《软件调试》读书笔记:第13章 硬错误和蓝屏
会话管理器进程SMSS.exe是系统启动后的第一个用户态进程,负责启动和监护windows子系统进程:CSRSS.exe和登陆管理进程:WinLogon
SMSS.exe从注册表中查询子系统exe文件的位置,并且启动它
CSRSS是windows子系统进程,自NT4以后窗口管理和GDI的主体实现被移出了CSRSS放到了win32k.sys中。
CSRSS监管着所有windows线程和进程,每个进程在创建后都要到这里登记才能运行,退出时也要报告注销。(维护了Windows子系统层面上的记录结构)
CSRSS具有桌面管理、终端登录、控制台管理、HardError报告等方面的重要作用。
为了适应恶劣环境下的错误提示的需要,Windows定义了硬错误提示机制。
硬错误本意是硬件有关错误,后来泛指严重的错误。
硬错误可以在用户态使用也可以在内核态使用。
硬错误的核心处理函数是内核中的ExpRaiseHardError函数。
在我们看这个函数的源码前,先想一想,发送硬错误消息,首先要的是找到发送硬错误的端口。
这个端口怎么找?是通过一系列的设置和标志位来判断的。
如下是具体的程序内容
1 NTSTATUS 2 ExpRaiseHardError ( 3 IN NTSTATUS ErrorStatus, 4 IN ULONG NumberOfParameters, 5 IN ULONG UnicodeStringParameterMask, 6 IN PULONG_PTR Parameters, 7 IN ULONG ValidResponseOptions, 8 OUT PULONG Response 9 ) 10 { 11 PTEB Teb; 12 PETHREAD Thread; 13 PEPROCESS Process; 14 ULONG_PTR MessageBuffer[PORT_TOTAL_MAXIMUM_MESSAGE_LENGTH/sizeof(ULONG_PTR)]; 15 PHARDERROR_MSG m; 16 NTSTATUS Status; 17 HANDLE ErrorPort; 18 KPROCESSOR_MODE PreviousMode; 19 BOOLEAN DoingShutdown; 20 21 PAGED_CODE(); 22 //要发送的消息结构 23 m = (PHARDERROR_MSG)&MessageBuffer[0]; 24 PreviousMode = KeGetPreviousMode(); 25 26 DoingShutdown = FALSE; 27 //如果参数要求关机,就检查是否有关机权限 28 if (ValidResponseOptions == OptionShutdownSystem) { 29 30 // 31 // Check to see if the caller has the privilege to make this call. 32 // 33 34 if (!SeSinglePrivilegeCheck (SeShutdownPrivilege, PreviousMode)) { 35 return STATUS_PRIVILEGE_NOT_HELD; 36 } 37 38 ExReadyForErrors = FALSE; 39 HardErrorState = SHUTDOWN; 40 DoingShutdown = TRUE; 41 } 42 43 Thread = PsGetCurrentThread(); 44 Process = PsGetCurrentProcess(); 45 46 // 47 // If the default handler is not installed, then 48 // call the fatal hard error handler if the error 49 // status is error 50 // 51 // Let GDI override this since it does not want to crash the machine 52 // when a bad driver was loaded via MmLoadSystemImage. 53 // 54 55 if ((Thread->CrossThreadFlags & PS_CROSS_THREAD_FLAGS_HARD_ERRORS_DISABLED) == 0) { 56 //如果满足这个标志位说明用户态HardError系统还没有准备好,只能在内核态去提示这个HardError了 57 if (NT_ERROR(ErrorStatus) && (HardErrorState == STARTING || DoingShutdown)) { 58 //而所谓的在内核态提示HardError就是执行这个函数了,实质上就是一个KeBugCheckEx,也就是说想着内核态提示HardError只能是通过抛出蓝屏 59 ExpSystemErrorHandler ( 60 ErrorStatus, 61 NumberOfParameters, 62 UnicodeStringParameterMask, 63 Parameters, 64 (BOOLEAN)((PreviousMode != KernelMode) ? TRUE : FALSE)); 65 } 66 } 67 68 // 69 // If the process has an error port, then if it wants default 70 // handling, use its port. If it disabled default handling, then 71 // return the error to the caller. If the process does not 72 // have a port, then use the registered default handler. 73 // 74 75 ErrorPort = NULL; 76 //这个就是通过各种标志位来判断硬错误端口是什么了。对于一个进程来说只有异常端口和调试端口两个东西,并没有单独指定硬错误端口的结构。 77 if (Process->ExceptionPort) { 78 //异常端口存在时 79 if (Process->DefaultHardErrorProcessing & 1) { 80 //这个标志位存在时,异常端口就是硬错误端口 81 ErrorPort = Process->ExceptionPort; 82 } else { 83 84 // 85 // If error processing is disabled, check the error override 86 // status. 