程序停止运行了.\r\n"); } ULONG x = 0x12345678; //入口函数,相当于main NTSTATUS Driver
内核内核模块
一个搬运知识的笨小孩
03-21 910
目录1. 内核内核模块1.1 内核模块与依赖性1.2 查看内核模块 1. 内核内核模块 在整个启动过程中,是否能够成功地驱动主机的硬件设备是内核的工作 内核一般是压缩文件,在使用内核前,要将其解压缩后,才能加载到内存中 为了应付日新月异的硬件,目前的内核都具有 可读取模块化驱动程序 的功能,亦即是所谓的 模块化(modules) 的功能。 所谓模块化可将它想成一个插件,该插件可能由硬件开发商提供,也有可能内核本来就支持,较新的硬件通常都需要硬件开发商提供驱动程序模块 如果有个操作系统恰好不支持的新硬件
Linux-2.6-32的内核栈和用户空间栈关系
Tonynono的专栏
05-10 2132
<br /> <br />1.进程的堆栈<br />内核在创建进程的时候,在创建task_struct的同事,会为进程创建相应的堆栈。每个进程会有两个栈,一个用户栈,存在于用户空间,一个内核栈,存在于内核空间。当进程在用户空间运行时,cpu堆栈指针寄存器里面的内容是用户堆栈地址,使用用户栈;当进程在内核空间时,cpu堆栈指针寄存器里面的内容是内核空间地址,使用内核栈。<br /> <br />2.进程用户栈和内核栈的切换<br />当进程因为中断或者系统调用而陷入内核态之行时,进程所使用的堆栈也要从用户栈
linux内核内核模块,Linux系统内核内核模块那些事
weixin_42512903的博客
04-30 65
目前的内核均具有模块化功能[cc]内核内核模块的位置:内核:/boot/vmlinuz 或 /boot/vmlinux-version内核解压缩所需: RAM Disk: /boot/inittramfs内核模块: /lib/modules/version/kernel 或 /lib/modules/$(uname -r)/kernel内核源码: /usr/src/linux 或 /usr/sr...
linux内核内核模块的区别,Kernel Module实战指南(二):内核模块和应用程序的区别...
weixin_36384501的博客
05-02 618
Introduction你已经写出了第一个内核模块Hello World!有没有发现内核模块和应用程序写法的不同?下面我将从概念和原理上进行介绍,内核模块和应用程序为什么不同。内核模块和应用程序的区别出入口应用程序的入口始终是main()函数,而出口是main()函数的return。内核模块的入口是init_module(),而出口是cleanup_module()。函数库应用程序可以调用很多C标...
进程的内核空间共享
BillBeggar的专栏
07-14 3453
<br />在2.6内核中,所有进程的内核空间(3G-4G)都是共享的。<br />  LINUX内核在初始化过程中,内核页表的初始化在保护模式下,但是此时尚未开启分页机制。内核填充PGD表(静态数组),使得(3G-4G)的虚拟地址映射到物理地址(0-1G),确切的讲,是(3G -3G+896M)的虚拟地址映射到物理地址(0-896M),因为剩下的(3G+896M--4G)虚拟空间可以用来映射物理存储器的高端地址(大于896M)。然后内核将PGD基地址加载到CR3中,将CR0的PG位置1,正式开启分页机制。
Linux内核模块编程入门学习
01-19
内核模块是Linux内核向外部...它在运行时被链接到内核作为内核的一部分在内核空间运行,这与运行在用户空间的进程是不同的。模块通常由一组函数和数据结构组成,用来实现一种文件系统、一个驱动程序或其他内核上层的
linux内核空间与用户空间信息交互方法
07-29
了解这些交互方法有助于系统级开发,如设备驱动编程、内核模块开发等。正确选择并使用这些机制,可以使应用程序更加高效、安全地利用系统资源。同时,内核空间和用户空间的隔离也是Linux系统稳定性的重要保障,避免...
