MmIsAddressValid

最新推荐文章于 2024-02-06 21:17:42 发布
最新推荐文章于 2024-02-06 21:17:42 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: 驱动/内核/HOOK/ROOKIT 文章标签: c byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/5459924
版权

kd> u MmIsAddressValid

80511990 8bff            mov     edi,edi
80511992 55              push    ebp
80511993 8bec            mov     ebp,esp
80511995 51              push    ecx
80511996 51              push    ecx
80511997 8b4d08          mov     ecx,dword ptr [ebp+8]//传进来的参数,就是一个地址,假定为address
8051199a 56              push    esi
8051199b 8bc1            mov     eax,ecx//第几个参数?
8051199d c1e812          shr     eax,12h
805119a0 bef83f0000      mov     esi,3FF8h
805119a5 23c6            and     eax,esi
805119a7 2d0000a03f      sub     eax,3FA00000h
//  PDE==address'=address>>12h+3ff8h-3FA00000h
805119ac 8b10            mov     edx,dword ptr [eax]//取得计算后的address地址,address'应该是到达一个结构,去第一项给edx
805119ae 8b4004          mov     eax,dword ptr [eax+4]//去第二项给eax
//一系列的换算
805119b1 8945fc          mov     dword ptr [ebp-4],eax//将第二项送入一个局部变量,假定为param1=[address'+4];
805119b4 8bc2            mov     eax,edx
805119b6 57              push    edi
805119b7 83e001          and     eax,1//eax=[address]+1;,标志Present位
805119ba 33ff            xor     edi,edi
805119bc 0bc7            or      eax,edi//[address']+1为0的话就是无效的地址,;如果页面存在标志Present位 = 0,表示该页没有加载到对应的

805119be 7461            je      nt!MmIsAddressValid+0x91 (80511a21)//相等的话就跳到结尾处,置al为0,无效的地址

805119c0 bf80000000      mov     edi,80h
805119c5 23d7            and     edx,edi//edx=[address]+80h,取Page size位,Page size位 = 1,表示LargePage
805119c7 6a00            push    0
805119c9 8955f8          mov     dword ptr [ebp-8],edx//假定为param2=[address']+80h;
805119cc 58              pop     eax //eax=0;
805119cd 7404            je      nt!MmIsAddressValid+0x43 (805119d3)//跳805119d3,最高位 = 0 ,非LargePage
805119cf 85c0            test    eax,eax
805119d1 7452            je      nt!MmIsAddressValid+0x95 (80511a25)//地址有效的最高位 = 1 ,LargePage


805119d3 c1e909          shr     ecx,9  //ecx为我们传进来的参数address,。即地址中的高20位代表pte偏移,低12位表示属性
805119d6 81e1f8ff7f00    and     ecx,7FFFF8h 
805119dc 8b81040000c0    mov     eax,dword ptr [ecx-3FFFFFFCh]//
805119e2 81e900000040    sub     ecx,40000000h //PTE=address''=address>>9+7ffff8h-40000000h,减40000000h就是加0xC0000000
805119e8 8b11            mov     edx,dword ptr [ecx] //将address''的地址传给edx edx=[address''] ,PTE context
805119ea 8945fc          mov     dword ptr [ebp-4],eax //param1=[address>>9-3FFFFFFCh]
805119ed 53              push    ebx    
805119ee 8bc2            mov     eax,edx
805119f0 33db            xor     ebx,ebx
805119f2 83e001          and     eax,1  eax=[address'']+1;, pte 页面存在标志 Present位

