[原创] 软解页表实现远程内存访问，可避免 mincore 检测。-Android安全-看雪安全社区

[原创] 软解页表实现远程内存访问，可避免 mincore 检测。

发表于: 2023-5-8 20:02 13219

[原创] 软解页表实现远程内存访问，可避免 mincore 检测。

vrolife

2023-5-8 20:02

13219

背景

众所周知 Linux 内核远程进程内存访问可通过 process_vm_readv 和 process_vm_writev 来进行。但是调用这两个 syscall 来实现远程进程访问的花，会被目标检测到。原理是通过是否内存缺页来判断特定内存是否被访问过，检测内存是否缺页可通过 mincore 来实现。

绕过这个检测的方法有两个，一个是通过查询页表的方式绕过缺页的地址，二是通过软件解析页表得到物理地址再实现内存访问。因为第一个方法不实用，所以这里不作介绍。

原理

以 39 BIT ARM64 平台的 Linux 为例，这种配置的 Linux 内核使用3级页表。通过三级页表可以将虚拟地址转换为物理地址。
分别是 PGD PMD PTE 也就是下图中 L1 到 L3。每一个 64 BIT 的地址都可以按照下图分解出每一级页标的索引，进而查询到地址所在的页面和在页面中的偏移量。

+--------+--------+--------+--------+--------+--------+--------+--------+
|63    56|55    48|47    40|39    32|31    24|23    16|15     8|7      0|
+--------+--------+--------+--------+--------+--------+--------+--------+
 |                 |         |         |         |         |
 |                 |         |         |         |         v
 |                 |         |         |         |   [11:0]  in-page offset
 |                 |         |         |         +-> [20:12] L3 index
 |                 |         |         +-----------> [29:21] L2 index
 |                 |         +---------------------> [38:30] L1 index
 |                 +-------------------------------> [47:39] L0 index
 +-------------------------------------------------> [63] TTBR0/1

实现

在 Linux 内核中有一系列的宏和函数可用于虚拟地址到物理地址的转换。以下是提取自 39 BIT ARM64 Linux 内核的相关宏。

// 48bit
#define PHYS_MASK 0x3FFFFFF000Ul
 
// 39bit
#define PAGE_OFFSET 0xffffffc000000000
 
#define __paddr_to_vaddr(pa) ((unsigned long)((pa) - PHYS_OFFSET) | PAGE_OFFSET)
 
#define __page_paddr(entry) (PHYS_MASK & entry)
 
#define __pgd_index(addr) (((addr) >> 30) & 0x1FF)
#define __pgd_offset(pgd, addr) ((pgd) + __pgd_index(addr))
 
#define __pmd_index(addr) (((addr) >> 21) & 0x1FF)
#define __pmd_offset(dir, addr) ((pt_entry_t*)__paddr_to_vaddr(__page_paddr(*(dir)) + __pmd_index(addr) * sizeof(pt_entry_t)))
 
#define __pte_index(addr) (((addr) >> 12) & 0x1FF)
#define __pte_offset(dir, addr) ((pt_entry_t*)__paddr_to_vaddr(__page_paddr(*(dir)) + __pte_index(addr) * sizeof(pt_entry_t)))
 
#define __page_addr(dir, addr) ((pt_entry_t*)__paddr_to_vaddr(__page_paddr(*(dir))))
#define __page_base(addr) ((addr) & ~0xFFFUL)
 
#define __offset_in_page(addr) ((addr) & 0xFFF)

转换方法如下

void* resolve_page(pt_entry_t*mm_pgd, uintptr_t addr)
{
    DEBUG_LOG("-  vma = %p\n", (unsigned long)addr);
    DEBUG_LOG("+  pgd = %p\n", (unsigned long)mm_pgd);
 
    pt_entry_t* pgd = __pgd_offset(mm_pgd, addr);
    DEBUG_LOG("+ *pgd = %016llx\n", *pgd);
 
    if ((*pgd & 2) != 0) {
        pt_entry_t* pmd = __pmd_offset(pgd, addr);
 
