-
-
[原创]简单的早期"EAC将bigpools导出以寻找可能映射的驱动程序"利用清空
-
发表于: 2025-1-24 13:36
-
内存区域划分布局已有资料表述
PoolBigPageTable 是 Windows 操作系统内核中一个非常重要的数据结构,它用来管理和跟踪大页内存(Big Pages)的分配和使用情况。
以下均以WIN10 21H2为例
如上图所示
在IDA中 "ExFreeHeapPool"函数有关于PoolBigPageTable"表中"对于指定地址如何查找其在表中的位置.
代码中myself_expoolTag为实验假设开辟的内存,PoolBigPageTableSize_val为系统全局变量大小
通过如上代码运算可以得到指定index 之后根据上述微软的计算过程
以及对应每一块"内存包"的结构体:
上述代码左侧的式子得到之后,便与自己开辟的地址进行比较如果不一样则index+1亦或者左侧代码+0x18到下一个正常2次循环便可以得到指定地址
如果不按照2次及以下查找也可以像上述代码一样暴力.在此利用不再赘述
最后你便可以选择抹去此表中的信息块
注意:算法在不同的微软系统版本不同,请自行查阅.
index = (((0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC)) >> 0x20) ^
(0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC))) & (unsigned int)(*(ULONG64*)PoolBigPageTableSize_val - 1);
index = (((0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC)) >> 0x20) ^
(0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC))) & (unsigned int)(*(ULONG64*)PoolBigPageTableSize_val - 1);
// 定义 Pool_Info 结构体
typedef struct _Pool_Info { volatile ULONGLONG Va; //0x0
ULONG Key; //0x8
ULONG Pattern : 8; //0xc
ULONG PoolType : 12; //0xc
ULONG SlushSize : 12; //0xc
ULONGLONG NumberOfBytes;
} Pool_Info, * pPool_Info;
// 定义 Pool_Info 结构体
typedef struct _Pool_Info { volatile ULONGLONG Va; //0x0
ULONG Key; //0x8
ULONG Pattern : 8; //0xc
ULONG PoolType : 12; //0xc
ULONG SlushSize : 12; //0xc
ULONGLONG NumberOfBytes;
} Pool_Info, * pPool_Info;
*(_QWORD *)(PoolBigPageTable_buffer + 24i64 * (unsigned int)index) != memory_viraddress
*(_QWORD *)(PoolBigPageTable_buffer + 24i64 * (unsigned int)index) != memory_viraddress
ULONG64 End_PoolBigPageTable = *(ULONG64*)PoolBigPageTable_val + *(ULONG64*)PoolBigPageTableSize_val * 0x18;
fix_pool = *(ULONG64*)PoolBigPageTable_val;
while (fix_pool < End_PoolBigPageTable)
{
tempPoolInfo = (pPool_Info)fix_pool;
if (tempPoolInfo->Va == 0)
{
fix_pool += 0x18;
continue;
}
if (tempPoolInfo->Va == (ULONG64)myself_expoolTag)
{
DbgPrint("找到匹配的修复信息地址,地址为: %llx\r\n", fix_pool);
isFound = true;
break;
}
fix_pool += 0x18;
}
ULONG64 End_PoolBigPageTable = *(ULONG64*)PoolBigPageTable_val + *(ULONG64*)PoolBigPageTableSize_val * 0x18;
fix_pool = *(ULONG64*)PoolBigPageTable_val;
while (fix_pool < End_PoolBigPageTable)
赞赏记录
参与人
雪币
留言
时间
mb_ejekfyqx
为你点赞!
6天前
git_46183EBalloon
你的帖子非常有用,感谢分享!
2025-4-17 18:12
wx_R_837
非常支持你的观点!
2025-4-14 05:30
wx_U_439
你的帖子非常有用,感谢分享!
2025-3-25 15:19
starkin
感谢你的积极参与,期待更多精彩内容!
2025-3-21 15:28
九月心情
为你点赞!
2025-3-21 12:31
Abelly
感谢你的积极参与,期待更多精彩内容!
2025-3-21 10:59
蜉蝣129
为你点赞!
2025-3-21 00:28
wx_null_292
你的帖子非常有用,感谢分享!
2025-3-11 13:44
mb_tgixxspz
非常支持你的观点!
2025-3-9 15:54
凵凵
感谢你的贡献,论坛因你而更加精彩!
2025-3-9 15:50
zxxxxxxr
感谢你的贡献,论坛因你而更加精彩!
2025-3-7 16:56
mb_kkryygzw
你的分享对大家帮助很大,非常感谢!
2025-3-5 22:54
sanyoo
非常支持你的观点!
2025-3-4 15:14
陌上陌下
感谢你的积极参与,期待更多精彩内容!
2025-3-3 19:57
生於安樂
期待更多优质内容的分享,论坛有你更精彩!
2025-3-3 15:40
mb_mgnpyowy
感谢你分享这么好的资源!
2025-3-3 00:53
kaokaoyou
为你点赞!
2025-3-2 17:06
aljt_糖刀
非常支持你的观点!
