内核驱动 unresolved external symbol @__security_check_cookie@4

本文介绍了解决使用WDK 7600.16385.0开发驱动过程中遇到的编译错误的方法。通过修改源代码并添加特定标记及函数,解决了因链接__security_check_cookie@4符号导致的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ref : http://blog.tinybrowser.net/archives/1424

 

最近在用 winddk 7600.16385.0 开发驱动, 小心谨慎的按照这篇文章设置了编译连接参数, 在编译选项关闭了 buffer security check, 但工程里要用到 wdmsec.lib 静态库, 里面链接进了符号 __security_check_cookie@4, 因此我编译始终出错, 用了各种办法问题依旧, 中间甚至试图逆向 wdmsec.lib 静态库, 用 IDA 打开一看, 发现工程浩大, 只能放弃.

G(oogle) 啊 G啊, G 了好久, 在 这里 找到了解决方案:

将 bufferoverflowU.lib 静态库加入链接依赖列表. 问题貌似解决, 但其实是不对的.

后来用 depends 打开 sys 文件一看, 链接进了 kernel32.dll,

对于 ring 3 的应用程序, 这是很好的解决办法; 但对于内核驱动, 这是绝对不可以的.

看来 这里 才是解决问题的真正方法.

在源代码的最后添加如下代码, 然后在工程设置内添加 VS_IDE_BUILD 标记. 在链接设置内将入口点从 DriverEntry 改成 GsDriverEntry. 问题解决.

01#ifdef  VS_IDE_BUILD
02ULONG ___security_cookie = 0xbb40;
03ULONG ___security_cookie_complement = 0xFFFF44BF;
04  
05NTSTATUS GsDriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegPath)
06{
07    LARGE_INTEGER tickCount;
08    KeQueryTickCount(&tickCount);
09    if(!___security_cookie || ___security_cookie == 0xbb40)
10    {
11        ULONG temp = (ULONG)&___security_cookie;
12        temp = ((temp  >>  8 )  ^  tickCount.u.LowPart) & 0xffff;
13        if(temp)
14            ___security_cookie = temp;
15        else
16            ___security_cookie = tickCount.u.LowPart & 0xffff;
17    }
18  
19    ___security_cookie_complement = ~___security_cookie;
20    return DriverEntry(DriverObject,RegPath);
21}
22  
23void __fastcall __security_check_cookie(ULONG cookie)
24{
25    if(cookie != ___security_cookie || cookie & 0xffff0000)
26        KeBugCheckEx(0x7f,cookie,___security_cookie,___security_cookie_complement,0);
27}
28#endif  // VS_IDE_BUILD

PS. 也可以这么解决, 如果 BufferSecurityCheck(/GS) 开关是打开的, 把入口点改成 GsDriverEntry@8, 并加上 BufferOverflowK.lib 静态库.

PPS. 原来, BufferOverflowK.lib 的意思是内核态的 BufferOverflow 库, BufferOverflowU.lib 是用户态的 BufferOverflow 库. That’s all.

<think>嗯,用户遇到了Visual Studio中的LNK2001错误,具体是未解析的外部符号__chkstk。我需要先理解这个错误的常见原因。根据之前的引用资料,比如引用[5]中提到,类似错误可能与代码生成模式或预处理器定义冲突有关。__chkstk通常与栈检查相关,可能在调用某些函数时自动插入,特别是在使用大数组或大量局部变量时。 首先,我应该检查用户的运行时库设置是否正确。如果项目使用多线程(MT)而非多线程DLL(MD),可能会有符号不匹配的问题。然后,确保没有自定义的预处理器定义导致冲突,比如用户可能定义了_DLL,这需要移除或重命名。此外,检查是否缺少必要的库文件,比如LIBCMT.lib或相关的运行时库。如果用户代码中有内联汇编或特定编译器指令,可能需要调整栈检查的设置,比如使用/Gs选项控制栈探测。 另外,用户可能需要更新Visual Studio,安装最新的补丁,或者检查项目配置的一致性,比如所有依赖库的编译选项是否匹配。如果问题依然存在,可能需要具体查看代码和项目设置,或者提供更详细的错误上下文。</think>### 解决Visual Studio中`LNK2001: unresolved external symbol __chkstk`错误的方法 #### 错误背景 `__chkstk`是Windows平台的栈检查函数,通常由编译器自动插入到代码中,用于检测栈溢出风险(例如函数中声明了大数组或大量局部变量时)。当编译器或链接器无法找到该符号的实现时,会触发此错误[^5]。 --- #### 逐步解决方案 1. **检查运行时库设置** - **原因**:若项目使用`/MT`(静态链接运行时库)但未包含`LIBCMT.lib`,或使用`/MD`(动态链接运行时库)但未正确配置,可能导致符号缺失。 - **解决方法**: - 右键项目 → 属性 → **C/C++ → 代码生成** → 确保**运行时库**设置为`/MD`(多线程DLL)或`/MT`(多线程)并与其他依赖库一致。 - 检查**链接器 → 输入 → 附加依赖项**是否包含`LIBCMT.lib`或`MSVCRT.lib`。 2. **移除冲突的预处理器定义** - **原因**:自定义的预处理器定义(如`_DLL`)可能与编译器内部宏冲突,导致链接器忽略必要的库[^5]。 - **解决方法**: - 右键项目 → 属性 → **C/C++ → 预处理器** → 删除`_DLL`或其他自定义冲突宏。 3. **检查编译器优化选项** - **原因**:若启用了`/O1`(最小化空间优化)或`/O2`(最大化速度优化),可能跳过某些栈检查逻辑。 - **解决方法**: - 临时禁用优化:属性 → **C/C++ → 优化** → 设置为`/Od`(禁用优化)。 - 或添加`/Gs`选项显式控制栈检查大小(如`/Gs8192`表示8KB阈值)。 4. **更新Visual Studio和SDK** - **原因**:旧版本的工具链可能缺失某些符号实现。 - **解决方法**: - 通过Visual Studio Installer更新至最新版本。 - 确认Windows SDK版本与项目目标平台匹配。 5. **检查内联汇编或特殊指令** - **原因**:手动编写的汇编代码可能干扰编译器生成的栈检查逻辑。 - **解决方法**: - 若代码中包含`__declspec(naked)`或内联汇编,尝试注释相关部分测试。 --- #### 代码示例(配置修正) ```cpp // 若因大数组触发__chkstk,可改为动态分配 void example() { // 原代码:char buffer[1024 * 1024]; // 可能触发栈检查 char* buffer = new char[1024 * 1024]; // 改为堆分配 // ... 使用buffer delete[] buffer; } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值