内核回调中获取设备,路径,文件信息蓝屏问题

已于 2024-07-16 19:51:27 修改
阅读量1.6k 收藏 2
点赞数 1
分类专栏: 驱动学习 杂谈 文章标签: callback bsod IoQueryFileDosDeviceName IoVolumeDeviceToDosName
于 2019-02-12 17:30:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhuhuibeishadiao/article/details/87099772
版权
在开发一个类似procmon的框架时,遇到驱动在Windows Defender运行后蓝屏的问题。分析发现,错误源于在高IRQL级别调用IoVolumeDeviceToDosName函数,该函数在Windows Vista及以后版本需要确保APCs未被禁用。解决方案是通过工作队列来安全地获取路径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近在写一个类似procmon的框架,写完跑了一两天没有什么问题,直到windows defender的一个进程起来之后,过一会驱动必蓝屏

于是很郁闷,看堆栈都是空的,起初以为是栈被破坏了,但是代码里面没有递归等等,基本大的变量都申请了内存,看dump说是irql过高,又看了代码,我习惯都是用非分页内存,所以不存在访问内存的问题,并且代码中都是在psl级别执行的,基本都排除了,异常点是ObpQueryNameString中,于是想了想可能call到这里面的几个函数,一个是获取卷名称和获取路径,于是看了看获取路径那块的代码,结果发现了问题。

代码大概就是调用了PsReferenceProcessFilePointer->IoVolumeDeviceToDosName

一般来说是没有问题的,然后看了下msdn

Remarks

IoVolumeDeviceToDosName allocates the string buffer pointed to by the Buffer member of the UNICODE_STRING structure that the DosName parameter points to. After this buffer is no longer required, a caller of this routine should call the ExFreePool routine to free the buffer.

Starting with Windows Vista, you must ensure that APCs are not disabled before calling this routine. The KeAreAllApcsDisabled routine can be used to verify that APCs are not disabled.

哇,好气,这个函数是通过异步去完成的,为了确定是不是这个问题,我没有转换路径输出,结果本该bsod的却没有bsod(测试windows defender必蓝)

知道了问题,解决方法也就很简单了 我的是获取进程路径

1.通过peb去获取路径(不推荐)

2.通过工作队列去获取路径

查了下msdn,大部分Io函数都有这个限制,解决方法就是通过工作队列.

写完发现看雪已经有人遇到过了...

https://bbs.pediy.com/thread-224747.htm

Win64 驱动内核编程-14.回调监控文件
墨鱼菜鸡
12-18 198
回调监控文件 使用ObRegisterCallbacks实现保护进程,其实稍微PATCH下内核,这个函数还能实现文件操作监视。但可惜只能在WIN7X64上用。因为在WIN7X64上PATCH对象结构的成员(ObjectType->TypeInfo.SupportsObje...
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1624
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
note : Get FilePathName from FILE_OBJECT
谢绝(无视)留言与私信
09-16 2752
封了一个函数, 从 FILE_OBJECT 中 得到 FilePathName 在WinXpSp3下测试通过. 函数定义 BOOLEAN IsValidUnicodeString(PUNICODE_STRING pstr); BOOLEAN GetFilePathNameFromFileObject(     FILE_OBJECT * pFileObj,      UNI
内核修改进程启动参数源码,可用于学习浏览器劫持
08-11
自己小改一下即可支持x64系统,zip里源码是支持x86的,实际测试很多浏览器都OK,
EPROCESS取进程全路径
SomeTimes
01-21 5693
Windows内核中通过PEPROCESS获取进程全路径
通过PID获取进程全路径
kernweak的博客
05-30 1408
/* NTKERNELAPI NTSTATUS PsLookupProcessByProcessId( IN HANDLE ProcessId, OUT PEPROCESS *Process ); NTSTATUS IoQueryFileDosDeviceName( IN PFILE_OBJECT FileObject, OUT POBJECT_NAME_INF...
内核调试大师】:使用WinDbg深入分析Windows内核问题
本文深入探讨了WinDbg工具在Windows内核调试中的应用,涵盖了基础架构、工具命令、内核数据结构、内存管理、内核崩溃和蓝屏分析、驱动调试及高级应用等方面。通过详细介绍WinDbg的基本操作、符号文件配置、内存转储...
散热问题引发蓝屏?:分析与解决全攻略
本文探讨了计算机散热问题蓝屏现象之间的关系,分析了散热系统的工作原理、常见散热问题以及导致蓝屏的多种原因,包括硬件故障、软件冲突及错误代码解读。针对这些问题,本文提出了一系列解决策略,涵盖了硬件升级...
windows 内核获取进程路径
10-09 758
windows 内核获取进程路径 思路:1):在EPROCESS结构中获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
通过进程查询它打开的文件,通过文件查询打开它的进程
qq1282867270的专栏
01-26 1047
标题很二,不过应该程序员会明白,这个就是我需要的,就够了。 经常遇到一些问题,比如:通过进程ID确定进程名,通过进程名确定进程ID。windows通常只提供一种查询,然后全部枚举一遍,自己建立反向查询映射关系。 为了给后来人提供参考,也为了自己不用再次发明轮子,或者找不到轮子的时候,在这里做备忘录。代码是整理别人的,API是微软发明的,就像小麦是农民种的,面粉是工厂磨的,但是有人蒸出来
从FILE_OBJECT里获取完整NT路径和DOS路径
zhuhuibeishadiao
11-29 4546
原作者:Tesla.Angela 链接:http://www.m5home.com/bbs/thread-8896-1-1.html 众所周知在FILE_OBJECT.FileName的路径是不带盘符的,于是网上各种QUICK AND DIRTY的代码就干脆直接从FileName里取得“无头路径”。 这种恶心的做法自然是要不得的,现在分享一下从这个结构体里取完整路径的方法。区区40行代码(还
ZwWriteFile routine
死胖子的博客
02-04 2967
ZwWriteFile routine The ZwWriteFile routine 往一个打开的文件里写入数据. Syntax   NTSTATUS ZwWriteFile(   _In_     HANDLE           FileHandle,   _In_opt_ HANDLE           Event,   _In_opt_ PIO_APC_ROUTINE
如何获取进程/目标对象的全路径
zhuhuibeishadiao
04-10 1983
PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile ->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName ->ZwQueryInformationFile 如何获取目标对象的全路径
文件过滤驱动Sfilter学习笔记
收集学习过程中对自己有帮助的牛人文章
12-01 1388
转载自:http://mzf2008.blog.163.com/blog/static/3559978620114156433999/ 1.DriverEntry例程 (1)创建过滤驱动的控制设备, 以后我们的IO控制码就是发到这个设备上面 //这里的设备名与普通设备有所不同. //当然, 最简单的可以直接写成 L"\\Device\\Filemontor";(File
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值