[翻译]内核池基础知识(池损坏)

发表于 |
字数统计: 5,080 | 阅读时长 ≈ 22

Part1 Buffer Overflows

池是内核模式内存,用作驱动程序的存储空间。

池的组织方式与在从演讲或书中记笔记时使用记事本的方式类似。 有些笔记可能是1行,其他笔记可能是多行。 许多不同的注释都在同一页面上。内存也被组织成页,通常一页内存为4KB。 Windows内存管理器将这个4KB的页面分成更小的块。 一个块可能小到8个字节或可能更大。 这些块中的每一个与其他块并排存在。

!pool命令可用于查看存储在页面中的池块。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
kd> !pool fffffa8003f42000
Pool page fffffa8003f42000 region is Nonpaged pool
*fffffa8003f42000 size:  410 previous size:    0  (Free)      *Irp
            Pooltag Irp  : Io, IRP packets
fffffa8003f42410 size:   40 previous size:  410  (Allocated)  MmSe
fffffa8003f42450 size:  150 previous size:   40  (Allocated)  File
fffffa8003f425a0 size:   80 previous size:  150  (Allocated)  Even
fffffa8003f42620 size:   c0 previous size:   80  (Allocated)  EtwR
fffffa8003f426e0 size:   d0 previous size:   c0  (Allocated)  CcBc
fffffa8003f427b0 size:   d0 previous size:   d0  (Allocated)  CcBc
fffffa8003f42880 size:   20 previous size:   d0  (Free)       Free
fffffa8003f428a0 size:   d0 previous size:   20  (Allocated)  Wait
fffffa8003f42970 size:   80 previous size:   d0  (Allocated)  CM44
fffffa8003f429f0 size:   80 previous size:   80  (Allocated)  Even
fffffa8003f42a70 size:   80 previous size:   80  (Allocated)  Even
fffffa8003f42af0 size:   d0 previous size:   80  (Allocated)  Wait
fffffa8003f42bc0 size:   80 previous size:   d0  (Allocated)  CM44
fffffa8003f42c40 size:   d0 previous size:   80  (Allocated)  Wait
fffffa8003f42d10 size:  230 previous size:   d0  (Allocated)  ALPC
fffffa8003f42f40 size:   c0 previous size:  230  (Allocated)  EtwR

由于许多池分配存储在同一页面中,因此每个驱动程序仅使用已分配的空间至关重要。如果DriverA使用的空间比分配的空间多,则会写入下一个驱动程序的空间(DriverB)并损坏DriverB的数据。将这种覆盖到下一个驱动程序的空间的情况称为缓冲区溢出。接着,内存管理器或DriverB将尝试使用此损坏的内存,并将遇到意外的信息。这种意外信息通常会导致蓝屏(BSOD)。

img

通常,池损坏显示为终止码 0x19 BAD_POOL_HEADER或终止码 0xC2 BAD_POOL_CALLER。 这些终止码可以轻松确定崩溃中涉及池损坏。 但是,访问意外内存的结果可能会有很大差异,因此池损坏会导致许多不同类型的错误检查。

与任何蓝屏转储分析一样,最好的起点是!analyze -v。 此命令将显示终止码和参数,并对崩溃进行一些基本解释。

1
2
3
4
5
6
7
8
9
10
11
12
13
kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************
SYSTEM_SERVICE_EXCEPTION (3b)
An exception happened while executing a system service routine.
Arguments:
Arg1: 00000000c0000005, Exception code that caused the bugcheck
Arg2: fffff8009267244a, Address of the instruction which caused the bugcheck
Arg3: fffff88004763560, Address of the context record for the exception that caused the bugcheck
Arg4: 0000000000000000, zero.

