[原创]逆向TesSafe.sys有感：鹅厂是如何定位随机化的PTE_BASE-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]逆向TesSafe.sys有感：鹅厂是如何定位随机化的PTE_BASE

发表于: 2019-9-4 12:02 25095

[原创]逆向TesSafe.sys有感：鹅厂是如何定位随机化的PTE_BASE

hzqst

2019-9-4 12:02

25095

查看主题内容

收藏・114

免费・19

支持

打赏 + 5.00雪花

毕达哥拉斯

打赏次数 1

雪花 + 5.00

毕达哥拉斯

+5.00

2019/09/05

最新回复 (47) ◀ 1 2
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 26 楼表哥牛批嗷 2019-9-23 11:50 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 27 楼 xiaofu 试了下，可以用，牛批什么编辑器啊还能有表情 2019-9-23 11:50 0
cslime 雪币： 3129 活跃值： (3663) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 99 关注私信	cslime 2 28 楼枚举PXE索引获取ptebase PVOID64 KGetPteBase_SEH() { ULONG64 Cr3 = MmiGetCr3();; ULONG64 Result = 0; for (int i = 0; i < 512; ++i) { ULONG64 Page_Table = MmiMakeVirtualAddress_PXE(i); MmiSetPteBase(Page_Table); PULONG64 pxe_va = MmiGetPxeAddress(0); ULONG64 Entry = 0; //Entry = pxe_va[i]; //Sleep(100); if (!MmIsAddressValid(pxe_va))continue; if (!MmiSafeMemcpy(&Entry, &pxe_va[i], 8))continue; if (MmiEntryToAddress(Entry) == Cr3) { Result = Page_Table; break; } } MmiClearPteBase(); return Result; } 最后于 2019-10-27 21:33 被cslime编辑，原因：枚举PXE索引 2019-10-27 21:32 1
淡然他徒弟雪币： 6058 活跃值： (4737) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 218 粉丝 103 关注私信	淡然他徒弟 1 29 楼 mark 2019-11-2 01:05 0
零距离z 雪币： 174 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	零距离z 30 楼大表哥牛逼 2019-11-16 03:30 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 31 楼表哥出手鹅厂失眠 2019-11-19 12:01 0
yueyetu 雪币： 184 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	yueyetu 32 楼不懂明文包怎么搜，有现成的特征吗大佬 2019-11-25 17:21 0
Oday小斯雪币： 1134 活跃值： (2501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 139 粉丝 3 关注私信	Oday小斯 33 楼大佬牛皮，学习思路 2019-11-25 18:02 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 35 楼 ULONG64 HvFindPTE() { // Get PTE_BASE from MmGetVirtualForPhysical UNICODE_STRING ApiName = {0}; RtlInitUnicodeString(&ApiName, L"MmGetVirtualForPhysical"); PVOID p_MmGetVirtualForPhysical = MmGetSystemRoutineAddress(&ApiName); if (!p_MmGetVirtualForPhysical) { return; } static const UCHAR kPatternWin10x64[] = { 0x48, 0x8b, 0x04, 0xd0, // mov rax, [rax+rdx8] 0x48, 0xc1, 0xe0, 0x19, // shl rax, 19h 0x48, 0xba, // mov rdx, ????????`???????? ; PTE_BASE }; __try { for (ULONG i = 0; i < 255; i++) { //文雅而不失响亮 if (RtlCompareMemory(p_MmGetVirtualForPhysical, kPatternWin10x64,10) == 10) { HvUtilLogDebug("ok %d \n",i); (ULONG64)p_MmGetVirtualForPhysical = (PLONG64)((ULONG64)p_MmGetVirtualForPhysical + 10); return (ULONG64)(p_MmGetVirtualForPhysical); } (ULONG64)p_MmGetVirtualForPhysical = (ULONG64)p_MmGetVirtualForPhysical + 1; } } __except (1) { HvUtilLogDebug("Find err"); } } 2020-1-30 12:34 0
伤心猪大肠雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	伤心猪大肠 36 楼老哥您能否写个LOLff 或者可以加一下大佬的联系方式吗 2020-3-13 14:09 0
mb_ejafpthl 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_ejafpthl 37 楼大佬能否留个联系方式交流下 2020-3-14 21:31 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 38 楼路过留个mark 2020-3-14 22:25 0
