从远程共享进行分页

Question

假设我有一个在 Windows XP 上运行的应用程序，该应用程序是从映射的网络驱动器“启动”的。 当执行此应用程序触发页面错误并且需要从磁盘读取代码页时，假设它不在页面文件中，Windows 是否会前往映射的网络共享以从磁盘读取必要的代码页，或者将它在第一次执行时会在本地复制一份吗？ 我意识到存在不同类型的页面错误，但我特别询问必须从磁盘上的文件读取代码的情况。 在这种情况下，由于应用程序的映像存在于远程共享上，我假设页面错误处理程序必须转到网络共享来检索代码页。 它是否正确？

我有一个以这种方式运行的应用程序，它似乎定期“挂起”系统，但系统会在短时间内（有时仅几秒钟，有时 10-15 分钟）后变得响应。 该系统还安装了许多 A/V 和 DLP 产品，因此还安装了多个 TDI 筛选器驱动程序和文件系统筛选器驱动程序，这些驱动程序似乎会增加处理页面错误的延迟，尤其是在必须从进程调入代码的情况下存在于远程共享上的图像。

我一直在阅读Windows Internals，它讨论了页面错误处理，但在处理远程映射驱动器时我没有看到任何提及这种情况的内容。 我假设它必须进入网络共享来检索必要的代码页，但我只是想确保我是对的。 如果有人有任何其他推荐读物，我很想听听。 我目前已经在有问题的系统上附加了一个内核调试器，这样我就可以实时捕获它，但是，当然，由于我已经附加了内核调试器并且它已经运行了 2 天，所以我还没有看到问题再次发生。

Answer 1

我不确定这个问题是否正确。

Windows 是否会转到映射的网络共享以从中读取必要的代码页
磁盘还是第一次执行时会在本地复制它？”

所有代码都必须在本地内存中才能执行。网络映射驱动器上的页面错误将导致网络 I/O 获取适当的页面，这将是加载到本地内存中然后使用。

在这种情况下，由于应用程序的映像存在于远程共享上，我假设
页面错误处理程序必须访问网络共享来检索代码页。 这是
对吗？”

是的。页面错误处理程序不知道驱动器是网络映射的。它将发出文件系统 IRP。网络映射驱动程序将拦截该信息并将其转换为网络 IRP。因此页面错误处理程序是只是做正常的事情；它不知道你在后台做巫术。

我有一个以这种方式运行的应用程序，并且它似乎定期“挂起”
系统，但系统有时会在短时间后变得响应
只需几秒钟，在其他情况下需要 10-15 分钟。 这个系统还有很多A/V
和安装在其上的 DLP 产品，以及多个 TDI 过滤器驱动程序和文件系统
过滤器驱动程序似乎会增加处理页面错误的延迟
特别是如果代码必须从远程存在的进程映像调入
分享。

嗯，有了这么多内核黑客攻击的东西，我的第一个想法是你的 Windows 安装只是被破坏了。 A/V 的东西对 Windows 来说是毒药，你似乎有大量的东西被塞进了内核 - 你是在自找麻烦，而且似乎麻烦已经来了。

最有可能的是最简单的解释； 考虑到这里存在的恶意软件数量，Windows 很可能只是被破坏了。 您不需要更深入的技术解释！