x86分页内存布局与CR3骚操作读写内存

已于 2024-07-04 00:44:09 修改
阅读量789 收藏 18
点赞数 7
文章标签: 硬件 c++ 驱动开发 windows
于 2024-07-04 00:28:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d22222/article/details/140161580
版权

我们知道游戏外G的原理是通过读取游戏进程的内存,取出游戏规则中不允许展示给玩家的关键数据,达到玩家本人和对手信息差的目的。但普通的用户态API是可以读其他进程的内存,比如ReadProcessMemory函数,但分分钟就能被anticheat检测到,本篇文章将带领各位实现内核态下通过切换到目标进程的CR3寄存器达到无痕读写内存的目的。

分页

首先需要了解一下内存的分页机制,至于分段机制,就不提了,系统都废掉不用了,何必多此一举。

硬盘一个扇区是512KB,也就是说只要读取,至少拿512KB的倍数,就算拿1KB,从磁盘取出来也是512KB,剩下的511KB就是浪费,但也不得不拿

目前物理内存的一个页普遍设计的是4KB,但这不是定死的。

分页功能操作相关寄存器和位

CPU上有五个寄存器,CR0~CR4,功能是控制用的,想要操作分页功能,找它们准没错。

位名称在哪个寄存器的哪个位含义
PGCR0 (31)分页功能的打开和关闭,0关闭1开启
PSECR4 (4)页大小扩展,不想用4KB的页大小,想用更大的如2M,就得把这玩意打开
PAECR4 (5)物理地址扩展,支持36位物理内存地址,即支持64G的物理内存

不同位的效果如下表

PGPAEPSEPS页大小物理地址大小
0N/AN/AN/AN/A分页功能关闭
100N/A4 KB32 位
10104 KB32 位
10114 MB32 位
11N/A04 KB36 位
11N/A12 MB36 位

由表可知一个页的大小是固定的,不能说这个页4KB,到下个页就变成2MB了,这是不可能的,因此,在设计页表的时候,就不用再记录页大小了,大家都一样

神奇的两张表

每个进程创建的时候都有这么一套表(一个页目录表 + n个页表),注意本篇文章不涉及开启PAE的情况,下同

其中,CR3寄存器永远指的是页目录表的地址,OS根据这就能找到啦,切进程的时候,把待切入进程的页目录表的地址送入CR3即可,这也是我们实现功能的关键,也就是说每个进程都有属于自己的CR3值,系统切进程的时候,就把当前进程环境的页目录表地址读取出来,写入CR3寄存器,这样的话,假如每个进程的虚拟地址都是123456,也不会打架,因为进程1有进程1的一套表,系统一查进程1的表,发现进程1的123456对应到物理内存条的地址是001。进程2有进程2的一套表,系统一查进程2的表,发现进程2的123456对应到物理内存条的地址是002。

PDE和PTE

页目录表和页表里面都放的是一项项的PDE或PTE,它们的结构如下

  • P-TBA:页表的首地址

  • Avail(3位):intel不玩了,给OS玩的位,自己用

  • G(Global):intel刚开始也想和分段一样,搞个全局和局部的,有这想法,后来发现没意义了,就不管了,这位就废了

  • PS:为0是4K的页,为1是4M的页

  • 0:保留

  • A:是否被访问过,方便交换功能用

  • PCD:是否放缓存中,我们程序员不关心

  • PWT:程序员不关心,不管

  • U/S:特权级,为0表示Supervisor(Ring0),为1表示User(Ring3)

  • R/W:内存权限,这里就给了一位,显然是不够表示那么多权限属性的,因此也是Intel设计的败笔,为此还导致了许多漏洞产生。我们来看看为什么是败笔:

    • 0:可读可执行 RE

    • 1:可读可写可执行 RWE

    发现没有,无论是0还是1,都有可执行的权限,因此可以随便执行数据区的代码,导致了缓冲区漏洞。

    高版本弥补了此漏洞,即Windows的DEP保护,它可以让一个页不能够执行代码,但DEP功能仅限64位系统使用

    回想一下,如果当时Intel能给两个bit到R/W,也就没这烂摊子了(笑)

  • P:存在位。0无效,1有效,也是MmIsAddressValid()函数的原理,这函数查的就是这个bit

上面是PDE,其实PTE和PDE大差不差,就俩区别:

  1. 第七位(PS位)改成了0(无效位)

  2. 首地址是页的首地址

接下来,以一张图为例子,讲讲代码里面的8003F000是怎么通过一系列骚操作,变换成物理地址的0003F000的,请见下图

CR3读写

由图可知,CR3寄存器可以作为一个点位,我们只要在自己的进程环境下,将自己的CR3改成目标进程的CR3,改完后,操作的地址全在对方的内存下了,美滋滋。也就是说,假如我是进程2,我把进程1的表先抢过来,当系统要查表时,我就把进程1的表瞒天过海塞给系统,这样,我自己代码的读写内存操作,实际上系统一查表,跑人家进程1对应的物理内存去执行了。这样,你检测得到我吗,我在我自己进程里面读写内存,关你吊事,系统把表弄错了你找系统,跟我有毛关系。

那么问题来了,对方进程的页目录表地址,也就是CR3保存在哪里呢??