在上述例子中,错误检查是一个终止码 0x3B SYSTEM_SERVICE_EXCEPTION。 此终止码的第一个参数是c0000005,它是访问冲突的状态代码。 访问冲突是尝试访问无效内存(此错误与权限无关)。 可以在WDK头ntstatus.h中查找状态代码。

!analyze -v命令还提供了一个有用的捷径来进入失败的上下文。

1
CONTEXT:  fffff88004763560 -- (.cxr 0xfffff88004763560;r)

运行此命令会向我们显示崩溃时的寄存器值。

1
2
3
4
5
6
7
8
9
10
11
kd> .cxr 0xfffff88004763560
rax=4f4f4f4f4f4f4f4f rbx=fffff80092690460 rcx=fffff800926fbc60
rdx=0000000000000000 rsi=0000000000001000 rdi=0000000000000000
rip=fffff8009267244a rsp=fffff88004763f60 rbp=fffff8009268fb40
r8=fffffa8001a1b820  r9=0000000000000001 r10=fffff800926fbc60
r11=0000000000000011 r12=0000000000000000 r13=fffff8009268fb48
r14=0000000000000012 r15=000000006374504d
iopl=0         nv up ei pl nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00010206
nt!ExAllocatePoolWithTag+0x442:
fffff800`9267244a 4c8b4808        mov     r9,qword ptr [rax+8] ds:002b:4f4f4f4f`4f4f4f57=????????????????

从上面的输出我们可以看到崩溃发生在ExAllocatePoolWithTag中,这很好地表明崩溃是由于池损坏造成的。 通常情况下,看着dump的工程师会在此时停止并得出结论认为崩溃是由池损坏引起的,但我们可以更进一步。

执行失败的指令是解引用rax + 8。 rax寄存器包含4f4f4f4f4f4f4f4f,它不具有x64系统上指针所需的规范形式。 这说明因为rax中的数据应该是一个指针,但很明显他不是,导致系统崩溃了。

要确定rax不包含预期数据的原因,我们必须在失败之前检查指令。

1
2
3
4
5
6
7
8
9
10
kd> ub .
nt!KzAcquireQueuedSpinLock [inlined in nt!ExAllocatePoolWithTag+0x421]:
fffff800`92672429 488d542440      lea     rdx,[rsp+40h]
fffff800`9267242e 49875500        xchg    rdx,qword ptr [r13]
fffff800`92672432 4885d2          test    rdx,rdx
fffff800`92672435 0f85c3030000    jne     nt!ExAllocatePoolWithTag+0x7ec (fffff800`926727fe)
fffff800`9267243b 48391b          cmp     qword ptr [rbx],rbx
fffff800`9267243e 0f8464060000    je      nt!ExAllocatePoolWithTag+0xa94 (fffff800`92672aa8)
fffff800`92672444 4c8b03          mov     r8,qword ptr [rbx]
fffff800`92672447 498b00          mov     rax,qword ptr [r8]

汇编代码中显示rax来自r8所指向数据。查找前面寄存器的值,看到r8值为fffffa8001a1b820,查看内存,可以看到与rax中数据一致,由此可以断定,是此处内存出现问题。

1
2
kd> dq fffffa8001a1b820 l1
fffffa80`01a1b820  4f4f4f4f`4f4f4f4f

要确定此意外数据是否是由池损坏引起的,我们可以使用!pool命令。

1
2
3
kd> !pool fffffa8001a1b820
Pool page fffffa8001a1b820 region is Nonpaged pool
 fffffa8001a1b000 size:  810 previous size:    0  (Allocated)  None

fffffa8001a1b810看起来不像是一个有效的小池分配,检查整个页面是否实际上是大页面分配的一部分……

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
kd> !pool fffffa8001a1b820
Pool page fffffa8001a1b820 region is Nonpaged pool
fffffa8001a1b000 size:  810 previous size:    0  (Allocated)  None
fffffa8001a1b810 doesn't look like a valid small pool allocation, checking to see
if the entire page is actually part of a large page allocation...
fffffa8001a1b810 is not a valid large pool allocation, checking large session pool...
fffffa8001a1b810 is freed (or corrupt) pool
Bad previous allocation size @fffffa8001a1b810, last size was 81
***
*** An error (or corruption) in the pool was detected;
*** Attempting to diagnose the problem.
***
*** Use !poolval fffffa8001a1b000 for more details.
Pool page [ fffffa8001a1b000 ] is __inVALID.
Analyzing linked list...
[ fffffa8001a1b000 --> fffffa8001a1b010 (size = 0x10 bytes)]: Corrupt region

Scanning for single bit errors...

