Powercfg устаревшая вызывающая сторона ядра. Управление электропитанием в Windows. Определяет запрос о доступности объекта на указанном устройстве. Приложение может запросить атрибуты устройства, без доступа к нему

Вопрос: При долгой работе компьютера или выходе из спящего режима сбивается шрифт в меню пуск

При долгой работе компьютера или выходе из спящего режима меню Пуск становится вот таким.

Как исправить это? Помогите, пожалуйста..

Ответ: переустановленная ОС уже и обновленная(

Вопрос: Как перевести компьютер в спящий режим типа S1 ("Stand by") ?

Ни на стационарном компьютере, ни на ноутбуке не могу понять, как перевести компьютер в спящий режим типа S1.

Результат выполнения "powercfg /a"

В данной системе доступны следующие состояния спящего режима:
Ждущий режим (S3)

Следующие состояния спящего режима недоступны в данной системе:
Ждущий режим (S1)

Ждущий режим (S2)
Системное встроенное ПО не поддерживает ждущий режим.

Гибернация
Режим гибернации не включен.

Ждущий режим (подключенный)
Системное встроенное ПО не поддерживает ждущий режим.

Гибридный спящий режим

Быстрый запуск
Режим гибернации недоступен.

Ответ: Дайте компу постоять в бездействии пару минут, потом отправьте его в сон и разбудите.

В журнале событий:
Действие => создать настраиваемое представление
В пункте дата задайте, например, двухминутный интервал и смотрите, что происходило.

Больше у меня нет идей.

Ну и проверить драйверы и подключенные к компу устройства

Вопрос: Выходит из спящего режима в 4 утра

Почти каждую ночь компьютер выходит из спящего режима и будит меня.
в диспетчере устройств, сетевые адаптеры, снял галку "пробуждение с помощью магических пакетов".
в настройках электропитания запретил таймеры пробуждения.
в командной строке команда powercfg /waketimers вот что показывает.

c:\>powercfg /waketimers
Таймер, установленный Устаревшая вызывающая сторона ядра, действителен до 4:14:46 09.01.2016.
Причина:

Помогите. Кто виноват и что делать?

Ответ: в конце концов вылечил сей недуг:

Панель управления -> Безопасность и обслуживание -> Обслуживание -> Автоматическое обслуживание -> Изменить параметры обслуживания -> снимаем галку "Разрешить задаче обслуживания пробуждать мой компьютер..."

Вопрос: Самопроизвольное включение компьютера по ночам

Последнее время (около 1...2 месяцев) примерно через 30...60 минут после перевода компьютера в спящий режим (дабы можно было с утра продолжить работу с момента ее прерывания) он самопроизвольно включается. Завершаю работу около 12 ночи, т.е. включение происходит в 0:30...1:00 ночи. При этом монитор остается темным. Встаю с постели, подвигаю мышкой - монитор включается, вхожу в профиль в штатном режиме, снова ввожу в спящий режим - этой ночью больше не включается.

На компьютере система Win7, стоит резидентный антивирус MS Cecurity Esentials. Прогнал по нескольку раз актуальные (свежескачанные) лечащие утилиты mbar и DrWeb Cureit - понаходили несколько бяк, но все равно самопроизвольное включение осталось. По проявлениям похоже на вирус, подключающий мой компьютер к DDOS-атакам. Тем более, что время от времени Google блокирует доступ по причине подозрительного траффика, исходящего с моего IP. Такое происходит уже довольно давно (больше года), но самопроизвольное включение компьютера я заметил вот только недавно.

Собственно, вопрос: если беда известная и лечится относительно просто, то скачаю рекомендуемое ПО, просканирую им и выложу. Если же проблема более сложная - то не буду морочить голову ни себе, ни местным гуру и тупо переставлю систему.

Ответ: Falconist , что-то я не совсем понял...

Сообщение от Falconist

после перевода компьютера в спящий режим... он самопроизвольно включается

Спящий режим и режим гибернация в 7 - это совершенно разные вещи. Для перевода в спящий режим достаточно на клаве нажать кнопку Sleep. Если нажмёте Пуск и наведёте указатель мыши на стрелочку рядом с Завершение работы - появится меню в котором есть и Спящий режим. и Гибернация. При гибернации комп отключается от электропитания так же, как и при завершении работы, но при включении компа вы сможете начать работу так же, как и после режима сна.
Но спрашивали вы о другом. Планировщик заданий проверяли?

Вопрос: Компьютер ночью выходит из спящего режима

Всем день добрый. Уже достала меня эта проблема. Сам по себе ПК выходит из спящего режима ночью, стоит Windows 10, до этого была 7, такой проблемы не было, поэтому выбрал именно этот раздел.
Что уже было сделано 2 дня назад:
1. В просмотре событий нашел причину: Таймер - Будет выполнено назначенное задание "NT TASK\Microsoft\Windows\UpdateOrchestrator\Reboot", запросившее вывод компьютера из спящего режима.
Зашел в Планировщик заданий, нашел это задание и убрал галку с пункта: Условия - Пробуждать компьютер для выполнения задачи.
2. Зашел в powercfg.cpl - Настройка схемы электропитания - Изменить дополнительные параметры питания - Сон - Разрешить таймеры пробуждения - ОТКЛЮЧИТЬ.

