Windows内核编程基础（3）

内存分配

在应用层编程时，系统提供了GlobalAlloc/HeapAlloc/LocalAlloc等函数。C/C++库提供了malloc函数，以及new操作符在堆上分配内存。

在我前面一个关于Windows页交换文件的博客中，介绍了虚拟内存，

虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续的可用的内存（一个连续完整的地址空间），而实际上，它通常是被分隔成多个物理内存碎片，还有部分暂时存储在外部磁盘存储器上，在需要时进行数据交换。

堆内存是基于虚拟内存上更小粒度的分割，这个分割由堆管理器管理，根据需求，堆管理器会申请 一页（或多页虚拟内存），然后对这块虚拟内存进行更小粒度的内存分割与管理，以满足开发者对内存的需求。

堆的大小是在应用程序启动时设置，但可以随着空间的需要而增长（分配器从操作系统请求更多内存）。

与应用层的堆概念类似，在内核中有一种称为“池(Pool)"的概念，我们可以从Pool中申请内存

WDK提供了一系列内存分配函数，其中最基本的是ExAllocatePoolWithTag，函数原型如下：

1 NTKERNELAPI
2 PVOID
3 NTAPI
4 ExAllocatePoolWithTag (
5     _In_ __drv_strictTypeMatch(__drv_typeExpr) POOL_TYPE PoolType,
6     _In_ SIZE_T NumberOfBytes,
7     _In_ ULONG Tag
8     );

PoolType：表示 需要申请哪种类型的内存，PoolType为POOL_TYPE枚举类型

POOL_TYPE定义如下：

 1 typedef _Enum_is_bitflag_ enum _POOL_TYPE {2     NonPagedPool,3     NonPagedPoolExecute = NonPagedPool,4     PagedPool,5     NonPagedPoolMustSucceed = NonPagedPool + 2,6     DontUseThisType,7     NonPagedPoolCacheAligned = NonPagedPool + 4,8     PagedPoolCacheAligned,9     NonPagedPoolCacheAlignedMustS = NonPagedPool + 6,
10     MaxPoolType,
11     NonPagedPoolBase = 0,
12     NonPagedPoolBaseMustSucceed = NonPagedPoolBase + 2,
13     NonPagedPoolBaseCacheAligned = NonPagedPoolBase + 4,
14     NonPagedPoolBaseCacheAlignedMustS = NonPagedPoolBase + 6,
15     NonPagedPoolSession = 32,
16     PagedPoolSession = NonPagedPoolSession + 1,
17     NonPagedPoolMustSucceedSession = PagedPoolSession + 1,
18     DontUseThisTypeSession = NonPagedPoolMustSucceedSession + 1,
19     NonPagedPoolCacheAlignedSession = DontUseThisTypeSession + 1,
20     PagedPoolCacheAlignedSession = NonPagedPoolCacheAlignedSession + 1,
21     NonPagedPoolCacheAlignedMustSSession = PagedPoolCacheAlignedSession + 1,
22 
23     NonPagedPoolNx = 512,
24     NonPagedPoolNxCacheAligned = NonPagedPoolNx + 4,
25     NonPagedPoolSessionNx = NonPagedPoolNx + 32,
26 
27 } _Enum_is_bitflag_ POOL_TYPE;

常用的值是：NonPagedPool(非分页内存)与PagedPool(分页内存)。

在前面介绍过分页内存与非分页内存的概念。

非分页内存是指这块内存的内容不会被置换到磁盘上，非分页内存非常宝贵，一般用于高IRQL(>= DISPATCH_LEVEL) 的代码中。

分页内存是指这块内存的内容可以被转换到磁盘上。

除了NonPagedPool与PagedPool类型，我们还需要关心的类型是NonPagedPoolExecute与NonPagedPoolNx。

NonPagedPoolExecute类型的内存属性为“可执行”,意味着开发者可以将这块内存写入二进制指令然后执行，这个机制虽然很灵活，但存在一定的安全隐患︰对于一些存在漏洞的代码来说,攻击者可以使用“缓存区溢出攻击”技术，在目标内存（缓冲区）中写入可执行指令，由于这块内存具有“可执行“属性，所以攻击者可以成功实施攻击 。