None found

上面的输出看起来不像我们之前使用的!pool命令。 此输出显示池标头的损坏,这会阻止命令走分配链。

上面的输出显示在大小为810的fffffa8001a1b000上有一处分配。如果我们查看这个内存,我们应该看到一个池头。 但是,我们看到的是4f4f4f4f`4f4f4f4f的样子。

1
2
3
4
5
6
7
8
9
kd> dq fffffa8001a1b000 + 810
fffffa80`01a1b810  4f4f4f4f`4f4f4f4f 4f4f4f4f`4f4f4f4f
fffffa80`01a1b820  4f4f4f4f`4f4f4f4f 4f4f4f4f`4f4f4f4f
fffffa80`01a1b830  4f4f4f4f`4f4f4f4f 00574f4c`46524556
fffffa80`01a1b840  00000000`00000000 00000000`00000000
fffffa80`01a1b850  00000000`00000000 00000000`00000000
fffffa80`01a1b860  00000000`00000000 00000000`00000000
fffffa80`01a1b870  00000000`00000000 00000000`00000000
fffffa80`01a1b880  00000000`00000000 00000000`00000000

此时,我们可以确定系统因池损坏而崩溃。

因为损坏发生在之前,并且转储是系统当前状态的快照,所以没有具体证据表明内存是如何被破坏的。 在损坏之前立即分配池块的驱动程序可能是写入错误位置并导致此损坏的驱动程序。 此池块标有“None”标记,我们可以在内存中搜索此标记以确定哪些驱动程序使用它。

1
2
3
4
5
6
7
kd> !for_each_module s -a @#Base @#End "None"
fffff800`92411bc2  4e 6f 6e 65 e9 45 04 26-00 90 90 90 90 90 90 90  None.E.&........
kd> u fffff800`92411bc2-1
nt!ExAllocatePool+0x1:
fffff800`92411bc1 b84e6f6e65      mov     eax,656E6F4Eh
fffff800`92411bc6 e945042600      jmp     nt!ExAllocatePoolWithTag (fffff800`92672010)
fffff800`92411bcb 90              nop

文件Pooltag.txt列出了由Windows提供的内核模式组件和驱动程序,相关文件或组件(如果已知)以及组件名称用于池分配的池标记。 Pooltag.txt随Windows调试工具(在triage文件夹中)和Windows WDK(在\ tools \ other \ platform \ poolmon中)一起安装。 Pooltag.txt显示以下标记:

1
None - <unknown>    - call to ExAllocatePool

不幸的是,我们发现当驱动程序调用ExAllocatePool(未指定标记)时会使用此标记。 这不允许我们确定在损坏之前分配块的驱动程序。 即使我们可以将标记绑定回驱动程序,也可能不足以断定使用此标记的驱动程序是破坏内存的驱动程序。

下一步应该是启用特殊池并希望在行为中捕获损坏者。

Part2 Special Pool for Buffer Overruns

在本节中,我们将讨论特殊池如何帮助识别向缓冲区写入太多数据的驱动程序。

池通常被组织为允许多个驱动程序将数据存储在同一内存页中,如图1所示。

img

​ 图1 未损坏池

通过允许多个驱动程序共享同一页面,池可以有效地使用可用的内核内存空间。 但是,这种共享要求每个驱动程序都要小心使用池,使用池的任何错误都可能破坏其他驱动程序池并导致崩溃。

img

​ 图二 损坏池

如图2所示池,如果DriverA分配100个字节但写入120个字节,它将覆盖由DriverB存储的池头和数据。 在第1部分中,我们演示了这种类型的缓冲区溢出,但我们无法识别哪些代码导致损坏池。