        DEBUG_LOG("+ *pmd = %016llx\n", *pmd);
 
        if ((*pmd & 2) != 0) {
            pt_entry_t* pte = __pte_offset(pmd, addr);
            DEBUG_LOG("+ *pte = %016llx\n", *pte);
 
            if ((*pte & 1)) {
                void* page = __page_addr(pte, addr);
 
                DEBUG_LOG("+ page = %016llx\n", page);
 
                return page;
            }
        }
    }
    return NULL;
}

参数mm_pgd是目标进程页表地址，addr是要转换的虚拟地址。这一点点代码量，相信对本文有兴趣的人，都能看得懂，所以就不详细解释了。

实践

上文提供的代码可通过 Linux 内核模块的方式部署到目标设备中。这里提供一个简单的实现代码片段：

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

#define VMRW_VERSION 2
 
struct Request {
    int version;
    int pid;
    void* remote;
    void* local;
    size_t size;
    ssize_t result;
};
 
struct dentry * vmrw_file = NULL;
 
static
ssize_t fop_read(struct file* file, char* req_buffer, size_t size, loff_t* offset)
{
    struct Request req;
 
    if (size != sizeof(struct Request)) {
        return -EBADMSG;
    }
 
    copy_from_user(&req, req_buffer, size);
 
    if (req.version != VMRW_VERSION) {
        return -EBADMSG;
    }
 
    struct pid* pid = find_get_pid(req.pid);
 
    if (pid == NULL) {
        return -ENOENT;
    }
 
    struct task_struct* task = get_pid_task(pid, PIDTYPE_PID);
    if (task == NULL) {
        return -ENOENT;
    }
 
    struct mm_struct* mm = get_task_mm(task);
    if (mm == NULL) {
        return -ENOENT;
    }
 
    pt_entry_t* mm_pgd = *(pt_entry_t**)((char*)mm + rti.mm_pgd_offset);
 
#ifdef __aarch64__
// #if ENABLE_DEBUG_LOG
//     typedef void (*show_pte_t)(unsigned long addr);
//     void* kallsyms_lookup_name(const char* name);
//     show_pte_t show_pte = (show_pte_t)kallsyms_lookup_name("show_pte");
//     show_pte((uintptr_t)req.remote);
// #endif
#endif
 
    size_t remain = req.size;
    uint64_t src = (uintptr_t)req.remote;
    char* dst = (char*)req.local;
 
    DEBUG_LOG("=  read %016llx %lu to %016llx\n", req.remote, req.size, req.local);
 
    while(remain) {
        void* page = resolve_page(mm_pgd, src);
        if (page == NULL) {
            DEBUG_LOG("+  invalid page %016llx\n", src);
            break;
        }
 
        void* page_ptr = ((char*)page + __offset_in_page(src));
 
        size_t page_sz = __MIN(0x1000 - __offset_in_page(src), remain);
 
        DEBUG_LOG("!  copy %016llx %lu to %016llx\n", page_ptr, page_sz, dst);
 
        unsigned long r = copy_to_user(dst, page_ptr, page_sz);
        if (r != 0) {
            remain -= page_sz - r;
            break;
        }
 
        remain -= page_sz;
        src += page_sz;
        dst += page_sz;
    }
 
    req.result = req.size - remain;
    copy_to_user(req_buffer, &req, sizeof(struct Request));
 
    mmput(mm);
    return sizeof(struct Request);
}
 
static
ssize_t fop_write(struct file* file, const char* ptr, size_t size, loff_t* offset)
{
    return -EPERM;
}
 
struct file_operations vmrw_fop = {
    .owner = &__this_module,
    .read = fop_read,
    .write = fop_write
};
 
int TEXT_INIT module_init() {
    DEBUG_LOG("vmrw init\n");
    vmrw_file = debugfs_create_file(__this_module.name, 0600, NULL, NULL, &vmrw_fop);
    if (vmrw_file == NULL) {
        pr_error("failed to create vmrw debugfs file\n");
    }
    return 0;
}
 
void TEXT_EXIT module_exit() {
    DEBUG_LOG("vmrw exit\n");
    debugfs_remove_recursive(vmrw_file);
    vmrw_file = NULL;
}

