Blue Pill源代码分析(2)

最新推荐文章于 2022-11-05 13:54:27 发布
最新推荐文章于 2022-11-05 13:54:27 发布
阅读量4.5k 收藏 4
点赞数
文章标签: 代码分析 windows allocation ui resources api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzz14/article/details/4037300
版权
本文深入探讨了Blue Pill驱动如何利用Windows的虚拟地址映射机制,详细解释了PML4、PDP、PD和PT常量的计算,并介绍了BP如何通过ExAllocatePoolWithTag和MmAllocateContiguousMemorySpecifyCache分配内存页面。此外,文章还讨论了内存页面的不同类型和标志,以及MmInitManager函数在创建PML4映射时的关键步骤。
摘要由CSDN通过智能技术生成

为了在虚拟运行之后,客户机被宿主机接管,驱动程序代码还能被访问,BP使用了和windows一样的虚拟地址映射方式,以下四个常量:
#define PML4_BASE 0xFFFFF6FB7DBED000
#define PDP_BASE 0xFFFFF6FB7DA00000
#define PD_BASE  0xFFFFF6FB40000000
#define PT_BASE  0xFFFFF68000000000
和windows内核的下面四个常量对应(WRK中base/ntos/inc/amd64.h(2528)):
#define PXE_BASE          0xFFFFF6FB7DBED000UI64
#define PPE_BASE          0xFFFFF6FB7DA00000UI64
#define PDE_BASE          0xFFFFF6FB40000000UI64
#define PTE_BASE          0xFFFFF68000000000UI64
      7B40000000
这四个常量的计算方法如下:
首先选定PTE_BASE,windows选择把页表映射到虚拟地址0xFFFFF68000000000UI64的位置,则后面的PDE_BASE、PPE_BASE和PXE_BASE依次算出
PDE_BASE = ((PTE_BASE & 0x0000FFFFFFFFF000) >> 12) * 8 + PTE_BASE = 0xF68000000 * 8 + PTE_BASE = 0x7B40000000 + PTE_BASE = 0xFFFFF6FB40000000
PPE_BASE = ((PDE_BASE & 0x0000FFFFFFFFF000) >> 12) * 8 + PTE_BASE = 0xF6FB40000 * 8 &