在微软的Windows下,通过 KPCR -> ETHREAD -> EPROCESS -> DirBase拿到页目录表地址,缺点是不同OS版本的偏移不一样,在我机子上确实没问题,到你机子上就崩了,因为这些结构体微软是没公开的,在MSDN上你是查不到的,因此可能变来变去的。暴力解法:每个OS版本都做一套

猥琐解法:读取系统API的二进制指令机器码,从而读取到当前系统的偏移值,这样就万能了。

笔者的测试环境是Windows XP SP3的32位系统,虽然微软未公开上述的结构体,但我们可以通过逆向分析系统内核代码来确定这些结构体的地址偏移。

比如ETHREAD结构,微软并未公开该结构体的文档,去官方文档是查不到的,我们可以通过逆向分析system32目录下的系统内核文件ntkrnlpa.exe来取得,在windows中有一个函数叫KeGetCurrentThread函数,可以用IDA查看到ntkrnlpa.exe确实有导出该函数

双击进入该函数体后,代码如下

很简单不是吗,看来ETHREAD结构体就存放在ds:0FFDFF124h处,请注意由于这里是未公开偏移,因此不同系统是不一样的,如在Windows 7的32位系统下,该值就变成了fs:124h处

拿到结构体后,还需要进一步拿到页目录表地址,我们可以用windbg的dt _ethread命令查看当前系统下的ETHREAD结构,如下图

可以发现在该结构体偏移的220h处,存放着EPROCESS结构体,然后我们再用dt _eprocess命令查看EPROCESS结构体的具体内容,其结构如下图

这样,我们就成功知道了我们心心念念的页目录表地址在哪里咯,接下来我们只要找到目标进程就可以了,那么问题又来了,我怎么样拿到对方进程的这些乱七八糟的结构体呢,想象系统就像监狱,每个进程就是监狱的一个牢房,我人在自己的牢房里面,想去别人的牢房里面整活,可以通过挖墙壁的方法,先挖一道墙,看隔壁是不是我想要的进程,发现隔壁牢房不是,就再挖隔壁的墙,去隔壁的隔壁……,如此往复,肯定就挖到目标进程的牢房了,好在操作系统真的也是这样设计“牢房”的,如下图所示

我们只要不断遍历这个链表,判断当前链表的元素是不是我们的目标进程即可。

PVOID GetDirectoryTableBase(ULONG pid) {
	DbgPrint("%s START\n", __FUNCTION__);
	PEPROCESS process = NULL;
	//汇编拿到当前进程的EPROCESS
	__asm {
		mov eax, ds: [0FFDFF124h]    //ETHREAD
		mov eax, [eax + 220h]  //EPROCESS
		mov process, eax
	}
	/*
	*   Windows 7
		__asm {
			mov eax,     fs: [124h]    //ETHREAD
			mov eax,     [eax + 50h]  //EPROCESS
			mov process, eax
		}*/

	PEPROCESS begin = process;
	__try {
		do
		{
			if (!MmIsAddressValid(process)) break;


			// Windows XP SP3
			ULONG uniqueProcessId = *(ULONG*)((char*)process + 0x084);
			PVOID directoryTableBase = *(PVOID*)((char*)process + 0x018);

			if (uniqueProcessId == pid) return directoryTableBase;

			process = (PEPROCESS)((CHAR*)*(PVOID*)((CHAR*)process + 0x088) - 0x088);

		} while (process != begin);

	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		DbgPrint("[Frank_MARS]  %s __except\n", __FUNCTION__);
	}

	return NULL;
}

bool ReadProcessMemoryByCR3(
	ULONG pid,            //目标进程的PID
	PVOID lpBaseAddress,  //欲读取的虚拟地址
	PVOID  lpBuffer,      //存放的缓冲区
	SIZE_T  nSize         //大小
	) 
{
	//在内核中,HANDLE就是pid
	PVOID pDirBase = GetDirectoryTableBase(pid);
	PVOID pOldDirBase = NULL;
	bool  bRet = false;


	if (pDirBase == NULL) return false;

