Intel VT学习笔记(七)—— EPT物理地址转换

已于 2022-10-09 10:52:33 修改
阅读量1.5k 收藏 9
点赞数
分类专栏: VT 文章标签: VT EPT
于 2022-02-21 16:54:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/122939043
版权

Intel VT学习笔记(七)—— EPT物理地址转换

要点回顾

上一篇中,已经初步实现了最小VT框架,但实际上还有许多问题需要解决。

在最小VT框架中,我们仅处理了三个退出码:

#define EXIT_REASON_CPUID               10
#define EXIT_REASON_VMCALL              18
#define EXIT_REASON_CR_ACCESS           28

要是想开发一个成熟的VT框架,需要处理的退出码远要多得多。

本节,我们主要学习的内容是EPT物理地址转换。

EPT

描述:EPT全称为Extended Page Table,用于实现内存虚拟化。

之前,在学习保护模式的时候,我们了解了MMU(虚拟内存管理器)是如何将虚拟地址转换成物理地址的,那便是通过分页模式,在XP系统中,我们学习了10-10-12分页2-9-9-12分页两种分页模式,EPT的作用与此非常像,它能够将guest的物理地址(Guest Physical Address, GPA)转换成host的物理地址(Host Physical Address, HPA)。

开启EPT后,真正的物理内存就被隐藏起来了,Guest中的所有人都访问不到,只有Host能访问到。

关于EPT的详细资料可以参考Intel开发手册卷3第28节。

支持检测

步骤:检测IA32_VMX_PROCBASED_CTLS2 MSR(index 48BH)高32位的第2位,为1则表示支持。
在这里插入图片描述

9-9-9-9-12分页

描述:EPT提供的分页模式为9-9-9-9-12分页,即最多支持48位地址的转换,也就是256T内存 。

以之前学过的2-9-9-12分页模式为例,寻址流程大致如下:
PDPTE
关于2-9-9-12分页模式的具体内容可通过这篇文章复习,连笔者自己也有点忘了。

再来看看9-9-9-9-12分页模式的流程:
在这里插入图片描述
不难发现,这两者看上去差别不大,只是后者比前者多了一个目录项,但实际上大有不同。

其中,EPTP的作用相当于Cr3,GPA通过它逐步找到HPA。

思考:VT是如何完成物理地址到物理地址之间的转换的呢?

按照以往的经验,如果需要将虚拟地址转换成物理地址,首先要知道这个虚拟地址是属于谁的,也就是Cr3是多少,然后将虚拟地址按照分页模式进行拆分,逐级读取各个表项,最终找到相应的物理页。

但是在EPT模式下,Guest中的每个物理地址都经过了虚拟化,因此,每访问一个物理地址,就要经过一次从GPA到HPA的转换。

那也就是说,若系统使用的是2-9-9-12分页模式,那么如果从想要找到真正的物理页,一共要经过三次从物理地址到物理地址的转换,具体的过程由VMM实现,我们只要了解其寻址原理即可。

第一次:PDPTE(GPA) -> PDPTE(HPA)
第二次:PDE(GPA) -> PDE(HPA)
第三次:PTE(GPA) -> PTE(HPA)

总寻址次数 = 3*4 = 12次

实验:EPT物理地址转换

第一步:分配内存,使其整体结构成为9-9-9-9-12模式,并挂入相应的物理页。

//ept.c
#include <ntddk.h>
#define PAGE_SIZE 0x1000

ULONG64* ept_PML4T;

static PVOID *pagesToFree;
static int index = 0;

void InitEptPagesPool()
{
    pagesToFree = ExAllocatePoolWithTag(NonPagedPool, 12*1024*1024, 'ept');
    if(!pagesToFree)
        __asm int 3
    RtlZeroMemory(pagesToFree, 12*1024*1024);
}

static ULONG64* AllocateOnePage()
{
    PVOID page;
    page = ExAllocatePoolWithTag(NonPagedPool, PAGE_SIZE, 'ept');
    if(!page)
        __asm int 3
    RtlZeroMemory(page, PAGE_SIZE);
    pagesToFree[index] = page;
    index++;
    return (ULONG64 *)page;
}

