windows内核情景分析之—— KeRaiseIrql函数与KeLowerIrql()函数

最新推荐文章于 2024-08-11 16:24:27 发布
原创 最新推荐文章于 2024-08-11 16:24:27 发布 · 2.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文主要探讨Windows内核中的KeRaiseIrql和KeLowerIrql函数。KeRaiseIrql通过调用hal模块的KfRaiseIrql函数提升IRQL,提升条件包括HalpEnableIrqlAudit为0或NewIrql大于等于OldIrql。而KeLowerIrql函数用于降低IRQL。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

windows内核情景分析之—— KeRaiseIrql函数与KeLowerIrql()函数

1.KeRaiseIrql函数

这个 KeRaiseIrql() 只是简单地调用 hal 模块的 KfRaiseIrql() 函数,返回原来的 IRQL 写入 KeRaiseIrql() 的第 2 个参数里,将它写回 C 代码如下:

VOID KeRaiseIrql(KIRQL NewIrql, PKIRQL OldIrql)
{
KIRQL Irql = KfRaiseIrql(NewIrql);
*OldIrql = Irql;
}

 KIRQL KfRaiseIrql(KIRQL Irql)
{
KIRQL OldIrql = GetCurrentKPcr()->Irql; // 从 _KPCR.Irql(fs:[24])得到 Irql 值

if (HalpEnableIrqlAudit != 0)
{
eflags = GetCurrentElfags(); // 得到 eflags 值
DisableInterrupt();  // 关闭中断
HalpValidatePendingInterrts();

if (HalpEnableIrqlAudit == 0
|| OldIrql >= DPC_LEVE
|| OldIrql >= ((USHORT *)GetCurrentKPcr()->HalReserved)[1]; // fs:[96h]
|| HalpAssertFailedOnce != 0)
{
if (eflags.IF == 0)
EnableInterrupt():  // 开中断
}

}

if (HalpEnableIrqlAudit == 0 || OldIrql <= Irql)
{
// 空,跳出 if()
}
else
{
HalpAssertFailedOnce = 1;
DbgBreakPoint();  // 被断下
}

GetCurrentKPcr()->Irql = Irql; // 设置新的 IRQL 值
return OldIrql;// 返回旧的 IRQL 值
}

KfRaiseIrql() 函数能提升 IRQL 需符合下面的条件之一:

1.HalpEnableIrqlAudit 为 0(HalpEnableIrqlAudit 是个 hal 模块内的全局变量,但我不知道它是什么意思

2.NewIrql >= OldIrql(也就是要提升的 IRQL 必须大于或等于原值)

2.KeLowerIrql()函数

#define KeLowerIrql(a) KfLowerIrql(a)  

VOID FASTCALL KfLowerIrql (KIRQLNewIrql)  
{  
  if (NewIrql > KeGetPcr()->Irql)  
  {  
  KEBUGCHECK(0);  
  for(;;);  
  }  
  HalpLowerIrql(NewIrql);  
}  

