[原创]逆向TesSafe.sys有感：鹅厂是如何定位随机化的PTE_BASE-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]逆向TesSafe.sys有感：鹅厂是如何定位随机化的PTE_BASE

发表于: 2019-9-4 12:02 25093

[原创]逆向TesSafe.sys有感：鹅厂是如何定位随机化的PTE_BASE

hzqst

2019-9-4 12:02

25093

众所周知windows 10 14316开始实现了页表随机化，之前WRK里给出的#define PTE_BASE 0xFFFFF68000000000h 不再有效

那么各路神仙是怎么定位新的PTE_BASE的呢？

著名国际友人tandasat是通过特征码定位的：

  // Get PTE_BASE from MmGetVirtualForPhysical
  const auto p_MmGetVirtualForPhysical =
      UtilGetSystemProcAddress(L"MmGetVirtualForPhysical");
  if (!p_MmGetVirtualForPhysical) {
    return STATUS_PROCEDURE_NOT_FOUND;
  }

  static const UCHAR kPatternWin10x64[] = {
      0x48, 0x8b, 0x04, 0xd0,  // mov     rax, [rax+rdx*8]
      0x48, 0xc1, 0xe0, 0x19,  // shl     rax, 19h
      0x48, 0xba,              // mov     rdx, ????????`????????  ; PTE_BASE
  };
  auto found = reinterpret_cast<ULONG_PTR>(
      UtilMemMem(p_MmGetVirtualForPhysical, 0x30, kPatternWin10x64,
                 sizeof(kPatternWin10x64)));
  if (!found) {
    return STATUS_PROCEDURE_NOT_FOUND;
  }

  found += sizeof(kPatternWin10x64);
  HYPERPLATFORM_LOG_DEBUG("Found a hard coded PTE_BASE at %016Ix", found);

  const auto pte_base = *reinterpret_cast<ULONG_PTR *>(found);
  const auto index = (pte_base >> kUtilpPxiShift) & kUtilpPxiMask;
  const auto pde_base = pte_base | (index << kUtilpPpiShift);
  const auto ppe_base = pde_base | (index << kUtilpPdiShift);
  const auto pxe_base = ppe_base | (index << kUtilpPtiShift);

  g_utilp_pxe_base = static_cast<ULONG_PTR>(pxe_base);
  g_utilp_ppe_base = static_cast<ULONG_PTR>(ppe_base);
  g_utilp_pde_base = static_cast<ULONG_PTR>(pde_base);
  g_utilp_pte_base = static_cast<ULONG_PTR>(pte_base);

  g_utilp_pxi_shift = kUtilpPxiShift;
  g_utilp_ppi_shift = kUtilpPpiShift;
  g_utilp_pdi_shift = kUtilpPdiShift;
  g_utilp_pti_shift = kUtilpPtiShift;

  g_utilp_pxi_mask = kUtilpPxiMask;
  g_utilp_ppi_mask = kUtilpPpiMask;
  g_utilp_pdi_mask = kUtilpPdiMask;
  g_utilp_pti_mask = kUtilpPtiMask;
  return status;

那么鹅厂是如何定位的呢？

国际惯例直接上伪代码

char __fastcall InitializePteBase(char a1)
{
  char v1; // bl
  PHYSICAL_ADDRESS pml4t; // rdi
  __int64 *pml4t_va; // r11
  int slot; // edx
  __int64 index; // rcx
  __int64 v6; // r8

  v1 = 0;
  if ( a1 )
  {
    pml4t.QuadPart = __readcr3();
    pml4t_va = (__int64 *)MmMapIoSpace(pml4t, 0x1000ui64, MmCached);
    if ( pml4t_va )
    {
      slot = 0;
      index = 0i64;
      while ( (pml4t_va[index] & 0xFFFFFFFFF000i64) != pml4t.QuadPart )
      {
        ++index;
        ++slot;
        if ( index >= 512 )
          goto LABEL_8;
      }
      v1 = 1;
      v6 = (slot + 0x1FFFE00i64) << 39;
      g_pte_base = (slot + 0x1FFFE00i64) << 39;
      g_pxe_selfmapping_index = slot;
      g_pde_base = v6 + ((__int64)slot << 30);
      g_ppe_base = v6 + ((__int64)slot << 30) + ((__int64)slot << 21);
      g_pxe_base = (void *)(g_ppe_base + ((__int64)slot << 12));
      g_pxe_end = (__int64)g_pxe_base + 4096;
      g_pte_end = v6 + 0x8000000000i64;
LABEL_8:
      MmUnmapIoSpace(pml4t_va, 0x1000ui64);
    }
  }
  else
  {
    g_pxe_selfmapping_index = 493i64;
    v1 = 1;
    g_pte_base = 0xFFFFF68000000000i64;
    g_pde_base = 0xFFFFF6FB40000000i64;
    g_ppe_base = 0xFFFFF6FB7DA00000i64;
    g_pxe_base = (void *)0xFFFFF6FB7DBED000i64;
    g_pxe_end = 0xFFFFF6FB7DBEE000i64;
    g_pte_end = 0xFFFFF70000000000i64;
  }
  return v1;
}