805119f5 0bc3            or      eax,ebx
805119f7 5b              pop     ebx  // [address'']+1为0的话就无效 标志 Present位不存在无效
805119f8 7427            je      nt!MmIsAddressValid+0x91 (80511a21)//无效
805119fa 23d7            and     edx,edi   edx=[address'']+80h
805119fc 6a00            push    0
805119fe 8955f8          mov     dword ptr [ebp-8],edx //  param2=[address'']+80h
80511a01 58              pop     eax  // eax与edx相比较   
80511a02 7421            je      nt!MmIsAddressValid+0x95 (80511a25)//有效
80511a04 85c0            test    eax,eax //还是跳、、
80511a06 751d            jne     nt!MmIsAddressValid+0x95 (80511a25)//有效
80511a08 23ce            and     ecx,esi
805119fc 6a00            push    0
805119fe 8955f8          mov     dword ptr [ebp-8],edx
80511a01 58              pop     eax
80511a02 7421            je      nt!MmIsAddressValid+0x95 (80511a25)//有效
80511a04 85c0            test    eax,eax
80511a06 751d            jne     nt!MmIsAddressValid+0x95 (80511a25)//有效
80511a08 23ce            and     ecx,esi
80511a0a 8b89000060c0    mov     ecx,dword ptr [ecx-3FA00000h]
80511a10 b881000000      mov     eax,81h
80511a15 23c8            and     ecx,eax
80511a17 33d2            xor     edx,edx
80511a19 3bc8            cmp     ecx,eax
80511a1b 7508            jne     nt!MmIsAddressValid+0x95 (80511a25)//有效
80511a1d 85d2            test    edx,edx
80511a1f 7504            jne     nt!MmIsAddressValid+0x95 (80511a25)//有效


80511a21 32c0            xor     al,al
80511a23 eb02            jmp     nt!MmIsAddressValid+0x97 (80511a27)

80511a25 b001            mov     al,1
80511a27 5f              pop     edi
80511a28 5e              pop     esi
80511a29 c9              leave
80511a2a c20400          ret     4
80511a2d cc              int     3
80511a2e cc              int     3
80511a2f cc              int     3
80511a30 cc              int     3
80511a31 cc              int     3
PAE模式
int PDE = ((lVirtualAddress>>21)<<3) & 0x3FF8 + 0xC0600000;
int PTE = ((lVirtualAddress>>12)<<3) & 0x7FFFF8 + 0xC0000000;

//从网上找的一个C代码
BOOLEAN MmIsAddressValid ( PVOID VirtualAddress )
{
BYTE PresentSign = 0x1;
BYTE PageSizeSign = 0x80;
BYTE PresentAndPageSizeSign = 0x81;
PVOID lVirtualAddress;
ULONG PDE,PDEContext;
ULONG PTE,PTEContext;
lVirtualAddress = VirtualAddress;
PDE = (((ULONG)lVirtualAddress>>21)<<3) & 0x3FF8 + 0xC0600000;
PDEContext = (ULONG)*(PVOID)PDE;
if(!(PDEContext & PresentSign))
return FALSE;

if(PDEContext & PageSizeSign)
return TRUE;

PTE = (((ULONG)lVirtualAddress>>12)<<3) & 0x7FFFF8 + 0xC0000000;
PTEContext = (ULONG)*(PVOID)PTE;
if(!(PTEContext & PresentSign ))
return FALSE;

if(!(PTEContext & PageSizeSign))
return TRUE;
else
{
PDE = (ULONG)PTE & 0x3ff8 + 0xc0600000;
PDEContext = (ULONG)*(PVOID)PDE;
if(PDEContext & PresentAndPageSizeSign)
return TRUE;

}

return FALSE;
}

 

 

 

kd> !pte
               VA 00000000
PDE at 00000000C0600000    PTE at 00000000C0000000
contains 0000000002C80067  contains 0000000000000000
pfn 2c80       ---DA--UWEV   

