overrun!!! (at least 0.010 ms long) Status: state : XRUN trigger_time: 17378.711918 tstamp : 17378.711911 delay : 5365 avail : 2640 avail_max : 2725

这段提示信息是arecord录音时出现的错误信息，其中： - Max peak (2 samples): 0x00000001 # 0%：表示当前的音频峰值，这里是0x00000001，即最大值的1/100。 - overrun!!!：表示缓冲区溢出。 - (at least 0.012 ms long)：表示Overrun错误至少持续了0.012毫秒。 - Status：状态信息。 - state：当前状态，这里是XRUN，表示出现了缓冲区不足的情况。 - trigger_time：触发时间。 - tstamp：时间戳。 - delay：当前录音的延迟时间。 - avail：当前缓冲区可用的空间。 - avail_max：缓冲区可用的最大空间。 可以看出，这段提示信息表明在录音时出现了缓冲区不足的情况，导致缓冲区溢出，从而出现了XRUN错误。这种错误通常会导致录音出现断续、跳跃或失真的情况，需要调整录音参数或者优化系统性能来解决。

<think>我们遇到了一个蓝屏错误：KERNEL_SECURITY_CHECK_FAILURE(139)，参数1为0，表示一个栈缓冲区溢出。错误发生在nt!guard_icall_bugcheck函数中，这是一个与控制流防护（ControlFlowGuard,CFG）或间接调用保护（GuardICall）相关的错误。根据堆栈跟踪，错误发生在：```nt!guard_icall_bugcheck+0x1bnt!KeCheckStackAndTargetAddress+0x5cnt!_C_specific_handler+0x3b...nt!KiPageFault+0x443```关键点：`guard_icall_bugcheck`被调用，这意味着系统检测到了一个非法的间接调用。这通常是因为一个间接调用（如通过函数指针调用）的目标地址不是一个有效的函数入口点（即没有在CFG的保护表中）。现在，我们观察跳板指令的反汇编：```kd>uFFFFCF812F9C8000ffffcf81`2f9c8000ff2500000000jmpqwordptr[ffffcf81`2f9c8006]ffffcf81`2f9c80060000addbyteptr[rax],alffffcf81`2f9c80080000addbyteptr[rax],alffffcf81`2f9c800ae014loopneffffcf81`2f9c8020ffffcf81`2f9c800c2b8005f8ffffsubeax,dwordptr[rax-7FBh]...```跳板指令的第一条是`jmpqwordptr[ffffcf81`2f9c8006]`，然后我们查看地址`ffffcf81`2f9c8006`处的内容：```kd>dqffffcf81`2f9c8006ffffcf81`2f9c800600000000`00000000e0142b80`05f8ffff...```这里我们看到`ffffcf81`2f9c8006`处的第一个8字节是0，而第二个8字节是`e0142b80`05f8ffff`。这显然不是我们期望的跳转地址（我们期望的是`0xFFFFF805802B14E0`）。回顾我们写入的跳板结构：```写入跳板结构到0xFFFFCF812F9C8000:FF250000000000000000E0142B8005F8FFFF```我们期望的结构是：-6字节操作码:FF2500000000-4字节填充:00000000-8字节地址:E0142B8005F8FFFF(注意：小端序，实际地址应为0xFFFFF805802B14E0)但是，从内存转储看，地址`0xFFFFCF812F9C8006`处的内容是0，这是因为我们的结构体在内存中的布局与预期不一致。问题在于：我们定义的结构体如下：```cpptypedefstruct_JMP_ABS{BYTEopcode[6];//FF2500000000DWORDpadding;//00000000(确保8字节对齐)ULONG64address;//完整64位地址}JMP_ABS,*PJMP_ABS;```我们期望的内存布局是：[0-5]:opcode[6-9]:padding[10-17]:address但是，当我们使用`RtlCopyMemory(trampoline,&jmpCmd,sizeof(JMP_ABS))`时，我们假设结构体在内存中是连续的，并且没有额外的对齐填充。然而，在64位系统中，结构体中的ULONG64（8字节）可能会要求8字节对齐，因此编译器可能会在padding和address之间插入额外的填充（尽管我们使用了`#pragmapack(1)`）。实际上，我们之前已经用`static_assert`确保大小为18字节，所以没有额外的填充。那么为什么写入后内存布局不对？观察写入的内容：```FF250000000000000000E0142B8005F8FFFF```这18个字节的序列中，地址部分从第10个字节开始（索引9）是：E0,14,2B,80,05,F8,FF,FF。这在小端序下就是0xFFFFF805802B14E0，这看起来是正确的。