32位驱动开发- 内存检查/缓冲区通讯/控制码

之前的笔记搬运

0x1 内存操作检查

• 在内核中不能用try catch, 可以用try \except

• MmIsAddressValid 判断非分页内存是否有效(判断是否页访问异常),但是R3的内存全是分页内存

• ProbeForRead ProbeForWrite, 判断内存是否可读可写, 只可以检查R3的地址,

  如果不可读或不可写的话会抛一个异常, 一般和try \except配合使用

• 在windbg调试中有pdb却没有源文件窗口时, 用p单步几步就会出来

• 内核代码可以被R3的任何线程调用, 所以需要同步操作

• KeEnterCriticalRegion 内核进入临界区

• KeLeaveCriticalRegion 内核退出临界区

0x2 缓冲区通讯方式

驱动回调函数的调用线程正常情况下, 是调用者的现在, 但是会有几率会是其他线程,这时候如果在去访问调用者线程内存空间, 就会出现问题, 为了解决此问题,可以在调用IoCreateDevice后设置Device->Flags来决定缓冲区的通讯方式

缓冲区通讯方式:

1. 缓冲区方式 2. 直接方式 3. 其他方式

缓冲区方式

-   pDeviceObj-\>Flags \|= DO_BUFFERED_IO
-   在R0申请一块Buff, 在R3传入的Buff内容拷贝到R0的Buff里面;
-   在把R0的Buff再传入驱动回调函数;
-   因为R0的地址是所有进程共享的, 所以解决了切换线程的问题;

直接方式

-   Device-\>Flags \|= DO_DIRECT_IO

-   在R0申请一个指针映射R3传入的Buff数据所在的物理空间,使用R0和R3的虚拟地址不同, 但是指向的物理内存空间一样
-   那么在R0操作R0的指针就等同于操作一块内存, 那么就不会存在切线程的问题了
    
-   由于R0和R3指向同一块内存, 那在R3下操作该内存的话, 就会存在溢出风险,所以在R0映射该块内存时, 需要禁止R3操作该内存,使用MmProbeAndLockPages函数锁定,或MmGetSystemAddressForMdlSafe直接获取安全的Mdl内存MmGetSystemAddressForMdlSafe(Irp-\>Mdl, NormalPagePriority)

其他方式

不填写Flags标志位, 就默认直接使用R3的虚拟地址

0x3 控制码

• R3中DeviceIoControl函数的第二个参数就是控制码

• R0中MajorFunction[IRP_MJ_DEVICE_CONTROL]存放的就是回调函数指针,

控制码要定义0x800以后, 前面都被操作系统占用了

• 定义控制码

CTL_CODE (设备类型, 设备码, 通讯方式, 访问权限)

CTL_CODE (FILE_DEVICE_UNKOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS)

• R3使用winioctl头文件, 里面包含了R0的类型, 控制码之类的宏定义

METHOD_BUFFERED: 输入输出都在systembuff里
METHOD_IN_DIRECT: 输入在MDL, 输出在systembuff
METHOD_OUT_DIRECT: 输出在MDL, 输入在systembuff

赏

感谢大佬

微信