101012分页

最新推荐文章于 2023-06-21 14:51:28 发布
最新推荐文章于 2023-06-21 14:51:28 发布
阅读量554 收藏 1
点赞数 3
分类专栏: # PE 保护模式 文章标签: windows 内核 保护模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/116282619
版权

WIN7 X86修改为 101012分页

cmd管理员权限

bcdedit /deletevalue {current} PAE
bcdedit /deletevalue {current} nx   
bcdedit /set {current} nx AlwaysOff
bcdedit /set {current} PAE ForceDisable

修改完后就是这个效果
在这里插入图片描述
在这里插入图片描述

寻址

#include "stdafx.h"
#include "windows.h"


DWORD g = 1000;
void _tmain(int argc, _TCHAR* argv[])
{
     printf("&g=0x%x\n\r",&g);
	 system("pause");
}

首先!process 0 0找到该进程的CR3的值
在这里插入图片描述
然后根据地址值进行拆分
405000
0000 0000 0100 0000 0101 0000 0000 0000
0000 0000 01 = 1
00 0000 0101 = 5
0000 0000 0000 = 0
在这里插入图片描述
然后根据拆分的找到数据存放位置

在这里插入图片描述

0地址调用函数

这个除了可以给自己的0地址挂上物理页,还可以给其他进程的0地址挂上物理页,实现一波进程的劫持。

#include "stdafx.h"
#include "windows.h"

typedef void (_stdcall *FUNCTION)();

int _tmain(int argc, _TCHAR* argv[])
{       
        char buf[]={
                0x6A, 0x00, 
                0x6A, 0x00, 
                0x6A, 0x00, 
                0x6A, 0x00, 
                0xE8, 0x28, 0x3C, 0xC6, 0x9A, 
                0xC3
        };//构造机器码
        int *p = (int *)VirtualAlloc(NULL,0X1000,MEM_COMMIT,PAGE_EXECUTE_READWRITE) ;//在空指针的地方申请内存
        VirtualLock(p,0X1000);
        *((ULONG*)&buf[9])=(ULONG)MessageBoxA;//调用函数       
        memcpy_s(p,0x1000,buf,sizeof(buf));

		//char MessageBoxAA[]={"MessageBoxA"};
		//HMODULE hmodule = LoadLibraryA("user32.dll");

		//ULONG messageBox = (ULONG)GetProcAddress(hmodule,MessageBoxAA);
		//*(PULONG)&bufcode[9] = messageBox;也可以这样寻址
        printf("address: %p\n",p);
       
        system("pause");
        HMODULE h=LoadLibraryA("ntdll.dll");
        
        FUNCTION obj=(FUNCTION)GetProcAddress(h,"asdasd");//返回空指针
        obj();
        VirtualUnlock(p,0x1000);
        VirtualFree(p,0X1000,MEM_DECOMMIT);
        system("pause");
        return 0;
}

首先找到存放机器码的位置,然后拆分地址
000F 0000
0000 0000 0000 1111 0000 0000 0000 0000
0000 0000 00 = 0
00 1111 0000 = F0
0000 0000 0000 = 0
在这里插入图片描述
根据拆分的找到存放机器码的位置
在这里插入图片描述
把机器码的位置放进0地址的位置
在这里插入图片描述
最后实现成功调用
在这里插入图片描述

分析MmIsAddressValid函数

文件为ntoskml.exe
a1 为传进去的虚拟地址

bool __fastcall sub_489B98(unsigned int a1)
{
  int v1; // eax
  int v3; // eax

  v1 = *(_DWORD *)(((a1 >> 20) & 0xFFC) - 0x3FD00000);//这一步算出相对于PDE 0xC0300000的偏移
  if ( !(v1 & 1) )//检测P位
    return 0;
  if ( (v1 & 0x80u) != 0 )//检测G位,如果是全局页那么是在TLB中
    return 1;
  v3 = *(_DWORD *)(((a1 >> 10) & 0x3FFFFC) - 0x40000000);//根据偏移算出在PTE 0xC0000000中的位置
  if ( !(v3 & 1) )//检测p位
    return 0;
  return (v3 & 0x80) != 0x80u;//检测G位
}

