首页
论坛
课程
招聘
[原创]Delphi研究之驱动开发篇(四)--使用系统内存堆
2008-1-19 20:54 15071

[原创]Delphi研究之驱动开发篇(四)--使用系统内存堆

2008-1-19 20:54
15071
通过对前面几篇教程的学习,相信大家已经掌握了一些用Delphi开发Windows驱动程序的基础知识,从现在开始我们来了解一些必要的底层技术,首先我们要了解的就是内存管理方面的知识。
    内存管理器给用户进程提供了大量的API。这些API可以分为三类:虚拟内存函数、内存映射文件函数和堆函数。内核的成员(包括驱动程序)有很多高级的工具。例如:驱动程序能够在物理地址空间里分配一个连续的内存。这类函数呢,前缀是"Mm"。另外呢,还有一种以"Ex"为前缀的函数,用于从系统内存池里(分页和不分页的)分配和释放内存,还可以操作后备列表(lookaside lists)。
    后备列表是啥东东?我们后面再讲,它可以提供更快的内存分配,但要使用预定义的固定的块大小。
    系统内存堆可跟用户堆不一样啊,它表现为系统地址空间的两个所谓的内存池。
    ◎ 不分页池--不分页池不会分页到交换文件(swap file),自然也不需要分页回来。它们总是老老实实在物理内存里活动,在你想访问它们的时候总能找到它们(任何IRQL等级),并且不会出现分页错误。这也正是它的优点,任何访问都不会出现页面错误!页面错误往往会导致系统瘫(当IRQL >= DISPATCH_LEVEL)!
    ◎ 分页池--顾名思义,就是可以分页(分入和分出)的了。你只能使用(IRQL < DISPATCH_LEVEL)的内存。
    以上两种池都位于系统地址空间,在进程上下文中可以使用它们。有一个函数集合叫ExAllocatePoolXXX,用于从系统内存池分配内存。函数ExFreePool用来释放。
在我们开始使用它们的时候,来看看基本要点:
前面提到,如果你访问已经被交换出去的内存时IRQL >= DISPATCH_LEVEL会导致系统瘫痪!但是事情并不绝对,也许它当时不死机,过一会才死呢!啥时候死?就是当你的系统将内存交换了出去,并且你访问它的时候!
    千万不要太钟爱不分页内存,太浪费资源了!它总要占用物理内存!分配的堆使用完后记得一定要释放,你在系统池里分配了内存,无论你的驱动程序发生了什么事情,这些内存不会被回收,除非ExFreePool 被调用。如果你不用ExFreePool显式地释放内存,即使你的驱动程序卸载了,这些内存还驻留在那里。所以呢,你就乖乖地显式地释放内存吧!
    系统内存池分配的内存不会被自动清零,最后的使用者可能会留下垃圾。所以呢,使用之前,最好统统置零。
    你可以很容易地定义你需要的内存类型了,就两种:分页,不分页。如果你的代码要访问IRQL >= DISPATCH_LEVEL,不用说你也知道,你必须使用不分页类型。代码本身,和涉及的数据都要在不分页内存里。在缺省情况下,驱动程序以不分页内存加载,除非是INIT节区或者名称以"PAGE"开始的节区。假如你不做任何动作去改变驱动程序的内存属性(例如:别去调用MmPageEntireDriver使驱动程序的映像分页),你就不用关心驱动程序了,它总是在内存里。
先前的文章中我们讨论了常用的驱动函数(DriverEntry, DriverUnload, DispatchXxx)被调用时所处的IRQL等级。
    DDK给了我们关于每一个函数被调用时的IRQL等级的相关信息。例如:在后面的文章中我们会使用IoInitializeTimer函数,该函数的描述这样说的:该函数执行时,时钟事件发生时的等级IRQL = DISPATCH_LEVEL 。这就意味着:这个函数访问的所有内存都必须是不分页的。
如果你不能确定到底是哪个IRQL,你写程序时候可以这样调用KeGetCurrentIrql:

If KeGetCurrentIrql < DISPATCH_LEVEL then
begin
  {使用任意内存}
End else
begin
  {只能使用不分页内存}
End;