但是，当我们用`dq`命令查看时，我们看到：```ffffcf81`2f9c800600000000`00000000e0142b80`05f8ffff```这是因为`dq`命令以8字节为单位显示，并且从地址0xFFFFCF812F9C8006开始，第一个8字节是0，第二个8字节是0xe0142b8005f8ffff。注意，0xFFFFCF812F9C8006处的8字节是0，这是因为我们写入的18字节中，从第7个字节到第10个字节是0（即填充的4个0），而第10个字节开始才是地址。但是，由于我们写入的地址0xFFFFCF812F9C8000处的内容是：0:FF25000000006:0000000010:E0142B8005F8FFFF所以，从地址0xFFFFCF812F9C8000开始的16进制表示为：-0xFFFFCF812F9C8000:FF2500000000-0xFFFFCF812F9C8006:00000000-0xFFFFCF812F9C800A:E0142B8005F8FFFF因此，当我们反汇编从0xFFFFCF812F9C8000开始的指令时，我们看到：```ffffcf81`2f9c8000ff2500000000jmpqwordptr[ffffcf81`2f9c8006]```这条指令的意思是：跳转到存储在地址`ffffcf81`2f9c8006`处的8字节地址。而`ffffcf81`2f9c8006`处的8字节是0，所以跳转的目标地址是0，这显然是一个无效地址。因此，问题在于我们写入的跳板指令结构体中，我们期望的跳转地址存储在跳板地址+10的位置，但是跳转指令（`jmp[rip+0]`）中的相对地址是0，所以rip（下条指令地址）是0xFFFFCF812F9C8006，然后从该地址读取8字节作为目标地址。但是我们在0xFFFFCF812F9C8006处写入的是4字节填充（0）和地址的前4个字节（0xE0142B80）？不对，实际上我们写入的是：地址0xFFFFCF812F9C8000:FF2500000000地址0xFFFFCF812F9C8006:00000000地址0xFFFFCF812F9C800A:E0142B8005F8FFFF所以，地址0xFFFFCF812F9C8006处的8字节是：00000000E0142B80（小端序，即0x802B14E000000000），这显然不是我们想要的。正确的做法应该是：跳转指令中的相对偏移量应该指向存储目标地址的位置。在x64中，`jmp[rip+offset]`，offset是相对于下一条指令的偏移。下一条指令的地址是0xFFFFCF812F9C8006，所以我们希望存储目标地址的地址就是0xFFFFCF812F9C8006+offset。我们设置offset为0，那么目标地址就存储在0xFFFFCF812F9C8006处。但是，我们实际存储目标地址的位置是0xFFFFCF812F9C800A（即跳板地址+10），所以我们需要将offset设置为10-6=4（因为rip指向下一条指令，即0xFFFFCF812F9C8006，而目标地址在0xFFFFCF812F9C800A，相差4字节）。因此，我们需要修改跳板指令的操作码部分，使其为：```FF2504000000```这样，指令`jmp[rip+4]`就会从rip+4+6（即0xFFFFCF812F9C8006+4=0xFFFFCF812F9C800A）处读取目标地址。或者，另一种常见的做法是：```FF2500000000;实际上是jmp[rip+0]，然后rip指向下一个64位值，所以紧接着的8字节就是目标地址<64位目标地址>```但是注意，在x64中，`jmp[rip+0]`的下一条指令就是目标地址的位置，所以我们需要将目标地址紧接着放在跳转指令后面。因此，我们应该修改结构体为：```cpptypedefstruct_JMP_ABS{BYTEopcode[6];//FF2500000000ULONG64address;//完整64位地址}JMP_ABS,*PJMP_ABS;```这样，跳转指令后面的8字节就是目标地址。注意，这样结构体的大小为14字节，但为了对齐，我们可能需要填充到16字节（但这不是必须的）。但是，我们之前的结构体中间有4字节填充，导致目标地址没有紧跟在跳转指令后面。所以，正确的结构体应该是：```cpp#pragmapack(push,1)typedefstruct_JMP_ABS{BYTEopcode[6];//FF2500000000ULONG64address;//完整64位地址}JMP_ABS,*PJMP_ABS;#pragmapack(pop)static_assert(sizeof(JMP_ABS)==14,"JMP_ABSsizemustbe14bytes");```这样，跳转指令`jmp[rip+0]`就会从rip+0+6（即下一条指令的地址）处读取8字节目标地址，而这个地址就是我们写入的address。因此，我们需要修改：1.结构体定义：去掉padding，只保留opcode和address。2.修改操作码为`FF2500000000`，因为相对偏移为0，这样rip+0就指向后面的8字节地址。同时，我们写入跳板指令时，应该确保跳板地址按照8字节对齐，因为跳转指令要求地址对齐（虽然不一定必须，但最好对齐）。