VOID HalpLowerIrql(KIRQL NewIrql) //主要函数
{  
  if (NewIrql >= PROFILE_LEVEL) //如果所要降到的中断请求级大于PROFILE_LEVEL,则直接设置当前的中断请求级
  {  
  KeGetPcr()->Irql = NewIrql;  
  return;  
  }  
  HalpExecuteIrqs(NewIrql);  
  if (NewIrql >= DISPATCH_LEVEL) //如果所要降到的中断请求级大于DISPATCH_LEVEL,则直接设置当前的中断请求级
  {  
  KeGetPcr()->Irql = NewIrql;  
  return;  
  }  
  //NewIrql低于DISPATCH_LEVEL  
  KeGetPcr()->Irql = DISPATCH_LEVEL; //所要降到的中断请求级小于DISPATCH_LEVEL,设置当前的中断请求级为DISPATCH_LEVEL,
                                     //然后扫描dpc队列,如果不为空,则触发dpc软件中断
  if (((PKIPCR)KeGetPcr())->HalReserved[HAL_DPC_REQUEST])  
  {  //DPC请求队列非空  
  ((PKIPCR)KeGetPcr())->HalReserved[HAL_DPC_REQUEST] = FALSE;  
  KiDispatchInterrupt();  
  }  
  KeGetPcr()->Irql = APC_LEVEL; //所要降到的中断请求级小于APC_LEVEL,设置当前的中断请求级为APC_LEVEL,
                                //然后扫描apc队列,如果不为空,则触发apc软件中断
  if (NewIrql == APC_LEVEL)  
  {  
  return;  
  }  
  //NewIrql低于APC_LEVEL  
  if (KeGetCurrentThread() != NULL &&
KeGetCurrentThread()->ApcState.KernelApc Pending)  
  {  
  KiDeliverApc(KernelMode, NULL, NULL);  
  }  
  KeGetPcr()->Irql = PASSIVE_LEVEL;  
}
4.线程到底是如何调度和切换的?
u011454830的专栏
11-07 1229
4.线程到底是如何调度和切换的? 本节内容将作为本篇文章最重要的部分来讲述,源代码才是我们的王道,在WRK-v1.2\base\ntos\ke\Yield.c文件里,我们终于看到代码了,需要说明的是这个部分并非是完整的调度,我们是从这个入手来看整个的过程,没有源代码的原理就是空中楼阁。 NTSTATUS  NtYieldExecution (VOID) {     KIRQL OldIrq
windows内核原理分析之DPC函数的执行(3)
yushui的笔记本
06-04 2327
windows内核原理分析之DPC函数的执行(3)windows内核什么时候会扫描DPC请求队列,执行这些DPC函数呢?答案是,每当CPU的运行级别从DISPATCH_LEVEL或以上降低到DISPATCH_LEVEL以下时,如果有扫描DPC请求队列的要求存在,内核就会扫描DPC请求队列并执行DPC函数(如果队列非空的话)。为此,我们不妨从宏操作KeLowerIrql()开始往下看。#define
Windows内核】关于驱动例程的中断等级:PASSIVE、APC、DISPATCH、DEVICE的详细说明【2023.04.27】
qq_25231249的博客
04-27 1948
结合生活来理解一下中断。我叫杨奶粉,是一名社畜,当我正在干活的时候,小组长让我去打印一份资料,我就放下手头的工作去打印资料(任务被中断)。这时候部门经理又让我去接待下客户,于是我就放下手头的打印,去接待客户(低优先级中断被高优先级中断打断)。接待客户的时候,刘副总和邓副总(同级别)又叫我参加不同的会议(被多个同级中断打断任务)。上面的例子和操作系统中的中断大差不差。死锁:当我在参加刘副总的会议的时候,需要打印个东西,那我就去打印东西,但是一走到打印机前面,就想起来自己正在参加副总的会,怎么能去打印呢?
内核级HOOK的几种实现应用
ljtt的专栏
06-24 1168
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们 添加文章 English Version  文章分类  专题文章 漏洞分析 安全配置 黑客教学 编程技术 工具介绍 火墙技术 入侵检测 破解专题 焦点公告 焦点峰会  文章推荐  LSD RPC 溢出漏洞之分析 任意用户模式下执行 ring 0 代码 IIS的NSIISLOG.
windows内核情景分析笔记1.3 IRQL
Sunny_wwc的专栏
10-12 860
#define PASSIVE_LEVEL     0#define LOW_LEVEL           0#define APC_LEVEL            1#define DISPATCH_LEVEL   2cpu的一个线程处于某个级别时,其操作就不能受到同级别或者更低级别操作的干扰。PASSIVE_LEVEL 是最低的级别,对应系统结构中较高的层次,cpu运行在用户空间,或者进入内核但是只运行在管理层时,都是这个级别。APC_LEVEL 是为APC函数执行准备时的级别,APC请求相当于用户