最低0.47元/天 解锁文章
lzz14
关注
Blue Pill源代码分析(1)
lzz14的专栏
03-29 7881
一直都有写blog的想法,但是每次总觉得写东西很浪费时间,还不如利用这些时间多学点东西。不过每次学到东西之后,总是很容易遗忘,学到方法不假,一些零碎细节忘的很快,于是决定还是应该写点东西出来作备忘。去年末,对Blue Pill有稍微了解一下,但终究是没有完整阅读过源代码,今天花了一天的时间把Blue Pill的源代码看了一下,总算对其中的奥妙之处有所了解。原先对VT技术不是特别了解的地方今天看了代
Win 10 源码有多少行?用了什么编程语言?
热门推荐
程序员的那些事
04-15 1万+
(给程序员的那些事加星标)原创整理:程序员的那些事(id:iProgrammer)2013 年 10 月,我们在微博(@程序员的那些事)发过一张信息图《知名软件系统代码...
blue-pill代码解读
inquisiter
09-21 1077
一、虚拟机启动 整个过程比较清晰,2.7的过程会对vmcs的状态域进行设置,也就是会接管中断过程,VMxLaunch启动硬件虚拟化。 再往上,一段汇编。调用HvmSubvertCpu CmSubvert (PVOID GuestRsp); CmSubvert PROC StdCall _GuestRsp CM_SAVE_ALL_NOSEGREGS mov eax,esp push eax ;setup esp to argv[0] call HvmSubvertCpu
Windows内核--WRK和真实的Windows内核源代码差多少?(1.3)
最新发布
编程语言技巧经验分享
11-05 1430
前面有提到WRK是微软官方公布的XP/Server 2003供学习和研究的内核源代码WRK1.2究竟占据源代码的多少比例?
Windows内核原理与实现之Windows研究内核(WRK)
首席技术总监的专栏
11-26 1797
Windows并非一个开放源码的操作系统,但正如上一章所提,Microsoft开放了一份以Windows XP x64和Windows Server 2003 SP1为基础的内核源代码,它可以编译和运行,作为教育科研机构的教学实践和研究的平台使用,称为WRKWindows Research Kernel,Windows研究内核)。 WRK重要目标是辅助教学,让计算机专业的学生能够通过Windo...
win10内核部分源码
11-28
瘟10 内核部分代码,win10内核部分源码,win10内核部分源码,win10内核部分源码。仅供学习,请于下载后24小时内销毁
bluepill:Bluepill是可靠的iOS测试工具,可在一台计算机上使用多个模拟器运行UI测试
02-03
获取bluepill二进制文件:从源代码构建或使用我们的。 您也可以从Homebrew获取二进制文件。 $ brew install bluepill 构建您的应用程序和测试包。 如果在终端中使用xcodebuild ,则必须build-for-testing 。 ...
bluepill:Bluepill 是一款可靠的 iOS 测试工具,可在单台机器上使用多个模拟器运行 UI 测试
07-24
获取 bluepill 二进制文件:从源代码构建或使用我们的。 您还可以从 Homebrew 获取二进制文件。 $ brew install bluepill 构建您的应用程序和测试包。 如果在终端中使用xcodebuild ,则必须build-for-testing 。 ...
stm32f303c6-956234_NEW_bluepill_stmf303_
09-30
"bluepill"是开发板的一种,它通常配备STM32系列的微控制器,为开发者提供了一个低成本且功能丰富的平台,用于学习、原型设计和项目开发。"956234_NEW_bluepill_stmf303_"可能是指该开发板的一个特定版本或修订版,...
Windows 源码学习,WRK 和 ReactOS
LYSM
04-23 1204
WRKwindows Research Kernel ) 是微软公开的一部分 windows 内核源码,用来供给开发人员学习。 下载地址:http://www.awarenetwork.org/home/iqlord/other/wrk.rar ReactOS 是一个开源项目,通过逆向来兼容 windows 系统,相比 WRK 代码更全面但 bug 也多。 下载地址:https://sourc...
WRK源码,可直接用VS打开
02-28
windows驱动编程的参考,里面是WRK的源码,可直接用VS打开,编程中有不懂的可以直接看
wrk内核详细源代码
01-08
WRK的全称是“Windows Research Kernel”,它是微软为高校操作系统课程提供的可修改和跟踪的操作系统教学平台。它给出了Windows这个成功的商业操作系统的内核大部分代码,可以对其进行修改、编译,并且可以用这个内核启动Windows操作系统。可让学生将操作系统基本原理和商业操作系统内核联系起来,进一步加深对操作系统整体的理解。
操作系统课程设计 Kernel编译和WinDbg启动 批处理文件
weixin_30246221的博客
09-01 79
适用对象:东大计算机学院大四正在做操作系统课程设计的同学们 (其他同学请低空掠过) 操作系统课程设计 Kernel编译及WinDbg运行批处理文件,Help you work better! 在下载文件之前,请仔细阅读以下使用说明 用途:1.Kernel的编译命令行集成;2.WinDbg启动的命令行集成 (不用每次都敲这么多命令行啦~~) 在运行之前:1.请将虚拟机装好,端口配置OK;2...
wrk源文件阅读
ivalue的博客
09-25 758
1:wrk是一个开源的基准测试工具 https://github.com/wg/wrk 2:代码详解 int main(int argc, char **argv) { char *url, **headers = zmalloc(argc * sizeof(char *)); struct http_parser_url parts = {}; // 在这里解析...
Windows内核--源代码在哪里?(1.1)
编程语言技巧经验分享
11-02 2745
利用WinDbg调试Kernel, 可以得到内核数据结构,参照WRK源代码和深入解析Windows操作系统可以猜测到内核源码的可能长相,结合IDA等反编译工具和Windbg可以获取内核全貌。微软官方并不完全公开源代码, 想清楚Windows技术内幕,就需要逆向工具。大部分人能看到这篇帖子, 想必已经用过Windows系统多年了...
19.x64下算出PTE
qq_35129925的博客
04-05 1355
X64下用的是9-9-9-9-12的分页模式,PML4E-PDPTE-PDE-PTE-偏移,线性地址的前16位是作符号扩展,后48位是分页模式. 1.PTE是直接指向物理内存的,X86下有个固定的页目录表0xc0000000可得到所有地址信息,X64下为了安全起见,页目录表随机了,文章末有分析如何得到。 一、PTE的算法: 1.已一个线性地址为例0xfffffa801a628b30,下面先拆分 PML4E:1111 1010 1 1F5 PDPTE:000 000...
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2450
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存。
windows驱动开发-内存管理
黑客三遍猪
06-03 2126
由于VS与WDK卸载,暂停,未完待续。。。 参考博客:第二十七篇:Windows驱动中的PCI, DMA, ISR, DPC, ScatterGater, MapRegsiter, CommonBuffer, ConfigSpace 系统空间的中虚拟内存与物理内存之间的联系通过IoAllocateMdl与MmBuildMdlForNonPagedPool建立特定的MDL来表示。其后,通过DMA...
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
qq_41988448的博客
03-02 4140
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址转物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料 前言 在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。 9-9-9-9-12分页 描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式
STM32F103C8T6bluepill开发板Rust Shell源码发布
该资源包提供了一个名为"bluepill-master"的文件夹,其中包含了Rust语言编写的BSP和Shell的源代码。开发者下载这个资源包后,可以使用支持Rust的IDE或编译器进行源代码的编辑、编译和调试。这为学习Rust在嵌入式开发...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值