windows内存管理2(做双缓存透明加密驱动必看)

最新推荐文章于 2024-08-08 07:54:11 发布
最新推荐文章于 2024-08-08 07:54:11 发布
阅读量3.5k 收藏 3
点赞数
分类专栏: windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao70/article/details/24452695
版权
本文详细介绍了Windows系统中文件缓存的创建过程,包括CcInitializeCacheMap初始化、MmCreateSection的步骤,以及CcCopyRead时的内存管理。通过实例展示了从创建Section对象到映射视图到系统缓存的过程,讨论了如何处理无效地址和读取物理页面。此外,还展示了使用kdiew调试工具查看文件映射结构。
摘要由CSDN通过智能技术生成

这些东西我整理出来很久了,由于各种原因一直没放出来,引用的图来自网络或者书籍,如果你看的不错想要转载请注明本空间。

接上文:

*文件缓存分

一个典型文件创建缓存过程:

1.当文件对象第一次被缓存读写时,文件系统调用CcInitializeCacheMap初始化缓存

2.如果FileObject->SectionObjectPointer->SharedCacheMap== NULL ,从NonPagedPool分配SharedCacheMap,初始化其中一部分域。

3.调用MmCreateSection创建SharedCacheMap->Section,MmCreateSection中:

l       首先检查是否FileObject->SectionObjectPointer->DataSectionObject已经存在

l       没有存在从NonPagedPool分配一个NewControlArea大小为ControlAreaSize = sizeof(CONTROL_AREA) + sizeof(MSUBSECTION),设置到FileObject->SectionObjectPointer->DataSectionObject

l       创建Segment,这里以MiCreateDataFileMap为例子:

     *检查CcInitializeCacheMap传入的文件占用大小是不是大于系统定义的最大Section大小,计算文件需要的pte数量

     *PagedPool创建NewSegment,类型是MAPPED_FILE_SEGMENT,然后把源文件打散成许多块(Subsection)

     *在NonPagedPool中分配Subsection链接在NewControlArea后面

     *初始化NewControlArea剩下的域,得到第一个Subsection,设置其中域,找到所有的Subsection初始化他们

l       创建SECTION对象,并且初始化

4.创建Section完成后,如果是streamobject是不可能被映射的,这时候关闭modwrite标志

5.调用CcCreateVacbArray创建VACB索引数组

6.………….

当缓存创建完成后, 如果收到CcCopyRead

1.  首先先用GetActiveVacb找到是否落在活动视图内,如果没有落在活动视图内调用CcGetVirtualAddress取得地址:

l       用GetVacb取得FileOffset处的VACB,如果为NULL就调用CcGetVacbMiss从CcVacbFreeList中获得一个没有用的VACB

l       调用MmMapViewInSystemCache映射视图到系统缓存:

    *得到需要多少页面NumberOfPages,计算PteOffset与LastPteOffset

    *LOCK_PFN锁定PFN,提升DPC,得到第一个空闲的系统缓存地址保存到 PointerPte ,更新第一个空闲地址MmFirstFreeSystemCache

    *如果ControlArea->FilePointer不为空,调用MiAddViewsForSection分配原型pte(MappedSubsection->SubsectionBase = ProtoPtes)