weixiaozi 雪币： 4259 活跃值： (2938) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	weixiaozi 39 楼路过留个mark 2020-3-16 02:09 0
青丝梦雪币： 1391 活跃值： (1909) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 140 粉丝 19 关注私信	青丝梦 1 40 楼周壑的那个方法是真的野，我都不知道他是怎么想到的。 2020-4-11 00:13 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 42 楼 xiaofu 试了下，可以用，牛批我算出来的结果跟你一样，为啥我PTE BASE里没有物理页呢大佬 2020-5-10 16:12 0
yirucandy 雪币： 6401 活跃值： (2222) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 99 关注私信	yirucandy 6 43 楼测试了win10 1803已经没有页表自映射了。 2020-6-18 17:29 0
Crimilals 雪币： 41 活跃值： (86) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Crimilals 44 楼 yirucandy 测试了win10 1803已经没有页表自映射了。 1803这不还是自映射嘛 2020-6-18 18:51 0
yirucandy 雪币： 6401 活跃值： (2222) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 99 关注私信	yirucandy 6 45 楼原来是__readcr3()取出来末尾有个标记位，要置0再比较，跟操作系统版本没关系。可以看https://bbs.pediy.com/thread-260177.htm这篇帖子。最后于 2020-6-19 08:27 被yirucandy编辑，原因： 2020-6-19 08:26 0
hhkqqs 雪币： 12009 活跃值： (5584) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 46 楼 wbaby1988 不是一个导出函数直接可以获取么 KeCapturePersistentThreadState 吐槽一下，这函数兼容性其实不咋地，首先PTEBASE在正式版本中是14393之后才加入KdDebuggerDataBlock，其次14393及之后ForceDumpDisabled这个全局变量能决定这个函数是否拷贝KdDebuggerDataBlock，ForceDumpDisabled是由注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl”有关项控制的，只有开机时的IoInitSystem流程才会修改它。要保证KeCapturePersistentThreadState在所有机子上成功执行，必须先定位ForceDumpDisabled并强制给它设为1 2020-9-28 16:39 0
SSH山水画雪币： 1465 活跃值： (14637) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 372 关注私信	SSH山水画 3 47 楼表哥牛逼奥 2021-6-6 23:30 0
lookzo 雪币： 6 活跃值： (1104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 48 楼小伙子很厉害哦 2021-6-7 08:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) ◀ 1 2
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 26 楼表哥牛批嗷 2019-9-23 11:50 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 27 楼 xiaofu 试了下，可以用，牛批什么编辑器啊还能有表情 2019-9-23 11:50 0
cslime 雪币： 3129 活跃值： (3663) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 99 关注私信	cslime 2 28 楼枚举PXE索引获取ptebase PVOID64 KGetPteBase_SEH() { ULONG64 Cr3 = MmiGetCr3();; ULONG64 Result = 0; for (int i = 0; i < 512; ++i) { ULONG64 Page_Table = MmiMakeVirtualAddress_PXE(i); MmiSetPteBase(Page_Table); PULONG64 pxe_va = MmiGetPxeAddress(0); ULONG64 Entry = 0; //Entry = pxe_va[i]; //Sleep(100); if (!MmIsAddressValid(pxe_va))continue; if (!MmiSafeMemcpy(&Entry, &pxe_va[i], 8))continue; if (MmiEntryToAddress(Entry) == Cr3) { Result = Page_Table; break; } } MmiClearPteBase(); return Result; } 最后于 2019-10-27 21:33 被cslime编辑，原因：枚举PXE索引 2019-10-27 21:32 1
淡然他徒弟雪币： 6058 活跃值： (4737) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 218 粉丝 103 关注私信	淡然他徒弟 1 29 楼 mark 2019-11-2 01:05 0
零距离z 雪币： 174 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	零距离z 30 楼大表哥牛逼 2019-11-16 03:30 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 31 楼表哥出手鹅厂失眠 2019-11-19 12:01 0
yueyetu 雪币： 184 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	yueyetu 32 楼不懂明文包怎么搜，有现成的特征吗大佬 2019-11-25 17:21 0
