标签: windows-kernel

我正在编写一个 Windows 内核驱动程序，并尝试实现以下内容。

假设已通过DeviceIoControl函数使用特定的 IOCTL 代码从用户模式调用驱动程序。在这种情况下，驱动程序如何自行卸载？换句话说，如何实现与运行net stop命令相同的行为？

更准确地说，在实现DispatchDeviceControl 回调时我应该写什么

NTSTATUS IoctlDeviceControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp) {
    // some code...

    switch (ioctlCode) {
        case IOCTL_MY_UNLOAD:  <---
        ...
    }

    return Status;
}

我们正在尝试了解Windows CPU Scheduler如何工作以优化我们的应用程序,以实现最大可能的基础架构/实际工作比率.在xperf中有一些我们不理解的东西,并且想要让社区了解真正发生的事情.当我们得到一些服务器"缓慢"或"无响应"的报告时,我们最初开始调查这些问题.

背景资料

我们有一台运行我们的中间件基础架构的Windows 2012 R2 Server,其规格如下.

我们发现有30%的CPU浪费在内核上,所以我们开始深入挖掘.

上面的服务器运行"主机"~500个进程(作为windows服务),这些"主机"进程中的每一个都有一个内部while循环,延迟〜250毫秒(yuck!),并且每个"主机"进程可能有〜 1..2执行实际工作的"子"进程.

虽然在迭代之间具有250毫秒延迟的无限循环,但"主机"应用程序执行的实际有用工作可能仅每10..15秒出现一次.所以浪费了很多周期来进行不必要的循环.

我们知道,"主机"应用程序的设计至少可以说是次优的,适用于我们的场景.应用程序将更改为基于事件的模型,该模型不需要循环,因此我们期望CPU利用率图中的"内核"时间显着减少.

然而,当我们调查这个问题时,我们已经做了一些xperf分析,它提出了几个关于Windows CPU Scheduler的一般性问题,我们无法找到任何明确/简明的解释.

我们不明白的是什么

以下是其中一个xperf会话的屏幕截图.

您可以从"CPU使用率(精确度)"中看到

• 有15毫秒的时间片,其中大部分未充分利用.这些切片的利用率约为35-40%.因此,我认为这反过来意味着CPU大约在35%到40%的时间内被利用,但系统的性能(假设通过系统周围的随意修改可观察到)实际上是缓慢的.

• 有了这个,我们就有了这个"神秘的"30%内核时间成本,由任务管理器CPU利用率图判断.

• 有些CPU明显用于整个15 ms及更高的分片.

问题

就多处理器系统上的Windows CPU调度而言:

• 什么导致30%的内核成本？上下文切换？别的什么？在编写应用程序以降低此成本时应该考虑哪些因素？甚至 - 以最小的基础设施成本实现完美的利用(在多处理器系统上,其中进程数高于核心数)
  • 这些15毫秒切片是什么？
  • 为什么CPU利用率在这些切片中存在差距？

背景：Windows 系统存在易受攻击的内核模式驱动程序，可以出于各种目的将其加载到系统中。加载的内核模式驱动程序会在系统中留下痕迹。例如，视频游戏的反作弊软件会在系统的各个部分寻找易受攻击的驱动程序痕迹，因为它们被用于作弊。反作弊软件使用的逻辑可能（或已经）被反 rootkit 工具或 rootkit 本身使用。

我想知道驱动程序加载然后卸载后留下的痕迹。通过我的研究，我在Windows NT内核中发现了这两个地方，卸载的驱动程序会留下痕迹：

1. PiDDB缓存表
2. 卸载驱动程序

（只是让你知道，那些是未记录的数据结构）他们还能在哪里留下痕迹？我是否可以在不自己对 Windows 内核进行逆向工程的情况下学习它？

Windows允许创建(命名)事件对象.

一个事件(Windows中的同步原语)可以是自动重置类型(在这种情况下你可以说它是一种信号量)或者它可以是手动重置类型,在这种情况下它会保持设置直到有人重置它.

现在,从文档的CreateEvent,OpenEvent,SetEvent的,等它似乎是没有办法确定,一旦事件已经创建,无论是自动复位或maual复位.

我处于这种情况,其中一个进程创建一个命名的事件,第二个进程必须对此事件进行操作(它将传递名称,然后打开事件并最终发出信号).由于事件应始终是手动重置事件,因为整个事情都有意义,我本来希望在第二个过程中添加一个检查以确保它是一个手动重置事件.有没有办法检查这个？

(是的,在我的情况下,它更像是一个很好的东西,因为如果任何代码创建一个自动重置事件然后将它传递给这个过程,那么它将是一个错误.但是错误发生了,如果发生了错误,那就更好了.我可以发现它们.)

我正在研究自己的Windows设备驱动程序,我发现很难区分PDO和FDO.让我告诉你,如果我错了,我头脑中的流量会纠正我!