instruder
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[windows内核]分析MmIsAddressValid
r250414958的博客
09-19 3084
如果有过驱动编程经验的人一定会了解这个函数MmIsAddressValid(),这个函数的作用简单来说就是验证一个地址可否使用,因为在驱动编程里稍有不慎就会导致BSOD,会在读取和写入数据的时候都要非常谨慎,做好充足的判断。 这是MSDN中的解释 https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-mmisaddressvalid If no page fault would occur from r
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 895
ProbeForRead/Write 在开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现: ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2820
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
inline hook MmIsAddressValid
futosky的专栏
03-21 420
//用于inline hook #include KIRQL Irql; extern PEPROCESS pEprocess; /******************************************************************************************/// hook MmIsAddressValid ULONG g_
透过MmIsAddressValid看Windows分页机制.doc
09-29
透过MmIsAddressValid看Windows分页机制.doc
易语言驱动判断内核内存是否可读源码-易语言
06-13
2. **内存访问检查**:在驱动程序中,使用内核API(如 ZwQueryVirtualMemory 或 MmIsAddressValid)来检查指定内存地址的访问权限。这些API可以提供关于内存页的保护状态,例如是否可读、可写或执行。 3. **安全...
BypassDriverDetection_And_Kill360Process:感谢所有帮助我的人
05-14
BypassDriverDetection_And_Kill360Process 环境:Win7 7600 x86 360版本:11.4.0.2002 ...3.1、MmIsAddressValid 3.2、ProbeForRead() 3.3、ProbeForWrite() 3.4、总结: 三、实现代码: 1、结束进程代码
MmIsAddressValid、ProbeForRead、ProbeForWrite函数分析
zz_strive_2012的专栏
12-19 1112
MmIsAddressValid WDK文档中给出的功能描述: The MmIsAddressValid routine checks whether a page fault will occur for a read or write operation at a given virtual address. 根据描述来看这个函数的功能只是去检查读写操作会不会触发一个页错误,但是作为一个...
保护模式(八)pde与pte、基址、 逆向MmIsAddressValid
weixin_37673331的博客
02-26 1025
Windows保护模式学习笔记(七)—— PDE&PTE 原创 ...
[转](23)逆向分析 MmIsAddressValid 函数(XP系统 10-10-12分页)
weixin_41875267的博客
11-16 234
一、找到 MmIsAddressValid 函数 方法一:在windbg中输入 u MmIsAddressValid 方法二:在c:\windows\system32\ 中找到内核程序,用IDA分析。 ntkrnlpa.exe 2-9-9-12 分页内核 ntoskrnl.exe 10-10-12 分页内核 打开 ntoskrnl.exe 后,导入pdb文件,即可查看函数名称。 如果你没有pdb文件,请先安装对应系统版本的符号文件。 ...
MmIsAddressValid()做了些什么
pureman_mega的博客
03-25 960
从函数的名称可以看出是判断地址是否有效,下面是反汇编代码和C代码。它主要判断地址是否对齐来确定地址是否有效。nt!MiIsAddressValid: 840bcaa8 8bff mov edi,edi 840bcaaa 55 push ebp 840bcaab 8bec mov ebp,esp 840bcaa
X64下MmIsAddressValid的逆向及内存寻址解析
06-27 297
标 题: 【原创】X64下MmIsAddressValid的逆向及内存寻址解析 作 者: 普通朋友 时 间: 2015-10-21,20:03:52 链 接: http://bbs.pediy.com/showthread.php?t=205143 在内核编程时,经常会用到MmI...
透过MmIsAddressValid看Windows分页机制
求索
10-28 1810
标 题: 【原创】透过MmIsAddressValid看Windows分页机制作 者: combojiang时 间: 2008-03-16,00:53链 接: http://bbs.pediy.com/showthread.php?t=61327这两天在逆向分析MmIsAddressValid这个函数,学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddre
漏洞预防
m0_55875295的博客
05-25 201
内核驱动漏洞原因和七大忠告 不要使用MMIsAddressValid函数,这个函数对于校验内存结果是UNreliable的 首先,他只能判断一个字节地址的有效性 比如:​​​​​​ if(MmIsAdressValid(p1)){ memcmp(p1,p2,len); } 攻击者只需要传递第一个字节在有效页,而第二个字节在无效页的内存就会导致系统崩溃。比如0x7000是有效也 0x8000是无效也 传入0x7fff 其次,MmIsAddressValid对于 pageout的页面不能准..
浅谈一下驱动中的IoDeviceControl的双向通信
最新发布
vShaShen_的博客
02-06 415
浅谈一下驱动中的IoDeviceControl的双向通信
驱动中检查应用层地址有效
liwen930723的专栏
09-25 1934
之前有个驱动,其中有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思...
Windows 驱动层读取用户层地址
05-31
1. 使用函数 MmIsAddressValid() 来检查给定的地址是否合法,如果合法则说明该地址是用户层地址。 2. 使用函数 ProbeForRead() 或 ProbeForWrite() 来验证给定的用户层地址是否具有正确的访问权限,并将其转换为内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值