Сегодня ночью ситуация повторилась, но в просмотре событий нашел лишь:

Система вышла из состояния пониженного энергопотребления.

Время перехода в спящий режим: 2016-10-29T21:38:38.657073700Z
Время выхода из спящего режима: 2016-10-29T21:58:34.625754700Z

Источник выхода: Нет данных

3. В диспетчере устройств снял галку "разрешить этому устройству выводить компьютер из ждущего режима" с мышки, клавы, сетевух, и везде, где нашел...

Помогите решить данную проблему, уже не знаю где копать...

Ответ:

Сообщение от GoLeMjkeee

Стоит ежедневно в 2-00

Поменяй на дневное.

Сообщение от GoLeMjkeee

но галочка.... не стоит.

10-ка она такая,с характером.

Вопрос: Как убрать экран с кнопкой "Вход" при выходе из спящего режима?

Windows 10 Pro 1607.
При выходе из спящего режима винда просит нажать "Вход". Пр пробуждении появляется синий экран с надписью имени пользователя и под ним кнопка "Вход". Пароль не установлен, пользователь единственный в системе с правами админа. При загрузке все нормально, никаких экранов и нажатий на кнопки, сразу рабочий стол.

В Параметры-Учетные записи- Параметры входа нет пункта "Требуется вход".
В окне Учетные записи пользователей, на вкладке Пользователи галка "Требовать ввод имени пользователя и пароля" снята.
В настройках схемы электропитания нет пункта "Требовать введения пароля при пробуждении".

Как убрать кнопку "Вход" при выходе из спящего режима, чтобы компьютер автоматически запускал рабочий стол минуя это окно?

Ответ: убрать спящий режим

Вопрос: Windows 8.1 выключается в спящем режиме

Здравствуйте.
У меня проблема со спящим режимом. Компьютер полностью выключается в спящем. Т.е. полностью питание пропадает. Раньше в спящем моргала лампочка на системнике, сейчас полностью "оптухает" и с usb тоже мышка, клава потухают и влючить можно только кнопкой включения и естественно вся инфа не сохраняется.
Перечитал много тем в интернете, но ни одна проблема не похожа на мою.
Сразу напишу характеристики ПК: материнка ASUS p8h67, видео Radeon HD7850 (asus), intel i5 2550k, 8gb ОЗУ, SSD Silicon Power s55 120gb, HDD WD 500gb.
Установил Windows 8.1, стоит уже очень давно и спящий режим работал как надо. Однажды он перестал работать, я даже не знаю точно из-за чего и после чего (каких-нибудь действий) он перестал работать. ВРоде ничего такого не ставил, драйвера вроде не обновлял.
Я частенько по привычке вместо выключения нажимаю спящий и однажды он заработал и работал несколько дней, но со временем перестал работать.
Пробовал обновлять драйвера или удалять. Пробовал отключать от компа лишние устройства (ну мало ли). Отключал различные программы перед спящим. Ничего не помогло.
В интернете нашёл единственную инфу которая точь в точь как у меня (пункт 8):

Поставить драйвера я конечно не смог, разные платформы. Найти такие же для себя не смог.

Переустанавливать ОС не хочу т.к. все (кроме спящего) работает хорошо.
Может есть идеи что может быть не так?

Добавлено через 17 минут
Забыл написать, что BIOS сбрасывал и обновлял.

Ответ: проверяй тогда либо БП либо Мать. Программно мы настроили спящий и гибернацию powercfg /h on.

Ещё Вариант -- проверить (заменить). hiberfil.sys -- он отвечает за спящий режим.

Вопрос: Спящий режим в windows 8

после выхода из спящего режима windows 8 начинает перезагружаться и после загрузки windows вылетает следующее сообщение
подскажите как с этим бороться?

Ответ:

Сообщение от azat145

после выхода из спящего режима windows 8 начинает перезагружаться

С начала.
Потом.

Вопрос: Гибридный спящий режим или Гибернация? Что предпочтительней на десктопе?

В общем, вопрос в заголовке. Как я понял из поисковика, вернее, из скопипащенной на все сайты одной и той же статьи - преимущество Гибридного спящего режима только в скорости включения, просыпания, можно сказать. А если я хочу использовать на своей десктопной Виндовс 7 х64 режим Гибернации, есть подводные камни? Просто мне нужно выключать питание, а при Гибридном спящем режиме этого лучше не делать. Спасибо всем, кто откликнется

Ответ: Читал, сегодня. Ладно, по-моему на мой вопрос другого ответа и нету, чем короткий брифинг от Майкрософта. Тогда поделюсь своими выводами (для тех, кто попадет в эту тему по похожему вопросу).
Итак:

Плюсы Гибридного спящего режима: 1. Быстрота включения, нет необходимости полностью вырубать компьютер;
Минусы : 1. Нагружает жесткий диск (по утверждению одного модератора из раздела Windows 7 на нашем форуме); 2. Не выключается полностью, продолжает кушать ток, хоть и мало (хотя для некоторых этот пункт является плюсом)

Короче, Гибернация нужна, если хочешь постоянно вырубать из сети, но не хочешь подолгу загружать/выключать ОС.
Гибридный спящий режим - для тех, кого устраивает постоянно находящийся в сети ПК.