    下面让我们来看一个简单驱动程序例子SystemModules,该例子的主要动作集中在DriverEntry函数里。我们会分配分页内存(你应该记得DriverEntry运行在IRQL =PASSIVE_LEVEL等级,所以使用分页内存自然是没问题了),然后写进一些信息,再释放,并让系统卸载驱动程序。

unit SystemModules;

interface

uses
  nt_status, ntoskrnl, native;

function _DriverEntry(pDriverObject:PDRIVER_OBJECT; pusRegistryPath:PUNICODE_STRING): NTSTATUS; stdcall;

implementation

function _DriverEntry(pDriverObject:PDRIVER_OBJECT; pusRegistryPath:PUNICODE_STRING): NTSTATUS;
var
  cb:DWORD;
  p, pTemp:PVOID;
  dwNumModules:DWORD;
  pMessage, pModuleName: PCHAR;
  buffer: array [0..295] of char;
  szModuleName: array[0..100] of char;
  iCnt, iPos: integer;
begin
  DbgPrint('SystemModules: Entering DriverEntry');
  cb := 0;
  ZwQuerySystemInformation(SystemModuleInformation, @p, 0, cb);
  if cb <> 0 then
  begin
    p := ExAllocatePool(PagedPool, cb);
    if p <> nil then
    begin 
      DbgPrint('SystemModules: %u bytes of paged memory allocted at address %08X', cb, p);
      if ZwQuerySystemInformation(SystemModuleInformation,
        p, cb, cb) = STATUS_SUCCESS then
      begin 
        pTemp := p;
        dwNumModules := DWORD(p^);
        cb := (sizeof(SYSTEM_MODULE_INFORMATION) + 100) * 2;
        pMessage := ExAllocatePool(PagedPool, cb);
        if pMessage <> nil then
        begin
          DbgPrint('SystemModules: %u bytes of paged memory allocted at address %08X', cb, pMessage);
          memset(pMessage, 0, cb);
          inc(PCHAR(pTemp), sizeof(DWORD));
          for iCnt := 1 to dwNumModules do
          begin
            iPos := (PSYSTEM_MODULE_INFORMATION(pTemp))^.ModuleNameOffset;
            pModuleName := @((PSYSTEM_MODULE_INFORMATION(pTemp))^.ImageName[iPos]);
            if (_strnicmp(pModuleName, 'ntoskrnl.exe', length('ntoskrnl.exe')) = 0) or
               (_strnicmp(pModuleName, 'ntice.sys', length('ntice.sys')) = 0) then
            begin
              memset(@szModuleName, 0, sizeof(szModuleName));
              strcpy(@szModuleName, pModuleName);
              _snprintf(@buffer, sizeof(buffer),
                        'SystemModules: Found %s base: %08X size: %08X',
                        @szModuleName,
                        (PSYSTEM_MODULE_INFORMATION(pTemp))^.Base,
                        (PSYSTEM_MODULE_INFORMATION(pTemp))^._Size);
              strcat(pMessage, @buffer);
            end;
            inc(PCHAR(pTemp), sizeof(SYSTEM_MODULE_INFORMATION));
          end;
          if pMessage[0] <> #0 then
          begin
            DbgPrint(pMessage);
          end else
          begin
            DbgPrint('SystemModules: Found neither ntoskrnl nor ntice');
          end;
          ExFreePool(pMessage);
          DbgPrint('SystemModules: Memory at address %08X released', pMessage);
        end;
      end;
      ExFreePool(p);
      DbgPrint('SystemModules: Memory at address %08X released', p);
    end;
  end;
  DbgPrint('SystemModules: Leaving DriverEntry');
  result := STATUS_DEVICE_CONFIGURATION_ERROR;
end;

end.


     为了写点有用的信息,我们加载了一些模块到系统地址空间(包括以下系统模块:ntoskrnl.exe, hal.dll等,还有设备驱动程序),然后去找ntoskrnl.exe和ntice.sys。我们用SystemModuleInformation信息类作为参数调用ZwQuerySystemInformation来得到系统模块列表。读者可以到Garry Nebbett的书《winodwsNT/2000 内部API参考》去找这些函数的描述。顺便说一下,ZwQuerySystemInformation 是一个独特的函数,它返回大量的系统信息。
这个例子中没有提供驱动控制程序。你可以使用KmdKit4D工具包中的KmdManager或者类似的工具,还可以使用DebugView 或 SoftICE 控制台来查看调试信息。
现在我们来分析分析这段程序吧……

cb := 0;
ZwQuerySystemInformation(SystemModuleInformation, @p, 0, cb);


    首先我们要决定我们要使用多少空间。上面调用对ZwQuerySystemInformation的调用使我们获得STATUS_INFO_LENGTH_MISMATCH(这是正常,因为buffer的尺寸为零。),但是cb变量接收到了buffer尺寸(为零或非零)。于是我们就得到了需要的buffer尺寸。这里需要地址p是为了ZwQuerySystemInformation函数的正常执行。

if cb <> 0 then
begin
  p := ExAllocatePool(PagedPool, cb);


