Delphi研究之驱动开发篇(四)--使用系统内存堆

页面导航:首页 > 软件编程 > Delphi > Delphi研究之驱动开发篇(四)--使用系统内存堆

Delphi研究之驱动开发篇(四)--使用系统内存堆

来源: 作者: 时间:2016-02-05 11:47 【

作者:mickeylan时间:2008-01-19,20:54链接:http://bbs.pediy.com/showthread.php?t=58608通过对前面几篇教程的学习,相信大家已经掌握了一些用Delphi开发Windows驱动程序的基础知识,从现在开始我们
作 者: mickeylan
时 间: 2008-01-19,20:54
链 接: 

通过对前面几篇教程的学习,相信大家已经掌握了一些用Delphi开发Windows驱动程序的基础知识,从现在开始我们来了解一些必要的底层技术,首先我们要了解的就是内存管理方面的知识。
     内存管理器给用户进程提供了大量的API。这些API可以分为三类:虚拟内存函数、内存映射文件函数和堆函数。内核的成员(包括驱动程序)有很多高级的工具。例如:驱动程序能够在物理地址空间里分配一个连续的内存。这类函数呢,前缀是"Mm"。另外呢,还有一种以"Ex"为前缀的函数,用于从内存池里(分页和不分页的)分配和释放内存,还可以操作后备列表(lookaside lists)。
     后备列表是啥东东?我们后面再讲,它可以提供更快的内存分配,但要使用预定义的固定的块大小。
     系统内存堆可跟用户堆不一样啊,它表现为系统地址空间的两个所谓的内存池。
     ◎ 不分页池--不分页池不会分页到交换文件(swap file),自然也不需要分页回来。它们总是老老实实在物理内存里活动,在你想访问它们的时候总能找到它们(任何IRQL等级),并且不会出现分页错误。这也正是它的优点,任何访问都不会出现页面错误!页面错误往往会导致系统瘫(当IRQL >= DISPATCH_LEVEL)!
     ◎ 分页池--顾名思义,就是可以分页(分入和分出)的了。你只能使用(IRQL < DISPATCH_LEVEL)的内存。
     以上两种池都位于系统地址空间,在进程上下文中可以使用它们。有一个函数集合叫ExAllocatePoolXXX,用于从系统内存池分配内存。函数ExFreePool用来释放。
在我们开始使用它们的时候,来看看基本要点:
前面提到,如果你访问已经被交换出去的内存时IRQL >= DISPATCH_LEVEL会导致系统瘫痪!但是事情并不绝对,也许它当时不死机,过一会才死呢!啥时候死?就是当你的系统将内存交换了出去,并且你访问它的时候!
     千万不要太钟爱不分页内存,太浪费资源了!它总要占用物理内存!分配的堆使用完后记得一定要释放,你在系统池里分配了内存,无论你的驱动程序发生了什么事情,这些内存不会被回收,除非ExFreePool 被调用。如果你不用ExFreePool显式地释放内存,即使你的驱动程序卸载了,这些内存还驻留在那里。所以呢,你就乖乖地显式地释放内存吧!
     系统内存池分配的内存不会被自动清零,最后的使用者可能会留下垃圾。所以呢,使用之前,最好统统置零。
     你可以很容易地定义你需要的内存类型了,就两种:分页,不分页。如果你的代码要访问IRQL >= DISPATCH_LEVEL,不用说你也知道,你必须使用不分页类型。代码本身,和涉及的数据都要在不分页内存里。在缺省情况下,驱动程序以不分页内存加载,除非是INIT节区或者名称以"PAGE"开始的节区。假如你不做任何动作去改变驱动程序的内存属性(例如:别去调用MmPageEntireDriver使驱动程序的映像分页),你就不用关心驱动程序了,它总是在内存里。
先前的文章中我们讨论了常用的驱动函数(DriverEntry, DriverUnload, DispatchXxx)被调用时所处的IRQL等级。
     DDK给了我们关于每一个函数被调用时的IRQL等级的相关信息。例如:在后面的文章中我们会使用IoInitializeTimer函数,该函数的描述这样说的:该函数执行时,时钟事件发生时的等级IRQL = DISPATCH_LEVEL 。这就意味着:这个函数访问的所有内存都必须是不分页的。
如果你不能确定到底是哪个IRQL,你写程序时候可以这样调用KeGetCurrentIrql:

代码:If KeGetCurrentIrql < DISPATCH_LEVEL then
begin
    {使用任意内存}
End else
begin
    {只能使用不分页内存}
End;
     下面让我们来看一个简单驱动程序例子SystemModules,该例子的主要动作集中在DriverEntry函数里。我们会分配分页内存(你应该记得DriverEntry运行在IRQL =PASSIVE_LEVEL等级,所以使用分页内存自然是没问题了),然后写进一些信息,再释放,并让系统卸载驱动程序。

代码:unit SystemModules;

interface

uses
    nt_status, ntoskrnl, native;

function _DriverEntry(pDriverObject:PDRIVER_OBJECT; pusRegistryPath:PUNICODE_STRING): NTSTATUS; stdcall;

implementation

function _DriverEntry(pDriverObject:PDRIVER_OBJECT; pusRegistryPath:PUNICODE_STRING): NTSTATUS;
var
    cb:DWORD;
    p, pTemp:PVOID;
    dwNumModules:DWORD;
    pMessage, pModuleName: PCHAR;
    buffer: array [0..295] of char;
    szModuleName: array[0..100] of char;
    iCnt, iPos: integer;
begin
    DbgPrint(SystemModules: Entering DriverEntry);
    cb := 0;
    ZwQuerySystemInformation(SystemModuleInformation, @p, 0, cb);
    if cb <> 0 then
    begin
      p := ExAllocatePool(PagedPool, cb);
      if p <> nil then
      begin 
        DbgPrint(SystemModules: %u bytes of paged memory allocted at address %08X, cb, p);
        if ZwQuerySystemInformation(SystemModuleInformation,
          p, cb, cb) = STATUS_SUCCESS then
        begin 
          pTemp := p;
          dwNumModules := DWORD(p^);
          cb := (sizeof(SYSTEM_MODULE_INFORMATION) + 100) * 2;
          pMessage := ExAllocatePool(PagedPool, cb);
          if pMessage <> nil then
          begin
            DbgPrint(SystemModules: %u bytes of paged memory allocted at address %08X, cb, pMessage);
            memset(pMessage, 0, cb);
            inc(PCHAR(pTemp), sizeof(DWORD));
            for iCnt := 1 to dwNumModules do
            begin
              iPos := (PSYSTEM_MODULE_INFORMATION(pTemp))^.ModuleNameOffset;
              pModuleName := @((PSYSTEM_MODULE_INFORMATION(pTemp))^.ImageName[iPos]);
              if (_strnicmp(pModuleName, ntoskrnl.exe, length(ntoskrnl.exe)) = 0) or
                 (_strnicmp(pModuleName, ntice.sys, length(ntice.sys)) = 0) then
              begin
                memset(@szModuleName, 0, sizeof(szModuleName));
&nb
Tags:

文章评论

最 近 更 新
热 点 排 行
Js与CSS工具
代码转换工具

<