修改后的结构体：```cpp#pragmapack(push,1)typedefstruct_JMP_ABS{BYTEopcode[6];//FF2500000000ULONG64address;//完整64位地址}JMP_ABS,*PJMP_ABS;#pragmapack(pop)static_assert(sizeof(JMP_ABS)==14,"JMP_ABSsizemustbe14bytes");```在写入跳板指令时，我们使用这个结构体。同时，在`fn_pte_inline_hook_bp_pg`函数中，我们修改构造跳转指令的代码：```cpp//构造修正后的跳转指令JMP_ABSjmpCmd={};memcpy(jmpCmd.opcode,"\xFF\x25\x00\x00\x00\x00",6);//FF2500000000jmpCmd.address=reinterpret_cast<ULONG64>(hk_addr);```另外，在分配跳板池时，我们需要注意对齐。由于结构体大小为14字节，我们可以按8字节对齐（或16字节）来分配跳板位置。最后，我们还需要注意：在跳板指令中，跳转指令`jmp[rip+0]`执行时，rip指向下一条指令（即地址+6），然后从该地址读取8字节（即跳板地址+6）作为目标地址。因此，我们写入的address必须位于跳板地址+6处。这样修改后，跳板指令的内存布局为：-0xFFFFCF812F9C8000:FF2500000000-0xFFFFCF812F9C8006:E0142B8005F8FFFF(即0xFFFFF805802B14E0)反汇编将显示：```ffffcf81`2f9c8000ff2500000000jmpqwordptr[ffffcf81`2f9c8006]ffffcf81`2f9c8006e0142b80`05f8ffff;这是数据，不是指令```但是，当我们执行跳转指令时，它会从0xFFFFCF812F9C8006处读取8字节（即0xFFFFF805802B14E0）并跳转到该地址。因此，我们需要修改代码，按照14字节的结构体进行写入。现在，我们修改`fn_pte_inline_hook_bp_pg`函数，将结构体改为14字节，并调整对齐计算（因为结构体大小变为14字节）。由于我们之前分配跳板池时，按16字节对齐，所以没有问题。修改后的关键代码：```cpp//修改结构体定义#pragmapack(push,1)typedefstruct_JMP_ABS{BYTEopcode[6];//FF2500000000ULONG64address;//完整64位地址}JMP_ABS,*PJMP_ABS;#pragmapack(pop)static_assert(sizeof(JMP_ABS)==14,"JMP_ABSsizemustbe14bytes");boolPteHookManager::fn_pte_inline_hook_bp_pg(HANDLEprocess_id,_Inout_void**ori_addr,void*hk_addr){//...其他代码不变...//计算跳板位置（按8字节对齐即可，但为了性能，可以按16字节对齐）//注意：跳板指令结构体14字节，但为了后续可能的多条指令，我们按16字节对齐分配void*trampoline=(void*)((ULONG_PTR)(m_TrampLinePool+m_PoolUsed+7)&~7);//8字节对齐SIZE_TrequiredSize=((char*)trampoline-m_TrampLinePool)+sizeof(JMP_ABS);//检查跳板池空间if(requiredSize>PAGE_SIZE*8){//错误处理}//构造跳转指令JMP_ABSjmpCmd={};memcpy(jmpCmd.opcode,"\xFF\x25\x00\x00\x00\x00",6);//FF2500000000jmpCmd.address=reinterpret_cast<ULONG64>(hk_addr);//...写入跳板指令...}```此外，在写入跳板指令后，我们需要验证写入的内容是否正确，特别是地址部分。最后，我们还需要注意：由于去掉了填充，地址部分紧跟在操作码后面，所以跳转指令中的相对偏移为0，这样就能正确读取到后面的8字节地址。这个错误发生在执行跳板指令时，因为跳转到了一个无效地址（0），导致控制流检查失败（CFG检查），从而蓝屏。修改后，跳转指令将正确读取到目标地址（hk_addr）。让我们重新整理完整的函数代码（只修改关键部分）：</think>根据蓝屏信息和调试输出分析，错误发生在Hook安装后的执行阶段，具体是**控制流防护(CFG)触发的安全异常**。以下是详细分析和解决方案： ### 错误原因分析 1. **蓝屏关键信息**： ``` KERNEL_SECURITY_CHECK_FAILURE (139) A kernel component has corrupted a critical data structure. Arguments: Arg1: 0000000000000000, A stack-based buffer has been overrun. BUCKET_ID: 0x139_0_LEGACY_GS_VIOLATION_nt!guard_icall_bugcheck ``` 2. **反汇编跳板指令**： ``` ffffcf81`2f9c8000 ff2500000000 jmp qword ptr [ffffcf81`2f9c8006] ffffcf81`2f9c8006 0000 add byte ptr [rax],al ffffcf81`2f9c8008 