为了捕获损坏池的驱动程序,我们可以使用特殊池。 特殊池更改池的组织方式,使得每个驱动程序的分配位于单独的内存页中。 这有助于防止驱动程序意外写入另一个驱动程序的内存。 特殊池也在页末尾进行驱动程序的分配,通过将下一个虚拟页面标记为无效将其设置为保护页面。写入超过分配的结尾,会导致保护页面进行立即错误检查。

特殊池还用重复模式填充页面的未使用部分,称为“slop bytes”。 如果在模式中发现任何错误,在释放页面时将检查这些slop字节,生成错误检查以指示内存已损坏。 这种类型的损坏不是缓冲区溢出,它可能是下溢或其他形式的损坏。

img

​ 图3 特殊池

由于特殊池将每个池分配存储在其自己的4KB页面中,因此会导致内存使用量增加。启用特殊池时,内存管理器将配置可在系统上分配特殊池的限制,当达到此限制时,将使用常规池。对于比64位系统具有更少内核空间的32位系统,这种限制尤其明显。

解释了特殊池的工作原理,现在来用它。

有两种方法可以启用特殊池。驱动验证程序允许在特定驱动程序上启用特殊池。 KB188831中描述的PoolTag注册表值允许为特定池标记启用特殊池。从Windows Vista和Windows Server 2008开始,驱动验证程序捕获特殊池分配的其他信息,因此这通常是推荐的方法。

要使用驱动程序验证程序启用特殊池,请使用以下命令行,或从验证程序GUI中选择该选项。使用/ driver标志指定要验证的驱动程序,这是列出您怀疑是问题原因的驱动程序的位置。您可能需要验证已编写并希望测试的驱动程序或最近在系统上更新的驱动程序。在下面的命令行中,我只验证myfault.sys。需要重新启动才能启用特殊池。

1
verifier /flags 1 /driver myfault.sys

启用验证程序并重新启动系统后,重复导致崩溃的活动。 对于某些问题,活动可能只是等待一段时间。 对于我们的演示,我们运行NotMyFault(有关详细信息,请参阅第1部分)。

特殊池中缓冲区溢出导致的崩溃将是一个终止码0xD6,DRIVER_PAGE_FAULT_BEYOND_END_OF_ALLOCATION。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************
 
DRIVER_PAGE_FAULT_BEYOND_END_OF_ALLOCATION (d6)
N bytes of memory was allocated and more than N bytes are being referenced.
This cannot be protected by try-except.
When possible, the guilty driver's name (Unicode string) is printed on
the bugcheck screen and saved in KiBugCheckDriver.
Arguments:
Arg1: fffff9800b5ff000, memory referenced
Arg2: 0000000000000001, value 0 = read operation, 1 = write operation
Arg3: fffff88004f834eb, if non-zero, the address which referenced memory.
Arg4: 0000000000000000, (reserved)

我们可以调试此崩溃并确定notmyfault.sys写入池缓冲区之外。

调用堆栈显示myfault.sys访问了无效内存,这会生成页面错误。

1
2
3
4
5
6
7
8
9
10
11
12
13
kd> k
Child-SP          RetAddr           Call Site
fffff880`04822658 fffff803`721333f1 nt!KeBugCheckEx
fffff880`04822660 fffff803`720acacb nt! ?? ::FNODOBFM::`string'+0x33c2b
fffff880`04822700 fffff803`7206feee nt!MmAccessFault+0x55b
fffff880`04822840 fffff880`04f834eb nt!KiPageFault+0x16e
fffff880`048229d0 fffff880`04f83727 myfault+0x14eb
fffff880`04822b20 fffff803`72658a4a myfault+0x1727
fffff880`04822b80 fffff803`724476c7 nt!IovCallDriver+0xba
fffff880`04822bd0 fffff803`7245c8a6 nt!IopXxxControlFile+0x7e5
fffff880`04822d60 fffff803`72071453 nt!NtDeviceIoControlFile+0x56
fffff880`04822dd0 000007fc`4fe22c5a nt!KiSystemServiceCopyEnd+0x13
00000000`004debb8 00000000`00000000 0x000007fc`4fe22c5a