2025-2-23 01:17
熬夜伤身
为你点赞!
2025-2-17 16:45
顽劣
为你点赞!
2025-2-17 00:30
mb_ejoeescu
期待更多优质内容的分享,论坛有你更精彩!
2025-2-16 01:10
BDBig
为你点赞!
2025-2-15 21:35
梦里看花
你的帖子非常有用,感谢分享!
2025-2-13 14:35
asd
感谢你的贡献,论坛因你而更加精彩!
2025-2-12 22:21
wx_巨巨巨巨子大人
非常支持你的观点!
2025-2-12 09:12
青史无疆
感谢你分享这么好的资源!
2025-2-11 21:50
wowocock
你的分享对大家帮助很大,非常感谢!
2025-2-11 10:18
qqzxc
你的帖子非常有用,感谢分享!
2025-2-10 11:29
jhthaotian
你的帖子非常有用,感谢分享!
2025-2-8 15:34
AlwaysBetter
为你点赞!
2025-2-8 10:10
湿求了鸭
+1
感谢你分享这么好的资源!
2025-2-8 00:38
北门观雪
+1
这个讨论对我很有帮助,谢谢!
2025-2-7 23:14
黑手鱼
+1
为你点赞!
2025-2-7 22:53
EX呵呵
这个讨论对我很有帮助,谢谢!
2025-2-7 21:31
厌倦
感谢你分享这么好的资源!
2025-2-7 10:42
煜凡
这个讨论对我很有帮助,谢谢!
2025-2-7 09:38
令狐双
你的帖子非常有用,感谢分享!
2025-2-6 21:28
advl
这个讨论对我很有帮助,谢谢!
2025-2-6 17:46
mb_hkqnanbs
你的帖子非常有用,感谢分享!
2025-2-6 17:29
DawnDawnDawn
期待更多优质内容的分享,论坛有你更精彩!
2025-2-6 10:51
Zyano
+10
感谢你分享这么好的资源!
2025-2-6 10:08
z许
感谢你的贡献,论坛因你而更加精彩!
2025-2-6 09:52
dx苹果的心愿
感谢你分享这么好的资源!
2025-2-6 09:30
寒冰心结
这个讨论对我很有帮助,谢谢!
2025-2-6 08:19
Lnju
期待更多优质内容的分享,论坛有你更精彩!
2025-2-5 19:18
mb_tfxmczhw
期待更多优质内容的分享,论坛有你更精彩!
2025-2-5 18:52
5k1l
感谢你分享这么好的资源!
2025-2-5 11:20
TkBinary
感谢你的积极参与,期待更多精彩内容!
2025-2-5 10:39
mb_rveckyle
为你点赞!
2025-2-5 09:48
killleer
感谢你分享这么好的资源!
2025-2-4 22:14
灰灰Hui
期待更多优质内容的分享,论坛有你更精彩!
2025-2-3 10:26
mb_juuexlrb
感谢你的积极参与,期待更多精彩内容!
2025-2-3 08:54
熟悉而又陌生
+1
感谢你的贡献,论坛因你而更加精彩!
2025-2-2 00:09
mb_jyivafye
为你点赞!
2025-2-1 23:41
qj111111
+1
你的帖子非常有用,感谢分享!
2025-1-31 20:00
chow
这个讨论对我很有帮助,谢谢!
2025-1-31 06:29
Prompto
你的帖子非常有用,感谢分享!
2025-1-30 21:12
麦瑞鸭
为你点赞!
2025-1-29 18:59
moshuiD
感谢你的积极参与,期待更多精彩内容!
2025-1-29 14:49
wjhwjhn
为你点赞!
2025-1-29 12:44
maxwudi
你的帖子非常有用,感谢分享!
2025-1-29 00:31
璀璨访华
你的帖子非常有用,感谢分享!
2025-1-28 23:17
戒烟
你的帖子非常有用,感谢分享!
2025-1-28 23:14
DaiXiaoHuer
感谢你分享这么好的资源!
2025-1-27 14:33
榆一
你的帖子非常有用,感谢分享!
2025-1-27 13:05
墨穹呢
非常支持你的观点!
2025-1-26 15:21
汐网络邢
你的帖子非常有用,感谢分享!
2025-1-26 08:52
0xC5
感谢你分享这么好的资源!
2025-1-26 05:03
mb_dtidoewd
你的帖子非常有用,感谢分享!
2025-1-25 13:05
piaoyi587
为你点赞!
2025-1-25 08:14
mb_gqhzzubh
你的帖子非常有用,感谢分享!
2025-1-25 02:13
syser
这个讨论对我很有帮助,谢谢!
2025-1-25 01:46
我的小拇指啊
感谢你分享这么好的资源!
2025-1-25 00:03
xxxark
感谢你分享这么好的资源!
2025-1-24 23:53
东城狂人
谢谢你的细致分析,受益匪浅!
2025-1-24 20:26
huangyalei
感谢你的积极参与,期待更多精彩内容!
2025-1-24 16:44
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