    ExAllocatePool从分页内存池分配需要数量的内存。如果是不分页内存呢,就把第一个参数PagedPool相应地改成NonPagedPool。ExAllocatePool比用户模式的HeapAlloc 简单一些,只有两个参数:第一个参数是内存池类型(分页、不分页),第二个参数是需要的内存尺寸。简单吧!

if p <> nil then

      如果ExAllocatePool 返回非零值,那么它就是一个指向分配buffer的指针。
    检查调试信息会发现ExAllocatePool 分配的buffer地址是页尺寸大小的倍数。假如请求的内存的大小大于或等于(>=)页尺寸(我们这个例子中,是明显地大了),分配的内存会从页边界开始分配。

if ZwQuerySystemInformation(SystemModuleInformation, p, cb, cb) = STATUS_SUCCESS then
begin 
  pTemp := p;

    我们再次调用ZwQuerySystemInformation,这次使用buffer的指针和尺寸作为参数。
如果返回的是STATUS_SUCCESS,那么buffer之中就包含了系统模块列表,数据以SYSTEM_MODULE_INFORMATION(在native.dcu中定义)结构队列的形式存在。

SYSTEM_MODULE_INFORMATION = packed record
  Reserved: array[0..1] of DWORD;
  Base: PVOID;
  _Size: DWORD;                 
  Flags: DWORD;
  Index: WORD;
  Unknown: WORD;
  LoadCount: WORD;
  ModuleNameOffset: WORD;
  ImageName: array[0..255] of char;
end;

                  
     cb变量接受实际返回的字节的数量,但是我们目前用不到它。
    我假设在两次调用ZwQuerySystemInformation 之间没有其它新模块出现。这种可能性当然是很小的。我们这里只是为了学习目的嘛!你最好使用更安全的办法:在循环中反复调用ZwQuerySystemInformation来逐次增加buffer大小,直到该大小满足需求!

dwNumModules := DWORD(p^);

    buffer中的第一个双字(double word)包含模块的数量,这些模块紧跟在SYSTEM_MODULE_INFORMATION队列的后面。然后,模块的数量会保存在dwNumModules中。

cb := (sizeof(SYSTEM_MODULE_INFORMATION) + 100) * 2;
pMessage := ExAllocatePool(PagedPool, cb);

                  
    我们需要另一个buffer来保存我们寻找的两个模块的名字和其它信息。我们假定这个尺寸(((sizeof(SYSTEM_MODULE_INFORMATION) + 100) * 2)是足够的。
注意:这次的buffer地址不是页尺寸的倍数,是因为buffer尺寸小于一个页尺寸。

memset(pMessage, 0, cb);

    用memset填充buffer为零,这是为了安全考虑,使字符串肯定以零结束。学习过c语言的朋友对此函数应该很熟悉。(事实上你也可以使用Delphi的FillChar函数)

inc(PCHAR(pTemp), sizeof(DWORD));

    跳过保存了模块数量的大小的第一个双字,现在pTemp就指向了第一个SYSTEM_MODULE_INFORMATION结构。

for iCnt := 1 to dwNumModules do
begin

    我们对结构队列循环dwNumModules次数,来寻找ntoskrnl.exe 和 ntice.sys。
在多处理器的系统ntoskrnl.exe模块的名字应该是ntkrnlmp.exe,如果你使用的是带PAE(物理地址扩展)的系统,那么系统会分别地支持ntkrnlpa.exe 和 ntkrpamp.exe。我这里当然假定你不会拥有那么牛的机器了^_^。

iPos := (PSYSTEM_MODULE_INFORMATION(pTemp))^.ModuleNameOffset;
pModuleName := @((PSYSTEM_MODULE_INFORMATION(pTemp))^.ImageName[iPos]);


    ImageName和ModuleNameOffset 域分别包含了模块的全路径和路径内模块名的相对偏移。

if (_strnicmp(pModuleName, 'ntoskrnl.exe', length('ntoskrnl.exe')) = 0) or
(_strnicmp(pModuleName, 'ntice.sys', length('ntice.sys')) = 0) then
Begin


    strnicmp 做不区分大小写的两ANSI标准字符串比较。第三个参数是比较的字符的数量。这里也许不必要使用__strnicmp,因为SYSTEM_MODULE_INFORMATION里模块名是零结束的,使用_stricmp就可以了。这里使用__strnicmp是为了更加安全。
    顺便提一句,ntoskrnl.exe提供了许多基本的字符串函数,如strcmp、strcpy和strlen等。

        
 memset(@szModuleName, 0, sizeof(szModuleName));
              strcpy(@szModuleName, pModuleName);
              _snprintf(@buffer, sizeof(buffer),
                        'SystemModules: Found %s base: %08X size: %08X',
                        @szModuleName,
                        (PSYSTEM_MODULE_INFORMATION(pTemp))^.Base,
                        (PSYSTEM_MODULE_INFORMATION(pTemp))^._Size);
              strcat(pMessage, @buffer);
            end;