最低0.47元/天 解锁文章
xiao70
关注
专栏目录
windows内存管理1(缓存透明加密驱动必看
异次元小强
04-25 2620
这些东西我整理出来很久了,由于各种原因一直没放出来,引用的图来自网络或者书籍,如果你看的不错想要转载请注明本空间。 *内存分配与释放 1.Windows内存分配与释放提供了缓存机制,由空闲链表方式提供对非分页内存管理,由位图方式提供分页内存管理同时提供相应的快查表,将最近释放的页面放入快查链表中,再次申请的时候可以快速的从快查表中取得数据. 2.在基本的分页内存管理与非分
Windows 内存管理方法(二)
Invoker's Tower
03-12 765
Windows内存原理 Windows中,我们接触的一般都是线性地址,而其并非真实存在的,而真正的物理地址是利用一段N长的数组来定位的,这样能够完成保护模式。          假设我们没有使用线性地址,那么我们可以直接访问物理地址,但是这样我们在往内存中写东西的时候操作系统更无法检查这块内存是否是可写的。这样会造成非法覆盖等,最后操作系统的内核函数可能就被覆盖了。      由
探索Foxtrot:一款强大的缓冲透明加解密驱动
最新发布
gitblog_00767的博客
08-08 695
探索Foxtrot:一款强大的缓冲透明加解密驱动 FOKS-TROTIt's a minifilter used for transparent-encrypting.项目地址:https://gitcode.com/gh_mirrors/fo/FOKS-TROT 项目介绍 Foxtrot 是一款基于Minifilter框架的缓冲透明加解密驱动,由hkx3upper开发。该项目旨在为特定文件...
关于用内存映射文件加、解密大文件的问题,谢谢!
weixin_30915275的博客
11-05 118
想用内存映射文件加、解密大文件,但是对这个内存映射文件实在了解的不多,请指教!原来采用的方法是每次从原文件中读出固定字节的数据,加密,把加密后的数据写入到新建的文件中(也就是加密后的文件),现在改用内存映射文件不知道怎么,是不是也应该一块一块地加密文件呀?可怎样把文件的一部份读出来?怎样控制读出的位置?操作方式和一般的文件读、写有什么区别吗?只知道开始用这两个函数:...
NT缓存管理器(四)
Tommy(凌飞)的专栏
11-22 2248
CcInitializeCacheMap 缓存管理器维护一个文件的cache map,以跟踪对文件执行的活动。第一个文件打开操作导致一个public cache map的生成。更多地,每个打开文件的实例同样有自己的一张cache map用来跟踪在其文件对象上执行的操作的信息。 一般地,cache map的生成被推迟直到第一个I/O发生。这保证了文件系统不能生成和删除cache map对一般的
漫谈兼容内核之十六:Windows的进程间通信
周寅的专栏
03-13 2495
 对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间
WindowsCache管理器
Tommy(凌飞)的专栏
11-22 2281
Cache的四个接口 File Stream Manipulation Functions Copy Interface MDL Interface Pinning Interface 注意:Cache管理器的Pin接口和另外两个接口:Copy接口以及MDL接口不能 同时使用。 重要:Cache管理器并解释被缓存的数据内容,它只是理解File
基于文件过滤驱动透明加密那点事儿
热门推荐
oRbIt 的专栏
08-11 1万+
文件透明加密这点事儿,从2001年开始出现基于API HOOK的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于API HOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的缓冲第三代技术和基于微软新一代minifilter框架的Layerfsd缓冲第四代技术。第一代和第二代的技术划分基本上没有异议,所谓的第四代很多人并不认同,认
透明加密系统设计及实现-透明加密的关键技术
08-18 2346
在第一章已经详细地介绍了透明解密系统的主要发展状况,目前市面上的透明加密系统,大多存在兼容性差和移植麻烦的情况。最为主要的是目前的透明加密系统,缺乏有效的身份认证机制,导致透明加密系统的安全性受到了极大的影响。本章结合Minifilter和LayerBSD设计思想,详细地分析了透明加密系统的基...
透明加密技术发展
a15995989443的博客
12-31 281
透明加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透明,是指对使用者来说是透明的,感觉不到加密存在,当使用者在打开或编辑指定文件时,系统将自动对加密的数据进行解密,让使用者看到的是明文。保存数据的时候,系统自动对数据进行加密,保存的是密文。而没有权限的人,无法读取保密数据,从而达到数据保密的效果。 自WindowsNT问世以来,微软提出的分层的概念,使透明加密有了实现的可能。自上而下, 应用软件,应用层APIhook(俗称钩子), 文件过滤驱动,卷过滤驱动,磁盘过滤驱动,另外还有网
文件过滤驱动源代码 过滤层文件系统驱动的完整代码
08-07
过滤层文件系统驱动的完整代码,实现了文件的加密,操作截获
缓冲透明加解密系统研究与实现
06-09
缓冲透明加密系统:filter(用来定位) + layer fsd (用来维护 fake fcb) + fcb(一真一假)
minifilter 文件透明加密源码