ULONG64* MyEptInitialization()
{
    ULONG64 *ept_PDPT, *ept_PDT, *ept_PT;
    PHYSICAL_ADDRESS FirstPtePA, FirstPdePA, FirstPdptePA;
    int a, b, c;

    InitEptPagesPool();
    ept_PML4T = AllocateOnePage();
    ept_PDPT = AllocateOnePage();
    FirstPdptePA = MmGetPhysicalAddress(ept_PDPT);
    *ept_PML4T = (FirstPdptePA.QuadPart) + 7;
    for (a = 0; a < 4; a++)
    {
        ept_PDT = AllocateOnePage();
        FirstPdePA = MmGetPhysicalAddress(ept_PDT);
        *ept_PDPT = (FirstPdePA.QuadPart) + 7;
        ept_PDPT++;
        for (b = 0; b < 512; b++)
        {
            ept_PT = AllocateOnePage();
            FirstPtePA = MmGetPhysicalAddress(ept_PT);
            *ept_PDT = (FirstPtePA.QuadPart) + 7;
            ept_PDT++;
            for (c = 0; c < 512; c++)
            {
                *ept_PT  = ((a << 30) | (b << 21) | (c << 12) | 0x37) & 0xFFFFFFFF;
                ept_PT++;
            }
        }
    }

    return ept_PML4T;
}

void MyEptFree()
{
    int i;
    for (i = 0; i < index; i++) {
        ExFreePool(pagesToFree[i]);
    }
    ExFreePool(pagesToFree);
    index = 0;
}

//driver.c
#include <ntddk.h>
#include "vtasm.h"
#include "vtsystem.h"

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	StopVirtualTechnology();
	DbgPrint("Driver unload. \r\n");
}

ULONG g_back_esp;
ULONG g_back_eip;

extern void InitEptPagesPool();
extern ULONG64* MyEptInitialization();

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING reg_path)
{
	DbgPrint("Driver load. \r\n");

	pDriver->DriverUnload = DriverUnload;

	InitEptPagesPool();
	ULONG64* ept_PML4T = MyEptInitialization();
	Log("ept_PML4T", ept_PML4T);
	__asm int 3;

	__asm
	{
		pushad
		pushfd
		mov g_back_esp, esp
		mov g_back_eip, offset BACK
	}

	StartVirtualTechnology();	//开启VT

BACK:

	__asm
	{
		popfd
		popad
	}

	//Log("Return To DriverEntry", 0);

	return STATUS_SUCCESS;
}

第二步:运行驱动程序(注意,当Windbg获取中断时,此时并未开启VT以及EPT模式)
在这里插入图片描述
在这里插入图片描述
第三步:读取当前cr3和esp的值
在这里插入图片描述

在这里插入图片描述

第四步:获取当前esp的物理地址作为GPA,下面尝试将其转换成HPA
在这里插入图片描述
第五步:将esp的物理地址拆分为9-9-9-9-12模式
在这里插入图片描述

二进制:00011110 11010110 10011100 01101100
9-9-9-9-12:000000000 000000000 011110110 101101001 110001101100
十六进制:000_000_0f6_169_c6c

第六步:定位PLM4E(注意,此时EPTP即ept_PLM4T指针是虚拟地址,里面的值才是物理地址)
在这里插入图片描述
这里PLM4E只有1项,因为XP系统物理内存最大为4GB,因此一项就够了

第七步:定位PDPTE(这个时候开始就是物理地址了,记得去掉属性位)
在这里插入图片描述
第八步:定位PDE
在这里插入图片描述
第九步:定位PTE
在这里插入图片描述
第十步:定位物理内存
在这里插入图片描述在这里插入图片描述
物理页中的内容和ESP里的值相同,说明整个过程没有问题。

总结:不难发现,GPA经过转换后得到的HPA没有变化,但实际上,如果开启EPT模式,当Guest和Host访问同一个物理地址时,Guest只能对“虚拟的”物理内存进行读写,只有Host才能访问到真正的物理内存。