87 // 88 89 if (ErrorStatus & HARDERROR_OVERRIDE_ERRORMODE) { 90 //满足这个条件的话,也是异常端口 91 ErrorPort = Process->ExceptionPort; 92 } 93 } 94 } else { 95 if (Process->DefaultHardErrorProcessing & 1) { 96 ErrorPort = ExpDefaultErrorPort; 97 } else { 98 99 // 100 // If error processing is disabled, check the error override 101 // status. 102 // 103 104 if (ErrorStatus & HARDERROR_OVERRIDE_ERRORMODE) { 105 ErrorPort = ExpDefaultErrorPort; 106 } 107 } 108 } 109 //虽然上面比较的那么热闹。。但是ExpDefaultErrorPort和ExeceptionPort的值其实是一样的 110 //都是CSRSS进程的\Windows\ApiPort端口。这是一个LPC端口对象 111 112 if ((Thread->CrossThreadFlags&PS_CROSS_THREAD_FLAGS_HARD_ERRORS_DISABLED) != 0) { 113 ErrorPort = NULL; 114 } 115 //设置了禁止硬错误就把ErrorPort清零 116 if ((ErrorPort != NULL) && (!IS_SYSTEM_THREAD(Thread))) { 117 Teb = (PTEB)PsGetCurrentThread()->Tcb.Teb; 118 try { 119 if (Teb->HardErrorMode & RTL_ERRORMODE_FAILCRITICALERRORS) { 120 ErrorPort = NULL; 121 } 122 } except (EXCEPTION_EXECUTE_HANDLER) { 123 ; 124 } 125 } 126 127 if (ErrorPort == NULL) { 128 *Response = (ULONG)ResponseReturnToCaller; 129 return STATUS_SUCCESS; 130 } 131 //自己给自己发异常?出现问题了 132 if (Process == ExpDefaultErrorPortProcess) { 133 if (NT_ERROR(ErrorStatus)) { 134 ExpSystemErrorHandler (ErrorStatus, 135 NumberOfParameters, 136 UnicodeStringParameterMask, 137 Parameters, 138 (BOOLEAN)((PreviousMode != KernelMode) ? TRUE : FALSE)); 139 } 140 *Response = (ULONG)ResponseReturnToCaller; 141 Status = STATUS_SUCCESS; 142 return Status; 143 } 144 145 m->h.u1.Length = HARDERROR_API_MSG_LENGTH; 146 m->h.u2.ZeroInit = LPC_ERROR_EVENT; 147 m->Status = ErrorStatus & ~HARDERROR_OVERRIDE_ERRORMODE; 148 m->ValidResponseOptions = ValidResponseOptions; 149 m->UnicodeStringParameterMask = UnicodeStringParameterMask; 150 m->NumberOfParameters = NumberOfParameters; 151 152 if (Parameters != NULL) { 153 try { 154 RtlCopyMemory (&m->Parameters, 155 Parameters, 156 sizeof(ULONG_PTR)*NumberOfParameters); 157 } except (EXCEPTION_EXECUTE_HANDLER) { 158 } 159 } 160 161 KeQuerySystemTime(&m->ErrorTime); 162 //执行发送函数 163 Status = LpcRequestWaitReplyPortEx (ErrorPort, 164 (PPORT_MESSAGE) m, 165 (PPORT_MESSAGE) m); 166 167 if (NT_SUCCESS(Status)) { 168 switch (m->Response) { 169 //作为一个返回值 170 case ResponseReturnToCaller : 171 case ResponseNotHandled : 172 case ResponseAbort : 173 case ResponseCancel : 174 case ResponseIgnore : 175 case ResponseNo : 176 case ResponseOk : 177 case ResponseRetry : 178 case ResponseYes : 179 case ResponseTryAgain : 180 case ResponseContinue : 181 break; 182 default: 183 m->Response = (ULONG)ResponseReturnToCaller; 184 break; 185 } 186 *Response = m->Response; 187 } 188 189 return Status; 190 }
这个函数把硬错误信息发送到了CSRSS进程的\Windows\ApiPort端口上去。
接下来就是看CSRSS进程是怎么接受并处理这个硬错误消息的。
CSRSS进程中专门启用了一个线程来监听并处理\Windows\ApiPort端口的内容
CsrApiRequestThread就是这个专门用来监听的工作线程
PORT_MESSAGE是发送的LPC端口的数据结构。
CSRSS负责后续的处理工作,并进行用户层面的弹出提示。
转载于:https://www.cnblogs.com/Ox9A82/p/5383818.html
《软件调试》读书笔记:第13章 硬错误和蓝屏相关推荐
- PMP读书笔记(第13章)
大家好,我是烤鸭: 今天做一个PMP的读书笔记. 第十三章 项目相关方管理 项目相关方管理 项目相关方管理的核心概念 项目相关方管理的趋势和新兴实践 裁剪考虑因素 在敏捷或适应型环境中需要考虑 ...