正常情况下要部署内核模块，是需要目标内核的源代码来编译内核模块方可在目标设备上部署。因此这个内核模块虽然能正常工作，但仍是不实用的。

后记

要实用化本文分享的技术原理，需要泛用化内核模块的制作和部署。直白来说就是通过制作一个通用的内核模块二进制模板，然后部署的时候通过部署工具，将内核模块适配到实际运行的内核，使之可以被加载和运行。这个我目前还没有找到公开的方案，倒是有蛛丝马迹暗示类似技术在网上活跃。为防止技术被滥用，再三思考还是不放出了。只是想混个转正而已，不懂此文是否足够。

警告

本文提供的技术和代码仅供学习研究之用途，不可用于商业目的，不可用于违规违法目的，违者自行承当后果。

本文展示的代码片段部分来自 Linux 内核源码，因此受到 Linux 的 GPLv2 授权感染。

参考链接

864K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2K9$3g2J5L8X3g2D9i4K6u0W2L8%4u0Y4i4K6u0r3j5i4u0E0y4U0c8Q4x3V1k6E0k6h3#2G2M7Y4W2Q4x3X3g2Z5N6r3#2D9

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

#基础理论

收藏・17

免费・6

支持

最新回复 (19)
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 2 楼文章目的是什么？process_vm_readv 和 process_vm_writev 自实现，绕过调用检测？那为啥不直接参考这辆syscall 的内核实现。。。。bug 还少。。。 2023-5-9 15:23 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 3 楼 ycmint 文章目的是什么？process_vm_readv 和 process_vm_writev 自实现，绕过调用检测？那为啥不直接参考这辆syscall 的内核实现。。。。bug 还少。。。因为参考这两 syscall 的实现，最终效果就是本文提及的差不多的技术。而且按你的想法实现的话，是没办法和内核解耦的，更不可能在没有源码的情况下实现这效果。 2023-5-9 16:08 0
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 4 楼没懂。。。。没有源码咋就不能这效果。。。我解决掉preload ko 就能跑了。。。 2023-5-9 16:31 0
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 5 楼 vrolife 因为参考这两 syscall 的实现，最终效果就是本文提及的差不多的技术。而且按你的想法实现的话，是没办法和内核解耦的，更不可能在没有源码的情况下实现这效果。或者，我压根不需要解决加载ko 这些事。。我找个合适的地方，binary 插入vmlinux进去就好。。。 2023-5-9 16:33 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 6 楼 ycmint 或者，我压根不需要解决加载ko 这些事。。我找个合适的地方，binary 插入vmlinux进去就好。。。不是没考虑这样的方案，问题是这样子要解决很多符号和数据结构问题，不然就得为每份内核配置和每个内核版本编译一个ko。内核很多接口都是内联或者干脆是宏，无源码做兼容太难了。 2023-5-9 16:40 0
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 7 楼 vrolife 不是没考虑这样的方案，问题是这样子要解决很多符号和数据结构问题，不然就得为每份内核配置和每个内核版本编译一个ko。内核很多接口都是内联或者干脆是宏，无源码做兼容太难了。那你的厉害方案是啥呢 2023-5-9 16:59 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 8 楼 ycmint 那你的厉害方案是啥呢不厉害，也就是尽可能少引用内核符号罢了。然后部署的时候实时从内核binary里取几个偏移量就行了。开始我第一个念头也是仿那两个syscall, 结果兼容性一言难尽。而且那两个syscall核心原理就是锁内存页，不暂停目标进程的话，不安全，暂停了的话，性能太受影响。期待你分享别的方案 2023-5-9 17:19 0