Вопрос: Раньше ноутбук отключался на старте, теперь в спящем режиме

Мой ноутбук DELL INSPIRON 3521 с Windows 8.1 раньше отключался на старте (появлялся логотип DELL – отключение – повторное включение и нормальная работа). Обновляла систему на 10ку, не помогло. Носила в горе-сервисный центр, известный в городе и хваленый – там ноутбук благополучно 2 недели отдохнул от человеческого внимания. Забрав его, исправила проблему отключением быстрой загрузки и на радостях вернулась на 8.1.
Прошел уже месяц, и теперь, когда я закрываю крышку ноутбука, он переходит в спящий режим (так в настройках), но через минут 20 или чуть больше отключается вовсе (такого раньше не было и настройки электропитания не изменились). При включении ситуация, что я описала выше: включение – логотип – отключение. После повторного включения нормальная работа. Все драйверы обновлены. В чем может быть проблема и как исправить? Жалко бедолагу – полтора года всего, а у меня диплом и госы – не могу сейчас таскать по мастерам…

Ответ: Как вы хоите чтобы он работал? Лично я использую гибернацию, а не спящий режим, так же включен переход в гибернацию при бездействи, настройки во вложении

Перенос настроек электропитания

Компания Microsoft в операционной системе Windows 10 уделяет большое внимание безопасности. Одним из важных элементов системы является “Защитник Windows”, но способен он справиться не со всеми угрозами. В частности, в последнее время набирают особую распространенность вирусы Ransomware, самыми известными реинкарнациями которых являются вредоносные программы Petya и . Компания Microsoft внедрила в Windows 10 функции изоляции ядра и целостность памяти, которые направлены на борьбу с вирусами Ransomware. По умолчанию они отключены.

Оглавление:

Что такое изоляция ядра и целостность памяти

Изоляция ядра - это процесс дополнительный защиты, который обеспечивается методом ограждения процессов компьютера от операционной системы и устройства. За счет данных действий удается избежать подрыва работы операционной системы при попадании на компьютер вирусов.

Целостность памяти - это сопутствующая изоляции ядра защитная функция, которая направлена на ограничение доступа со стороны неизвестных потенциально опасных программ к процессам с высоким уровнем безопасности.

Важно: Функция изоляции ядра может работать только в том случае, если имеются достаточные для этого условия со стороны аппаратных данных компьютера. В настройках BIOS должна быть активна технология виртуализации, за счет которой компьютер под управлением Windows 10 может запускать различные приложения в виртуальном контейнере, ограничивая для них доступ от ключевых компонентов системы.

Как включить изоляцию ядра и целостность памяти

Параметры операционной системы Windows 10 позволяют управлять функциями безопасности на компьютере в полной мере. Через настройки Windows 10 можно включить изоляцию ядра и целостность памяти следующим образом:

Как отмечалось выше, если аппаратная составляющая компьютера не поддерживает возможность виртуализации, данная функция не будет работать. При включении пользователь увидит в нижнем правом углу сообщение “Не удается обеспечить целостность памяти. Возможна несовместимость”. Если это сообщение появилось, рекомендуется перейти в BIOS и посмотреть включена ли функция Secure Boot (Boot Mode).

Как отключить изоляцию ядра и целостность памяти

Новые функции в операционной системе, которые серьезно влияют на ее работу, всегда рискуют стать причиной возникновения проблем при работе компьютера. Не исключение и функция изоляции ядра. Пользователи, которые уже ее опробовали, отмечают на форумах Microsoft, что сталкиваются с проблемами при запуске ряда игр и программ. Единственный способ, как решить данную проблему, это отключить функцию изоляции ядра и целостность памяти. Возможно, в будущих обновлениях разработчики приложения или Microsoft поправит данную несовместимость.

Есть 3 способа, как отключить изоляцию ядра и целостность памяти:

Драйверы режима ядра: Часть 1: Основные понятия — Архив WASM.RU

Обзор архитектуры

Внутренний мир Windows 2000 разделен на две части с четко обозначенными границами, как в плане адресного пространства, так и в плане прав и обязанностей кода в этом адресном пространстве выполняющегося.

С разделением адресного пространства все на удивление просто. Все четыре, доступного в 32-х разрядной архитектуре, гигабайта разделены на две равные части (4GT RAM Tuning и Physical Address Extension я опускаю как зкзотические). Нижняя половина отдана процессам пользовательского режима, верхняя принадлежит ядру.

С разделением прав и обязанностей немного сложнее.

К пользовательским относятся следующие процессы:

• Процессы поддержки системы (System Support Processes) - например, процесс входа в систему Winlogon (реализован в \%SystemRoot%\System32\Winlogon.exe);
• Процессы сервисов (Service Processes) - например, спулер печати;
• Пользовательские приложения (User Applications) - бывают пяти типов: Win32, Windows 3.1, MS-DOS, POSIX и OS/2;
• Подсистемы окружения (Environment Subsystems) - поддерживается три подсистемы окружения: Win32 (реализована в \%SystemRoot%\System32\Csrss.exe), POSIX (реализована в \%SystemRoot%\System32\Psxss.exe), OS/2 (реализована в \%SystemRoot%\System32\os2ss.exe).