参考资料

lzyddf
关注
专栏目录
[VT虚拟化驱动]启用EPT
吾无法无天的博客
12-05 3328
文章目录前言一、EPT概述二、构建EPT1.思路2.代码实现三、本章代码 前言 一、EPT概述 其实也就相当于r0与r3,在r3层的地址并不是真正对应到内存里的物理地址,而是虚拟地址,需要通过内核里对应的页表来查找才能得到真正的物理地址,但如果加载了VT,在r0层查出来的物理地址也变成了虚拟的,也需要通过一个页表来查得真正的物理地址,也就是EPT,有了EPT机制,就能在一台电脑里运行多个操作系统,就像一个操作系统里运行多个应用程序一
解决此平台不支持虚拟化的 Intel VT-x/EPT故障问题
CoffeMilk的博客
06-18 2324
当我们在VMware Workstation虚拟机上【启用】虚拟系统(如:Windows10)所在的虚【拟机设置】【处理器】【虚拟化引擎】下面的【虚拟化 Intel VT-x/EPT 或AMD-V/RVI(V)】内容后,在启动虚拟系统时,虚拟系统无法启动,且弹出【此平台不支持虚拟化的 Intel VT-x/EPT。不使用虚拟化的 Intel VT-x/EPT,是否继续】窗口
KVM地址翻译流程及EPT页表的建立过程
Lux_Veritas的专栏
07-09 1万+
本博文为原创,遵循CC3.0协议,转载请注明出处:http://blog.csdn.net/lux_veritas/article/details/9284635 -------------------------------------------------------------------------------------------------------------------
Intel VT学习笔记(五)—— 调试技巧
qq_41988448的博客
02-11 1439
Intel VT学习笔记(五)—— 调试技巧要点回顾INT 3失效调试技巧参考资料 要点回顾 在上一篇中,我们主要学习了如何填写Guest state fields的各项字段,以及如何对错误码进行排查,并最终成功执行了Guest代码。 在GuestEntry中,我们通过执行VMCALL指令触发VM-Exit,而没有用INT 3指令直接中断,其中是有原因的。 在本篇,我们将解释为什么没有在GuestEntry中使用INT 3中断,以及相关的调试技巧。 INT 3失效 将GuestEntry修改为以下代码: v
TinyVT 开源项目使用教程
gitblog_00934的博客
08-15 323
TinyVT 开源项目使用教程 TinyVT轻量级VT框架和Ept无痕HOOK,测试环境:WIN10 1903,WIN7项目地址:https://gitcode.com/gh_mirrors/ti/TinyVT 项目概述 TinyVT 是一个轻量级的虚拟化技术(Virtualization Technology, VT)框架,集成了EPT(Extended Page Tables)无痕HOOK功...
vt新手学习ept学习
04-12 449
dirbase的物理地址 处理 第一次取物理地址! 低十二位 用零填充 db4c7000第二次取物理地址! bd4c8867转换成二进制10111101010011001000100001100111 低十二位不零 10111101010011001000 000000000000==0xbd4c8000 pde 为1所以1*8==80xbd4c800...
Intel VT学习笔记(九)—— EPT应用示例
qq_41988448的博客
02-23 2091
Intel VT学习笔记(九)—— EPT应用示例内存保护EPT violation代码实现参考资料 内存保护 描述:尝试使用EPT将一块特定的物理内存保护起来。 先来选择一块物理地址,那么这里就跟周壑老师一样,选择「Page Fault」函数所在的物理地址。 首先使用PCHunter看一下具体的物理地址是多少: 然后用WinDbg直接查看对应的物理地址: 可以看到「Page Fault」函数的物理地址是0x541450,即所属的物理页为0x541000。 那么,能不能让Guest能够执行它,但是不能够
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
《Mirage:基于Intel VT-x & EPT技术的内核模式Anti-Anti-Debug插件解析》 在计算机安全领域,调试技术是检测、分析和逆向工程软件的重要手段。然而,随着技术的发展,一些恶意软件开始使用反调试策略来避免被分析...
关于“ VMware Workstation 16 此平台不支持虚拟化的Intel VT-x/EPT. 不使用虚拟化的Intel VT-x/EPT,是否继续?”的有关问题的总结解答