PDE = 0xc0300000 + addr的高10位4
PTE = 0xC0000000 + addr的高20位4

0xwangliang
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
13.10-10-12分页
qq_35129925的博客
03-09 396
一、概念铺垫 mov eax,dword ptr ds:[0x12345678] 上面这条mov指令中,0x12345678 是有效地址,ds.base+0x12345678是线性地址。 每个进程都拥有“4GB”地址空间,这4GB实际上并不存在,数据真正存储在“物理地址”中。 在10-10-12分页模式下,一个线性地址分为3部分: 二、设置系统分页模式为10-10-12模式 将boot.ini文件中的启动参数,noexecute改成execute。如图: ...
11.分页(10-10-12)
My classmates
10-13 1181
在x86的cpu有两种转换的方式 101012 29912 先讲101012分页,默认是29912分页我们要将它先改成101012分页先 把矩形处的no去掉然后重启 实验 过滤它找到正确的 现在找到的是一个线性地址,我们来将他转换成物理地址。 000AE6C8 10-10-12分页刚好32位将它分成3份 0000 0000 00 == 0x0; 00 1010 1110 == 0xA...
101012
SUNE__学无止境
11-07 1041
1
保护模式(七)101012分页、配置以及实验
weixin_37673331的博客
02-22 961
地址说明 有效地址-线性地址-物理地址 有效地址与线性地址 先看如下指令: MOV eax,dword ptr ds:[0x12345678] 其中,0x12345678 是有效地址 ds.Base + 0x12345678 是线性地址 注意:当段寄存器的Base为0时,有效地址=线性地址,大多数时候都是如此;但也有特殊情况,比如fs段寄存器的Base不为0 CR3说明 每个进程都有一个Cr3(准...
X86分页机制-101012分页
qq_30528603的博客
06-11 173
它里面存了一个值指向的是物理页,上图所示的一级二级其实是一个页目录表,我们的10-10-12分页第一个10比特位就是找在第一级页目录的哪个位置,找到后里面存的又是一个地址,指向第二级页目录,然后通过第二个10比特位来找到第二级目录表中具体位置,里面存的是指向物理页的地址,接着用这个物理地址加上我们分解的12比特位找到最终位置。首先我们在xp上做实验,打开一个记事本写一句Hello world,因为一个记事本也是一个进程,同样有属于自己的4GB空间,我们写的hello world一定会存在它的空间里。
jquery分页
09-05
分页,并使用jquery ajax传数据。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
纯前端分页
06-28
使用js写的纯前端分页,可以加入数据,在本人的个人博客系统中有用到,欢迎大家研究分析
分页js文件
05-11
分页js、代码看博客分页js、代码看博客分页js、代码看博客分页js、代码看博客
Foundation 分页
01-21
Foundation 分页 如果你的网页有很多内容,就需要使用分页功能。 要创建一个基础的分页功能需要在 元素上加上 .pagination 类: 实例   1   2   3   4   5 当前页面 可以在 加上 .current 类来标注当前...
分页插件分页
11-08
jQuery分页插件,自带回调页数,jQuery分页插件,自带回调页数,jQuery分页插件,自带回调页数,
(9) [保护模式] 10-10-12分页
qq_50332504的博客
05-01 550
windows中10-10-12分页中CR3,PDE,PTE和物理页有着怎样的对应关系? 给0线性地址挂物理页;使用代码挂物理页。 PDE和PTE与线性地址C030 0000和C000 0000的对应关系验证。 PDE,PTE属性位介绍,以及用实验论证。
Win7设置10-10-12分页或2-9-9-12分页
h2995527的博客
04-09 483
