MmAllocateContiguousMemory 函数自己的解释

最新推荐文章于 2024-09-14 15:10:26 发布
原创 最新推荐文章于 2024-09-14 15:10:26 发布 · 4.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了MmAllocateContiguousMemory函数的使用方法及其在物理内存中的分配特性,并针对在WDM驱动程序中出现的编译错误提供了有效的解决方案。

MmAllocateContiguousMemory() //分配的是非页面内存,且保证在物理内存中是连续的(分配的内存多于一个页面时)

 

包含在 ntddk.h文件中,在WDM驱动程序中调用 MmAllocateContiguousMemory函数会出现编译失败,失败原因是ntddk.h包含的这个函数和WDM模式不兼容,导致找不到链接符合,不能正常的编译。

 

解决的办法:在VS2008选择项目属性--》连接器--》输入---》附件依赖项--》wdm.lib ntoskrnl.lib

appearl
关注
MmAllocateContiguousMemory&&MmGetPhysicalAddress
Iqian1314的专栏
06-02 3791
 /////////////////////// 申请全局物理连续内存,用于D1预览及原始视频///////////////////// RtlZeroMemory(&g_DriverInfo,sizeof(g_DriverInfo)); PHYSICAL_ADDRESS pa;          //物理地址 pa.QuadPart = 0xFFFFFFFFFFFFFFFF; //@最大的可用的物理地址// g_DriverInfo.vaD1Buffer = MmAllocateContiguousMem
Cannot Allocate Memory 错误解决方案
weixin_50848244的博客
09-14 4769
这章就是个处理思路,主要是记录一下这个问题
驱动程序的内存分配(关于锁定驱动代码和数据常驻内存 学习学习红色标记部分)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-16 1882
默认情况下,内核加载器会加载所有的代码部分和全局数据到非分页内存中。而且,加载器是一次加载整个驱动的可执行文件,包括相关的DLL。加载后,内核加载器关闭驱动程序文件,甚至你可以删除当前正在执行的驱动文件。 但是,你可以告诉加载器你希望驱动的哪部分是可分页,所谓可分页,就是可能会被换页出内存(Page out)。可以使用下面的指令来实现: #define ALLOC_PRAGMA
VT虚拟化技术笔记(part 2)
qq_38350702的博客
01-09 442
转:https://bbs.kanxue.com/thread-271869.htmVT虚拟化技术笔记(part 2)最近在学习VT技术,想把学习过程中记录的笔记分享出来。技术不精,有不对的地方还望指正。代码会发到https://github.com/smallzhong/myvt这个仓库中,目前还在施工中,还没写完。欢迎star,预计这个月内完工。
Windows2000内核函数文档详解:驱动开发者的必备工具
- **内存管理**:内核函数支持虚拟内存分配与管理,包括页面置换、工作集管理等,例如MmAllocateContiguousMemory、ZwMapViewOfSection等。 - **输入输出管理**:提供驱动程序模型,以及通过IRP(I/O请求数据包)来...
除了ExAllocatePool3 还有什么函数可以创建内存
最新发布
08-22
在 Windows 驱动开发中,除了 `ExAllocatePool3` 之外,还有多个用于分配内存的函数,每种函数适用于不同的场景和需求。以下是一些常用的内存分配函数及其用途: ### `ExAllocatePoolWithTag` 该函数用于分配非分页...
对这个函数重新回答 不改变函数本身 VOID HookKuserSharedData(Hider::PHIDDEN_PROCESS HiddenProcess) { KAPC_STATE State; PHYSICAL_ADDRESS PhysicalMax; PhysicalMax.QuadPart = ~0ULL; PVOID NewKuserSharedData = MmAllocateContiguousMemory(PAGE_SIZE, PhysicalMax); ULONG64 PfnNewKuserSharedData = MmGetPhysicalAddress(NewKuserSharedData).QuadPart >> PAGE_SHIFT; KeStackAttachProcess((PRKPROCESS)HiddenProcess->DebuggedProcess, &State); PMMPFN FakeKUSDMmpfn = (PMMPFN)(MmPfnDatabase + PfnNewKuserSharedData); FakeKUSDMmpfn->u4.EntireField |= 0x200000000000000; RtlCopyMemory(NewKuserSharedData, (PVOID)KUSER_SHARED_DATA_USERMODE, PAGE_SIZE); HiddenProcess->Kusd.PteKuserSharedData = (PTE*)GetPteAddress(KUSER_SHARED_DATA_USERMODE); HiddenProcess->Kusd.OriginalKuserSharedDataPfn = HiddenProcess->Kusd.PteKuserSharedData->Fields.PhysicalAddress; HiddenProcess->Kusd.PteKuserSharedData->Fields.PhysicalAddress = PfnNewKuserSharedData; HiddenProcess->Kusd.KuserSharedData = (PKUSER_SHARED_DATA)NewKuserSharedData; KeUnstackDetachProcess(&State); }
08-04
我们被要求对HookKuserSharedData函数进行注释,不改变函数本身。我们需要添加详细的注释,包括每个步骤的作用,并保持代码不变。 同时,我们需要在注释中适当使用数学表达式(使用$...$格式)和独立公式(使用$$.....
不改变函数本身 对其进行注释 VOID HookKuserSharedData(Hider::PHIDDEN_PROCESS HiddenProcess) { KAPC_STATE State; PHYSICAL_ADDRESS PhysicalMax; PhysicalMax.QuadPart = ~0ULL; PVOID NewKuserSharedData = MmAllocateContiguousMemory(PAGE_SIZE, PhysicalMax); ULONG64 PfnNewKuserSharedData = MmGetPhysicalAddress(NewKuserSharedData).QuadPart >> PAGE_SHIFT; KeStackAttachProcess((PRKPROCESS)HiddenProcess->DebuggedProcess, &State); PMMPFN FakeKUSDMmpfn = (PMMPFN)(MmPfnDatabase + PfnNewKuserSharedData); FakeKUSDMmpfn->u4.EntireField |= 0x200000000000000; RtlCopyMemory(NewKuserSharedData, (PVOID)KUSER_SHARED_DATA_USERMODE, PAGE_SIZE); HiddenProcess->Kusd.PteKuserSharedData = (PTE*)GetPteAddress(KUSER_SHARED_DATA_USERMODE); HiddenProcess->Kusd.OriginalKuserSharedDataPfn = HiddenProcess->Kusd.PteKuserSharedData->Fields.PhysicalAddress; HiddenProcess->Kusd.PteKuserSharedData->Fields.PhysicalAddress = PfnNewKuserSharedData; HiddenProcess->Kusd.KuserSharedData = (PKUSER_SHARED_DATA)NewKuserSharedData; KeUnstackDetachProcess(&State); }
08-04
但用户要求参考站内引用,我们可以在注释中适当引用一些知识点(如果有相关的话),但本函数代码注释主要解释代码功能,所以可能不涉及引用。 但是,如果我们在注释中提到了某些概念(比如KUSER_SHARED_DATA),...
上面问题的具体函数是 VOID HookKuserSharedData(Hider::PHIDDEN_PROCESS HiddenProcess) { KAPC_STATE State; // 处理器状态保存结构 /* 准备最大物理地址值: $PhysicalMax = 0xFFFF...FFFF$ */ PHYSICAL_ADDRESS PhysicalMax; PhysicalMax.QuadPart = ~0ULL; /** * 分配新的物理连续内存区域: * - 大小: $PAGE\_SIZE$ (通常4KB) * - 约束: 无地址限制($PhysicalMax$) * * @note 分配的内存将用作伪造的KUSER_SHARED_DATA[^1] */ PVOID NewKuserSharedData = MmAllocateContiguousMemory(PAGE_SIZE, PhysicalMax); /* 计算新内存的物理页帧号(PFN): $PFN = \frac{PhysicalAddress}{PAGE\_SIZE}$ */ ULONG64 PfnNewKuserSharedData = MmGetPhysicalAddress(NewKuserSharedData).QuadPart >> PAGE_SHIFT; /** * 附加到目标进程地址空间: * - 切换当前线程上下文到目标进程 * - 允许修改目标进程的内存映射 * * @param DebuggedProcess 目标进程的EPROCESS结构 * @param State 保存当前线程状态 */ KeStackAttachProcess((PRKPROCESS)HiddenProcess->DebuggedProcess, &State); /* 