Ядро состоит из следующих компонентов:

Исполнительная система (Executive) - управление памятью, процессами и потоками и др.;
• Ядро (Kernel) - планирование потоков, диспетчеризация прерываний и исключений и др. (реализовано в \%SystemRoot%\System32\Ntoskrnl.exe);
• Драйверы устройств (Device Drivers) - драйверы аппаратных устройств, сетевые драйверы, драйверы файловых систем;
• Уровень абстрагирования от оборудования (Hardware Abstraction Layer, HAL) - изолирует три вышеперечисленных компонента от различий между аппаратными архитектурами (реализован в \%SystemRoot%\System32\Hal.dll);
• Подсистема поддержки окон и графики (Windowing And Graphics System) - функции графического пользовательского интерфейса (Graphic User Interface, GUI) (реализована в \%SystemRoot%\System32\Win32k.sys).

Рис. 1-1. Упрощенная схема архитектуры Windows 2000

Режим пользователя и режим ядра

Хотя процессоры семейства Intel x86 поддерживают четыре уровня привилегий (называемых кольцами защиты), в Windows используются только два: 0-ой для режима ядра и 3-ий для режима пользователя. Это связано с поддержкой других процессоров (alpha, mips), в которых реализовано только два уровня привилегий. Предыдущие выпуски Windows NT поддерживали эти архитектуры, но в Windows 2000 осталась поддержка только x86.

Компоненты пользовательского режима имеют свои защищенные адресные пространства, потоки этих процессов выполняются в непривилегированном режиме процессора (называемом пользовательским), не могут выполнять привилегированные команды процессора, имеют ограниченный и опосредованный доступ к системным данным, и к системному адресному пространству, не имеют прямого доступа к оборудованию. Правда, в процессе своей работы, потоки этих процессов, вызывая системные сервисы, переходят в режим ядра, но в этом случае полностью теряют контроль над своим выполнением до возвращения обратно в режим пользователя.

Процессы пользовательского режима рассматриваются как потенциально опасные с точки зрения стабильности системы. Их права ограничиваются. И всяческие попытки выйти за пределы этих ограничений жестко пресекаются.

Компоненты ядра разделяют единое адресное пространство, выполняются в привилегированном режиме процессора (называемом режимом ядра), могут выполнять все, в том числе и привилегированные, команды процессора, имеют неограниченный и прямой доступ к системным данным и коду, имеют прямой, или через HAL, доступ к оборудованию.

Код ядра (собственно это и есть сама система) рассматривается как полностью доверительный. Поэтому, будучи загруженным в системное адресное пространство, драйвер становится частью системы и на него не накладываются какие-либо ограничения.

Таким образом пользовательские приложения отделены от собственно операционной системы. Если вы зададитесь целью написать сколь-нибудь серьезное приложение, для работы которого необходим доступ к внутренним функциям или структурам данных системы, то столкнетесь со множеством ограничений, преодолеть которые можно только разместив свой код в системном адресном пространстве. Из документированных существует только один способ это сделать - установить драйвер устройства. Способ этот относительно прост, надежен, а главное, полностью обеспечен поддержкой со стороны самой операционной системы.

Драйверы Windows 2000

Windows 2000 поддерживает множество типов драйверов устройств.

Существует два базовых, которые имеют своих представителей:

• Драйверы пользовательского режима (User-Mode Drivers):
  • Драйверы виртуальных устройств (Virtual Device Drivers, VDD) - используются для поддержки программ MS-DOS (не путать с VxD драйверами в Windows 95/98 - это совсем разные вещи, хотя и имеют одно название);
  • Драйверы принтеров (Printer Drivers).
• Драйверы режима ядра (Kernel-Mode Drivers):
  • Драйверы файловой системы (File System Drivers) - реализуют ввод-вывод на локальные и сетевые диски;
  • Унаследованные драйверы (Legacy Drivers) - написаны для предыдущих версий Windows NT;
  • Драйверы видеоадаптеров (Video Drivers) - реализуют графические операции;
  • Драйверы потоковых устройств (Streaming Drivers) - реализуют ввод-вывод видео и звука;
  • WDM-драйверы (Windows Driver Model, WDM) - поддерживают технологию Plag and Play и управления электропитанием. Их отличительной особенностью является совместимость на уровне исходного кода между Windows 98, Windows ME и Windows 2000.

В разных источниках вы можете встретить классификацию немного отличную от приведенной выше, это не суть важно. Важно то, что драйверы, которые мы будем писать, не подпадают ни под один из пунктов этой классификации. Это ни драйверы файловой системы, ни унаследованные драйверы, ни драйверы видеоадаптеров или звуковых карт, ни WDM-драйверы, т.к. не поддерживают Plag"n"Play и управление электропитанием. Это не драйверы пользовательского режима (это вообще не интересно). На самом деле это просто черт знает что такое, т.к. система сама позволяет легко и просто добавить в саму себя код непонятно для какого устройства, и делать с ней все что угодно! Это как если бы к вам ночью в дверь постучался совершенно незнакомый человек, и вы ни слова не говоря впустили бы его на ночлег, да еще уложили бы в свою постель! Однако, это не является каким-то багом или дырой в системе безопастности. Просто система работает так, как она работает. Иначе и быть не может, т.к. взаимодействуя с окружением, система вынуждена предоставлять к себе доступ. И если бы это было не так, то это была бы полностью закрытая, а значит, бесполезная система.

Как следует из самого названия, драйвер устройства это программа предназначенная для управления каким-то устройством, причем устройство это не обязательно должно быть физическим. Оно может быть логическим или, как в нашем случае, виртуальным.

По своей структуре драйвер устройства является ни чем иным как файлом PE-формата (Portable Executable, PE). Таким же как обычные exe и dll. Только загружается и работает по другим правилам. Драйверы можно рассматривать как DLL режима ядра, предназначенные для выполнения задач не решаемых из пользовательского режима. Принципиальная разница здесь (не считая уровня привилегий) в том, что мы не сможем напрямую обращаться к драйверу, ни к его коду, ни к его данным, а будем пользоваться специальным механизмом предоставляемым диспетчером ввода-вывода (Input/Output Manager). Диспетчер ввода-вывода обеспечивает среду для функционирования драйверов, а также предоставляет механизмы для их загрузки, выгрузки и управления ими.

Приступая к разработке драйверов режима ядра, вы почувствуете себя совершенным новичком, т.к. весь предыдущий опыт использования API тут не поможет - ядро предоставляет совершенно другой набор функций. Также придется пользоваться плохо документированными (определенными только в заголовочных файлах) или вовсе недокументированными функциями и структурами данных.

Одно- и многоуровневые драйверы

Большинство драйверов управляющих физическими устройствами являются многоуровневыми (layered drivers). Обработка запроса ввода-вывода разделяется между несколькими драйверами. Каждый выполняет свою часть работы. Например, запрос на чтение файла передается драйверу файловой системы, котрый, выполнив некоторые операции (например, разбиение запроса на несколько частей), передает его "ниже" - драйверу диска, а тот, в свою очередь, отправляет запрос драйверу шины. Кроме того между этими драйверами можно добавить любое количество драйверов-фильтров (например, шифрующих данные). Выполнив запрос нижестоящий драйвер (lower-level driver) передает его результаты "наверх" - вышестоящему (higher-level driver). Но, к счастью, у нас все будет значительно проще. Наши драйверы всегда будут одноуровневыми (monolithic drivers), что сильно упростит весь процесс их написания и отладки.

Контекст потока

Поскольку, в большинстве случаев, мы имеем всего один процессор, а приложений, которые нужно выполнять много, то естественно, что для создания иллюзии одновременного их выполнения надо последовательно подключать эти приложения к процессору, причем очень быстро. Эта процедура называется переключением контекста потока (thread context switching). Если система переключает контекст потоков принадлежащих одному процессу, то необходимо сохранить значение регистров процессора отключаемого потока, и загрузить, предварительно сохраненные значения регистров процессора подключаемого потока. И обновить кое-какие структуры данных. Если же подключаемый поток принадлежит другому процессу, то необходимо еще в регистр CR3 процессора загрузить указатель на каталог страниц (page directory) процесса. Так как каждому пользовательскому процессу предоставлено закрытое адресное пространство, то у разных процессов разные проекции адресных пространств, а значит, и разные каталоги страниц и наборы таблиц страниц по которым процессор транслирует виртуальные адреса в физические. Все это не имеет прямого отношения к программированию драйверов. Но я напоминаю об этом в связи вот с чем. Так как переключение контекста операция не самая быстрая, то драйверы, по соображениям лучшей производительности, как правило, не создают своих потоков. Но код драйвера все же нужно выполнять. Поэтому, для экономии времени на переключение контекстов, драйверы выполняются в режиме ядра в одном из трех контекстов:

• в контексте пользовательского потока инициировавшего запрос ввода-вывода;
• в контексте системного потока режима ядра (эти потоки принадлежат процессу System);
• как результат прерывания (а значит, не в контексте какого-либо процесса или потока, который был текущим на момент прерывания).

Не совсем понимаю как можно выполнить что-то "не в контексте какого-либо процесса или потока", но учитывая авторитет людей это написавших (Д. Соломон и М. Руссинович), а также то, что нам это не понадобится, т.к. мы не будем обрабатывать ни программные, ни тем более, аппаратные прерывания, про третий случай можно сразу забыть. Остаются первые два варианта. Если инициируется запрос ввода-вывода, то мы в контексте потока этот запрос инициировавшего, и значит, можем напрямую обращаться к адресному пространству процесса которому этот поток принадлежит. Если мы в контексте системного потока, то ни к какому пользовательскому процессу обращаться напрямую не можем, а к системному мы и так всегда можем обратиться. Если нужно из драйвера посмотреть, что там у какого-нибудь процесса лежит по такому-то адресу, то придется либо самим переключать контекст, либо по таблицам страниц транслировать адреса.

