-
-
[原创]彩蛋解密之物理内存读写到****的转变
-
发表于: 2019-8-19 04:18
-
通过查阅资料我们发现驱动层的代码不会出现在PML4T表的前0x80项中的,这样等于我们就有了0x80*(0x1000/8)*1G=65536G的空间是可以用来映射物理内存的
这里我们决定使用1G的大页面映射方式进行映射,我们的代码中只对前512G进行了映射,基本上现在内存没有超过这个大小的了。
https://github.com/zouxianyu/PhysicalMemoryRW
(别想了,这只是原料,反应需要自己实现的)
传送门:驱动层代码隐藏执行(有码)https://bbs.pediy.com/thread-253677.htm
在上次的文章结尾处我挖了个坑,这次给它填上。
令人挠头的操作:
首先放上一段在DriverEntry中让人看了挠头的操作
ContextVirtualToPhysical(&g_PhysicalOpCR3); ULONG64 Read1 = *(PULONG64)0x0; MyPrint(_TitleAndFunc "ReadTest1:%16IX\n", Read1); ContextPhysicalToVirtual(&g_PhysicalOpCR3);
啊,读空指针啊,这不明摆着蓝屏吗?
唉,咋没蓝屏,还读到东西了呢?
下面我们来windbg看一下
唉,有点东西是吧
咋实现的啊,我先去看看代码吧:
咋看不懂呢
使用windbg简单分析:
这有个cr3,看看是啥东西?
这一堆整整齐齐的都是啥玩意啊?
不管了直接!vtop看一看
我相信看到这里,对分页机制比较熟悉的大手子们就应该大概懂实现原理了
首先放上一段在DriverEntry中让人看了挠头的操作
ContextVirtualToPhysical(&g_PhysicalOpCR3); ULONG64 Read1 = *(PULONG64)0x0; MyPrint(_TitleAndFunc "ReadTest1:%16IX\n", Read1); ContextPhysicalToVirtual(&g_PhysicalOpCR3);
啊,读空指针啊,这不明摆着蓝屏吗?
ContextVirtualToPhysical(&g_PhysicalOpCR3); ULONG64 Read1 = *(PULONG64)0x0; MyPrint(_TitleAndFunc "ReadTest1:%16IX\n", Read1); ContextPhysicalToVirtual(&g_PhysicalOpCR3);
啊,读空指针啊,这不明摆着蓝屏吗?
唉,咋没蓝屏,还读到东西了呢?
下面我们来windbg看一下
唉,有点东西是吧
咋看不懂呢
这有个cr3,看看是啥东西?
这一堆整整齐齐的都是啥玩意啊?
不管了直接!vtop看一看
我相信看到这里,对分页机制比较熟悉的大手子们就应该大概懂实现原理了
首先需要熟悉分页机制,不懂的查阅intel手册和网上的一些文章进行学习。
下面贴出intel手册中对于分页使用规则的详细说明。
调用CreatePhysicalOpCR3BySystemCR3进行初始化
在其中分别依次调用pAllocPhysicalOpPageTableMemory、pMapSystemPML4T、pFillGeneratedPML4TandPDPT进行初始化,并填充结构
需要读取物理内存时调用ContextVirtualToPhysical、ContextPhysicalToVirtual进行环境切换
卸载时调用FreePhysicalOpCR3
在其中依次调用pUnmapSystemPML4T、pFreePhysicalOpPageTableMemory并清理结构
首先使用:CreatePhysicalOpCR3BySystemCR3
进行初始化工作,下面是这个函数的代码
NTSTATUS CreatePhysicalOpCR3BySystemCR3(ULONG64 SystemCR3, PPHYSICAL_OP_CR3 pPhysicalOpCR3)
{
//check the init state
if (g_IsPhysicalOpInit)
return STATUS_UNSUCCESSFUL;
//allocate page table memory and fill the structure
if (!NT_SUCCESS(pAllocPhysicalOpPageTableMemory(pPhysicalOpCR3)))
return STATUS_UNSUCCESSFUL;
//map pSystemPML4T to virtual address and fill the structure
if (!NT_SUCCESS(pMapSystemPML4T(SystemCR3, pPhysicalOpCR3)))
return STATUS_UNSUCCESSFUL;
//fill PML4T and PDPT page table
if (!NT_SUCCESS(pFillGeneratedPML4TandPDPT(pPhysicalOpCR3)))
return STATUS_UNSUCCESSFUL;
//generate new cr3 for reading the physical memory and add cr3 flag
ULONG64 SystemCR3Flag = GetCR3Flag(SystemCR3);
pPhysicalOpCR3->CR3Generated = (ULONG64)pPhysicalOpCR3->pAllocPA_PML4T | SystemCR3Flag;
//fill the structure part:CR3System
pPhysicalOpCR3->CR3System = SystemCR3;
//print structure
pPrintPhysicalOpStructure(pPhysicalOpCR3);
g_IsPhysicalOpInit = TRUE;
return STATUS_SUCCESS;
}
NTSTATUS CreatePhysicalOpCR3BySystemCR3(ULONG64 SystemCR3, PPHYSICAL_OP_CR3 pPhysicalOpCR3)
{
//check the init state
if (g_IsPhysicalOpInit)
return STATUS_UNSUCCESSFUL;
//allocate page table memory and fill the structure
if (!NT_SUCCESS(pAllocPhysicalOpPageTableMemory(pPhysicalOpCR3)))
return STATUS_UNSUCCESSFUL;
//map pSystemPML4T to virtual address and fill the structure
if (!NT_SUCCESS(pMapSystemPML4T(SystemCR3, pPhysicalOpCR3)))
return STATUS_UNSUCCESSFUL;
//fill PML4T and PDPT page table
if (!NT_SUCCESS(pFillGeneratedPML4TandPDPT(pPhysicalOpCR3)))
return STATUS_UNSUCCESSFUL;
//generate new cr3 for reading the physical memory and add cr3 flag
ULONG64 SystemCR3Flag = GetCR3Flag(SystemCR3);
pPhysicalOpCR3->CR3Generated = (ULONG64)pPhysicalOpCR3->pAllocPA_PML4T | SystemCR3Flag;
//fill the structure part:CR3System
pPhysicalOpCR3->CR3System = SystemCR3;
//print structure
pPrintPhysicalOpStructure(pPhysicalOpCR3);
g_IsPhysicalOpInit = TRUE;
return STATUS_SUCCESS;
}
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
最近帖子都那么活泼吗? 又get到一波表情包
|
|
|
|
|
|
|
|
|
是要做啥?没看懂 |
|
|
重点在结尾,没细说的那部分 |
|
|
刚才没细看,细看了一下,我评价一下,首先你这个帖子的确很少见,过程讲的也不错,但是没有太大的意义,如果只是用来研究的话,的确可以,因为系统本身的物理内存映射方法也不只有这一种,而且这种读写方式有弊端,如果分页内存换出,你的这个读写就毫无用处了,分页内存换回的机制是触发异常以后才会换回来,这个坑以前我就踩过,目前还真的没有解决方法
|
|
|
|
|
|
|
|
|
|
|
|
访问一下虚拟内存就回来了,但是这种方式读写的话做不到 |
|
|
|
|
|
没什么,就是隐藏执行的话使用两张pte表,就行。一个读写,一个执行。就是需要刷tbls,虚拟机好像不行,我不确定,特此求问 
|
|
|
stlb了解一下,现在的cpu微架构不支持这种分离了 |
|
|
|
hzqst