	__asm {
		mov eax, cr3
		mov pOldDirBase, eax
		mov eax, pDirBase
		mov cr3, eax

	}


	//若缺页,则映射会失败,就有处理的余地了
	PHYSICAL_ADDRESS pa = MmGetPhysicalAddress(lpBaseAddress);
	if (pa.QuadPart != NULL)
	{
		PVOID pMapAddr = MmMapIoSpace(pa, nSize, MmNonCached);
		if (pMapAddr != NULL)
		{
			RtlCopyMemory(lpBuffer, lpBaseAddress, nSize);
			MmUnmapIoSpace(pMapAddr, nSize);
			bRet = true;
		}		
	}
	
	//读取结束,把CR3给人家改回去
	__asm {
		mov eax, pOldDirBase
		mov cr3, eax

	}
	return bRet;
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegisteryPathName)
{
	UNREFERENCED_PARAMETER(RegisteryPathName);
	UNREFERENCED_PARAMETER(DriverObject);
	DbgPrint("[Frank_MARS] %s() START\n", __FUNCTION__);
	DriverObject->DriverUnload = Unload;  //Unload函数实现略

	UCHAR buf[3] = { 0 };
	ReadProcessMemoryByCR3(148, (PVOID)0x00401F21, buf, sizeof buf);

	DbgPrint("[Frank_MARS] %s() : %02x %02x %02x\n", __FUNCTION__, buf[0], buf[1], buf[2] );

	return STATUS_SUCCESS;
}

上述代码中,读取了一个进程,这个进程的PID是148,欲读取数据的地址是0x00401F21,读取的长度是是三个字节,加载驱动后输出,读取成功了

读完了,接下来就是写了,就不展开讲了,很简单,同时写的代码也升级了一下,升级内容如下

  • 取消__asm内联汇编,全部使用微软汇编函数,x64也能用啦

  • 根据32/64位自动选择变量类型

  • 采用KeStackAttachProcess函数代替了切换进程环境

  • 原先的偏移现在均由内核API函数完成,兼容性好,理论上从Windows XP到Windows 11的系统不管32还是64位均可使用

代码如下

NTSTATUS WriteProcessMemory(
	ULONG pid,            //目标进程的PID
	PVOID lpBaseAddress,  //欲写入的虚拟地址
	PVOID  lpBuffer,      //欲写入数据存放的缓冲区
	SIZE_T  nSize         //欲写入数据的大小
)
{

	NTSTATUS  bRet = STATUS_UNSUCCESSFUL;

	PEPROCESS process;
	NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &process);
	if (!NT_SUCCESS(status)) return status;

	//切换到对方进程,切换后,后续所有的汇编代码全在对方的环境下执行
	KAPC_STATE apcState;
	KeStackAttachProcess(process, &apcState);
	PHYSICAL_ADDRESS pa = MmGetPhysicalAddress(lpBaseAddress);
	KIRQL  oldIrql;
	KeRaiseIrql(DISPATCH_LEVEL, &oldIrql);

#ifdef _M_X64
	__int64 oldCr0 = __readcr0();
#else
	unsigned long oldCr0 = __readcr0();
#endif
	
	__writecr0(oldCr0 & ~0x10000);


		//若缺页,则映射会失败,就有处理的余地了
		
	if (pa.QuadPart != NULL)
	{
		PVOID pMapAddr = MmMapIoSpace(pa, nSize, MmNonCached);
		if (pMapAddr != NULL)
		{
			RtlCopyMemory(pMapAddr, lpBuffer, nSize);
			MmUnmapIoSpace(pMapAddr, nSize);
			bRet = STATUS_SUCCESS;
		}


	}
	

	//写入结束,CR0给人家改回去

	__writecr0(oldCr0);


	KeLowerIrql(oldIrql);
	
	KeUnstackDetachProcess(&apcState);
	ObDereferenceObject(process);

	return bRet;
}

请注意,写的时候除了改CR3(已经用KeStackAttachProcess函数实现相同功能)外,还需要改CR0,因为CR0寄存器中有一位,叫WP位,标志了权限,将这一个bit设为0的话,直接无视内存的权限属性,随意、暴力、强制、无脑写入,爽不爽。