Уровни запросов прерываний

Прерывание - неотъемлемая часть любой операционной системы. Прерывание требует обработки, поэтому выполнение текущего кода прекращается и управление передается обработчику прерывания. Существуют как аппаратные, так и программные прерывания. Прерывания обслуживаются в соответствии с их приоритетом. Windows 2000 использует схему приоритетов прерываний, известную под названием уровни запросов прерываний (interrupt request levels, IRQL). Всего существует 32 уровня, с 0 (passive), имеющего самый низкий приоритет, по 31 (high), имеющего соответственно самый высокий. Причем, прерывания с IRQL=0 (passive) по IRQL=2 (DPC\dispatch) являются программными, а прерывания с IRQL=3 (device 1) по IRQL=31 (high) являются аппаратными. Не путайте уровни приоритета прерываний с уровнями приоритетов потоков - это совсем разные вещи. Прерывание с уровнем IRQL=0, строго говоря, прерыванием не является, т.к. оно не может прервать работу никакого кода (ведь для этого этот код должен выполняться на еще более низком уровне прерывания, а такого уровня нет). На этом IRQL выполняются потоки пользовательского режима. И код наших драйверов тоже будет выполняться на этом IRQL. Это отнюдь не означает, что код любого драйвера всегда выполняется на уровне "passive". Просто мы не будем обрабатывать ни программные, ни тем более аппаратные прерывания. А отсюда следуют, по крайней мере, два очень важных вывода.

Первый: работа наших драйверов может быть в любой момент прервана, для обработки прерывания с более высоким приоритетом (например, от таймера, когда планировщик посчитает, что наш поток и так уже достаточно долго имеет процессор, и пора ему отдохнуть). Поэтому, в этом смысле, код наших драйверов является прерываемым и вытесняемым (процессор отдается другому потоку), точно также как и код любого пользовательского потока. Существуют функции ядра позволяющие узнать текущий уровень прерывания, а также повысить или понизить его.

Второй важный момент: на уровне прерывания passive можно вызывать любые функции ядра (в DDK в описании каждой функции обязательно указано, на каком уровне прерывания ее можно вызывать), а также обращаться к страницам памяти сброшенным в файл подкачки. На более высоких уровнях прерывания (DPC/dispath и выше), попытка обращения к странице отсутствующей в физической памяти приводит к краху системы, т.к. диспетчер памяти (Memory Manager) не может обработать ошибку страницы.

"Голубой экран смерти"

Думаю каждый, хотя бы один раз, видел волнующую картину под названием "голубой экран смерти" (Blue Screen Of Death, BSOD). Наверное, нет необходимости объяснять, что это такое и почему возникает. Важно здесь то, что взявшись за разработку драйверов режима ядра, приготовьтесь к тому, что BSOD дастаточно часто будет появляться на экране вашего монитора.

В третьем кольце все было просто: набросал примерный код, расставил int3 где надо, запустил и... в отладчике уже разбираешься что к чему. Если что-то не так - прибил, исправил ошибки, перекомпилировал... и так далее, до тех пор пока код не заработает как надо. При программировании драйверов об этой технике можно забыть. Тут "сапер" ошибается один раз. Одно неверное движение... и можно откинуться на спинку кресла и минутку расслабиться.

Для того чтобы видеть BSOD как можно реже следует придерживаться одного очень простого правила: "Семь раз отмерь - один отрежь"... в смысле "Семь раз проверь - один запусти". Это конечно просто сказать, но значительно труднее сделать. Но как правило, учитывая то, что структура драйверов, которые вы будете писать (после прочтения этих статей), относительно проста, можно разобраться с ошибками и до появления BSOD. Если же он упорно появляется перед вашими глазами, и вы никак не можете понять причину, возможным способом прояснить ситуацию является анализ аварийного дампа (crash dump). О том, что это такое, как его сделать и анализировать можно почитать в статье Марка Руссиновича "Анализ аварийных дампов памяти" http://www.osp.ru/win2000/2001/03/025.htm. Дело это (анализ) очень непростое, но думаю, что до этого не дойдет.

Теоретик из меня хреновый, так что все вышесказанное вы можете рассматривать как очень базовые сведения о тех принципах, которые совершенно необходимо понимать. Нельзя приступать к разработке драйверов режима ядра не имея понятия о том, что такое контекст потока, уровни прерываний и приоритеты потоков, режим ядра/пользователя и т.д. и т.п. Чувствуете себе неуверенно в каком-то вопросе - список литературы внизу.

Теперь осветим кое-какие более практические вещи (совсем практическими они станут в следующих статьях), а именно, что нам понадобится, чтобы всю эту теорию превратить в практику.

Driver Development Kit

Первое это конечно Комплект разработки драйверов устройств (Windows 2000 Driver Development Kit, 2KDDK), который можно свободно скачать с сайта Microsoft (во всяком случе я сливал его совершенно безвозмездно отсюда: http://www.microsoft.com/ddk/). В этот пакет входит документация, которая является богатым источником информации о внутренних структурах данных и внутрисистемных функциях используемых драйверами устройств.

