那些遇到过的问题

Windows(64)内核驱动程序和可分页函数

msc*_*ock 3 c windows kernel driver wdk

我写了一个C工具来搞乱Windows内核.现在我们可以看到"PAGE"部分中有几个函数,这意味着内核的这些函数可以被分页.我知道他们的地址因为我可以在内存中读取windows内核的PE头.(不可分页以及主.text部分).

所以这是我的问题:为了调用windows内核的可调用函数(来自我的驱动程序),我需要做些什么.更准确地说,我需要做些什么才能确保该功能当前被分页并作为可执行内存驻留?当这些功能被分页时,我偶尔会得到BSOD.有没有一种方便的方法来实现这一目标?(而不是名为"PAGE"的内核文本部分的"MmProbeAndLockPages").

提示:我不使用Windows工具.我需要在普通老C(MinGW工具链)中实现这一点

问候,迈克尔

./bin/asmdiff.exe info -s /cygdrive/c/Windows/winsxs/amd64_microsoft-windows-os-kernel_31bf3856ad364e35_6.1.7601.17514_none_ca56670fcac29ca9/ntoskrnl.exe 

Trying to get Information for file: /cygdrive/c/Windows/winsxs/amd64_microsoft-windows-    os-kernel_31bf3856ad364e35_6.1.7601.17514_none_ca56670fcac29ca9/ntoskrnl.exe...

BinaryFormat: PE_64

######### Dumping PE64-File sections: #########

Section 0: <.text> base:0x0000000140001000 len:1712881
Section 1: <INITKDBG?9> base:0x00000001401A4000 len:14768
Section 2: <POOLMI> base:0x00000001401A8000 len:7197
Section 3: <POOLCODE base:0x00000001401AA000 len:11803
Section 4: <RWEXEC> base:0x00000001401AD000 len:4096
Section 5: <.rdata> base:0x00000001401AE000 len:252272
Section 6: <.data> base:0x00000001401EC000 len:603464
Section 7: <.pdata> base:0x0000000140280000 len:196824
Section 8: <ALMOSTRO?> base:0x00000001402B1000 len:7664
Section 9: <SPINLOCK@> base:0x00000001402B3000 len:6464
Section 10: <PAGELK> base:0x00000001402B5000 len:85739
Section 11: <PAGE> base:0x00000001402CA000 len:2317806
Section 12: <PAGEKD> base:0x0000000140500000 len:19442
Section 13: <PAGEVRFY?> base:0x0000000140505000 len:136619
Section 14: <PAGEHDLS?'> base:0x0000000140527000 len:10199
Section 15: <PAGEBGFXLf> base:0x000000014052A000 len:26188
Section 16: <PAGEVRFB> base:0x0000000140531000 len:13312
Section 17: <.edata> base:0x0000000140535000 len:67960
Section 18: <PAGEDATA> base:0x0000000140546000 len:56576
Section 19: <PAGEVRFC)> base:0x0000000140554000 len:10526
Section 20: <PAGEVRFDP> base:0x0000000140557000 len:4688
Section 21: <INIT> base:0x0000000140559000 len:357788
Section 22: <.rsrc> base:0x00000001405B1000 len:221024
Section 23: <.reloc> base:0x00000001405E7000 len:8304
Run Code Online (Sandbox Code Playgroud)

Mic*_*urr 5

通常,您不必做任何事情来获取内容 - 内存管理器将为您处理.

但是,如果代码被标记为可分页,则意味着只有在系统处于小于DISPATCH_LEVEL的IRQL时才能调用该函数.因此,您希望能够在更高的IRQL上运行的任何代码都不应标记为可分页.

您可以使用MmLockPagableCodeSection()(请参阅http://msdn.microsoft.com/en-us/library/windows/hardware/ff554307.aspx)动态锁定可分页代码,但我认为可能很少需要这种控制级别.

您可以将驱动程序验证程序与"强制IRQL检查"一起使用,以帮助更准确地检测何时具有在高IRQL下调用的可分页代码.

归档时间:

查看次数:

830 次

最近记录:

13 年,9 月 前
相关归档
为memcpy增强了REP MOVSB 56
C字符串附加 43
NSIS - 如何将所有文件夹从源包含到安装程序 28
OpenCV for Android可以利用标准C++支持在Android Studio 2.2 for Windows上获得本机构建支持吗? 27
C宏:#if检查是否相等 24
为什么address-of operator('&')可以与在C++中使用寄存器存储类说明符声明的对象一起使用? 23
“请输入更改的提交消息” 21
如何在构建后在Windows上安装Qt? 20
有没有替代HTML Tidy? 19
以编程方式检查 Windows 10 的区分大小写的目录属性 7
难疑归档
如何撤消Git中最近的提交? 20327
使用'for'循环迭代字典 2901
如何使用jQuery刷新页面? 2361
.prop()vs .attr() 2249
如何在Java中声明和初始化数组? 1946
接口和抽象类之间有什么区别? 1705
查看未发布的Git提交 1649
如何离开/退出/停用python virtualenv? 1461
如何为项目中的单个文件禁用ARC? 1332
enctype ='multipart/form-data'是什么意思? 1290