系统启动时,它会加载将创建FDO的根总线驱动程序.现在它将枚举其子设备,并且我想在将找到一个新的子项并且该方法将通知PNP管理器时将调用总线驱动程序的一些热插拔方法.PNP管理器将调用根总线驱动程序的AddDevice()例程,并将为新总线创建PDO,如PCI等等.请详细解释整个流程,这只是我的想象.然后记录系统将加载PCI总线的功能驱动程序,这将创建FDO ?? 这个FDO是什么？为什么我需要那个？根据我的说法PCI总线驱动程序也应该遵循与根总线相同的操作,枚举其子节点并为它们创建PDO,或者通过这个FDO它们仅意味着PDO？我很困惑:( !!

只有当嵌套结构中的字符串作为参数匹配我选择的特定模式时,我一直试图在函数内部触发断点,如下所示:

bp `main.c:2236` ".block { .if ( $spat(\"@@(stNames->NameComponent.Buffer)\", \"*ab*\" )){.echo \"BKP HIT! \"; .printf \"%mu str\n\",> @@(NameInfo->FinalComponent.Buffer); } .else {.echo \"NO HIT \"; .printf \"%mu str:\n\", @@(stNames->NameComponent.Buffer); gc;} } "

在已经解析参数符号之后,此断点设置在函数的开头.它表现得很奇怪,即使$ spat中的模式不匹配,有时它也会一直被击中,有时即使模式匹配也不会命中.

我也试过这个没有运气,因为我无法找到一个方法在嵌套结构的这种情况下使用POI()命令.片段波纹管:

bp Kernel32!CreateFileW ".printf \"%mu\\n\", poi(esp+4); as /mu ${/v:FileName} poi(esp+4); .block{.if $spat(\"${FileName}\", \"*target*\") {.echo Hit} .else {.echo Not Yet;g;}}"

（对nested 的初步猜测被证明是不正确的。问题似乎是SplitContainer 面板没有正确缩放其托管控件。）

我有一些表单的选项卡控件在加载时无法正确调整大小。 https://support.microsoft.com/en-us/kb/953934在 2008 年描述了这样一个内核错误。很难相信它没有得到修复。我认为它消失了一段时间，但我又开始看到问题了。

控件嵌套得很深。Midi 父、子窗体、选项卡控件、带有两个面板和控件的拆分器控件。对于自上而下的第一个有问题的控件是选项卡控件。当加载后调整窗体大小但锚点不正确并且部分控件被剪切时，它会调整大小。

该问题似乎特定于 100% 桌面字体大小 - 100+ 大小的桌面工作正常。我使用 VS 2013 v5 以 125% 的速度开发 - 这个问题也出现在 v4 上。

任何人都知道缺少知识库文章中概述的自定义控件的解决方法吗？

我错过了其他事情？

仔细观察 SplitContainer 是不调整锚点大小/尊重锚点的控件。

我尝试在显示选项卡后运行此代码但它不起作用 - 看起来与使用锚点大致相同。似乎 TabControl 报告的 ClientSize 不正确

    SplitContainer1.Width = TabControl1.ClientSize.Width - 10
    SplitContainer1.Height = TabControl1.ClientSize.Height - TabControl1.ItemSize.Height - 10

这是显示问题的完整表格。在 125% 桌面上，它显示为在 100% 桌面上的 IDE 中，选项卡上的控件未正确定位。

<Global.Microsoft.VisualBasic.CompilerServices.DesignerGenerated()> _
Partial Class frmChild
Inherits System.Windows.Forms.Form

'Form overrides dispose to clean up the component list.
<System.Diagnostics.DebuggerNonUserCode()> _
Protected Overrides Sub Dispose(ByVal disposing …

本质上，我正在寻找一个可以为内核模式做什么的函数，它可以VirtualProtect为用户模式做什么。

我正在使用以下简化代码示例的逻辑分配内存。

    PMDL mdl = MmAllocatePagesForMdl    
    (
        LowAddress,
        HighAddress,
        SkipAddress,
        size
    );

    ULONG flags = NormalPagePriority | MdlMappingNoExecute | MdlMappingNoWrite;
    PVOID ptr = MmGetSystemAddressForMdlSafe
    (
        mdl, 
        flags
    );

在MdlMappingNoExecute和MdlMappingNoWrite标志只会对Win8的+效果。
此外，仅使用MmGetSystemAddressForMdlSafeI 无法NoAccess为内存区域分配例如保护。

是否有任何额外的或替代的 API-s 我可以使用，以便我可以修改分配内存的页面保护？
hack 也可以，因为目前此功能不会在生产代码中使用。

更新（在底部）

我有一个基于 IddCx 示例的 UMDF 视频驱动程序。我有一个命令行测试（以“管理员CreateFile身份”运行），它调用视频适配器设备实例以获取用于 IOCTL 目的的句柄。在访问被拒绝的CreateFile呼叫中测试失败

--- User Mode ---
mytest!CreateFile
ntdll!NtCreateFile
--- Kernel Mode ---
nt!IopCreateFile
nt!ObOpenObjectByNameEx
nt!ObpLookupObjectName
nt!IopParseDevice
nt!SeAccessCheck [returns Access Denied]

(after Windows restart or adding new …