shinratensei 雪币： 1719 活跃值： (215942) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 141 粉丝 16 关注私信	shinratensei 1 9 楼这...... 2023-5-10 13:03 0
不知世事雪币： 3712 活跃值： (2116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 166 粉丝 14 关注私信	不知世事 1 10 楼扫描内存的时候，使用mincore过滤掉缺页内存不就可以绕过检测了么，用魔法打败魔法 2023-5-15 19:52 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 11 楼不知世事扫描内存的时候，使用mincore过滤掉缺页内存不就可以绕过检测了么，用魔法打败魔法不这么做，主要是考虑竞态条件的问题。这样做，只有过滤线程和陷阱线程是同一个线程的时候，才能经济地实现。 2023-5-16 00:25 2
不吃早饭雪币： 27 活跃值： (7154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 187 粉丝 23 关注私信	不吃早饭 12 楼我看刑，说吧准备做哪个游戏 2023-5-16 01:32 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 13 楼不吃早饭我看刑，说吧准备做哪个游戏[em_87] 别开玩笑了，还是有方法能检测到这种类型的内存读写的，还不需要任何特殊权限。 2023-5-16 02:28 0
秋狝雪币： 8616 活跃值： (32836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 39 关注私信	秋狝 14 楼感谢分享 2023-5-16 09:38 1
fengyunabc 雪币： 4503 活跃值： (4997) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 571 粉丝 27 关注私信	fengyunabc 1 15 楼感谢分享！ 2023-5-16 09:48 0
袁伟业雪币： 200 活跃值： (542) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	袁伟业 16 楼 vrolife 别开玩笑了，还是有方法能检测到这种类型的内存读写的，还不需要任何特殊权限。有什么好办法对抗这种驱动读写吗？ 2023-5-19 23:19 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 17 楼袁伟业有什么好办法对抗这种驱动读写吗？这是秘密 2023-5-20 18:46 0
FraMeQ 雪币： 2210 活跃值： (1931) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 83 粉丝 19 关注私信	FraMeQ 18 楼直接内核读写 2023-5-22 16:39 0
珍惜Any 雪币： 5376 活跃值： (15747) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 444 粉丝 1596 关注私信	珍惜Any 3 19 楼很好的帖子，内核里面做读写确实可以逃逸mincore ，但是crc咋办 2024-1-8 16:00 0
huangjw 雪币： 5627 活跃值： (9427) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 313 粉丝 2 关注私信	huangjw 20 楼学习到了。楼主的发的几个文章都写的挺好的，思路和用到的技术，引用到逆向分析都有很大的帮助。都没评优，版主要给个吧。最后于 2025-11-29 12:48 被huangjw编辑，原因： 2025-11-29 12:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

