Kernel Stack Overflows

今天我想谈谈一个常见的错误，我们在日常工作钟许多案例中都看到了这一点。它涉及到驱动程序占用内核堆栈上的过多空间，从而导致内核堆栈溢出，然后将通过以下错误检查之一使系统崩溃：

1. STOP 0x7F: UNEXPECTED_KERNEL_MODE_TRAP当参数1设置为EXCEPTION_DOUBLE_FAULT时，这是由于覆盖内核堆栈的末尾而导致的。

2. STOP 0x1E: KMODE_EXCEPTION_NOT_HANDLED, 0x7E: SYSTEM_THREAD_EXCEPTION_NOT_HANDLED, or 0x8E: KERNEL_MODE_EXCEPTION_NOT_HANDLED, 异常代码为STATUS_ACCESS_VIOLATION，表示内存访问冲突。

3. STOP 0x2B: PANIC_STACK_SWITCH, 这通常发生在内核模式驱动程序使用太多堆栈空间时。

内核堆栈概述

系统中的每个线程都分配有一个内核模式堆栈。运行在任何内核模式线程（无论是系统线程还是驱动程序创建的线程）上的代码都使用该线程的内核模式堆栈，除非该代码是DPC，在这种情况下，它在某些平台上使用处理器的DPC堆栈。堆栈负增长。这意味着堆栈的开始（底部）的地址高于堆栈的结束（顶部）。例如，让我们保持堆栈的开头是0x80f1000，这是堆栈指针（ESP）指向的位置。如果将一个DWORD值推送到堆栈上，它的地址将是0x80f0ffc。下一个DWORD值将存储在0x80f0ff8，以此类推，直到分配的堆栈的限制（顶部）。堆栈顶部以保护页为边界，以检测溢出。

内核模式堆栈的大小因不同的硬件平台而异。例如：

• 在基于x86的平台上，内核模式堆栈是12K。
• 在基于x64的平台上，内核模式堆栈为24K（基于x64的平台包括使用AMD64体系结构的处理器和使用Intel EM64T体系结构的处理器的系统）。
• 在基于安腾的平台上，内核模式堆栈是32K，有一个32K后备存储。（如果处理器的寄存器文件中的寄存器用完，它将使用后备存储器来保存寄存器的内容，直到分配函数返回为止。这不会直接影响堆栈分配，但操作系统在基于安腾的平台上使用的寄存器比在其他平台上使用的寄存器多，这使得驱动程序可以使用的堆栈相对更多。）

标签: none