KMDF中未分页内存的类型选择

最新推荐文章于 2024-09-25 22:11:28 发布
原创 最新推荐文章于 2024-09-25 22:11:28 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#DRIVER_VERIFIER_DETE #POOL_TYPE #NonPagedPool #NonPagedPoolNx

本文介绍了Windows内核驱动在分配未分页内存时,应当使用NonPagedPoolNx而非NonPagedPool以提高安全性。从Windows 8开始,NonPagedPool等同于NonPagedPoolExecute,允许代码执行,存在安全隐患。建议驱动开发者使用NonPagedPoolNx,防止恶意代码执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内核驱动程序中,内存空间的动态分配不能使用C语言的malloc等函数,取而代之的是ExAllocatePoolWithTag()和ExFreePool(),使用方法举例如下:

#defineTEST_POOL_TAG            (ULONG)'test'

PUCHAR tempBuf = NULL;

tempBuf = ExAllocatePoolWithTag ( NonPagedPool,tempBufSize, TEST_POOL_TAG );

ExFreePool ( (PVOID)tempBuf ); //free memory

但此种写法在进行HLK测试时,会出现蓝屏的现象,具体的错误信息如下:

DRIVER_VERIFIER_DETECTED_VIOLATION(c4)

A device driverattempting to corrupt the system has been caught.  This is

because the driverwas specified in the registry as being suspect (by the

administrator) andthe kernel has enabled substantial checking of this driver.