!pool命令显示myfault.sys引用的地址是特殊池。

1
2
3
kd> !pool fffff9800b5ff000
Pool page fffff9800b5ff000 region is Special pool
fffff9800b5ff000: Unable to get contents of special pool block

页表条目显示该地址无效。 这是特殊池用于捕获溢出的防护页面。

1
2
3
4
5
kd> !pte fffff9800b5ff000
                                           VA fffff9800b5ff000
PXE at FFFFF6FB7DBEDF98    PPE at FFFFF6FB7DBF3000    PDE at FFFFF6FB7E6002D0    PTE at FFFFF6FCC005AFF8
contains 0000000001B8F863  contains 000000000138E863  contains 000000001A6A1863  contains 0000000000000000
pfn 1b8f      ---DA--KWEV  pfn 138e      ---DA--KWEV  pfn 1a6a1     ---DA--KWEV  not valid

此内存之前的分配是一个800字节的非分页池标记为“Wrap”。 “Wrap”是验证程序在没有标记的情况下分配池时使用的标记,它相当于我们在第1部分中看到的“None”标记。

1
2
3
4
kd> !pool fffff9800b5ff000-1000
Pool page fffff9800b5fe000 region is Special pool
*fffff9800b5fe000 size:  800 data: fffff9800b5fe800 (NonPaged) *Wrap
            Owning component : Unknown (update pooltag.txt)

特殊池是跟踪缓冲区溢出池损坏的有效机制。 它还可以用于捕获其他类型的池损坏,我们将在以后的文章中讨论。

Part3 Special Pool for Double Frees

在本系列的第1部分和第2部分中,我们讨论了池损坏以及如何使用特殊池来确定此类损坏的原因。 在这一部分中,我们将使用特殊池来捕获一个双重释放池内存。

双重释放池将导致系统显示蓝屏,但是由此导致的崩溃可能会有所不同。 在最明显的情况下,两次释放池分配的驱动程序将导致系统立即崩溃,终止码为C2 BAD_POOL_CALLER,第一个参数将为7,表示“尝试释放已释放的池”。 如果您遇到此类崩溃,则应在故障排除步骤列表中启用特殊池。

1
2
3
4
5
6
7
BAD_POOL_CALLER (c2)
The current thread is making a bad pool request.  Typically this is at a bad IRQL level or double freeing the same allocation, etc.
Arguments:
Arg1: 0000000000000007, Attempt to free pool which was already freed
Arg2: 00000000000011c1, (reserved)
Arg3: 0000000004810007, Memory contents of the pool block
Arg4: fffffa8001b10800, Address of the block of pool being deallocated

一个不太明显的崩溃是池已被重新申请。正如第二部分所示,池的结构使得多个驱动程序共享一个页面。当DriverA调用ExFreePool释放其池块时,该块可供其他驱动程序使用。 如果内存管理器将此内存提供给DriverF,然后DriverA再次释放它,则当池分配不再包含预期数据时,DriverF中可能会发生崩溃。 对于没有特殊池的DriverF的开发者来说,这样的问题可能是困难的。

img

特殊池将每个驱动程序的分配放在一个单独的内存页中(如第2部分所述)。 当驱动程序释放特殊池中的池块时,将释放整个页面,并且对任意页面的任何访问都将导致立即错误检查。 此外,特殊池将此页面放在要再次使用的页面列表的尾部。 这增加了页面在第二次释放时仍然可用的可能性,降低了上面显示的DriverA / DriverF场景的可能性。

为了验证这种失败,我们将再次使用Sysinternals工具NotMyFault。 选择“Double free”选项,然后单击“Crash”。 很可能你会得到上面提到的停止C2错误检查。 启用特殊池并重新启动以获得更多信息错误。

1
verifier /flags 1 /driver myfault.sys

选择启用特殊池的“双重免费”选项会导致以下崩溃。 错误检查代码PAGE_FAULT_IN_NONPAGED_AREA表示某些驱动程序试图访问无效的内存。 此无效内存是已释放的特殊池页面。