Win7设置10-10-12分页或2-9-9-12分页 欢迎使用M以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示; 全新的 KaTeX数
10-10-12分页与P/RW页属性
qq_18811919的博客
02-19 537
分页 物理地址 线性地址、有效地址、物理地址 如下指令:MOV eax,dword ptr ds:[0x12345678] 其中,0x12345678是有效地址 ds.Base+0x12345678是线性地址 如果Base是0则有效地址和线性地址是一样的。 线性地址 上述例子中0x12345678+ds.Base是线性地址。 线性地址是不存在的真正的数据在物理地址, 其中线性地址转换为物理地址是由CPU进行转换的。 比如所有EXE里面的系统DLL其实都是存在于物理地址中, 然后将对每个EXE都映射了一份线
4.地址转换,实现101012分页
qq_24739717的博客
06-21 426
实现内存检测,理解Linux内存管理,实现101012分页《操作系统真相还原》
Windows保护模式下的分页机制(PART1:10-10-12模式)
tutucoo
12-03 1228
1.概述 一个进程的虚拟地址空间是4GB,它的物理大小并不是真的4GB,如果真的是4GB,那运行中的所有进程都加起来占用的空间是一个天文数字,事实上系统会对这4GB的地址空间进行转换,然后映射到物理内存中。换句话说虚拟地址本身并不是真实存在的。 将虚拟地址转换为物理地址依赖的规则就是分页机制。 物理地址也并不是内存条地址,物理地址需要再进行一层转换才能找到真正的内存条地址。 我们只要会转换到物理地...
15.PAE分页(2-9-9-12)
My classmates
10-14 1544
10-10-12分页方式,在这种分页方式下物理地址最多可达4GB。 但随着硬件发展, 4GB的物理地址范围已经无法满 足要求 Intel在1996年就已经意识到这个问题了,所以设计了新的分页方式. 2-9-9-12分页,又称为PAE (物理地址扩展)分页. 页的大小是确定的, 4KB不能随便改,所以12确定了 如果想增大物理内存的访问范围,就需要增大PTE,增大多少还要考虑对齐的因素,增加到...
网页中实现分页功能的几种方法
热门推荐
二二②四的小窝
02-10 3万+
当我们在做一些类似于贴吧展示帖子这种项目的时候,由于帖子的数量比较多,就会用到分页的技术。这里我将介绍几种几种方式来实现分页的技术。首先我们先来了解一下分页功能的核心技术点:1.       首先先规定每一页显示多少张贴子数,这样才能计算总共有多少页。2.       然后再从数据库中提取相关数量的记录,将这些提取出来的记录显示在页面上。a.      从数据库中提取有限的记录时,我们用到的sql...
通用的分页思路
小浩子的博客
04-19 9497
最终效果如下思路前台需要展示的是一页一页的数据,每一页包含的信息有两个:当前页数(pageNow)、每一页有条数据(pageSize)。其他的事情前台不用关心,它的目的只是展示数据。而数据的来源在后台,前台告诉后台需要哪一页的数据以及这一页有多少条数据,pageSize是可以设定的,所以pageNow是前台和后台交互的核心。那么后台接收到前台的pageNow,要去识别它,根据这个参数到数据库取得数据
常见的分页方式
biaozhun90的博客
10-11 2345
1.概念 物理分页:利用数据库本身提供的分页方式,如mysql的limit,oracle的rownum,好处是效率高,不好的地方就是不同的数据库有不同的搞法。如hibernate采用的是物理分页。 逻辑分页:利用游标分页,好处是数据库兼容,坏处是效率太低。 真分页:确定要显示的页面内容数量,按需查询,效率高,但访问数据库频繁,大型网站都用真分页。 假分页:一次性从数据库查出所有的数据并在页
dedecms 分页
最新发布
05-09
DedeCMS的分页功能主要有两种实现方式:手动分页和自动分页。 手动分页是指用户在编辑文章时,手动在文章中插入“[!--page--]”标签,来进行分页。用户可以根据文章的内容和排版,自行决定分页的位置和数量。在前台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值