先以当前cr3为物理地址映射成虚拟地址，相当于访问cr3所指向的pml4t表

然后在这个[512]的表（数组）中找到一项指向当前cr3的

也就是所谓的页表自映射，这一项PML4E所指向的物理页page_frame_number代表它自己这个表

满足这样的映射关系的PML4E所代表的虚拟地址空间也就相当于页表本身，一共0x8000000000/8 (512/8=64GB)个PTE

我们先从无随机化的情况论证：

大家都知道x64的线性地址是分成9① 9② 9③ 9④ 12⑤ 五部分进行地址翻译的：①代表pml4e索引，②代表pdpte索引，③代表pde索引，④代表pte索引，⑤代表页内偏移

无随机化的情况下第[493]项pml4e指向cr3，第[493]项pml4e是111101101（9位），左移39位让其变为第39~47位代表pml4e索引并补齐48~63位FFFF000000000000（保留位）

就是这样

刚好就是PTE_BASE

那么只要找到指向当前cr3的pml4e index，将其左移39位并补上FFFF000000000000就得到了PTE_BASE

也就是代码中的 g_pte_base = (slot + 0x1FFFE00i64) << 39;（注意） 0x1FFFE00i64左移39位就是 FFFF000000000000

计算PDE_BASE也只需要将这个能够自映射的index左移30位让其变为30~38位代表pdpte索引，再加上PTE_BASE就等于PDE_BASE了

也就是

g_pde_base = g_pte_base + ((__int64)slot << 30);

PPE_BASE和PXE_BASE同理

注意有一点：win10 1803之后MmMapIoSpace不再允许映射页表相关的物理地址，因此只能用MmGetVirtualForPhysical代替，或者自己实现映射物理地址（方法很多）