Oday小斯雪币： 1134 活跃值： (2501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 139 粉丝 3 关注私信	Oday小斯 33 楼大佬牛皮，学习思路 2019-11-25 18:02 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 35 楼 ULONG64 HvFindPTE() { // Get PTE_BASE from MmGetVirtualForPhysical UNICODE_STRING ApiName = {0}; RtlInitUnicodeString(&ApiName, L"MmGetVirtualForPhysical"); PVOID p_MmGetVirtualForPhysical = MmGetSystemRoutineAddress(&ApiName); if (!p_MmGetVirtualForPhysical) { return; } static const UCHAR kPatternWin10x64[] = { 0x48, 0x8b, 0x04, 0xd0, // mov rax, [rax+rdx8] 0x48, 0xc1, 0xe0, 0x19, // shl rax, 19h 0x48, 0xba, // mov rdx, ????????`???????? ; PTE_BASE }; __try { for (ULONG i = 0; i < 255; i++) { //文雅而不失响亮 if (RtlCompareMemory(p_MmGetVirtualForPhysical, kPatternWin10x64,10) == 10) { HvUtilLogDebug("ok %d \n",i); (ULONG64)p_MmGetVirtualForPhysical = (PLONG64)((ULONG64)p_MmGetVirtualForPhysical + 10); return (ULONG64)(p_MmGetVirtualForPhysical); } (ULONG64)p_MmGetVirtualForPhysical = (ULONG64)p_MmGetVirtualForPhysical + 1; } } __except (1) { HvUtilLogDebug("Find err"); } } 2020-1-30 12:34 0
伤心猪大肠雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	伤心猪大肠 36 楼老哥您能否写个LOLff 或者可以加一下大佬的联系方式吗 2020-3-13 14:09 0
mb_ejafpthl 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_ejafpthl 37 楼大佬能否留个联系方式交流下 2020-3-14 21:31 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 38 楼路过留个mark 2020-3-14 22:25 0
weixiaozi 雪币： 4259 活跃值： (2938) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	weixiaozi 39 楼路过留个mark 2020-3-16 02:09 0
青丝梦雪币： 1391 活跃值： (1909) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 140 粉丝 19 关注私信	青丝梦 1 40 楼周壑的那个方法是真的野，我都不知道他是怎么想到的。 2020-4-11 00:13 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 42 楼 xiaofu 试了下，可以用，牛批我算出来的结果跟你一样，为啥我PTE BASE里没有物理页呢大佬 2020-5-10 16:12 0
yirucandy 雪币： 6401 活跃值： (2222) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 99 关注私信	yirucandy 6 43 楼测试了win10 1803已经没有页表自映射了。 2020-6-18 17:29 0
Crimilals 雪币： 41 活跃值： (86) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Crimilals 44 楼 yirucandy 测试了win10 1803已经没有页表自映射了。 1803这不还是自映射嘛 2020-6-18 18:51 0
yirucandy 雪币： 6401 活跃值： (2222) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 99 关注私信	yirucandy 6 45 楼原来是__readcr3()取出来末尾有个标记位，要置0再比较，跟操作系统版本没关系。可以看https://bbs.pediy.com/thread-260177.htm这篇帖子。最后于 2020-6-19 08:27 被yirucandy编辑，原因： 2020-6-19 08:26 0
hhkqqs 雪币： 12009 活跃值： (5584) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 46 楼 wbaby1988 不是一个导出函数直接可以获取么 KeCapturePersistentThreadState 吐槽一下，这函数兼容性其实不咋地，首先PTEBASE在正式版本中是14393之后才加入KdDebuggerDataBlock，其次14393及之后ForceDumpDisabled这个全局变量能决定这个函数是否拷贝KdDebuggerDataBlock，ForceDumpDisabled是由注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl”有关项控制的，只有开机时的IoInitSystem流程才会修改它。要保证KeCapturePersistentThreadState在所有机子上成功执行，必须先定位ForceDumpDisabled并强制给它设为1 2020-9-28 16:39 0
SSH山水画雪币： 1465 活跃值： (14637) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 372 关注私信	SSH山水画 3 47 楼表哥牛逼奥 2021-6-6 23:30 0
lookzo 雪币： 6 活跃值： (1104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 48 楼小伙子很厉害哦 2021-6-7 08:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复