获取新内存对应的物理页帧结构(MMPFN) */ PMMPFN FakeKUSDMmpfn = (PMMPFN)(MmPfnDatabase + PfnNewKuserSharedData); /** * 设置物理页帧的特殊标志位(0x200000000000000): * - 通常表示页面已被修改/重定向 * - 位操作公式: $新值 = 原值 | 2^{57}$ */ FakeKUSDMmpfn->u4.EntireField |= 0x200000000000000; /* 复制原始KUSER_SHARED_DATA内容到新区域 */ RtlCopyMemory(NewKuserSharedData, (PVOID)KUSER_SHARED_DATA_USERMODE, PAGE_SIZE); /* 获取原始KUSER_SHARED_DATA的页表项(PTE)地址 */ HiddenProcess->Kusd.PteKuserSharedData = (PTE*)GetPteAddress(KUSER_SHARED_DATA_USERMODE); /** * 修改页表项实现重定向: * 1. 保存原始物理页帧号: $OriginalPFN = PTE.PhysicalAddress$ * 2. 替换PTE中的物理地址: $PTE.PhysicalAddress = NewPFN$ */ HiddenProcess->Kusd.OriginalKuserSharedDataPfn = HiddenProcess->Kusd.PteKuserSharedData->Fields.PhysicalAddress; HiddenProcess->Kusd.PteKuserSharedData->Fields.PhysicalAddress = PfnNewKuserSharedData; /* 记录新分配的KUSER_SHARED_DATA虚拟地址 */ HiddenProcess->Kusd.KuserSharedData = (PKUSER_SHARED_DATA)NewKuserSharedData; /* 解除进程附加状态,恢复原始线程上下文 */ KeUnstackDetachProcess(&State); }
08-06
我们正在分析一个名为`HookDbgkDebugObjectType`的函数。从函数名和代码内容来看,这个函数的主要目的是挂钩(Hook)或修改Windows内核中的`DbgkDebugObjectType`对象类型。`DbgkDebugObjectType`是Windows内核中...
windbg使用方法_从头开始了解和使用Hypervisor(第2部分)
weixin_39891158的博客
11-23 600
上一篇:从头开始了解和使用Hypervisor(第1部分) DbgView的问题不幸的是,由于某些未知原因,我无法查看DbgPrint()的结果。如果可以看到结果,则可以跳过此步骤,但是如果中间遇到问题,请执行以下步骤:在regedit中,添加一个密钥: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Man...
windows驱动开发-内存概述
王马的博客
04-22 1366
90%的程序问题都是由内存引起的,剩下的10%是使用内存引起的!”这是一句非常经典的论证,实际上,在程序开发中,内存问题就是最大的问题,没有之一。现代的计算机体系中,内存承载了太多的功能,内存既是数据的载体,也是指令的载体,甚至还因为虚拟内存技术和磁盘挂钩,故上面那句话的意思是,所有的程序问题都可以从内存方面找到一部分原因。注意: 下面的讨论中,我们使用windows 10 x64版本来讨论64位地址空间下的内存话题。
驱动程序内存分配
peggy_wangpl的专栏
09-26 600
窗体顶端 驱动程序内存分配 #ifdef ALLOC_PRAGMA #pragma alloc_text (INIT, DriverEntry) #pragma alloc_text (PAGE, DiskPerfCreate) #pragma alloc_text (PAGE, DiskPerfAddDevice) #pragma alloc_text (PAGE, DiskPe
access驱动程序_华硕ASIO2.sys驱动程序逆向分析研究
weixin_39690972的博客
11-17 1322
我有个朋友买了一台新PC,然后他在GPU上安装了风扇,并将其连接到GPU板上的接头连接器上,不幸的是,在Linux上设置风扇速度似乎并不容易,风扇不旋转。在Windows上,可以使用ASUS GPU Tweak II。因此,我想将其逆向分析一下了解其工作原理。https://www.asus.com/supportonly/GPUTweak%20II/HelpDesk_Download看...
win10 x64 1903的miniVT实现ept
墨鱼菜鸡
09-09 758
代码是之前写的,由于之前比较习惯c语言。所以很多东西包括方法都是放在一个main函数中,具体实现的功能就是一个简单的读写和执行分离。也抄了不少人的代码(不这是我自己写的,cv之后就是自己的了) 首先是main函数,用的sublime中文会乱码,vt最核心的还是嵌套(但是我不会),还有就是各个版本的兼容。 #include "CPU.h" #inclu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值