12-14
基于minifilter框架下的透明加解密源码。 1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程 2 添加了异或加密算法 3 取消了不对c分区监控的限制,因为很多虚拟机里只有C分区 安装和加载说明 1 把engine.inf,engine.sys拷贝到虚拟机里 2 右击engine.inf,点安装 3 手工加载进cmd, 输入 sc start engine 4 手工停止进cmd,输入 sc stop engine 5 测试时请关闭杀毒软件,代码与诺顿杀毒软件的冲突是由于刷缓存引起的,是能解决的,不过初学者不必关心这个
缓冲过滤驱动唯一的一篇硕士论文
05-09
这是目前(截止2013年5月)唯一一篇缓冲主题的硕士论文,比较难找。 内容还算系统,基本上讲清楚了思路,给出了实现的路子。
国内首家采用MS全新 MiniFilter架构的SEFS透明加密内核 V 2.0.0.1发布
07-25
软件名称:SEFS透明加密内核 V 2.0.0.1软件版本:2.0.0.1建议分类:系统安全/文件加密软件大小:371K安装平台:Win2000 sp4+urp / xp sp2 / 2003 sp1 / vista软件语言:简体中文/繁体中文/英文软件授权:共享软件软件主页:http://www.sefs.net支持邮箱:admin@sefs.net软件下载:http://www.sefs.net/setup.rar国内首家采用MS全新 MiniFilter架构的SEFS透明加密内核 V 2.0.0.1发布1、简述 SEFS透明加密开发内核是基于MS最新的IFS文件过滤驱动(MiniFilter)开发的透明加密平台。加密标识内置于文件本身、可支持PKCS7电子 信封、加密算法可在内核态。也可在应用层,支持MS CSP 标准,可实现对加密硬件如USBKEY的支持。加、解密操作均受保护 的内存区域完成,高效安全。不会产生临时文件,同时配套保护驱动可防止进程注入、内存Dump、和截屏操作,全程保护您的 机密资料。2、特点   1、强制加密:客户端指定规则或匹配规则产生的任意文件均强制加密。所有的“文件另存”均为加密。不管是 怎么样的文件名称。SEFS是智能识别应用程序的行为.  2、文件加密标记识别采用指纹智能识别技术,加密标记植于文件本身,支持电子信封模式(PKCS7)和支持   身份/身份组机制.方便交流和传输。  3、SEFS平台工作于文件系统驱动层面,可以支持内存映射文件的方式.而非一些基于API Hook方式的加密系   统绝对无法支持内存映射文件。例如最常见的notepad(记事本)/另外可执行文件的加载执行均是通过内存   映射文件的方式.  4、进程识别基于特征值,而非简单的基于进程名称判断。可防止进程改名、加壳等形式的攻击。  5、非授权进程无法读取密文。网络间受控文件的传输为密文。FoxMail、OutLook或Ftp客户端等网络软件无法发送 明文。(假设其为非授权进程的话) 6、完美解决明文缓存问题,即便是密文正在被打开,也不能非法夺取明文 7、使用全新的MiniFilter架构,同杀毒软件有较好的兼容性,同时在性能和稳定性方面,较老的IFS过滤驱动 有着明显的提升。 8、支持应用层的加、解密算法和引擎。可兼容MS CSP 、PKCS11 等标准,从而实现硬件的加解密。满足不同的安全级别的要求。3、安装环境 客户端:Win2000 sp4 + URP /XP sp2/2003 sp1 / Vista Win2000需要Update Rollup Pack (URP) 下载:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B54730CF-8850-4531-B52B-BF28B324C6624、支持的软件: 1. 办公类: Microsoft Office 2000/XP/2003 、 Adobe acrobat7 、NotePad、 WordPad。 2. 图像类: Photoshop 、 CorelDraw12 、 Mspaint画图等 3. 设计类: AutoCAD 2004 、圆方BtoCAD、等 4. ...................SEFS--透明加密内核=============================================商业授权:sales@sefs.netBug 报告:bug@sefs.net
Windows进程间通信(一)
gaodezheng的专栏
04-22 1180
 对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间
ca,pte,sectionpointers 2
weixin_30338743的博客
06-08 92
nt!_SECTION_OBJECT_POINTERS +0x000 DataSectionObject : 0x84b38388 Void +0x004 SharedCacheMap : 0x84e52458 Void +0x008 ImageSectionObject : 0x84a1a228 Void DataSectionObject和Sha...
Zynq-7000处理器上的V4L2缓存驱动设计分析
这篇论文探讨的是在Zynq-7000平台上实现V4L2(Video for Linux version 2)缓存驱动的设计。V4L2是Linux内核2.6版本引入的一个关键特性,旨在规范视频捕获和流媒体设备的驱动程序接口,为开发者提供一个统一的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值