2.4和2.6内核模块和驱动(转载)
07-03
很牛的内核讲解,对于新手和资历高的内核驱动人员来说,是个非常有用的资料,值得一看
不管什么进程一旦进入内核就进入了系统空间都有相同的页面映射
q1n2hen的博客
06-23 1036
看到内核详解上说不管什么进程一旦进入内核就进入了系统空间都有相同的页面映射,内核就不用cr3吗?实在搞不明白,希望大虾详细讲解一下 | 内核当然会用cr3,在每个进程的页目录项中,都把最后3-4G的页目录项映射到了同一物理内存空间,也就是说每个进程的页目录项中的3-4G的映像关系完全相同!!!! 所以从任何一个进程在运行时进入内核空间,无非就两种情况: 1.从系统调用进入内核态,此时内
为什么每个程序执行都有内核地址空间和程序地址空间
yazhouren的专栏
07-13 712
为什么每个用户态的程序映射到虚拟地址空间,都需要有内核地址空间和程序地址空间呢? 因为程序地址空间最终都会调用系统调用,也就是内核的东东,所以每个程序要想执行,就必须有内核地址空间,也必须有程序地址空间。 所用的application程序要想使用系统的资源,必须通过系统调用。例如,malloc分配内存等。 那么,application可以直接通过内嵌汇编,调用I/O指令吗?这个应该是不可以的
linux进程用户内存空间内核空间
u014426028的博客
06-15 2703
When a process running in user mode requests additional memory, pages are allocated from the list of free page frames maintained by the kernel. This list is typically populated using a page-replacement algorithm such as those discussed in Section 9.4 and m
Windows内核--内核空间和用户空间(3.6)
最新发布
编程语言技巧经验分享
12-26 1112
句柄, Handle, 表达处理、控制之意。内核不会直接暴露指针给用户空间,这样会增大内核风险。相反,内核抽象出Handle给用户态,不管是文件、进程、线程等对象,通过Handle可以隐藏内核细节,统一控制对象。不可避免,内核态对于Handle必须转换成指针才能处理。
linux每个进程的地址空间大小,别再说你不懂 Linux 内存管理了,10 张图给你安排的明明白白...
weixin_31101725的博客
04-29 1086
原标题:别再说你不懂 Linux 内存管理了,10 张图给你安排的明明白白转自:LemonCode过去的一周有点魔幻,有印象的有三个新闻:天猫总裁绯闻事件,蘑菇街裁员,不可能打工的周某也放出来了。三件事,两件和互联网行业相关,好像外面的世界很是精彩啊!吃瓜归吃瓜,学习还是不能落下。连续写了两周的「微服务」有点腻,不过这个系列还会继续写。今天来带大家研究一下Linux内存管理。对于精通CURD的业务...
进程详解,内核空间,优先级,状态转换,LRU算法,Cow机制(多进程,多线程)
weixin_45697293的博客
03-06 609
文章目录基础知识用户内核空间进程的基本状态和转换LRU算法IPC进程间通信进程优先级进程状态系统管理工具作业管理 0信号检查错误 Killall -0 进程 基础知识 进程:在内存中的正在运行中的程序(文件) 进程ID:PID, 进程属性:用户信息:所有者,所属组,存在生命周期 多个进程组成的链表task list 守护进程:daemon随着计算机的启动而启动,关闭而关闭 用pstree可以看到---->Centos6之前的 Centos7用软连接的方式将init替代成可systemd 有花括
用户空间内核空间
超厉害的博客
07-02 766
用户空间内核空间 都是虚拟内存,但是从逻辑上由操作系统进行了划分,比如Linux 32位系统有4G虚拟内存,用户空间代表0-3G的内存地址,内核空间代表3-4G的内存地址。 这样能够做到数据隔离,互不干扰,同时对访问进行控制,防止系统内核的数据被用户影响。 用户态和内核态 CPU将指令分为特权指令和非特权指令,按照特权等级,指令分为4级:Ring0-Ring3,由高到低。Linux系统只运用了Ring0和Ring3两个等级。 每个进程在用户空间内核空间各有一个栈,用来执行用户代码/内核代码。在内核
linux 查当前pid_Linux内核学习006——进程管理(二)
weixin_39941620的博客
11-10 149
之前提到在Linux内核中把进程(process)叫做任务(task),因此我会交替使用这两个术语,本质上它们指的是同一个东西。进程描述符及任务结构内核中把进程的列表存放在任务队列(一个双向循环链表)中,链表中的的每一项都是类型为task_struct的结构体,叫做进程描述符。该结构体描述了一个进程的所有信息,其定义位于linux-2.6.34/include/linux/sched.h中的117...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值