[英]Why can't 64-bit Windows unwind user-kernel-user exceptions?
為什么64位Windows在異常期間不能展開堆棧,如果堆棧跨越內核邊界 - 當32位Windows可以?
整個問題的背景來自:
消失的OnLoad異常 - x64中的用戶模式回調異常的情況
在32位Windows中,如果我在我的用戶模式代碼中拋出異常,那是從內核模式代碼調用的,這是從我的用戶模式代碼調用的,例如:
User mode Kernel Mode
------------------ -------------------
CreateWindow(...); ------> NtCreateWindow(...)
|
WindowProc <---------------------+
Windows中的結構化異常處理(SEH)可以展開堆棧,通過內核模式展開回到我的用戶代碼,在那里我可以處理異常,並且我看到有效的堆棧跟蹤。
64位版本的Windows無法執行此操作:
由於復雜的原因,我們無法在64位操作系統 (amd64和IA64) 上傳播異常 。 自從Server 2003的第一個64位版本發布以來,情況一直如此。在x86上,情況並非如此 - 異常通過內核邊界傳播,並最終將幀移回
由於在這種情況下無法回溯可靠的堆棧跟蹤,因此必須做出決定:讓您看到非荒謬的異常,或者完全隱藏它:
當時的內核架構師決定采用保守的AppCompat友好方法 - 隱藏異常,並希望最好。
本文接着討論了所有64位Windows操作系統的表現如何:
但是從Windows 7(和Windows Server 2008)開始,架構師改變了主意 - 有點像。 對於僅 64位應用程序(不是32位應用程序),它們(默認情況下)會停止抑制這些用戶內核用戶異常。 所以,默認情況下,在:
所有64位應用程序都會看到這些異常,他們從來沒有看到它們。
在Windows 7中,當本機x64應用程序以這種方式崩潰時,將通知程序兼容性助手 。 如果應用程序沒有Windows 7清單 ,我們會顯示一個對話框,告訴您PCA已應用了應用程序兼容性填充程序 。 這是什么意思? 這意味着,下次運行應用程序時,Windows將模擬Server 2003行為並使異常消失。 請記住,Server 2008 R2上不存在PCA,因此該建議不適用。
問題是為什么 64位Windows無法通過內核轉換解除堆棧, 而32位版本的Windows可以?
唯一的提示是:
由於復雜的原因,我們無法在64位操作系統 (amd64和IA64) 上傳播異常 。
暗示是復雜的 。
我可能不理解這個解釋,因為我不是一個操作系統開發人員 - 但我想知道為什么會這樣做。
微軟發布了一個修復程序,使32位應用程序也不再有被抑制的異常:
KB976038:忽略從64位版本的Windows中運行的應用程序引發的異常
- 在回調例程中引發的異常在用戶模式下運行。
在這種情況下,此異常不會導致應用程序崩潰。 相反,應用程序進入不一致狀態。 然后,應用程序拋出一個不同的異常並崩潰。
用戶模式回調函數通常是由內核模式組件調用的應用程序定義的函數。 用戶模式回調函數的示例是Windows過程和掛鈎過程。 Windows調用這些函數來處理Windows消息或處理Windows掛鈎事件。
然后,此修補程序可讓您阻止Windows全局使用異常:
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options DisableUserModeCallbackFilter: DWORD = 1
或每次申請:
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Notepad.exe DisableUserModeCallbackFilter: DWORD = 1
在KB973460中的XP和Server 2003上也記錄了這種行為:
我在調查使用xperf捕獲64位Windows上的堆棧跟蹤時發現了另一個提示:
禁用分頁執行
要使跟蹤在64位Windows上運行,您需要設置DisablePagingExecutive注冊表項。 這告訴操作系統不要將內核模式驅動程序和系統代碼分頁到磁盤,這是使用xperf獲取64位調用堆棧的先決條件,因為64位堆棧遍歷取決於可執行映像中的元數據,在某些情況下xperf 堆棧遍歷代碼不允許觸摸分頁頁面 。 從提升的命令提示符運行以下命令將為您設置此注冊表項。
REG ADD "HKLM\\System\\CurrentControlSet\\Control\\Session Manager\\Memory Management" -v DisablePagingExecutive -d 0x1 -t REG_DWORD -f
設置此注冊表項后,您需要重新啟動系統,然后才能記錄調用堆棧。 設置此標志意味着Windows內核將更多頁面鎖定到RAM中,因此這可能會消耗大約10 MB的額外物理內存。
這給人的印象是,在64位Windows(並且僅在64位Windows中)中,不允許您遍歷內核堆棧,因為磁盤上可能存在頁面。
一個非常好的問題。
我可以給出一個暗示為什么跨內核用戶邊界“傳播”異常有些問題。
引用你的問題:
為什么64位Windows在異常期間不能展開堆棧,如果堆棧跨越內核邊界 - 當32位Windows可以?
原因很簡單:沒有“堆棧跨越內核邊界”這樣的東西。 調用內核模式函數絕不能與標准函數調用相比。 它實際上與調用堆棧無關。 您可能知道,內核模式內存在用戶模式下無法訪問。
調用內核模式函數(也稱為syscall )是通過觸發軟件中斷(或類似機制)來實現的。 用戶模式代碼將一些值放入寄存器(標識所需的內核模式服務)並調用CPU指令(例如sysenter
),該指令將CPU傳輸到內核模式並將控制傳遞給OS。
然后是一個處理請求的系統調用的內核模式代碼。 它在一個單獨的內核模式堆棧中運行(與用戶模式堆棧無關)。 處理完請求后 - 控件返回到用戶模式代碼。 根據特定的系統調用,用戶模式返回地址可以是調用內核模式事務的地址,也可以是不同的地址。
有時你會調用一個“中間”應該調用用戶模式調用的內核模式函數。 它可能看起來像一個由用戶內核用戶代碼組成的調用堆棧,但它只是一個仿真 。 在這種情況下,內核模式代碼將控件傳輸到用戶模式代碼,該代碼包裝您的用戶模式功能。 此包裝器代碼調用您的函數,並在其返回時立即觸發內核模式事務。
現在,如果用戶模式代碼“從內核模式調用”引發了異常 - 這就應該發生:
因此跨越內核用戶邊界的異常是一種仿真 。 本機沒有這樣的東西。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.