从IRQ到IRQL(PIC版)
04-14 3101
从IRQ到IRQL(PIC版)发信站:安全焦点(2004年12月18日18时45分17秒) 从IRQ到IRQL(PIC版)SoBeIt这个题目让我想起了小时候学的课文《从百草园到三味书屋》,然后就想起了以前无忧无虑的快乐时光,这是上了大学以后所不再有的,有时常常叹息过去的美好日子不会再有了。sigh~扯远了。本文所有的东西都不涉及APIC。先来介绍一下名词,免得有些哥们看晕了:)PIC:Pro
windows内核模式编程的安全最佳实践
zhangyihu321的专栏
08-11 919
windows 内核 编程的安全最佳实践
windows内核开发防崩溃和容错技术
最新发布
zhangyihu321的专栏
08-11 1111
windows 驱动 防崩溃 容错技术
Windows内核驱动编程秘籍】:全面掌握驱动开发的核心概念实践策略
![初识Windows内核驱动编程:...内核驱动程序运行在操作系统的最核心部分——内核空间。它具有访问系统硬件和执行关键系统任务的权限,因此在操作系统中占有极其重要的地位。从提升硬件性能到确保系统稳定运行,内核
【中断处理】:揭秘Windows内核驱动的内部机制实践技巧
[【中断处理】:揭秘Windows内核驱动的内部机制实践技巧](https://opengraph.githubassets.com/4a570dfa451ddb6107010af3ebd2a16d5688885814aa8a76370090efd349fbdc/sifive/example-software-interrupt) ...
过TP保护解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如ODCE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
<学习笔记>Windows驱动开发技术详解__驱动程序的同步处理
The New Old Things
09-28 6237
如果驱动程序没有很好地处理同步问题,操作系统的性能就会下降,甚至出现死锁等现象。 基本概念 1.问题的引出 下面这段代码: int number; void Foo() { number++; //做一些事情 number--
【原创+整理】线程同步之详解自旋锁
weixin_34235135的博客
09-08 294
一 什么是自旋锁 自旋锁(Spinlock)是一种广泛运用的底层同步机制。自旋锁是一个互斥设备,它只有两个值:“锁定”和“解锁”。它通常实现为某个整数值中的某个位。希望获得某个特定锁得代码测试相关的位。如果锁可用,则“锁定”被设置,而代码继续进入临界区;相反,如果锁被其他人获得,则代码进入忙循环(而不是休眠,这也是自旋锁和一般锁的区别)并重复检查这个锁,直到该锁可用为止,这就是自旋的过程。“测试并...
Windows驱动开发技术详解第八章(驱动程序的同步处理)
冰糖葫芦的夏天的博客
03-01 748
中断请求(IRQ) 中断请求分为两种: 外部中断(硬件产生的中断) 由软件指令int n产生的中断 外部中断 传统PC共可接受16个中断信号,分别对应一个中断号 外部中断分为:不可屏蔽中断(CPU的NMI引脚)和可屏蔽中断(CPU的INTR引脚) 传统CP使用Intel 8259A中断控制器向CPU发出可屏蔽中断 现代x86机器使用高级可编程中断控制器(APIC) APIC兼容传统的16个中断,共24个中断(IRQ) 每个IRQ有各自的优先级别,正在运行的线程可被IRQ打断,进入IRQ的中断处理程序
tiechui_lesson07_中断级和自旋锁
简单的笔记本
05-08 761
但是当页面被换到磁盘上的pagefile.sys,缺页中断无法打断DPC过程(弹幕大佬:“准确说缺页中断会产生,但页面错误异常处理函数无法回应中断请求”),结果是访问一个无效内存,导致BSOD。(弹幕大佬:“也就是说获取自旋锁的线程中断级更高,被抢占的概率更小,从而能尽可能快的释放锁,避免其他线程长时间忙等待”)。DPC这个级别是软件层面能提升到的最高权限,ISR(延迟过程调用)当某个硬件设备引发一个高中断的时候,可以把不那么紧急的任务放在DPC里边来执行,同时又把中断级降低。比如在尝试重入全局变量。
获取当前进程.线程。过程一探。
Xed
09-25 897
PsGetCurrentProcess PsGetCurrentThread   这2个函数 前者是获取当前进程 后者是获取当前线程。 -------- 他们的反汇编代码如下 lkd> u IoGetCurrentProcess nt!PsGetCurrentP
IRQL(多线程中断请求级别)
迪迦 • 奥特曼
03-25 2140
IRQL IRQL(Interrupt ReQuest Level)中断请求级别,什么是"中断"呢? 中断就是硬件设备通过8259A中的中断控制器,向CPU发送的一个电信号,电信号表明中断控制码.CPU在收到电信号后就会停止正在执行的程序.识别控制码,根据中断码去中断向量表中找到对应的中断处理函数并执行,这时CUP就处于中断上下文中. 中断上下文就是系统代替硬件去做一些事情,进程上下文是系统代替进程做一些事情. 进程上下文是可以睡眠的,但中断上下文不可以睡眠. 中断又分为:外部中断和内部中断.由CPU内部引
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4901
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.youkuaiyun.com/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值