1
2
3
4
5
6
7
8
9
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except,
it must be protected by a Probe.  Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: fffff9800a7fe7f0, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff80060263888, If non-zero, the instruction address which referenced the bad memory address.
Arg4: 0000000000000002, (reserved)

查看调用堆栈,我们可以看到myfault.sys正在释放池,ExFreePoolSanityChecks发生了导致崩溃的页面错误。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
kd> kn
# Child-SP          RetAddr           Call Site
00 fffff880`0419fe28 fffff800`5fd7e28a nt!DbgBreakPointWithStatus
01 fffff880`0419fe30 fffff800`5fd7d8de nt!KiBugCheckDebugBreak+0x12
02 fffff880`0419fe90 fffff800`5fc5b544 nt!KeBugCheck2+0x79f
03 fffff880`041a05b0 fffff800`5fd1c5bc nt!KeBugCheckEx+0x104
04 fffff880`041a05f0 fffff800`5fc95acb nt! ?? ::FNODOBFM::`string'+0x33e2a
05 fffff880`041a0690 fffff800`5fc58eee nt!MmAccessFault+0x55b
06 fffff880`041a07d0 fffff800`60263888 nt!KiPageFault+0x16e
07 fffff880`041a0960 fffff800`6024258c nt!ExFreePoolSanityChecks+0xe8
08 fffff880`041a09a0 fffff880`04c9b5d9 nt!VerifierExFreePoolWithTag+0x3c
09 fffff880`041a09d0 fffff880`04c9b727 myfault!MyfaultDeviceControl+0x2fd
0a fffff880`041a0b20 fffff800`60241a4a myfault!MyfaultDispatch+0xb7
0b fffff880`041a0b80 fffff800`600306c7 nt!IovCallDriver+0xba
0c fffff880`041a0bd0 fffff800`600458a6 nt!IopXxxControlFile+0x7e5
0d fffff880`041a0d60 fffff800`5fc5a453 nt!NtDeviceIoControlFile+0x56
0e fffff880`041a0dd0 000007fd`ea212c5a nt!KiSystemServiceCopyEnd+0x13

使用错误检查代码中的地址,我们可以看到内存实际上是无效的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
kd> dd fffff9800a7fe7f0
fffff980`0a7fe7f0  ???????? ???????? ???????? ????????
fffff980`0a7fe800  ???????? ???????? ???????? ????????
fffff980`0a7fe810  ???????? ???????? ???????? ????????
fffff980`0a7fe820  ???????? ???????? ???????? ????????
fffff980`0a7fe830  ???????? ???????? ???????? ????????
fffff980`0a7fe840  ???????? ???????? ???????? ????????
fffff980`0a7fe850  ???????? ???????? ???????? ????????
fffff980`0a7fe860  ???????? ???????? ???????? ????????
    
kd> !pte fffff9800a7fe7f0
                                           VA fffff9800a7fe7f0
PXE at FFFFF6FB7DBEDF98    PPE at FFFFF6FB7DBF3000    PDE at FFFFF6FB7E600298    PTE at FFFFF6FCC0053FF0
contains 0000000002A91863  contains 0000000002A10863  contains 0000000000000000
pfn 2a91      ---DA--KWEV  pfn 2a10      ---DA--KWEV  not valid

到目前为止,我们有足够的证据证明myfault.sys释放了无效的内存,但是我们怎么知道这个内存被释放了两次呢? 如果有双重释放,我们需要确定对ExFreePool的第一次或第二次调用是否不正确。 为此我们需要确定哪些代码首先释放了内存。

Driver Verifier特殊池跟踪最后的0x10000调用以分配和释放池。 您可以使用!verifier 80命令转储此数据库。 要限制数据输出,您还可以将此命令传递给您怀疑被双重释放的内存地址。