- 《逆向工程核心原理》读书笔记——第13章 PE文件格式
第13章 PE文件格式 13.1 介绍 13.2.PE文件格式 13.2.1基本结构 13.2.2 VA&RVA 13.3.2 DOS存根 13.3.3 NT头 13.3.4 NT头中的文件头 ...
- UnixLinux大学教程 读书笔记【1-3章】
Bash:Bourne-again shell,所有linux系统中的默认shell.程序名称:bash Shell:通过充当命令处理器以及解释命令的脚本,提供Unix基本界面的程序. 操作系统:运行 ...
- Javascript设计模式与开发实践读书笔记(1-3章)
第一章 面向对象的Javascript 1.1 多态在面向对象设计中的应用 多态最根本好处在于,你不必询问对象"你是什么类型"而后根据得到的答案调用对象的某个行为--你只管调用 ...
- 《Javascript高级程序设计》读书笔记(1-3章)
第一章 JavaScript简介 1.1 JavaScript简史 略 1.2 JavaScript实现 虽然 JavaScript 和 ECMAScript 通常都被人们用来表达相同的含义,但 Ja ...
- 《大话设计模式》读书笔记-第13章 建造者模式
1.建造者模式(Builder),又叫生成器模式,它是将一个复杂对象的构建与它的表示分离,使得同样的构建过程可以创建不同的比奥斯.如果我们用了建造者模式,那么用户就只需指定需要建造的类型就可以得到它们 ...
- 《Spring实战》读书笔记-第3章 高级装配
<Spring实战>是学习Spring框架的一本非常经典的书籍,之前阅读了这本书,只是在书本上写写画画,最近整理了一下<Spring实战>的读书笔记,通过博客的方式进行记录分享 ...
- PMP读书笔记(第9章)
大家好,我是烤鸭: 今天做一个PMP的读书笔记. 第九章 项目资源管理 项目资源管理 项目资源管理的核心概念 项目资源管理的趋势和新兴实践 裁剪考虑因素 在敏捷或适应型环境中需要考虑的因素 9 ...
- PMP读书笔记(第2章)
大家好,我是烤鸭: 今天做一个PMP的读书笔记. 第二章 项目运行环境 2.1 概述 2.2 事业环境因素 2.2.1 组织内部的事业环境因素 2.2.2 组织外部的事业环境因素 2.3 组织 ...
最新文章
- php 函数导航,PHP经典分页导航函数
- 部署项目到阿里云服务器上遇到的问题
- php 正则获取某个div,php正则匹配html中带class的div并选取其中内容的方法
- Spring MVC 返回NULL时客户端用$.getJSON的问题
- SQL Server CLR 启用、部署
- php配置实例,php mailto配置实例
- excel乘法公式怎么输入_python吊打Excel?那是你不会用!
- mysql能将查询结果与表左查询,MySQL查询与结构
- LINUX编译OPENJDK:The tested endian intarget (big) differs from the endian expected to be found in the
- Android下图片或按钮等可拖动到任意位置的效果实现源码
- vax_patch.exe谁有这个文件,可以免费分享一下嘛?
- 文件上传服务器方法,向服务器上传文件方法
- FA-PEG-NHS 叶酸PEG活性酯
- 节拍器在学习音乐过程中起到什么作用?-小星星节拍器怎么样?
- SWMM排水管网水力、水质建模及在海绵城市与水环境保护中的应用
- 网络模型可视化工具-netron
- FCOS:Fully Convolutional One-Stage Object Detection 论文翻译(非解读)
- 深度学习基础笔记——前向传播与反向传播
- 解决oracle导出dmp时 904错误
- android 模拟器输入中文
热门文章
- Git初学札记(五)————Branch分支管理
- go 字符串替换_Go语言爱好者周刊:第 64 期 — goup 这个工具了解下
- java 串的顺序存储_算法入门之串的顺序存储表示
- java存钱_用Java编写银行存钱取钱
- eq值 推荐算法_C++实现十种排序算法
- 深入jvm虚拟机第三版源码_深入JVM虚拟机,阿里架构师直言,这份文档真的是JVM最深解读...
- 大学计算机基础知识判断题,大学计算机基础学习知识判断题.doc
- 计算机网络项目化实训教程,计算机网络项目实训教程
- Spring Boot EasyUI edatagrid 扩展
- python界面设计实例qt_pyqt的最小示例qtreeview和qt设计