热门推荐
qq_46499134的博客
04-17 6万+
关于“ VMware Workstation 16 此平台不支持虚拟化的Intel VT-x/EPT. 不使用虚拟化的Intel VT-x/EPT,是否继续?”的有关问题的总结解答
开启了EPTVT源码-支持win10x64
12-25
虚拟化技术(Virtualization Technology,VT)是由Intel和AMD推出的硬件辅助虚拟化技术,允许在一个物理处理器上同时运行多个虚拟机。VT技术通过在硬件层面上提供虚拟化支持,提高了虚拟机性能和效率,降低了软件...
Intel VT学习笔记(八)—— 开启EPT
qq_41988448的博客
02-22 2086
Intel VT学习笔记(八)—— 32-bit分页模式启用EPT要点回顾 要点回顾 在上一篇中,我们学习了什么是EPT模式,以及EPT模式是如何在GPA和HPA之间进行转换的。 在本篇,我们即将学习的是32-bit分页模式(10-10-12分页)下如何开启EPT。 在讲解正题之前,周壑老师抛出了几个小问题。 问题一:为什么在退出VT模式后,使用PCHUNTER查看GDT表会蓝屏? 问题二:进入VT模式时通过EFLAGS关闭了外部中断(IF位清零),切换到HOST时需要再手动关闭一下吗? 这里我们就直接说答
Intel EPT内存辅助技术
11-30
Intel to introduce new virtualization capabilities with six-core CPU Nehalem intel内存辅助管理机制
VT测试工具&内存释放工具
01-20
VT测试工具&内存释放工具,下载即可使用的o
[VT虚拟化驱动]利用EPT实现无痕HOOK
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
EPT
木马屠城
04-09 961
之前通过影子页表来处理虚拟机内存到物理内存的转换,现在用EPT EPT: Extended Page Tables VMM needs to retain control of physical-address space page-table virtulization in software is a major source of overhead(namely soft
推荐开源项目:TinyVT - 轻量级VT框架与Ept无痕HOOK
最新发布
gitblog_00273的博客
08-15 530
推荐开源项目:TinyVT - 轻量级VT框架与Ept无痕HOOK TinyVT轻量级VT框架和Ept无痕HOOK,测试环境:WIN10 1903,WIN7项目地址:https://gitcode.com/gh_mirrors/ti/TinyVT 在寻找一款能够在Windows系统上进行高效、低侵入性动态 Hook 的工具吗?让我们一起探索 TinyVT,一个专为Windows设计的轻量级VT(...
内存虚拟化硬件基础——EPT
phmatthaus的专栏
01-29 252
内存虚拟化硬件基础——EPT
Windows内存隐藏技术初探
NetRoc的专栏
12-28 1473
  Windows内存隐藏技术初探  NetRochttp://www.DbgTech.net/    最早看到Shadow Walker这种隐藏内存数据的技术的时间忘了,呵呵。大约是一年多或者两年以前吧。当时还只是提出了理论性的东西,没有人实现出来。前段时间搞NP玩的时候,对Themida和虚拟机深恶痛绝,遂想,干脆把内存数据隐藏得了,省得挂个钩子还得缩手缩脚
Intel VT-d(2)- DMA重定向
qq_38350702的博客
03-04 111
页表的层数会根据具体使用的页框大小而变化,页框大小可以是4KB,2MB和1GB,下图以4KB为例。对于Request-with-PASID而言,其请求中包含的地址转换页表入口索引,即(PCI、Bus、Device和Function值)是一样的,但是其包含的请求地址类型不一样,是GVA,而不是GPA,故需要现将GVA转化为GPA(即为First-Level-Translation),然后再将得到的GPA转化为HPA,即Second-Level-Translation,才能实现最终的物理内存访问。
intel vt-x/ept
09-17
EPT通过引入一个额外的表格结构,将虚拟地址和物理地址的映射关系缓存在处理器的硬件内存管理单元中,从而实现了更快速的地址转换,提高了虚拟机的性能。 总之,Intel VT-x/EPT是一种基于硬件的虚拟化技术,它通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值