[课程]Android-CTF解题方法汇总！

最后于 2019-9-4 12:02 被hzqst编辑，原因：

收藏・114

免费・19

支持

打赏 + 5.00雪花

毕达哥拉斯

打赏次数 1

雪花 + 5.00

毕达哥拉斯

+5.00

2019/09/05

最新回复 (47) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼牛批嗷表哥 2019-9-4 12:04 0
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 3 楼表哥牛批嗷 2019-9-4 12:05 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 4 楼继续安排他，表哥牛逼 2019-9-4 12:07 0
万剑归宗雪币： 914 活跃值： (2298) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼沙发 2019-9-4 12:14 0
hhkqqs 雪币： 12009 活跃值： (5584) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 6 楼如果从MiIsAddressValid搜也能搜到PTE_BASE吧？还有就是内核是在加载后修改MiIsAddressValid的立即数还是加载前就改好了呢？ 2019-9-4 12:32 0
qdjytony 雪币： 665 活跃值： (1046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 8 楼 2019-9-4 13:46 0
如斯咩咩咩雪币： 4709 活跃值： (1565) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 9 楼还得安排他，大表哥流批 2019-9-4 13:46 1
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 10 楼试了下，可以用，牛批最后于 2019-9-4 15:24 被xiaofu编辑，原因： 2019-9-4 13:53 0
cheating 雪币： 46 活跃值： (1700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 11 楼 hhkqqs 如果从MiIsAddressValid搜也能搜到PTE_BASE吧？还有就是内核是在加载后修改MiIsAddressValid的立即数还是加载前就改好了呢？我也表示你的好奇 2019-9-4 14:14 0
dx苹果的心愿雪币： 952 活跃值： (3656) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 60 粉丝 6 关注私信	dx苹果的心愿 1 12 楼表哥牛批嗷 2019-9-4 15:26 0
hzqst 雪币： 12848 活跃值： (9118) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 13 楼 hhkqqs 如果从MiIsAddressValid搜也能搜到PTE_BASE吧？还有就是内核是在加载后修改MiIsAddressValid的立即数还是加载前就改好了呢？特征码搜索的话万一微软的咖喱味程序员改一改代码说不定就搜不到了 2019-9-4 15:58 0
ASlien 雪币： 262 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ASlien 14 楼厉害啊... 2019-9-4 16:58 0
hhkqqs 雪币： 12009 活跃值： (5584) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 15 楼 hzqst 特征码搜索的话万一微软的咖喱味程序员改一改代码说不定就搜不到了不用硬编码确实是最好的选择，但是很多时候避免不了，不然那些驱动也不会每次出新系统就更新一次了 2019-9-4 17:03 0
boursonjane 雪币： 2460 活跃值： (2954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 181 粉丝 13 关注私信	boursonjane 16 楼大神啊 2019-9-4 17:38 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 17 楼表哥出手鹅厂失眠 2019-9-4 18:08 0
小迪xiaodi 雪币： 5836 活跃值： (1893) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 162 粉丝 188 关注私信	小迪xiaodi 1 18 楼表哥牛逼 2019-9-4 18:32 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 19 楼表哥牛逼 1803真蛋疼好多神器都不能用了最后于 2019-9-4 22:34 被养乐多A编辑，原因： 2019-9-4 22:32 0
fengyunabc 雪币： 3700 活跃值： (3817) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 523 粉丝 26 关注私信	fengyunabc 1 20 楼其实不管PXE_BASE是多少，只需要按照9-9-9-9-12划分，高位的每9bit的值一样，满足这样要求的值就可以做PXE_BASE。PPE_BASE和PDE_BASE以此类推。最后于 2019-9-4 23:06 被fengyunabc编辑，原因：打错字目 2019-9-4 22:59 2
Tennn 雪币： 1176 活跃值： (1249) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 21 楼支持支持 2019-9-5 00:06 0
wbaby1988 雪币： 890 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wbaby1988 22 楼不是一个导出函数直接可以获取么 KeCapturePersistentThreadState 2019-9-5 07:59 1
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 23 楼牛批嗷表哥 2019-9-6 14:12 0
黑洛雪币： 6124 活跃值： (4486) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 24 楼牛批牛批 2019-9-19 04:20 0
GodSurvive 雪币： 1686 活跃值： (183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 3 关注私信	GodSurvive 25 楼安排上了 2019-9-19 09:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼牛批嗷表哥 2019-9-4 12:04 0
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 3 楼表哥牛批嗷 2019-9-4 12:05 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 4 楼继续安排他，表哥牛逼 2019-9-4 12:07 0
万剑归宗雪币： 914 活跃值： (2298) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼沙发 2019-9-4 12:14 0
hhkqqs 雪币： 12009 活跃值： (5584) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 6 楼如果从MiIsAddressValid搜也能搜到PTE_BASE吧？还有就是内核是在加载后修改MiIsAddressValid的立即数还是加载前就改好了呢？ 2019-9-4 12:32 0
qdjytony 雪币： 665 活跃值： (1046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 8 楼 2019-9-4 13:46 0
如斯咩咩咩雪币： 4709 活跃值： (1565) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 9 楼还得安排他，大表哥流批 2019-9-4 13:46 1
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 10 楼试了下，可以用，牛批最后于 2019-9-4 15:24 被xiaofu编辑，原因： 2019-9-4 13:53 0
cheating 雪币： 46 活跃值： (1700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 11 楼 hhkqqs 如果从MiIsAddressValid搜也能搜到PTE_BASE吧？还有就是内核是在加载后修改MiIsAddressValid的立即数还是加载前就改好了呢？我也表示你的好奇 2019-9-4 14:14 0
dx苹果的心愿雪币： 952 活跃值： (3656) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 60 粉丝 6 关注私信	dx苹果的心愿 1 12 楼表哥牛批嗷 2019-9-4 15:26 0
hzqst 雪币： 12848 活跃值： (9118) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 13 楼 hhkqqs 如果从MiIsAddressValid搜也能搜到PTE_BASE吧？还有就是内核是在加载后修改MiIsAddressValid的立即数还是加载前就改好了呢？特征码搜索的话万一微软的咖喱味程序员改一改代码说不定就搜不到了 2019-9-4 15:58 0
ASlien 雪币： 262 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ASlien 14 楼厉害啊... 2019-9-4 16:58 0
hhkqqs 雪币： 12009 活跃值： (5584) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 15 楼 hzqst 特征码搜索的话万一微软的咖喱味程序员改一改代码说不定就搜不到了不用硬编码确实是最好的选择，但是很多时候避免不了，不然那些驱动也不会每次出新系统就更新一次了 2019-9-4 17:03 0
boursonjane 雪币： 2460 活跃值： (2954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 181 粉丝 13 关注私信	boursonjane 16 楼大神啊 2019-9-4 17:38 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 17 楼表哥出手鹅厂失眠 2019-9-4 18:08 0
小迪xiaodi 雪币： 5836 活跃值： (1893) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 162 粉丝 188 关注私信	小迪xiaodi 1 18 楼表哥牛逼 2019-9-4 18:32 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 19 楼表哥牛逼 1803真蛋疼好多神器都不能用了最后于 2019-9-4 22:34 被养乐多A编辑，原因： 2019-9-4 22:32 0
fengyunabc 雪币： 3700 活跃值： (3817) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 523 粉丝 26 关注私信	fengyunabc 1 20 楼其实不管PXE_BASE是多少，只需要按照9-9-9-9-12划分，高位的每9bit的值一样，满足这样要求的值就可以做PXE_BASE。PPE_BASE和PDE_BASE以此类推。最后于 2019-9-4 23:06 被fengyunabc编辑，原因：打错字目 2019-9-4 22:59 2
Tennn 雪币： 1176 活跃值： (1249) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 21 楼支持支持 2019-9-5 00:06 0
wbaby1988 雪币： 890 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wbaby1988 22 楼不是一个导出函数直接可以获取么 KeCapturePersistentThreadState 2019-9-5 07:59 1
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 23 楼牛批嗷表哥 2019-9-6 14:12 0
黑洛雪币： 6124 活跃值： (4486) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 24 楼牛批牛批 2019-9-19 04:20 0
GodSurvive 雪币： 1686 活跃值： (183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 3 关注私信	GodSurvive 25 楼安排上了 2019-9-19 09:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复