从Win8开始，推荐使用NonPagedPoolNx类型来替代NonPagedPool类型。

从Windows 10 2004开始，使用POOL_FLAG_NON_PAGED类型

NumberOfTypes：表示 需要申请的内存大小

Tag：一个4个字节的标志，用于标志一块内存的使用者，这个Tag—般用于问题排查，如内存泄露，系统蓝屏等。对于内存泄露的情况，可以通过Windbg或PoolMon等一些小工具，查看系统中各Tag标志对应的内存大小，找到最大的或者持续增长的内存块。标记中的每个 ASCII 字符必须是0x7E (平铺) 0x20 空间范围内的值。

如果不需要使用Tag标志,可以传递0，或者调用ExAllocatePool函数。

返回值：成功，返回分配内存的首地址。失败返回NULL。

说明：在Windows 10 2004版本中，ExAllocatePoolWithTag函数已经弃用，替换为ExAllocatePool2函数，详细可以参考以下链接：

更新对 ExAllocatePool2 和 ExAllocatePool3 的已弃用 ExAllocatePool 调用 - Windows drivers | Microsoft Learn

内存使用完毕后需要释放，使用ExFreePoolWithTag函数，声明如下：

1 NTKERNELAPI
2 VOID
3 ExFreePoolWithTag (
4     _Pre_notnull_ __drv_freesMem(Mem) PVOID P,
5     _In_ ULONG Tag
6     );

P：需要释放的内存地址

Tag：内存申请 时的标记，如果分配内存时使用的Tag等于0，释放时也传0即可。

后备列表（Lookaside Lists）

在频繁使用ExAllocatePoolWithTag函数分配内存时，容易 造成”内存碎片“。为了提高性能，系统提供了一种被称为”后备列表（Lookaside Lists）“的内存分配方法。

注意：Lookaside的翻译在不同的地方可能有出入，知道这个概念就行了。在《Windows内核编程》一书中，使用的是”旁视列表“，官方文档上显示的是”后备列表“。官方的中文文档是机翻的，但是我这里还是使用了这个名称。

使用”后备列表“的步骤如下：

1、初始化一个”后备列表“

这里以非分页内存为例，分页内存使用方法基本一样

使用ExInitializeNPagedLookasideList函数初始化”后备列表“对象，声明如下：

 1 NTKERNELAPI2 VOID3 ExInitializeNPagedLookasideList (4     _Out_ PNPAGED_LOOKASIDE_LIST Lookaside,5     _In_opt_ PALLOCATE_FUNCTION Allocate,6     _In_opt_ PFREE_FUNCTION Free,7     _In_ ULONG Flags,8     _In_ SIZE_T Size,9     _In_ ULONG Tag,
10     _In_ USHORT Depth
11     );

Lookaside：表示 被初始化的”后备列表“对象的指针，在64位系统下，这个指针必须以16字节对齐。ExInitializeNPagedLookasideList执行后，Lookaside会被初始化。

Allocate：一个函数指针（回调函数），当我们从”后备列表“对象分配内存时，系统会调用这个函数。

ALLOCATE_FUNCTION声明如下：

1 PVOID
2 ALLOCATE_FUNCTION (
3     _In_ POOL_TYPE PoolType,
4     _In_ SIZE_T NumberOfBytes,
5     _In_ ULONG Tag
6     );

这个参数可以根据自己实际情况使用，不需要使用时，传NULL，系统会使用默认的内存分配函数。

Free：一个函数指针，当我们从”后备列表”释放申请的内存块时，系统会调用这个函数。

FREE_FUNCTION声明如下：

1 VOID
2 FREE_FUNCTION (
3     _In_ __drv_freesMem(Mem) PVOID Buffer
4     );

这个参数可以根据自己实际情况使用，不需要使用时，传NULL，系统会使用默认的内存释放函数。

Flags：内存分配行为。可选以下值

POOL_NX_ALLOCATION：表示分配的非分页内存的属性为“不可执行”，类似上一节介绍的NonPagedPoolNx标志。
POOL_RAISE_IF_ALLOCATION_FAILURE：表示如果内存失败，将抛出一个异常。
0：如果没有特殊要求，可以把Flags参数设置为0。

