MmSetAddressRangeModified用来设置PFN为dirty/modified,并将PTE的dirty位清除。但除此之外,还有个不明显的副作用,看下面的分析:
1: kd> !pte 0xfffff880`0c9e6000
VA fffff8800c9e6000
PXE @ FFFFF6FB7DBEDF88 PPE at FFFFF6FB7DBF1000 PDE at FFFFF6FB7E200320 PTE at FFFFF6FC40064F30
contains 000000003FE84863 contains 000000003FE83863 contains 0000000014516863 contains 000000000FAD7963
pfn 3fe84 ---DA--KWEV pfn 3fe83 ---DA--KWEV pfn 14516 ---DA--KWEV pfn fad7 -G-DA--KWEV
PTE entry 状态为dirty,并且是可写的(writable)。 再看调用MmSetAddressRangeModified后的状态:
1: kd> !pte 0xfffff880`0c9e6000
VA fffff8800c9e6000
PXE @ FFFFF6FB7DBEDF88 PPE at FFFFF6FB7DBF1000 PDE at FFFFF6FB7E200320 PTE at FFFFF6FC40064F30
contains 000000003FE84863 contains 000000003FE83863 contains 0000000014516863 contains 000000000FAD7921
pfn 3fe84 ---DA--KWEV pfn 3fe83 ---DA--KWEV pfn 14516 ---DA--KWEV pfn fad7 -G--A--KREV
PTE entry的dirty位已被清除,但是此pte已被设成了readonly状态了。所以如果再有写操作,必然会导致page fault发生。
这就是我曾遇到的一个Ext2Fsd的bug:Ext2Fsd为了将page cache锁定,创建了MDL并重新映射到系统空间(调用MmMapLockedPagesSpecifyCache)。新映射的va具有dirty及writable属性,故此va在spinlock (DISPATCH_LEVEL)下进行写操作不会导致任何异常。但在提交改动过程中,Ext2Fsd调用了MmSetAddressRangeModified,调用后MmSetAddressRangeModified会将此pte设置为readonly,如果下一次的写操作正好在spinlock下(DISPATCH_LEVEL),将会导致BSOD: DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1),如果在获取spinlock前曾执行过写操作(IRQL < DISPATCH_LEVEL),则会正常触发page fault,然后MmAccessFault会重置pte为writeable,并设置dirty位,此后如果再进入DISPATCH_LEVEL,对此va进行写操作便不会触发page fault了。这就构成了一定的随机性和隐蔽性,给调试带来了很大的麻烦。
明白了问题所在,不妨再做个实验:如果手工将此pte设为writeable的,再进行写操作,cpu应该直接置pte为dirty,而不必调用OS(即page fault)。
对va 0xfffffa60`04ae7000 调用MmSetAddressRangeModified后,
1: kd> !pte 0xfffffa60`04ae7000
VA fffffa6004ae7000
PXE @ FFFFF6FB7DBEDFA0 PPE at FFFFF6FB7DBF4C00 PDE at FFFFF6FB7E980128 PTE at FFFFF6FD30025738
contains 000000007FFC4863 contains 000000007FFC3863 contains 00000000539A2863 contains 00000000149AD921
pfn 7ffc4 ---DA--KWEV pfn 7ffc3 ---DA--KWEV pfn 539a2 ---DA--KWEV pfn 149ad -G--A—KREV
手工修改 0xfffffa60`04ae7000为writeable,不必置dirty标志:
1: kd> dq FFFFF6FD30025738 l1
fffff6fd`30025738 00000000`149ad921
1: kd> eb FFFFF6FD30025738 23
1: kd> !pte 0xfffffa60`04ae7000
VA fffffa6004ae7000
PXE @ FFFFF6FB7DBEDFA0 PPE at FFFFF6FB7DBF4C00 PDE at FFFFF6FB7E980128 PTE at FFFFF6FD30025738
contains 000000007FFC4863 contains 000000007FFC3863 contains 00000000539A2863 contains 00000000149AD923
pfn 7ffc4 ---DA--KWEV pfn 7ffc3 ---DA--KWEV pfn 539a2 ---DA--KWEV pfn 149ad -G--A--KWEV
在进行写操作前可以对KiPageFault或MmAccessFault设置断点,然后进行实验。看断点会不会触发,操作后再检查一下pte的dirty标志是不是已经设置了。具体实验结果,就留给读者自己去验证了。
在DISPATCH_LEVEL中操作paged va无论是已将其page锁定还是重新映射过,都有点如履薄冰的感觉,特别是对file cache,Cache Manager的不少内部操作都会更改pte的属性或调用MmSetAddressRangeModified,到处都可能有陷阱。所以最保险的方式还是不用spinlock