Win64 驱动内核编程-3.内核里使用内存

最新推荐文章于 2025-09-10 12:23:08 发布
原创 最新推荐文章于 2025-09-10 12:23:08 发布 · 4.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核里使用内存 #驱动 #Win64驱动

本文介绍了Win64驱动中内核内存管理的关键概念,包括ExAllocatePool、RtlMoveMemory等函数的使用,以及PagedPool和NonPagedPool的区别。重点讨论了内核内存泄漏的影响,以及在内核态下内存的读写执行特性。同时,提到了访问和修改其他模块内存时需要考虑的IRQL和内存保护问题,以及通过MDL映射内存的推荐做法。

内核里使用内存

内存使用,无非就是申请、复制、设置、释放。在 语言里,它们对应的函数是:mallocmemcpymemsetfree;在内核编程里,他们分别对应 ExAllocatePoolRtlMoveMemory

RtlFillMemoryExFreePool。它们的原型分别是:

                              

需要注意的是,RtlFillMemory 和 memset 的原型不同、ExAllocatePool 和 malloc 的原型也不同。前者只是参数前后调换了一下位置,但是后者则多了一个参数:PoolType。这个PoolType 也是必须了解的。PoolType 在 在 MSDN  的介绍上有 N  种, 其实 常用有 的只有 <

最低0.47元/天 解锁文章
Win64 驱动内核编程-26.强制结束进程
墨鱼菜鸡
12-18 398
强制结束进程 依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当...
x64驱动 关闭&开启 写时保护
LYSM
07-06 1983
背景 在内核想要写入“别人的”内存(一般指 NTOS 等系统模块的内存空间),需要遵守一个规则 : IRQL和内存保护。 IRQL称为中断请求级别,从0~31 共32个级别 内存保护可以打开和关闭,如果在内存处于保护状态时写入,会导致蓝屏 一般来说,要写入“别人的”内核内存,必须关闭内存写保护,并把 IRQL提升到 2 才行(绝大多数候时候 IRQL 都为 0 ,当IRQL=2时,会阻断大部分线程执行,防止执行出错)。 内存是否处于写保护的状态记录在 CR0 寄存器上,因此直接修改CR0寄存器的值即可
驱动编程内存与IO操作
knight
05-18 970
对于提供了MMU(存储管理器,辅助操作系统进行内存管理,提供虚实地址转换等硬件支持)的处理器而言,Linux提供了复杂的存储管理系统,使得进程所能访问的内存达到4GB。   进程的4GB内存空间被人为的分为两个部分--用户空间与内核空间。用户空间地址分布从0到3GB(PAGE_OFFSET,在0x86中它等于0xC0000000),3GB到4GB为内核空间,如下图:
易语言实现内核内存读写模块开发
最新发布
weixin_42113456的博客
09-10 664
在操作系统底层开发与调试中,内核读写内存模块扮演着至关重要的角色。该模块允许开发者直接访问和修改进程的内存空间,为系统级调试、逆向工程、游戏外挂开发以及安全研究提供了技术基础。通过该模块,开发者可以实现对目标进程的内存读取(如使用)与写入(如使用),从而获取运行时数据或修改程序行为。在易语言开发中,结合Windows API调用与模块封装,可高效实现这一功能,为后续章节中的实践操作打下坚实基础。理解 Windows 内存管理机制是实现内存读写操作的前提。
Windows 驱动开发 新手入门(三)
Doub1's Blog
06-11 2375
之前的文章 Windows 驱动开发 新手入门(一) Windows 驱动开发 新手入门(二)在之前我们大概知道驱动是什么,应用层如何和内核层通信后,我打算再补充一些知识。在第一篇文章中,为了好理解,我写过一句话,是,就是,在驱动中入口函数中打印,可以看见所属,也就是。我们知道在应用层开发时,通过Windows公开的API,我们可以在应用层去设置线程,进程的优先级,优先级越高,那么下次它获得CPU调度的机会就越大,此时我们可以通过SwitchToThread允许执行优先级较低的线程,或Sleep(0)立即重
驱动学习三
weixin_41693985的博客
11-03 207
#include<ntddk.h> #include<windef.h> #include<intrin.h> PVOID OpenProcessAddr = NULL; PVOID jmpAddr = NULL; KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); DWORD64 cr0 =__readcr0(); cr0 &= 0xfffffffffffeffff
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
Windows X64关闭内存写保护和打开内存写保护的代码
wing的专栏
03-20 5419
 关闭内存写保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存写保护的
Win64 驱动内核编程-21.DKOM隐藏和保护进程
墨鱼菜鸡
12-18 358
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。 关注两个成员:ActiveProcessLinks和Flag。 Acti...
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
墨鱼菜鸡
12-18 894
WFP驱动监控网络 WFP是微软推出来替代TDIHOOK、NDISHOOK等拦截网络通信的方案,WFP的框架非常庞大,在RING3和RING0各有一套类似的函数,令人兴奋的是,即使在R3使用WFP,也可以做到全局拦截访问网络。由于WFP的范围太广,实在难以一言概括,感...
x64内存读写驱动
03-27
可过tp读写大部分tp游戏
重载内核全程分析笔记
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
驱动-内核重载
chengtoreal的博客
03-13 605
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
内核写入:R3写入R0时蓝屏的问题解决
JLord_的博客
06-29 319
推测可能是PDEVICE_OBJECT中的DeviceExtension内存区域不足以容纳writesize的字节数据,导致了访问违规。而DeviceExtensionSize在IoCreateDevice时定义,于是转到DriverEntry查看代码是否有问题。IoCreateDevice的第二个参数指定了DeviceExtensionSize,这设置成了0,所以导致违规访问。修改之后蓝屏问题解决,R3的字符串成功在驱动中打印出来。调试后发现是如下两行代码导致蓝屏。
[Windows驱动开发](四)内存管理
baggiowangyu的专栏
09-03 1万+
一、内存管理概念 1. 物理内存概念(Physical Memory Address)     PC上有三条总线,分别是数据总线、地址总线和控制总线。32位CPU的寻址能力为4GB(2的32次方)个字节。用户最多可以使用4GB的真实物理内存。PC中很多设备都提供了自己的设备内存。这部分内存会映射到PC的物理内存上,也就是读写这段物理地址,其实读写的是设备内存地址,而不是物理内存地址。
win 驱动开发 内存链表图解
一介码农,热爱金融。
10-18 1289
Windows内存管理(1)--分配内核内存使用链表   1.      分配内核内存 Windows驱动程序使用内存资源非常珍贵,分配内存时要尽量节约。和应用程序一样,局部变量是存放在栈空间中的。但栈空间不会像应用程序那么大,所以驱动程序不适合递归调用或者局部变量是大型数据结构。如果需要大型数据结构,我们可以在堆中申请。 堆中申请的函数有以下几个: (1)PVOI
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 4104
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64Windows驱动程序开发的教程资源,由作者“天使也掉毛”在优快云博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值