通过

IrqlIoRtlZwPassive 规则 (wdm)

  • 项目

IrqlIoRtlZwPassive 规则指定驱动程序仅在 IRQL = PASSIVE_LEVEL执行时调用规则中列出的 DDI。

此规则扩充了PASSIVE_LEVEL的 DDI 符合性检查 IRQL 规则。 有关详细信息,请参阅 irql 规则集 (WDM)

驱动程序模型:WDM

通过以下规则找到的 Bug) 检查 (Bug 检查0xC4:DRIVER_VERIFIER_DETECTED_VIOLATION (0x20023)

示例

以下代码违反了此规则:

//
// KeAcquireSpinLock raises the IRQL to DISPATCH_LEVEL.
//

KeAcquireSpinLock (&Lock, &OldIrql);

//
// ERROR: IoGetDriverDirectory can only be called at IRQL == PASSIVE_LEVEL.
//

IoGetDriverDirectory (DriverObject,
                      DriverDirectoryData,
                      0,
                      &DirectoryHandle);

KeReleaseSpinLock (&Lock, OldIrql);

有关 IRQL 级别的详细信息,请参阅 调度例程和 IRQL和管理硬件优先级

如何测试

编译时

运行 静态驱动程序验证程序 并指定 IrqlIoRtlZwPassive 规则。

使用以下步骤运行代码分析:
  1. 准备代码 (使用角色类型声明) 。
  2. 运行静态驱动程序验证程序。
  3. 查看和分析结果。

有关详细信息,请参阅 使用静态驱动程序验证程序查找驱动程序中的缺陷
运行时

可以使用 Verifier.exe 命令行激活一个或多个驱动程序的 DDI 符合性 - 其他 IRQL 规则。 有关详细信息,请参阅 选择驱动程序验证程序选项。 必须重新启动计算机才能激活或停用 DDI 符合性 - 其他 IRQL 规则。

在命令行中,DDI 符合性 - 附加 IRQL 检查由规则类值 35 表示。 例如:

verifier /ruleclasses 35 /driver MyDriver.sys

OR

verifier /rc 35 /driver MyDriver.sys

重启电脑后,其他 IRQL 检查将处于活动状态。

适用于

IoCreateFileEx

IoCreateFileSpecifyDeviceObjectHint

IoGetDeviceDirectory

IoGetDriverDirectory

IoOpenDeviceInterfaceRegistryKey

IoOpenDeviceRegistryKey

RtlCreateRegistryKey

RtlCreateSystemVolumeInformationFolder

RtlWriteRegistryValue

ZwCreateDirectoryObject

ZwCreateFile

ZwCreateKeyTransacted

ZwDeleteFile

ZwDeleteValueKey

ZwFlushBuffersFileEx

ZwFlushBuffersFile

ZwRenameKey

ZwSetEaFile

ZwSetInformationFile

ZwSetInformationKey