内核回调中获取设备,路径,文件信息蓝屏问题
Posted zhuhuibeishadiao
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了内核回调中获取设备,路径,文件信息蓝屏问题相关的知识,希望对你有一定的参考价值。
最近在写一个类似procmon的框架,写完跑了一两天没有什么问题,直到windows defender的一个进程起来之后,过一会驱动必蓝屏
于是很郁闷,看堆栈都是空的,起初以为是栈被破坏了,但是代码里面没有递归等等,基本大的变量都申请了内存,看dump说是irql过高,又看了代码,我习惯都是用非分页内存,所以不存在访问内存的问题,并且代码中都是在psl级别执行的,基本都排除了,异常点是ObpQueryNameString中,于是想了想可能call到这里面的几个函数,一个是获取卷名称和获取路径,于是看了看获取路径那块的代码,结果发现了问题。
代码大概就是调用了PsReferenceProcessFilePointer->IoVolumeDeviceToDosName
一般来说是没有问题的,然后看了下msdn
Remarks
IoVolumeDeviceToDosName allocates the string buffer pointed to by the Buffer member of the UNICODE_STRING structure that the DosName parameter points to. After this buffer is no longer required, a caller of this routine should call the ExFreePool routine to free the buffer.
Starting with Windows Vista, you must ensure that APCs are not disabled before calling this routine. The KeAreAllApcsDisabled routine can be used to verify that APCs are not disabled.
哇,好气,这个函数是通过异步去完成的,为了确定是不是这个问题,我没有转换路径输出,结果本该bsod的却没有bsod(测试windows defender必蓝)
知道了问题,解决方法也就很简单了 我的是获取进程路径
1.通过peb去获取路径(不推荐)
2.通过工作队列去获取路径
查了下msdn,大部分Io函数都有这个限制,解决方法就是通过工作队列.
写完发现看雪已经有人遇到过了...
https://bbs.pediy.com/thread-224747.htm
以上是关于内核回调中获取设备,路径,文件信息蓝屏问题的主要内容,如果未能解决你的问题,请参考以下文章
使用vmware提示无法打开内核设备 \.Globalvmx86: 系统找不到指定的文件