[原创]win10 1909 逆向系列：（一. CR3无法被MmMapioSpace映射原理和绕过代码）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]win10 1909 逆向系列：（一. CR3无法被MmMapioSpace映射原理和绕过代码）

发表于: 2020-7-2 01:42 18863

[原创]win10 1909 逆向系列：（一. CR3无法被MmMapioSpace映射原理和绕过代码）

学技术打豆豆

2020-7-2 01:42

18863

一、CR3无法被MmMapioSpace映射原理和绕过代码）

二、反向计算windows内核内存布局及代码实现

三、通过任意物理帧判断是否是CR3和解密得到所属EPROCESS

四、探寻文件体系

五、win10内存分区浅析

六、内存区对象（SectionObject）----1.页面支撑的内存区

七、绕过PG，实现内核HOOK

八、0E号异常---1.主动触发页面支撑的内存区

九、

十、

先通过windbg 看几个图来认识一下CR3相同的地方：

1。先选择两个不同进程的CR3。

2。然后查看页帧数据库的CR3物理页的信息，得知不同进程的PteAddress是一样的【每个人数值可能不同，但这类数值比较特殊，后面会用来做比较】

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2021-4-6 16:55 被kanxue编辑，原因：

#系统底层 #调试逆向

收藏・75

免费・10

支持

打赏 + 2.00雪花

丶kk

打赏次数 1

雪花 + 2.00

丶kk

+2.00

2020/07/03

最新回复 (18)
TkBinary 雪币： 844 活跃值： (9816) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 210 关注私信	TkBinary 5 2 楼收藏研究的时候再看. 2020-7-2 09:08 0
实都雪币： 66 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 3 楼此处应该有掌声无私分享啊 2020-7-2 10:24 0
hhkqqs 雪币： 12315 活跃值： (5839) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 4 楼总结一下，通过修改MmPfnDatabase中MMPFN的PteAddress过MmMapIoSpace的地址判断 2020-7-2 10:28 1
fengyunabc 雪币： 3736 活跃值： (3867) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 5 楼感谢分享！ 2020-7-2 10:40 0
淡然他徒弟雪币： 6157 活跃值： (4907) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 6 楼 mark 2020-7-2 12:04 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 7 楼 mark 2020-7-2 13:22 0
Editor 雪币： 26588 活跃值： (63252) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 8 楼 mark，感谢分享！ 2020-7-2 13:41 0
青丝梦雪币： 1420 活跃值： (2151) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 143 粉丝 19 关注私信	青丝梦 1 9 楼牛逼 2020-7-2 14:24 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 10 楼 666 2020-7-3 08:49 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 11 楼 MMPFN PteAddress为啥是一样的 2020-7-3 09:25 0
niuzuoquan 雪币： 300 活跃值： (2452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 12 楼 mark 2020-7-4 23:18 0
lytywg 雪币： 668 活跃值： (1160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 13 楼 ZwCopyAll MMPFN PteAddress为啥是一样的应该是印度程序员人为设计的 2020-11-12 15:54 0
丿一叶知秋雪币： 919 活跃值： (1340) 能力值： ( LV2，RANK：15 ) 在线值：发帖 6 回帖 51 粉丝 2 关注私信	丿一叶知秋 14 楼 PteAddress 应该是在一个页面上 2020-11-27 17:31 0
lizhengqi 雪币： 166 活跃值： (380) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	lizhengqi 15 楼（1）0xffff89c4e2713898转换成二进制是1111111111111111 100010011 100010011 100010011 100010011 100010011000。100010011也就是PXE_SELFMAP_INDEX，转换成16进制是0x113。cr3的pte地址是由PXE_SELFMAP_INDEX计算出来的，所以每个进程的cr3的pte地址都相同。（2）MmMapIoSpace的这种过滤可能是为了防止自映射页面对应的物理页面被用户修改后用来读写任意内存。https://github.com/yuvatia/page-table-exploitation/blob/446ad61bcc0b4e6efa9d6f044cc5deac14e9aa1c/cve-2016-7255-pte/cve-2016-7255-pte/main.c 2021-4-8 22:46 2
smallzhong_ 雪币： 2916 活跃值： (5216) 能力值： ( LV4，RANK：55 ) 在线值：发帖 9 回帖 30 粉丝 129 关注私信	smallzhong_ 16 楼感谢！真的很有用！ 2022-1-27 15:54 0
jielongtang 雪币： 1 活跃值： (4446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 1 关注私信	jielongtang 17 楼为什么是 CR3*0x30，可以解惑一下么 2022-8-18 15:25 0
wx_lege 雪币： 0 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_lege 18 楼 jielongtang 为什么是 CR3*0x30，可以解惑一下么 2023-12-27 20:50 0
S极客雪币： 10 活跃值： (487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	S极客 19 楼佬门能解答一下:PteAddress：0xffff89c4e2713898 转成虚拟地址 ffff89c4e2713000,发现没，他在Pte范围之内，这就是他的判定的原理，在这个范围之内，则判定失败。这句话什么意思吗不是很明白谁和谁比较 2024-11-1 17:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