0000 add byte ptr [rax],al ffffcf81`2f9c800a e014 loopne ffffcf81`2f9c8020 ``` 3. **问题核心**： - 跳板指令`jmp [0xFFFFCF812F9C8006]`试图读取`0xFFFFCF812F9C8006`处的地址 - 但该位置包含的是填充值`00 00 00 00`和部分地址`E0 14 2B 80` - 导致跳转目标地址为`0x0000000000000000`(无效地址) - 触发控制流防护(CFG)的`guard_icall_bugcheck` ### 根本原因：跳转指令格式错误 在x64架构中，绝对远跳转指令的正确格式应该是： ``` jmp [rip + offset] ``` 其中： 1. `offset` 必须是相对于下一条指令的偏移 2. 目标地址应存储在指令后的内存位置 您的代码错误在于： ```cpp typedef struct _JMP_ABS { BYTE opcode[6]; // FF 25 00 00 00 00 → jmp [rip+0] DWORD padding; // ❌ 错误：这里应该是目标地址的位置 ULONG64 address; // ❌ 错误：偏移计算错误 } JMP_ABS; ``` ### 完整修复方案 #### 1. 修正跳转指令结构 ```cpp #pragma pack(push, 1) typedef struct _JMP_ABS { BYTE opcode[6]; // FF 25 00 00 00 00 = jmp [rip+0] ULONG64 address; // 目标地址 (紧跟在指令后) } JMP_ABS, *PJMP_ABS; #pragma pack(pop) static_assert(sizeof(JMP_ABS) == 14, "JMP_ABS size must be 14 bytes"); ``` #### 2. 修改跳板写入函数 ```cpp bool PteHookManager::WriteTrampolineInstruction(void* trampoline, const JMP_ABS& jmpCmd) { // 1. 确保8字节对齐 if (reinterpret_cast<ULONG_PTR>(trampoline) & 0x7) { DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[PTE_HOOK] 错误: 跳板地址未对齐 (0x%p)\n", trampoline); return false; } // 2. 禁用写保护 KIRQL oldIrql = DisableWriteProtection(); // 3. 直接写入内存 RtlCopyMemory(trampoline, &jmpCmd, sizeof(JMP_ABS)); // 4. 刷新缓存 __invlpg(trampoline); _mm_mfence(); // 5. 恢复写保护 EnableWriteProtection(oldIrql); // 6. 验证写入 BYTE buffer[sizeof(JMP_ABS)]; RtlCopyMemory(buffer, trampoline, sizeof(buffer)); if (memcmp(buffer, &jmpCmd, sizeof(jmpCmd)) != 0) { DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[PTE_HOOK] 验证失败! 内存内容:\n"); HexDump(buffer, sizeof(buffer)); return false; } // 7. 反汇编验证 DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "[PTE_HOOK] 跳板指令: jmp [rip+0] -> 0x%016llX\n", jmpCmd.address); return true; } // 辅助函数：十六进制转储 void HexDump(const void* data, size_t size) { const BYTE* bytes = static_cast<const BYTE*>(data); for (size_t i = 0; i < size; ++i) { DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "%02X ", bytes[i]); if ((i + 1) % 16 == 0) DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "\n"); } DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "\n"); } ``` #### 3. 