AntiAccessChk v1.10 について3GBオブション指定時に即死するという指摘を受けたので、対応した際の覚書。まずは v1.10時点のメモリパッチの実装部分。

// フック解除
bool UnHook() const
{
  if (this->IsValid() == false || this->IsHooked() == false) return false;
  SERIALIZE_CODE(false);

  // フック解除
  __asm CLI
  RtlCopyMemory(this->oldRoutineAddr, this->trampolineAddr, this->originalCodeSize);
  __asm STI
  __asm WBINVD
  return true;
}

要するにプロセッサの割り込みを禁止して書き込みしているだけ（余談だけど、この割り込み禁止は別CPUには反映されないため、必ず他CPUとの競合を避ける必要がある）。ゆえに対象アドレスが書込み禁止属性になっていたりすると青画面（Bug Check 0xBE: ATTEMPTED_WRITE_TO_READONLY_MEMORY）が発生する。

詳しい理屈は知らないが、3GBオプション時は同じシンボルでも属性が変化するらしく、3GBのときだけ青画面になっていた、というわけ。そこでMDLを変更することでこの問題を解決できる。

//...
  // MDLの情報を更新
  MDL* mdl = MmCreateMdl(NULL, this->oldRoutineAddr, this->originalCodeSize);
  if (!mdl) return false;
  MmBuildMdlForNonPagedPool(mdl);
  mdl->MdlFlags = mdl->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
  void* address = MmMapLockedPages(mdl, KernelMode);

  // フック解除
  __asm CLI
  RtlCopyMemory(address, this->trampolineAddr, this->originalCodeSize);
  __asm STI
  __asm WBINVD

  MmUnmapLockedPages(address, mdl);
  IoFreeMdl(mdl);
  return true;
}

できると思ったんだけど、なぜか2000では同じように青画面に行ってしまう。なぜだ。しょうがないので、さらにdirtyな方法を使ってみる。

// リアルモード（保護なし）への移行
inline void enter_real_mode()
{
  _asm
  {
    CLI
    MOV EAX,  CR0
    AND EAX,  NOT 10000H
    MOV CR0,  EAX
  }
}


// プロテクトモード（通常）への移行
inline void enter_protect_mode()
{
  _asm
  {
    MOV EAX,  CR0
    OR  EAX,  10000H
    MOV CR0,  EAX
    STI
  }
}

//...
  // フック解除
  enter_real_mode();
  RtlCopyMemory(this->oldRoutineAddr, this->trampolineAddr, this->originalCodeSize);
  enter_protect_mode();

  return true;
}

これは CR0 Trick と呼ばれるもので、一時的にCPUの書き込み保護機能を無効にする働きがある。とりあえずはこれで解決したように思われる。勉強になりました。