If the driverattempts to corrupt the system, bugchecks 0xC4, 0xC1 and 0xA will

最低0.47元/天 解锁文章

200万优质内容无限畅学
windows驱动程序wdf--KMDF大致框架
技术联盟
01-04 6060
继WDM后微软出了WDF,封装了WDM中的一些基本代码逻辑。本人菜鸟,也不知道本质上有何区别,只觉得是多了Wdf开头的函数,基本的编程框架上有点出入。KMDF是WDF的内核级部分,为了理清KMDF的结构,又觉得内核编程很复杂,HelloWorld类型的程序实在说明不了什么  修改一下《windows设备驱动WDF开发》的CharSample,查了WDK帮助文档加上注释以帮助自己理解KMDF的大致运
KMDF大致框架
sadamoo的专栏
07-08 1626
继WDM后微软出了WDF,封装了WDM中的一些基本代码逻辑。本人菜鸟,也不知道本质上有何区别,只觉得是多了Wdf开头的函数,基本的编程框架上有点出入。 KMDF是WDF的内核级部分,为了理清KMDF的结构,又觉得内核编程很复杂,HelloWorld类型的程序实在说明不了什么  修改一下《windows设备驱动WDF开发》的CharSample,查了WDK帮助文档加上注释以帮助自己理解KM
文件服务器的未分内存
weixin_34289744的博客
09-05 311
在某些情况下,由 IIS 报告的与 UNC 路径名相关的错误是由于文件服务器而不是 IIS 上的问题所引发的。如前面提到的,一个 UNC 连接可引入一个 SMB 连接。结果将创建一个或更多的工作项目 用于 SMB 连接。工作项目是 SMB 针对 I/O 操作所用的数据结构对象,可以在不同的时间以各种方式加以使用。例如,对文件执行一项操作,如:CreateFile 或 GetFileAttribut...
driver verifier查找隐藏的内存泄露BUG
lixiangminghate的专栏
10-17 3941
转自看雪论坛:http://bbs.pediy.com/showthread.php?t=186922 在原文上略作改动     verifier是微软提供的驱动测试工具,可以用来识别内存损坏、错误处理的 I/O 请求包 (IRP)、无效的直接内存访问 (DMA) 缓冲区占用、可能的死锁以及低资源模拟等情况。在开始菜单->运行中输入 verifier后,可以弹出如下菜单: 选择默认选项
Nonpaged Pool未分池)占用内存过多分析定位
热门推荐
weixin_40188600的博客
09-26 1万+
Nonpaged Pool未分池)占用内存过多分析定位 问题定位用到三个小工具:RAMMap、Poolmon、Strings.exe 背景:接到项目反馈,应用服务器内存占用达到80%以上,w3wp占400M,剩余的11G内存跑哪里去了呢,任务管理器看不到,但是可以看到Nonpaged Pool未分池)占用内存很多。非产品问题本应该由客户管理员去解决,但问题原因与之前微软case案例相似,邮...
Windows内核编程基础(3)
zhaotianff的专栏
09-25 1163
类型内存属性为“可执行”,意味着开发者可以将这块内存写入二进制指令然后执行,这个机制虽然很灵活,但存在一定的安全隐患︰对于一些存在漏洞的代码来说,攻击者可以使用“缓存区溢出攻击”技术,在目标内存(缓冲区)中写入可执行指令,由于这块内存具有“可执行“属性,所以攻击者可以成功实施攻击。上更小粒度的分割,这个分割由堆管理器管理,根据需求,堆管理器会申请 一(或多虚拟内存),然后对这块虚拟内存进行更小粒度的内存分割与管理,以满足开发者对内存的需求。标志对应的内存大小,找到最大的或者持续增长的内存块。
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1765
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
严重性 代码 说明 项目 文件 行 禁止显示状态 错误 C4013 “sprintf”未定义;假设外部返回 int KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 39 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 75 错误 C2065 “ETH_HEADER”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 86 错误 C2065 “ethHeader”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 86 错误 C2065 “ETH_HEADER”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 86 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 86 错误 C2065 “ethHeader”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 89 错误 C2223 “->EtherType”的左侧必须指向结构/联合 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 89 错误 C4013 “htons”未定义;假设外部返回 int KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 89 错误 C2065 “ETH_P_ARP”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 89 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 90 错误 C2065 “ETH_HEADER”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 92 错误 C2065 “ethHeader”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 98 错误 C2065 “ARP_OPCODE_REPLY”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 105 错误 C4013 “htonl”未定义;假设外部返回 int KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 106 错误 C2065 “ethHeader”: 未声明的标识符 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 116 错误 C2223 “->SrcAddress”的左侧必须指向结构/联合 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 116 错误 C2168 “memcpy”: 内部函数的实参太少 KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 116 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 162 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 181 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 191 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 213 错误 C2059 语法错误:“)” KMDF Driver4 C:\Users\Administrator\source\repos\KMDF Driver4\KMDF Driver4\arp.c 223
最新发布
07-06
另外,注意在驱动中,我们通常使用非分内存,并且要处理中断上下文。 以下是修正后的代码:</think>### 修复编译错误的完整NDIS驱动代码 针对您遇到的编译错误,我进行了以下关键修复: 1. 添加了缺失的头文件...
KMDF内核编程入门资料:驱动编程与Visual C++
- 如何在驱动程序中分配和管理内存,包括分和非分内存。 5. 同步机制 - 驱动程序的多线程处理及同步问题,介绍同步对象如互斥体(Mutex)、信号量(Semaphore)的使用。 6. 高级主题 - 包括PnP(即插即用)...
【驱动开发中的内存管理】:Windows Driver Foundation内存优化的专业技巧
本文深入探讨了驱动开发中的内存管理理论基础和实践技术。首先介绍了内存分配与释放的策略,包括不同内存分配方法和最佳实践,以及驱动内存池的管理。随后,详细阐述了内存优化技术,包括内存映射、零拷贝技术的应用...
windows 8开发实例
11-20
关于windows 8开发的一些示例小程序。
Windows驱动编程基础教程代码
01-30
详细代码关于window驱动编程,代码详细,没有错误
PagedPool 和 NoPagedPool的区别
优快云博客
01-02 1920
PoolType在MSDN的介绍上有N种, 其实常用的只有2种:PagedPoolNonPagedPool。 PagedPool是分内存,简单来说就是物理内存不够时,会把这片内存移动到硬盘上,而NonPagedPool是无论物理内存如何紧缺,都绝对不把这片内存的内容移动到硬盘上。 在往下讲之前,先补充一个知识, 就是我们操作的内存,都是虚拟内存,和物理内存是两码事。 但虚拟内...
中国移动网站控件引发的蓝屏问题分析
weixin_30546189的博客
02-26 851
本周四(2月23日),我接到了我们同事的一个奇怪的蓝屏case,据他回忆,他最近没有安装任何软件和驱动,也没有更改计算机的硬件配置,除了Windows后台进行的自动更新之外,他实在想不起来到底对计算机有什么额外的改变。可是突然,就从前一天23日周三晚上起,他的计算机就开始蓝屏,重启之后,进系统之前就会蓝屏,或者进了系统用不到一会儿也会蓝屏。因此,他怀疑是硬件(如内存)故障导致的,或者是 Windo...
KERNEL POOL LIST ENTRY OVERWRITE ATTACK
爱杀之爪的矩阵
02-29 957
KERNEL POOL LISTENTRY OVERWRITE ATTACK     LIST_ENTRY OVERWRITE 原理图   测试代码: Sys: VOID Nopagepool_ListEntry_Overwrite(ULONGcbin,ULONG cout,UCHAR * InputBuffer) { PVOIDpatdbuffer=NULL,p
内核字符串与链表
qq_22038209的博客
01-04 691
字符串与链表Review 1.字符串操作: char *str = { “my first string” };   //ANSI字符串 wchar_t *wstr = { L“my first string” };//Unicode字符串   区别: ANSI( char)是用一个字节来表示的,最多256个符号。 Unicode( w_char )是用两个字节来表示的,能代表更多的
[Win驱动3] Windows内核态的堆管理, LookAside,链表以及运行时函数
輚至消亡
10-08 584
内存机制简述 现代操作系统一般都有分机制,其控制方式是通过Cr0控制寄存器中的PG位,如果PG位置位则表示分机制开启,这种机制在还未进入保护模式时就已经确定了。在32位的CPU下,假设是4KB为一,则4GB内存可以被分成2^20个,并且通过表来映射到各个进程或者磁盘上去。同一可以映射到多个进程的虚拟内存空间中。 内核态堆空间分配 内核态中可以分配分内存以及非分内存, 分内存是CPU开启分机制时才存在,如果没有开启分机制,所有内存都是非分的。 分机制作用主要是为了给进程一个
内存和非分内存
蜗牛的专栏
09-04 8717
内存和非分内存   首先介绍几个术语: 进程上下文,就是表示进程信息的一系列东西,包括各种变量、寄存器以及进程的运行的环境。这样,当进程被切换后,下次再切换回来继续执行,能够知道原来的状态。 中断上下文,就是中断发生时,原来的进程执行被打断,那么就要把原来的那些变量保存下来,以便中断完成后再恢复。 Windows NT和Windows 98都是运行在支持虚拟地
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值