修正Hook安装函数 ```cpp bool PteHookManager::fn_pte_inline_hook_bp_pg(HANDLE process_id, _Inout_ void** ori_addr, void* hk_addr) { // ... [参数检查和内存分配不变] ... // 计算跳板位置（8字节对齐） void* trampoline = (void*)((ULONG_PTR)(m_TrampLinePool + m_PoolUsed + 7) & ~7); SIZE_T requiredSize = ((char*)trampoline - m_TrampLinePool) + sizeof(JMP_ABS); // 构造正确的跳转指令 JMP_ABS jmpCmd = {}; memcpy(jmpCmd.opcode, "\xFF\x25\x00\x00\x00\x00", 6); // jmp [rip+0] jmpCmd.address = reinterpret_cast<ULONG64>(hk_addr); DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "[PTE_HOOK] 构造跳转指令:\n" " 目标地址: 0x%p\n" " 跳板位置: 0x%p\n" " 指令格式: FF 25 00 00 00 00 + 8字节地址\n", hk_addr, trampoline); // 写入跳板指令 if (!WriteTrampolineInstruction(trampoline, jmpCmd)) { return false; } // ... [记录Hook信息不变] ... // 更新原始地址为跳板地址 *ori_addr = trampoline; m_PoolUsed = (UINT32)requiredSize; DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "[PTE_HOOK] Hook安装成功! 跳板指令:\n" " jmp [rip+0] -> 0x%p\n", hk_addr); return true; } ``` ### 关键修复点解释 1. **指令格式修正**： - 移除不必要的填充字段 - 目标地址直接紧跟在跳转指令后 - 符合x64架构的`jmp [rip+0]`格式要求 2. **对齐要求**： ```cpp void* trampoline = (void*)((ULONG_PTR)(m_TrampLinePool + m_PoolUsed + 7) & ~7); ``` - 确保跳板地址8字节对齐 - 防止跨缓存行导致的性能问题和潜在错误 3. **控制流防护(CFG)兼容**： - 正确格式的跳转指令不会触发CFG检查 - 跳转目标必须是有效的函数入口点 - 使用`MmSetPageProtection`确保目标地址可执行 ### 添加CFG兼容性检查 ```cpp // 在Hook安装前添加CFG检查 bool IsValidCFGTarget(void* address) { if (!address) return false; // 获取当前进程的CFG位图 PVOID cfgBitmap = nullptr; ULONG64 cfgBitmapSize = 0; if (!NT_SUCCESS(MmGetSystemRoutineAddressEx( L"RtlGetActiveConsoleId", &cfgBitmap, &cfgBitmapSize))) { DbgPrint("无法获取CFG位图信息\n"); return true; // 假设有效 } // 检查地址是否在CFG位图中标记为有效 return RtlIsValidFunctionPointer(address); } // 在fn_pte_inline_hook_bp_pg中添加 if (!IsValidCFGTarget(hk_addr)) { DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[PTE_HOOK] 错误: 目标地址0x%p未通过CFG验证\n", hk_addr); return false; } ``` ### 验证正确跳板指令 安装Hook后，使用WinDbg验证： ```bash kd> u 0xFFFFCF812F9C8000 ffffcf81`2f9c8000 ff2500000000 jmp qword ptr [ffffcf81`2f9c8006] ffffcf81`2f9c8006 e0142b80`05f8ffff ??? ; 这是数据，不是指令 kd> dq 0xFFFFCF812F9C8006 ffffcf81`2f9c8006 fffff805`802b14e0 ; 正确的跳转地址 kd> u fffff805`802b14e0 fffff805`802b14e0 44884c2420 mov byte ptr [rsp+20h],r9b fffff805`802b14e5 4c89442418 mov qword ptr [rsp+18h],r8 ``` ### 完整工作流程 1. **指令执行流程**： - CPU执行`jmp [rip+0]`指令 - RIP指向下一条指令地址(`0xFFFFCF812F9C8006`) - 从`[rip+0]`即`0xFFFFCF812F9C8006`读取8字节 - 跳转到读取的地址`0xFFFFF805802B14E0` 2. **内存布局**： ``` 0xFFFFCF812F9C8000: FF 25 00 00 00 00 ; jmp [rip+0] 0xFFFFCF812F9C8006: E0 14 2B 80 05 F8 FF FF ; 目标地址(小端序) ``` ##