我正在尝试在 Windows 7 x64 中打开驱动程序验证程序的驱动程序,并获得 IRQL_NOT_LESS_OR_EQUAL(0A) 错误检查。从analyze -v 信息来看,RtlAnsiCharToUnicodeChar 函数的内存页面似乎被分页了,因此调用该函数会导致错误检查 0A 。 RtlAnsiCharToUnicodeChar 是一个 ntoskrnl.exe 导出函数。真的可以翻页吗?如果是这样,我该如何预防?
以下现场调试信息屏幕截图:
【问题讨论】:
标签: driver windows-kernel
是的。当然 - PAGE* 部分中有很多 ntoskrnl 例程。 RtlAnsiCharToUnicodeChar 也分页 - 阅读文档:
IRQL
可以在 IRQL
和
但是,Unicode 格式代码(%C、%S、%lc、%ls、%wc、%ws 和 %wZ) 只能与 IRQL = PASSIVE_LEVEL 一起使用。
所以如果你不使用 Unicode 格式,你可以在任何 IRQL 上使用 DbgPrint 或 KdPrint(这是宏),但如果你使用 Unicode 格式 - 只能在 PASSIVE_LEVEL 或 APC_LEVEL 上(关于 APC_LEVEL 我自己说)
【讨论】:
PAGE* 部分中 ntoskrnl.exe 中的大量代码。如果函数位于 PAGE* 部分 - 它已经只能被调用 IRQL
FFFFF80003600000到FFFFF80003C00000
您可以尝试在该特定例程上使用MmLockPagableCodeSection 来防止它被分页,但这可能是不可取的(如果它们也位于可分页部分中,您不知道它有什么依赖关系)。无论如何,请务必仔细阅读文档。
更好的方法是在调用打印功能之前首先在 Passive/APC 级别运行 - 例如,通过安排工作项(您也可以使用 KeLowerIrql 功能强制降低 IRQL,但 MSFT 不建议这样做) .
【讨论】: