【驱动开发】内存管理3--检查内存可用性，结构化异常处理 和 ASSERT

1. 检查内存可用性

在驱动程序开发中，对内存的操作要格外小心。如果某段内存是只读的，而驱动程序试图去写操作，会导致系统的崩溃。

DDK提供了两个函数，帮助程序员在不知道某段内存是否可读写的情况下，试探这段内存的可读写性。

VOID
ProbeForRead(
IN CONST VOID *Address,
IN SIZE_T Length,
IN ULONG Alignment
);

VOID
ProbeForWrite(
IN CONST VOID *Address,
IN SIZE_T Length,
IN ULONG Alignment
);

这两个函数不是返回该段内存是否可读写，而是当不可读写的时候，引发一个异常。





2. 结构化异常处理



（1） try-except块

__try

{

// guarded code

}

__except ( expression )

{

// exception handler code

}



其中expression 有三种可能，如下：

EXCEPTION_EXECUTE_HANDLER (1) ：进入到__except进行错误处理，处理完后不再回到__try块中，转而继续执行。

EXCEPTION_CONTINUE_SEARCH (0) ：不使用__except块中的异常处理，转而向上一层回卷。如果已经是最外层，则向操作系统请求异常处理函数。

EXCEPTION_CONTINUE_EXECUTION (–1) ：重复先前错误的指令，这个在驱动程序中很少用到。



回卷：程序执行到某个地方出现异常错误时，系统会寻找出错点是否处于 一个try{}块中，并进入try块所对应的异常处理代码。如果当前try块没有提供异常处理，则会向更外一层的try块，寻找异常处理代码。直到最外层try块也没有提供异常处理代码，则交由操作系统处理。



（2） try-finally块



__try {

// guarded code

}

__finally {

// termination code

}

利用try-finally块，强迫函数在退出前执行一段代码。在try块中，无论运行什么代码（即使是return语句或者触发异常），在程序退出前都会运行finally块中的代码。这样的目的是让程序在退出前运行一些资源回收的工作，而资源回收代码的最佳位置就是放在这个块中。

例如：

原本的代码：

NTSTATUS test（）

{

NT_STATUS status = STATUS_SUCCESS;

status = Foo1(…);

if(!NT_SUCCESS(status))

{

//回收资源；

//return status；

}



status = Foo2(…);

if(!NT_SUCCESS(status))

{

//回收资源；

//return status；

}



status = FooN(…);

if(!NT_SUCCESS(status))

{

//回收资源；

//return status；

}

}



利用try-finally后的代码：

NTSTATUS test（）

{

NT_STATUS status = STATUS_SUCCESS;

__try

{

status = Foo1(…);

if(!NT_SUCCESS(status))

{

//return status；

}



status = Foo2(…);

if(!NT_SUCCESS(status))

{

//return status；

}



status = FooN(…);

if(!NT_SUCCESS(status))

{

//return status；

}

}

__finally

{

if(!NT_SUCCESS(status)

{

//统一回收资源

}

return status;

}

}





3. 断言

在驱动程序中，使用“断言”，一般是通过ASSERT宏。例如：

NTSTATUS Foo(PCHAR* str)

{

ASSERT(str!=NULL); //断言

//对str的操作。

}

这段代码认为输入绝不可能是空指针，因此在函数的开头做了一个断言。一旦断言失败，会引发 一个异常，并终止程序。



例如：

用C语言的知识解释如下：

assert( <expression> );

当expression结果为“假”时，会在stderr中输出这条语句所在的文件名和行号，以及这条表达式。这只在调试版本中起作用，在Release版本中不会产生任何代码。
通常当我们使用assert时，都在强烈说明一个含义：在这里必然如此。它通常用于一个函数的先验条件和后验条件的检查。比如我写一个C风格复制字符串的函数，并且认为调用者不应该传入NULL指针：

char * clone_string(const char * source)
{
char * result;
assert(source != NULL);
result = (char *)malloc(strlen(source) + 1);
if (result != NULL)
{
strcpy(result, source);
assert(strcmp(result, source) == 0);
}
return result;
}
注意到我对source是否为NULL是用assert检查的，但对result是不是为NULL是用if语句判断的，这是因为在调用代码正确的情况下source必然不为NULL，如果断言失败，说明调用代码中有错误，需要修改；但result作为malloc的返回值则不一定，在malloc代码无误的情况下仍然可能返回NULL——当内存块不足时。最后又用assert对strcpy的结果进行检查，因为只要代码正确，无论什么情况strcpy应该正常完成复制，它没有malloc那种异常情况存在。