反正我是爽了。

Frank MARS
关注
x64 结构体系下的内存寻址
weixin_30629653的博客
08-16 407
欢迎转载,转载请注明出处:http://www.cnblogs.com/lanrenxinxin/p/4735027.html 在阅读NewBluePill源码的时候,看内存的那一块简直头疼,全是x64下的寻址,之前根本就没有接触过x64的内存寻址上的内容,看的晕头转向,决定先把x64下的寻址给弄明白了再回过头来看NewBluePill的源码,然后在网上一顿找,居然没有找到关于x64寻址的博客或...
Win7 x64切换CR3读写内存
qq269813279的博客
06-28 4796
NTSTATUS ReadProcessMemory(HANDLE pid,LONG_PTR buff,LONG_PTR address,SIZE_T len){ PEPROCESS pEPROCESS; NTSTATUS status; ULONG64 OldCr3; ULONG64 NewCr3; status = PsLookupProcessByProcessId(pid, &pE...
操作系统分页机制与cr3寄存器
最新发布
10-02 1714
通过将物理内存分割成固定大小的页(通常为4KB或8KB),并将每个进程的虚拟地址空间也分割成相同大小的页,操作系统则负责将进程的虚拟地址映射到实际的物理地址上。操作系统进行进程切换时,需要通过更改CR3寄存器的值,新的CR3值将指向新进程的页目录表,从而实现地址空间的快速切换。在进程切换时,操作系统会更新CR3寄存器的值,以指向新进程的页目录表。它主要用于存储页目录表(Page Directory Table)的物理地址,这一地址是页目录表的起始地址,也是分页机制转换虚拟地址到物理地址的起点。
Memory Map (x86)
博客已迁移至 http://chenzz.me
04-16 3333
From OSDev Wiki Jump to: navigation, search This article describes the contents of the computer's physical memory at the moment that the BIOS jumps to your bootloader code. Conten
cr3读写内存
liuhaidon1992的博客
01-08 2191
#define DIRECTORY_TABLE_BASE 0x028 // DirectoryTableBase UINT32 idTarget = 0; PEPROCESS epTarget = NULL; UINT32 idGame = 0; PEPROCESS epGame = NULL; UINT32 rw_len = 0; UINT64 base_addr = 0; ...
驱动开发:内核CR3切换读写内存
热门推荐
CSDN
09-25 2万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
计算机原理学习(5)-- x86-16 CPU和内存管理
CC的技术专栏
10-24 2万+
前言 前面我们已经了解了计算机硬件的工作原理,以及操作系统的发展。我们知道是内存把计算机硬件和软件联系了起来。不夸张的说,了解了软件在内存中的结构,就基本了解了程序最底层的运行原理。所以从这一篇开始,将深入的讨论计算机中内存管理和布局。 1. 8086 CPU 说到CPU,我们第一个想到的应该就是Intel。 1971年11月15号,Intel发布了全球第一款微处理器Inte
long mode 分页_x86 系列 CPU 内存寻址模式总结
weixin_39611413的博客
12-21 564
说明:S16 表示 16 位段寄存器P16 表示 16 位的普通寄存器, 立即数, 结果为 16 位的表达式等等.P32 同上, 只是扩展到 32 位.一. CPU 概况1.8086: 8 位数据线, 16 位地址线. 8 位数据线和前8位地址线合用.2. 8088: 16位数据线, 16位地址线. 数据线和地址线完全分时合用.3. 80186:16位数据线, 16位地址线. 数据线和地址线完...
X86_64 CR3控制寄存器详解
SweeNeil
05-18 1万+
CR3寄存器目前博客主要能查找到的内容都比较简单,例如 《控制寄存器 cr0,cr2,cr3》等博客,只对CR3寄存器进行了简单的介绍: 状态和控制寄存器组除了EFLAGS、EIP ,还有四个32位的控制寄存器,它们是CR0,CR1,CR2和CR3CR3含有存放页目录表页面的物理地址,因此CR3也被称为PDBR。因为页目录表页面是页对齐的,所以该寄存器只有高20位是有效的。而低12位保留供更高级处理器使用,因此在往CR3中加载一个新值时低12位必须设置为0。 使用MOV指令加载CR3时具有让页高
深入Linux内核(内存篇)—页表映射分页
liyuewuwunaile的博客
10-11 8233
深入Linux内核(内存篇)—页表映射一、分页二、X86中的分页三、ARM中的分页四、Kernel中的分页 操作系统的核心任务是对系统资源的管理,而重中之重的是对CPU和内存的管理。为了使进程摆脱系统内存的制约,用户进程运行在虚拟内存之上,每个用户进程都拥有完整的虚拟地址空间,互不干涉。 而实现虚拟内存的关键就在于建立虚拟地址(Virtual Address,VA)与物理地址(Physical Address,PA)之间的关系,因为无论如何数据终究要存储到物理内存中才能被记录下来。 如下图所示,进程1和进程