Помимо документации в DDK входит набор библиотечных файлов (*.lib), которые будут совершенно необходимы при компоновке. В DDK входит два комплекта этих файлов: для окончательной версии Windows (называемой свободным выпуском (free build)); и для отладочной (называемой проверочным выпуском (checked build)). Находятся эти файлы в каталогах %ddk%\libfre\i386 и %ddk%\libchk\i386 соответственно. Отладочная версия отличается более строгой проверкой ошибок. Использовать нужно файлы соответствующие вашей версии системы поместив их в каталог \masm32\lib\w2k.

Включаемые файлы

Также нам понадобятся включаемые (*.inc) файлы с определениями прототипов функций. Их нам (точнее мне ) тоже придется делать самим. Я перепробовал много разных утилит, конвертирующих *.lib -> *.inc, как входящих в пакет masm32 by hutch, так и слитых мной в разное время с бескрайних просторов Internet. Из всех что имеются у меня в наличии, только protoize.exe by f0dder справилась со своей задачей, и мне практически ничего не пришлось править руками. Эта замечательная тулза будет лежать в каталоге \tools\protoize. Сайт автора: http://f0dder.didjitalyphrozen.com/. Только вы ее там не найдете. f0dder несколько раз постил эту утилиту в конференции http://board.win32asmcommunity.net/. Инклуды будут лежать в каталоге \include\w2k. Их следует поместить в каталог \masm32\include\w2k. Для конвертации использовались *.lib для свободного выпуска Windows 2000, т. к. у меня стоит именно этот вариант (и у вас, наверняка, тоже).

Следующая проблема более серьезна. Это практически полное отсутствие включаемых файлов с определениями необходимых структур, символьных констант и макросов. Найти что-либо путное в сети вы вряд ли сможете - уж слишком экзотическое это занятие - писать драйверы режима ядра на ассемблере. Кое-что можно найти у EliCZ http://www.anticracking.sk/EliCZ/. Кое-что у Y0da http://mitglied.lycos.de/yoda2k/index.htm (частично сделаное им самим, частично взятое у того же EliCZ). Но сделано это из рук вон плохо, (при всем моем глубоком уважении к нашим словакскому и немецкому коллегам): имена членов многих структур отличаются от определенных в оригинальных заголовочных файлах из DDK; вложенные структуры и обьединения не имеют имен; хотя в оригинале они именованы. И вообще, все находится в некотором беспорядке, и при просмотре вызывает удручающее впечатление. Неплохо сделан только ntstatus.inc. Частично это объясняется тем, что EliCZ начал создавать свои инклуды еще в отсутствие у него DDK (как он сам говорит). В любом случае, я не советую вам их использовать, по крайней мере без тщательной проверки. Кое-что, в свое время, мелькало в конференции http://board.win32asmcommunity.net/, но качество тоже не особо впечатляет. Короче, единственно правильное решение в данной ситуации - делать все самим, причем вручную, т. к. какие-либо тулзы, позволяющие автоматизировать этот процесс, мне не известны. Если вы, вдруг, наткнетесь на что-то стоящее, не сочтите за труд - дайте мне знать.

Отладка драйверов

Также нам потребуется отладчик, причем, поскольку отлаживать придется код режима ядра, то и отладчик нужен соответствующий. Самым лучшим выбором будет SoftICE. Или можно воспользоваться Kernel Debugger входящим в состав DDK. Этот отладчик требует двух компьютеров - ведущего и ведомого, что не каждый может себе позволить. Марк Руссинович (Mark Russinovich, http://www.sysinternals.com/) написал утилиту LiveKd, которая позволяет использовать Kernel Debugger без подключения второго компьютера. Не знаю есть ли она на сайте (не проверял), но на диске к книжке "Внутреннее устройство Microsoft Windows 2000" имеется. Также этот отладчик чрезвычайно полезен для исследования внутреннего устройства системы, при условии что у вас установлены отладочные символы, которые можно (или было можно) свободно скачать с сайта Microsoft.

Дэвид Соломон, Марк Руссинович, "Внутреннее устройство Microsoft Windows 2000", изд. "Питер", 2001.

Хотя в этой книге нет ни одной строчки исходного кода, она прежде всего для программистов.

Свен Шрайбер, "Недокументированные возможности Windows 2000", изд. "Питер", 2002.

Сугубо практическая книга, в которой раскрыто множество тайн Windows 2000.

Walter Oney, "Programming the Microsoft Driver Model", Microsoft Press, 1999

В этой книге упор сделан на Plag"n"Play драйверы, но это нисколько не умоляет ее достоинств, т.к. базовые принципы разработки драйверов универсальны.

Джеффри Рихтер, "Windows для профессионалов: создание эффективных Win32-приложений с учетом специфики 64-разрядной версии Windows", изд. "Питер", 2000.

Эта книжка не имеет никакого непосредственного отношения к программированию драйверов, но тоже очень интересная;-)

Этот список ни в коем случае не претендует на полноту. Многое, особенно по английски, можно найти в Internet (кроме Шрайбера, все книги есть в электронном варианте). В отношении книг хочу сказать еще, что все они из разряда "must have". Увидите - покупайте не глядя. Все, кроме Walter"а Oney, переведены на наш "великий и могучий".