vrolife

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 2 楼文章目的是什么？process_vm_readv 和 process_vm_writev 自实现，绕过调用检测？那为啥不直接参考这辆syscall 的内核实现。。。。bug 还少。。。 2023-5-9 15:23 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 3 楼 ycmint 文章目的是什么？process_vm_readv 和 process_vm_writev 自实现，绕过调用检测？那为啥不直接参考这辆syscall 的内核实现。。。。bug 还少。。。因为参考这两 syscall 的实现，最终效果就是本文提及的差不多的技术。而且按你的想法实现的话，是没办法和内核解耦的，更不可能在没有源码的情况下实现这效果。 2023-5-9 16:08 0
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 4 楼没懂。。。。没有源码咋就不能这效果。。。我解决掉preload ko 就能跑了。。。 2023-5-9 16:31 0
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 5 楼 vrolife 因为参考这两 syscall 的实现，最终效果就是本文提及的差不多的技术。而且按你的想法实现的话，是没办法和内核解耦的，更不可能在没有源码的情况下实现这效果。或者，我压根不需要解决加载ko 这些事。。我找个合适的地方，binary 插入vmlinux进去就好。。。 2023-5-9 16:33 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 6 楼 ycmint 或者，我压根不需要解决加载ko 这些事。。我找个合适的地方，binary 插入vmlinux进去就好。。。不是没考虑这样的方案，问题是这样子要解决很多符号和数据结构问题，不然就得为每份内核配置和每个内核版本编译一个ko。内核很多接口都是内联或者干脆是宏，无源码做兼容太难了。 2023-5-9 16:40 0
ycmint 雪币： 1149 活跃值： (1133) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 12 关注私信	ycmint 5 7 楼 vrolife 不是没考虑这样的方案，问题是这样子要解决很多符号和数据结构问题，不然就得为每份内核配置和每个内核版本编译一个ko。内核很多接口都是内联或者干脆是宏，无源码做兼容太难了。那你的厉害方案是啥呢 2023-5-9 16:59 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 8 楼 ycmint 那你的厉害方案是啥呢不厉害，也就是尽可能少引用内核符号罢了。然后部署的时候实时从内核binary里取几个偏移量就行了。开始我第一个念头也是仿那两个syscall, 结果兼容性一言难尽。而且那两个syscall核心原理就是锁内存页，不暂停目标进程的话，不安全，暂停了的话，性能太受影响。期待你分享别的方案 2023-5-9 17:19 0
shinratensei 雪币： 1719 活跃值： (215942) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 141 粉丝 16 关注私信	shinratensei 1 9 楼这...... 2023-5-10 13:03 0
不知世事雪币： 3712 活跃值： (2116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 166 粉丝 14 关注私信	不知世事 1 10 楼扫描内存的时候，使用mincore过滤掉缺页内存不就可以绕过检测了么，用魔法打败魔法 2023-5-15 19:52 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 11 楼不知世事扫描内存的时候，使用mincore过滤掉缺页内存不就可以绕过检测了么，用魔法打败魔法不这么做，主要是考虑竞态条件的问题。这样做，只有过滤线程和陷阱线程是同一个线程的时候，才能经济地实现。 2023-5-16 00:25 2
不吃早饭雪币： 27 活跃值： (7154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 187 粉丝 23 关注私信	不吃早饭 12 楼我看刑，说吧准备做哪个游戏 2023-5-16 01:32 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 13 楼不吃早饭我看刑，说吧准备做哪个游戏[em_87] 别开玩笑了，还是有方法能检测到这种类型的内存读写的，还不需要任何特殊权限。 2023-5-16 02:28 0
秋狝雪币： 8616 活跃值： (32836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 39 关注私信	秋狝 14 楼感谢分享 2023-5-16 09:38 1
fengyunabc 雪币： 4503 活跃值： (4997) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 571 粉丝 27 关注私信	fengyunabc 1 15 楼感谢分享！ 2023-5-16 09:48 0
袁伟业雪币： 200 活跃值： (542) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	袁伟业 16 楼 vrolife 别开玩笑了，还是有方法能检测到这种类型的内存读写的，还不需要任何特殊权限。有什么好办法对抗这种驱动读写吗？ 2023-5-19 23:19 0
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 38 关注私信	vrolife 17 楼袁伟业有什么好办法对抗这种驱动读写吗？这是秘密 2023-5-20 18:46 0
FraMeQ 雪币： 2210 活跃值： (1931) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 83 粉丝 19 关注私信	FraMeQ 18 楼直接内核读写 2023-5-22 16:39 0
珍惜Any 雪币： 5376 活跃值： (15747) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 444 粉丝 1596 关注私信	珍惜Any 3 19 楼很好的帖子，内核里面做读写确实可以逃逸mincore ，但是crc咋办 2024-1-8 16:00 0
huangjw 雪币： 5627 活跃值： (9427) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 313 粉丝 2 关注私信	huangjw 20 楼学习到了。楼主的发的几个文章都写的挺好的，思路和用到的技术，引用到逆向分析都有很大的帮助。都没评优，版主要给个吧。最后于 2025-11-29 12:48 被huangjw编辑，原因： 2025-11-29 12:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复