Linux内存分段分页
Sherlock的博客
04-18 780
内存是存储体的一种,运行速度较磁盘块。随着集成技术越来越精细,内存存储量从字节,千字节,兆字节,GB,…容量越来越大。如何有效地管理内存是一门艺术。在80X86体系中通过分段部件和分页部件提供内存管理的支持,由此从换分出实地址模式,保护模式。实地址模式下一般是裸机程序,Linux启动起始内核代码载入内存运行并没有内存管理机制,因此内核是以裸机程序运行,接着通过创建自举分配器创建一个零时的内存分配器来支持系统进一步构建内存管理子系统,待内存管理子系统构建完成以后便抛弃这个自举分配器,同时内核由实地址模式进入到
CR3 寄存器1
08-03
1. 31~22 位:页目录地址偏移 2. 21~12:页表偏移 3. 11~0:Offset,相对于该页的偏移
Linux内核--内存管理(三)物理内存分页机制
文艺小少年的博客
11-26 1029
之前我们分析了内存再用户态的结构体mm_struct及各个区域映射的vm_area_struct以及32位和64位的内核态结构体,本文将基于这些结构来分析Linux的内存管理系统。 内存管理系统包括虚拟内存和物理内存分页以及虚拟内存和物理内存的映射。 本文将介绍分页机制,而映射则在下文中说明。本文首先简单介绍SMP和NUMA系统,然后对物理内存的节点、区域、页结构进行分析,在此基础上剖析伙伴系统和Slub Allocator的实现原理,最后介绍页面交换。
linux系统(X86)存储内存布局
isco22的博客
04-29 732
参数和环境区:程序执行的时候,命令行参数通过两个入口参数传递给main()函数,第一个参数 int argc表示 命令行参数的个数,第二个 char argv[] ,是一个指向命令行参数的指针数组,每个命令行参数都是以'\0'结尾 的字符串。 栈区:用来存放程序中的动态局部变量(不包括static修饰的局部变量,这类变量存储在数据段);函数参数 按照从右往左的顺序依次入栈,而函数调用结...
X86 内存布局分析(Memory map)
huangkangying的专栏
01-11 7556
This article describes the contents of the computer's physical memory at the moment that the BIOS jumps to your bootloader code. 本文主要描述从BIOS代码工作到OS bootloader之前的计算机物理内存分析。 Contents [h
x86 CPU的实模式——内存布局(四)
weixin_62515670的博客
05-12 408
在实模式下,CPU一共有20根地址线,故最多可寻址1MB大小的内存,虽然看起来非常小,但实模式下需要做的事也不多,接下来我们看看实模式下CPU是如何利用这1MB的空间。
为什么主引导记录的内存地址是0x7C00?
Control Complexity
08-16 827
当时,搭配的操作系统是86-DOS。这个操作系统需要的内存最少是32KB。我们知道,内存地址从0x0000开始编号,32KB的内存就是0x0000~0x7FFF。 8088芯片本身需要占用0x0000~0x03FF,用来保存各种中断处理程序的储存位置。(主引导记录本身就是中断信号INT 19h的处理程序。)所以,内存只剩下0x0400~0x7FFF可以使用。 为了把尽量多的连续内存留给操作系统,
X86架构(八)——32位处理器架构
qq_42518517的博客
09-23 857
分支目标预测的目的就是在分支指令执行之前,尽可能准确地预测分支的执行方向和目标地址,以便处理器提前取指并执行可能的目标指令,避免因等待分支结果而导致的流水线停顿。乱序执行是指处理器在执行指令时,不按照程序中指令的顺序依次执行,而是根据指令的依赖关系和处理器的资源情况,动态地调整指令的执行顺序。不过,段的基地址是0x00000000,段的长度是4GB。在32位模式下,为了防止对内存的违规访问,传统的段寄存器(CS、SS、DS、ES)不在保存16位段地址,而是段的选择子,用于选择要访问的段。
过TP C读内存 测试可过dxf 切换CR3
http://www.qlcwl.cn/
03-15 1107
过TP C读内存 测试可过dxf 切换CR3 在win10下可以读写dxf void KReadProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, OUT PVOID Buffer) { ULONG pDTB = 0, OldCr3 = 0, vAddr = 0; //Get DTB pDTB = G...
虚拟内存实现:分页机制与地址变换
"本文主要探讨了分页机制在虚拟内存实现中的作用,详细解析了进程的线性地址空间、物理内存、页目录表和页表等关键概念,并介绍了虚拟内存如何通过地址转换实现进程间的隔离和内存管理。" 在操作系统中,内存管理是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值