不要假设错误检查代码中的地址是被释放的地址,请从调用VerifierExFreePoolWithTag的函数中获取地址。

在上面的调用堆栈中,VerifierExFreePoolWithTag下面的调用是第9帧(从0开始计数,或者使用kn)。

1
2
3
4
5
6
7
8
9
10
11
12
kd> .frame /r 9
09 fffff880`041a09d0 fffff880`04c9b727 myfault+0x15d9
rax=0000000000000000 rbx=fffff9800a7fe800 rcx=fffff9800a7fe800
rdx=fffffa8001a37fa0 rsi=fffffa80035975e0 rdi=fffffa8003597610
rip=fffff88004c9b5d9 rsp=fffff880041a09d0 rbp=fffffa80034568d0
r8=fffff9800a7fe801  r9=fffff9800a7fe7f0 r10=fffff9800a7fe800
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=fffff800600306c7 r15=fffffa8004381b80
iopl=0         nv up ei ng nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00000286
myfault+0x15d9:
fffff880`04c9b5d9 eb7a            jmp     myfault+0x1655 (fffff880`04c9b655)

在x64系统上,第一个参数在rcx中传递。 下面的程序集显示rcx源自rbx。

1
2
3
4
5
6
7
8
9
10
kd> ub fffff880`04c9b5d9
myfault+0x15ba:
fffff880`04c9b5ba ff15a80a0000    call    qword ptr [myfault+0x2068 (fffff880`04c9c068)]
fffff880`04c9b5c0 33d2            xor     edx,edx
fffff880`04c9b5c2 488bc8          mov     rcx,rax
fffff880`04c9b5c5 488bd8          mov     rbx,rax
fffff880`04c9b5c8 ff154a0a0000    call    qword ptr [myfault+0x2018 (fffff880`04c9c018)]
fffff880`04c9b5ce 33d2            xor     edx,edx
fffff880`04c9b5d0 488bcb          mov    rcx,rbx
fffff880`04c9b5d3 ff153f0a0000    call    qword ptr [myfault+0x2018 (fffff880`04c9c018)]

运行!verifier 80:rbx中的地址

1
kd> !verifier 80 fffff9800a7fe800

最近内核池分配和自由操作的日志:

日志中最多有0x10000个条目。

解析0x0000000000010000个日志条目,搜索地址0xfffff9800a7fe800。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
======================================================================
Pool block fffff9800a7fe800, Size 0000000000000800, Thread fffffa80046ce4c0
fffff80060251a32 nt!VfFreePoolNotification+0x4a
fffff8005fe736c9 nt!ExFreePool+0x595
fffff80060242597 nt!VerifierExFreePoolWithTag+0x47
fffff88004c9b5ce myfault!MyfaultDeviceControl+0x2f2
fffff88004c9b727 myfault!MyfaultDispatch+0xb7
fffff80060241a4a nt!IovCallDriver+0xba
fffff800600306c7 nt!IopXxxControlFile+0x7e5
fffff800600458a6 nt!NtDeviceIoControlFile+0x56
fffff8005fc5a453 nt!KiSystemServiceCopyEnd+0x13
======================================================================
Pool block fffff9800a7fe800, Size 0000000000000800, Thread fffffa80046ce4c0
fffff80060242a5d nt!VeAllocatePoolWithTagPriority+0x2d1
fffff8006024b20e nt!XdvExAllocatePoolInternal+0x12
fffff80060242f69 nt!VerifierExAllocatePool+0x61
fffff88004c9b5c0 myfault!MyfaultDeviceControl+0x2e4
fffff88004c9b727 myfault!MyfaultDispatch+0xb7
fffff80060241a4a nt!IovCallDriver+0xba
fffff800600306c7 nt!IopXxxControlFile+0x7e5
fffff800600458a6 nt!NtDeviceIoControlFile+0x56
fffff8005fc5a453 nt!KiSystemServiceCopyEnd+0x13

上面的输出显示由myfault.sys分配的池块,然后由myfault.sys释放。 如果我们将这些信息与调用堆栈结合起来导致我们的错误检查,我们可以得出结论,池在MyfaultDeviceControl中在偏移量0x2f2处被释放一次,然后在偏移量为0x2fd的MyfaultDeviceControl中再次释放。

现在我们知道哪个驱动程序导致了问题,如果这是我们的驱动程序,我们就知道要调查的代码区域。

原文链接:

共勉。