Size：每次从“后备列表”对象中申请内存的固定大小，单位是字节，这个值不能小于LOOKASIDE_MINIMUM_BLOCK_SIZE

 LOOKASIDE_MINIMUM_BLOCK_SIZE = ((((LONG)__builtin_offsetof(SLIST_ENTRY, Next)) + (sizeof(((SLIST_ENTRY*)0)->Next))))

在64位系统下，LOOKASIDE_MINIMUM_BLOCK_SIZE的值为8。

Tag：表示 内存分配时所使用的标记，与ExAllocatePoolWithTag中的Tag参数一样。

Depth：保留参数，传0即可。

2、需要内存时，直接从”后备列表“对象申请 内存

 申请内存使用ExAllocateFromNPagedLookasideList函数，该函数声明如下：

1 PVOID
2 ExAllocateFromNPagedLookasideList (
3     _Inout_ PNPAGED_LOOKASIDE_LIST Lookaside
4     )

Lookaside：“后备列表”对象指针

返回值：执行成功，返回相应的内存块首地址，否则 返回NULL

ExAllocateFromNPagedLookasideList分配的内存大小为ExInitializeNPagedLookasideList函数所指定的Size

3、使用完成后，通过”后备列表“回收这些内存

 释放内存使用ExFreeToNPagedLookasideList函数，该函数声明如下：

1 VOID
2 ExFreeToNPagedLookasideList (
3     _Inout_ PNPAGED_LOOKASIDE_LIST Lookaside,
4     _In_ __drv_freesMem(Mem) PVOID Entry
5     )

Lookaside：“后备列表“对象指针

Entry：表示需要释放的内存块

4、当不再需要”后备列表“时，将其对象删除。

 删除”后备列表“时，使用ExDeleteNPagedLookasideList函数。该函数声明如下：

1 NTKERNELAPI
2 VOID
3 ExDeleteNPagedLookasideList (
4     _Inout_ PNPAGED_LOOKASIDE_LIST Lookaside
5     );

Lookaside：表示需要删除的”后备列表“对象指针

 5、完整的示例

下面使用简单的代码演示一下，如何使用”后备列表“

//直接申请内存
PVOID pAllocFromPool = ExAllocatePoolWithTag(NonPagedPoolNx, 10240, 0);if (pAllocFromPool != NULL)ExFreePoolWithTag(pAlloc, 0);//使用后备列表(Lookaside Lists)
PNPAGED_LOOKASIDE_LIST pLookasideList = 
(PNPAGED_LOOKASIDE_LIST)ExAllocatePoolWithTag(NonPagedPool, sizeof(NPAGED_LOOKASIDE_LIST), 'urfh');if (pLookasideList != NULL)
{memset(pLookasideList, 0, sizeof(NPAGED_LOOKASIDE_LIST));//初始化ExInitializeNPagedLookasideList(pLookasideList, NULL, NULL, 0, 1024, 'urfh', 0);//分配PVOID pAlloc = ExAllocateFromNPagedLookasideList(pLookasideList);if (pAlloc != NULL){DbgPrint("Memory Allocate First:%p", pAlloc);//释放ExFreeToNPagedLookasideList(pLookasideList, pAlloc);}//再次分配pAlloc = ExAllocateFromNPagedLookasideList(pLookasideList);if (pAlloc != NULL){DbgPrint("Memory Allocate Second:%p", pAlloc);//释放ExFreeToNPagedLookasideList(pLookasideList, pAlloc);}//删除Lookaside ListsExDeleteNPagedLookasideList(pLookasideList);//释放ExFreePoolWithTag(pLookasideList, 'urfh');

注意：如果编译报错，请将ExAllocatePoolWithTag替换为ExAllocatePool2函数

1 PVOID pAllocFromPool = ExAllocatePool2(POOL_FLAG_NON_PAGED, 10240, 0);

 运行结果：

参考资料

比较内存分配方法

https://learn.microsoft.com/zh-cn/windows/win32/memory/comparing-memory-allocation-methods

What and where are the stack and heap?

https://stackoverflow.com/questions/79923/what-and-where-are-the-stack-and-heap

使用后备列表

使用后备列表 - Windows drivers | Microsoft Learn