So stellen Sie den Schutz der Speicherregion im Kernel-Modus unter Windows 7 ein

Question

Im Wesentlichen bin ich auf der Suche nach einer Funktion, die für Kernel-Modus tun könnte, was VirtualProtect für den Benutzermodus tut.

Ich reserviere Speicher mit einer Logik, die durch den folgenden vereinfachten Code veranschaulicht wird.

PMDL mdl = MmAllocatePagesForMdl  
    (
     LowAddress, 
     HighAddress, 
     SkipAddress, 
     size 
    ); 

    ULONG flags = NormalPagePriority | MdlMappingNoExecute | MdlMappingNoWrite; 
    PVOID ptr = MmGetSystemAddressForMdlSafe 
    (
     mdl, 
     flags 
    ); 

Die MdlMappingNoExecute und MdlMappingNoWrite Flaggen werden nur auf Win8 + Wirkung.
Darüber hinaus kann nur MmGetSystemAddressForMdlSafe ich kann nicht NoAccess Schutz für den Speicherbereich zuweisen.

Gibt es zusätzliche oder alternative API-s, die ich verwenden könnte, um den Seitenschutz des zugewiesenen Speichers zu ändern?
Ein Hack würde auch tun, da diese Funktionalität derzeit im Produktionscode nicht verwendet wird.

Answer 1

Der Code, den ich gerade benutzte, ist unten.
Alle verwendeten APIs sind offiziell.
Hier erstelle ich ein weiteres mdl für Unterbereich des zugewiesenen Speichers und ändern Sie den Schutz dieses Teilbereichs.

Wenn Sie über Speicher Reise mit dieser Methode geschützt unten dann:

• bei IRQL < DISPATCH_LEVEL erhalten Sie PAGE_FAULT_IN_NONPAGED_AREA Fehler (Ungültige Systemspeicher verwiesen wurde nicht durch geschützt werden try-except, muss es sein. geschützt durch eine Sonde. in der Regel wird die Adresse einfach nur schlecht ist oder es wird auf freigegebenen Speicher zeigt.)
• bei IRQL == DISPATCH_LEVEL Sie bekommen DRIVER_IRQL_NOT_LESS_OR_EQUAL Fehler (ein Versuch wurde gemacht, um auf eine auslagerbare (oder vollständig ungültige) Adresse unter einer Unterbrechungsanforderungsstufe (IRQL) zuzugreifen, die zu hoch ist. Dies wird in der Regel von Fahrern verursacht verwenden falsche Adressen.)

Beachten Sie, dass der Schutz Ändern könnte fehlschlagen, wenn die subrange Teil große Seite Zuordnung ist. Dann wird die status wahrscheinlich STATUS_NOT_SUPPORTED sein.
Große Seite Zuweisungen kann passieren, wenn die ursprünglich Größe des zugewiesenen Speicherbereich und Ausrichtung (die in der Frage auf SkipAddress Variable abhängt) geeignet sind, und einige zusätzliche Voraussetzungen sind, mit denen erfüllt Ich bin nicht vertraut mit (vielleicht aus bestimmten Ausgangs OS Version).

 PMDL guard_mdl = IoAllocateMdl 
     (
      NULL, 
      PAGE_SIZE * guardPageCount, 
      FALSE,   
      FALSE, 
      NULL   
     ); 

     if (guard_mdl) 
     { 
      IoBuildPartialMdl 
      (
       mdl,  
       guard_mdl, 
       (PVOID)(0), // **offset** from the beginning of allocated memory ptr 
       PAGE_SIZE * guardPageCount 
      ); 

      status = MmProtectMdlSystemAddress 
      (
       guard_mdl, 
       PAGE_NOACCESS 
      ); 
     } 

Answer 2

C:\Windows\System32>dumpbin /exports ntdll.dll | find "Protect" 
     391 17E 0004C030 NtProtectVirtualMemory 
     1077 42C 000CE8F0 RtlProtectHeap 
     1638 65D 0004C030 ZwProtectVirtualMemory 

Ich glaube, Sie Zw Funktionen von Kernel-Modus aufrufen können, und die args sind in der Regel die gleichen wie für die entsprechenden Nt Funktionen. Und während ZwProtectVirtualMemory nicht dokumentiert ist, gibt es eine dokumentierte ZwAllocateVirtualMemory, die Schutz-Flags akzeptiert.

Ein anderer Ansatz könnte sein, virtuellen Speicher im Benutzermodus zuzuweisen und zu schützen, den Puffer an den Treiber zu übergeben und dann dort die entsprechende MDL zu erstellen.