学技术打豆豆

发帖

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
TkBinary 雪币： 844 活跃值： (9816) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 210 关注私信	TkBinary 5 2 楼收藏研究的时候再看. 2020-7-2 09:08 0
实都雪币： 66 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 3 楼此处应该有掌声无私分享啊 2020-7-2 10:24 0
hhkqqs 雪币： 12315 活跃值： (5839) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 4 楼总结一下，通过修改MmPfnDatabase中MMPFN的PteAddress过MmMapIoSpace的地址判断 2020-7-2 10:28 1
fengyunabc 雪币： 3736 活跃值： (3867) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 5 楼感谢分享！ 2020-7-2 10:40 0
淡然他徒弟雪币： 6157 活跃值： (4907) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 6 楼 mark 2020-7-2 12:04 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 7 楼 mark 2020-7-2 13:22 0
Editor 雪币： 26588 活跃值： (63252) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 8 楼 mark，感谢分享！ 2020-7-2 13:41 0
青丝梦雪币： 1420 活跃值： (2151) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 143 粉丝 19 关注私信	青丝梦 1 9 楼牛逼 2020-7-2 14:24 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 10 楼 666 2020-7-3 08:49 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 11 楼 MMPFN PteAddress为啥是一样的 2020-7-3 09:25 0
niuzuoquan 雪币： 300 活跃值： (2452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 12 楼 mark 2020-7-4 23:18 0
lytywg 雪币： 668 活跃值： (1160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 13 楼 ZwCopyAll MMPFN PteAddress为啥是一样的应该是印度程序员人为设计的 2020-11-12 15:54 0
丿一叶知秋雪币： 919 活跃值： (1340) 能力值： ( LV2，RANK：15 ) 在线值：发帖 6 回帖 51 粉丝 2 关注私信	丿一叶知秋 14 楼 PteAddress 应该是在一个页面上 2020-11-27 17:31 0
lizhengqi 雪币： 166 活跃值： (380) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	lizhengqi 15 楼（1）0xffff89c4e2713898转换成二进制是1111111111111111 100010011 100010011 100010011 100010011 100010011000。100010011也就是PXE_SELFMAP_INDEX，转换成16进制是0x113。cr3的pte地址是由PXE_SELFMAP_INDEX计算出来的，所以每个进程的cr3的pte地址都相同。（2）MmMapIoSpace的这种过滤可能是为了防止自映射页面对应的物理页面被用户修改后用来读写任意内存。https://github.com/yuvatia/page-table-exploitation/blob/446ad61bcc0b4e6efa9d6f044cc5deac14e9aa1c/cve-2016-7255-pte/cve-2016-7255-pte/main.c 2021-4-8 22:46 2
smallzhong_ 雪币： 2916 活跃值： (5216) 能力值： ( LV4，RANK：55 ) 在线值：发帖 9 回帖 30 粉丝 129 关注私信	smallzhong_ 16 楼感谢！真的很有用！ 2022-1-27 15:54 0
jielongtang 雪币： 1 活跃值： (4446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 1 关注私信	jielongtang 17 楼为什么是 CR3*0x30，可以解惑一下么 2022-8-18 15:25 0
wx_lege 雪币： 0 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_lege 18 楼 jielongtang 为什么是 CR3*0x30，可以解惑一下么 2023-12-27 20:50 0
S极客雪币： 10 活跃值： (487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	S极客 19 楼佬门能解答一下:PteAddress：0xffff89c4e2713898 转成虚拟地址 ffff89c4e2713000,发现没，他在Pte范围之内，这就是他的判定的原理，在这个范围之内，则判定失败。这句话什么意思吗不是很明白谁和谁比较 2024-11-1 17:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复