                  
    假如上文提及的模块被找到,我们就用_snprintf(内核提供)函数格式化字符串,字符串中包含了模块名、基地址和尺寸,然后将字符串加到buffer去。
      
 if pMessage[0] <> #0 then
          begin
             DbgPrint(pMessage);
          end else
          begin
             DbgPrint('SystemModules: Found neither ntoskrnl nor ntice');
          end;


    这里很容易看懂,由于我们前面把字符串都置了零,这里很容易判断我们是否找到了什么东西。
      
 ExFreePool(pMessage);
          DbgPrint('SystemModules: Memory at address %08X released', pMessage);
        end;
      end;
      ExFreePool(p);

                  
释放在系统内存池里分配的内存。

result := STATUS_DEVICE_CONFIGURATION_ERROR;

     返回失败代码,这样强制系统将驱动程序从内存中卸载。
    现在你清楚了吧,使用系统内存池比使用用户模式的堆简单多了。唯一需要注意的问题就是正确地定义内存池类型。
    用户模式下的ntdll.dll提供了许多ZwXxx系列函数,他们是进入内核模式的大门。注意:他们的参数的数量和含义都是一样的。你可以省不少事儿了吧!
    由于内核的错误会导致系统瘫痪,所以你可以在用户模式下调试,然后小小地改动(如果需要)后拷贝到你的驱动程序。例如:ntdll.dll的ZwQuerySystemInformation 调用返回同样的信息。使用这个技巧你就不用总是重新启动你的机器了。

[2022冬季班]《安卓高级研修班(网课)》月薪两万班招生中~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (12)
雪    币: 106
活跃值: 活跃值 (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
bujin888 活跃值 4 2008-1-19 22:43
2
0
顶啊  很好的文章
雪    币: 110
活跃值: 活跃值 (249)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
combojiang 活跃值 26 2008-1-20 11:14
3
0
做板凳学习。。。
雪    币: 38
活跃值: 活跃值 (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
炉子 活跃值 3 2008-1-20 12:42
4
0
lz辛苦了  用delphi写sys总觉得不那么底层  - -  呵呵
雪    币: 892
活跃值: 活跃值 (75)
能力值: ( LV9,RANK:570 )
在线值:
发帖
回帖
粉丝
mickeylan 活跃值 14 2008-1-20 14:23
5
0
呵呵,Delphi和C其实是同一层次的语言,C能写Delphi就应该能写,我做个东东最主要是为了学习,因为做这么个东东必须要对C、汇编和Delphi都要有深刻的理解,一举数得,很划算的。而且对大家来说,手上多件工具总不是件坏事儿吧
雪    币: 210
活跃值: 活跃值 (56)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
ww990 活跃值 1 2008-1-20 18:40
6
0
一直在学习,delphi驱动这方面的教程不多,辛苦mickeylan了。
雪    币: 892
活跃值: 活跃值 (75)
能力值: ( LV9,RANK:570 )
在线值:
发帖
回帖
粉丝
mickeylan 活跃值 14 2008-1-20 19:19
7
0
我也只是运气好,侥幸站在巨人(Four-F、罗云彬......)的肩膀上了^_^
雪    币: 213
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
badapi 活跃值 2008-1-25 14:20
8
0
LZ辛苦了
支持.....

期待下文...
雪    币: 189
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
carmenlee 活跃值 2008-3-13 20:05
9
0
这篇文章太急时了。。
感谢楼主
雪    币: 88
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
jingru 活跃值 2008-3-13 20:46
10
0
对啊,当年Charles Petzold 说borland用pascal开发不了windows程序,结果delphi 快出2008了~
雪    币: 238
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
madaxian 活跃值 2009-3-20 22:39
11
0
这么好的帖子早没看到啊!!
雪    币: 163
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
brambleszp 活跃值 2010-12-15 15:36
12
0
楼主真的是不辞辛苦呀
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
skaly 活跃值 2011-4-21 00:31
13
0
我把这代码编译成功了..运行的时候怎么没有找到ntoskrnl啊?
游客
登录 | 注册 方可回帖
返回