Win64 驱动内核编程-3.内核里使用内存

最新推荐文章于 2024-06-29 16:56:48 发布
最新推荐文章于 2024-06-29 16:56:48 发布
阅读量4.7k 收藏 12
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 驱动内核编程 文章标签: 内核里使用内存 驱动 Win64驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013761036/article/details/60359402
本文介绍了Win64驱动中内核内存管理的关键概念,包括ExAllocatePool、RtlMoveMemory等函数的使用,以及PagedPool和NonPagedPool的区别。重点讨论了内核内存泄漏的影响,以及在内核态下内存的读写执行特性。同时,提到了访问和修改其他模块内存时需要考虑的IRQL和内存保护问题,以及通过MDL映射内存的推荐做法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内核里使用内存

内存使用,无非就是申请、复制、设置、释放。在 语言里,它们对应的函数是:mallocmemcpymemsetfree;在内核编程里,他们分别对应 ExAllocatePoolRtlMoveMemory

RtlFillMemoryExFreePool。它们的原型分别是:

                              

需要注意的是,RtlFillMemory 和 memset 的原型不同、ExAllocatePool 和 malloc 的原型也不同。前者只是参数前后调换了一下位置,但是后者则多了一个参数:PoolType。这个PoolType 也是必须了解的。PoolType 在 在 MSDN  的介绍上有 N  种, 其实 常用有 的只有 

最低0.47元/天 解锁文章
Win64 驱动内核编程-26.强制结束进程
墨鱼菜鸡
12-18 297
强制结束进程 依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当...
驱动编程内存与IO操作
knight
05-18 959
对于提供了MMU(存储管理器,辅助操作系统进行内存管理,提供虚实地址转换等硬件支持)的处理器而言,Linux提供了复杂的存储管理系统,使得进程所能访问的内存达到4GB。   进程的4GB内存空间被人为的分为两个部分--用户空间与内核空间。用户空间地址分布从0到3GB(PAGE_OFFSET,在0x86中它等于0xC0000000),3GB到4GB为内核空间,如下图:
windows驱动 - IRQL
qq726232111的博客
12-21 588
0x00 IRQL IRQL -> Interrupt Request Level 中断请求等级 0x01 函数 KeRaiseIrqlToDpcLevel 将 硬件优先级提高到IRQL=DISPATCH_LEVEL,从而屏蔽当前处理器上等效或较低的IRQL中断 KeRaiseIrql 将硬件优先级提高到指定的IRQL值,从而屏蔽当前处理器上等效或较低IRQL的中断 KeLowerIrql 将当前处理器上的IRQL还原为其原始值。 KeInitializeDpc...
Windows 驱动开发 新手入门(三)
Doub1's Blog
06-11 2299
之前的文章 Windows 驱动开发 新手入门(一) Windows 驱动开发 新手入门(二)在之前我们大概知道驱动是什么,应用层如何和内核层通信后,我打算再补充一些知识。在第一篇文章中,为了好理解,我写过一句话,是,就是,在驱动中入口函数中打印,可以看见所属,也就是。我们知道在应用层开发时,通过Windows公开的API,我们可以在应用层去设置线程,进程的优先级,优先级越高,那么下次它获得CPU调度的机会就越大,此时我们可以通过SwitchToThread允许执行优先级较低的线程,或Sleep(0)立即重
驱动学习三
weixin_41693985的博客
11-03 184
#include<ntddk.h> #include<windef.h> #include<intrin.h> PVOID OpenProcessAddr = NULL; PVOID jmpAddr = NULL; KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); DWORD64 cr0 =__readcr0(); cr0 &= 0xfffffffffffeffff
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
Win64 驱动内核编程-21.DKOM隐藏和保护进程
墨鱼菜鸡
12-18 246
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。 关注两个成员:ActiveProcessLinks和Flag。 Acti...
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
墨鱼菜鸡
12-18 781
WFP驱动监控网络 WFP是微软推出来替代TDIHOOK、NDISHOOK等拦截网络通信的方案,WFP的框架非常庞大,在RING3和RING0各有一套类似的函数,令人兴奋的是,即使在R3使用WFP,也可以做到全局拦截访问网络。由于WFP的范围太广,实在难以一言概括,感...
Windows X64关闭内存写保护和打开内存写保护的代码
wing的专栏
03-20 5381
 关闭内存写保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存写保护的
重载内核全程分析笔记
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
驱动-内核重载
chengtoreal的博客
03-13 562
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
内核写入:R3写入R0时蓝屏的问题解决
最新发布
JLord_的博客
06-29 292
推测可能是PDEVICE_OBJECT中的DeviceExtension内存区域不足以容纳writesize的字节数据,导致了访问违规。而DeviceExtensionSize在IoCreateDevice时定义,于是转到DriverEntry查看代码是否有问题。IoCreateDevice的第二个参数指定了DeviceExtensionSize,这设置成了0,所以导致违规访问。修改之后蓝屏问题解决,R3的字符串成功在驱动中打印出来。调试后发现是如下两行代码导致蓝屏。
[Windows驱动开发](四)内存管理
baggiowangyu的专栏
09-03 1万+
一、内存管理概念 1. 物理内存概念(Physical Memory Address)     PC上有三条总线,分别是数据总线、地址总线和控制总线。32位CPU的寻址能力为4GB(2的32次方)个字节。用户最多可以使用4GB的真实物理内存。PC中很多设备都提供了自己的设备内存。这部分内存会映射到PC的物理内存上,也就是读写这段物理地址,其实读写的是设备内存地址,而不是物理内存地址。
win 驱动开发 内存链表图解
一介码农,热爱金融。
10-18 1262
Windows内存管理(1)--分配内核内存使用链表   1.      分配内核内存 Windows驱动程序使用内存资源非常珍贵,分配内存时要尽量节约。和应用程序一样,局部变量是存放在栈空间中的。但栈空间不会像应用程序那么大,所以驱动程序不适合递归调用或者局部变量是大型数据结构。如果需要大型数据结构,我们可以在堆中申请。 堆中申请的函数有以下几个: (1)PVOI
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 4059
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
关闭和开启写保护
qq_41490873的博客
08-22 1740
KIRQL WPOFF() { KIRQL OldIrql = KeRaiseIrqlToDpcLevel(); //ULONG_PTR 这个类型在x86上是32位 x64就是64位 ULONG_PTR cr0 = __readcr0(); #ifdef _X86_ cr0 &= 0xfffeffff; #else cr0 &= 0xfffffffffffeffff; #endif _disable(); //关闭中断 __writecr0(cr0); //关闭写保
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4889
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值