И последнее. Я не являюсь большим специалистом в области разработки драйверов, так что ошибки или неточности, как в этой, так и во всех последующих статьях, весьма вероятны. Найдете - смело тыкайте носом. Скажу спасибо.

Центр безопасности Защитника Windows , в том числе новый раздел “Безопасность устройства”, которые предлагает управление расширенными инструментами безопасности, такими как «Изоляция ядра».

Изоляция ядра - технология безопасности на основе виртуализации, которая обеспечивает дополнительный уровень защиты против интеллектуальных атак. Целостность памяти является одной из составных частей технологии изоляции ядра - функция предназначена для предотвращения вставки вредоносного кода в процессы с высокой безопасностью. Защита обеспечивается за счет того, что страница виртуальной памяти ядра начинает выполнятся только после успешного прохождения проверки целостности.

Рассмотрим, как включить функцию “Целостность памяти” в Windows 10 April 2018 Update, чтобы усилить безопасность компьютера.

Включение целостности памяти

• Откройте Центр безопасности Защитника Windows.
• Выберите раздел “Безопасность устройства”.

• В секции “Изоляции ядра” нажмите ссылку “Сведения об изоляции ядра”.
• Переведите переключатель “Целостность памяти” в активное положение.

После выполнения этих действий нужно перезагрузить компьютер, чтобы изменения вступили в силу.

Примечание : для работы данной функции ваш процессор должен поддерживать технологии виртуализации. Кроме того, виртуализация должна быть включена в BIOS или UEFI. В противном случае, функция будет недоступна.

Исправление проблем с изоляцией ядра

В некоторых случаях можно столкнуться с проблемами совместимости в некоторых приложениях, если изоляция ядра включена. Чтобы исправить неполадки придется отключить функцию.

Если вы пытаетесь отключить целостность памяти в Центре безопасности Защитника Windows, но опция стала неактивной и показывается сообщение “Этим параметром управляет ваш администратор”, то все еще можно деактивировать функцию с помощью системного реестра.

Примечание : Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.

• Нажмите сочетание клавиш Windows + R , чтобы вызвать окно “Выполнить”.
• Введите regedit и нажмите ОК, чтобы запустить редактор реестра.
• Перейдите по следующему пути:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

• Дважды щелкните по записи Enabled .
• Поменяйте значение с 1 на 0.
• Нажмите ОК.

Для отключения вы также можете воспользоваться готовым

В моем основном ноутбуке различные проблемы с электропитанием возникают часто, что объяснимо работой в инсайдерских сборках. Однако и в стабильной версии 1803 я заметил, что моя система перестала уходить в сон. При этом монитор выключался через указанный промежуток времени, что намекало на правильное определение системой состояния бездействия .

Я выставил маленький период перехода в сон, 1-2 минуты и приступил к диагностике.

Проверка запросов к подсистеме питания от приложений и драйверов

Первым делом надо смотреть в powercfg , что удерживает ОС от перехода в сон. Процессы и драйверы, обращающиеся к подсистеме электропитания, можно увидеть в командной строке от имени администратора :

Powercfg -requests

Сразу видно, что запрос к SYSTEM идет от DRIVER — в данном случае, Realtek использует аудиопоток.

В списке также может присутствовать WebRTC от Chrome, а сразу после перезапуска системы там можно увидеть запросы оптимизации загрузки, индекс поиска, но они быстро исчезают. Можно внести процесс или драйвер в список исключений, и он не будет препятствовать уходу в сон.

Powercfg -requestsoverride DRIVER "Realtek High Definition Audio (HDAUDIO\FUNC_01&VEN_10EC&DEV_0269&SUBSYS_17AA2204&REV_1002\4&d00657&0&0001)" SYSTEM

Команда читается как «игнорировать запрос от DRIVER [полное имя драйвера] к SYSTEM».

Список исключений хранится в разделе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\PowerRequestOverride

и выводится командой

Powercfg -requestsoverride

Я перезагрузился для верности, но система отказывалась засыпать. Проверив исключения и список запросов, я обнаружил, что драйвер Realtek продолжал использовать аудиопоток, хотя был внесен в исключения.

Я поплясал немножко с бубном вокруг исключений, но успеха не добился. Быстрое гугление подтвердило, что в некоторых случаях они не срабатывают. Это типично для legacy запросов, но тут был другой случай, и я не первый, кто с этим столкнулся.

В итоге я удалил Realtek из списка. Можно удалять записи в редакторе реестра или консоли. Команда почти такая же, как при добавлении, просто не указывается куда идет запрос, т.е. в данном случае в конце команды нет SYSTEM:

Powercfg -requestsoverride DRIVER "Realtek High Definition Audio (HDAUDIO\FUNC_01&VEN_10EC&DEV_0269&SUBSYS_17AA2204&REV_1002\4&d00657&0&0001)"

Мы пойдем другим путем

Вычисление процесса, использующего подсистему звука

Известно, что черными делами занимается драйвер Realtek. Очевидно, он загружается при старте системы, поэтому имя файла несложно выяснить с помощью Autoruns .

Три записи относятся к двум файлам, один из которых – панель управления, судя по имени. Поэтому объектом интереса стал ravbg64.exe .