通过修改pte页表属性使内存可写

最新推荐文章于 2023-09-11 17:40:38 发布
最新推荐文章于 2023-09-11 17:40:38 发布
阅读量2.8k 收藏 6
点赞数 1
分类专栏: Linux hook 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/117957188
版权
通过修改pte页表属性使内存可写
一、相关API
/*
 * Lookup the page table entry for a virtual address. Return a pointer
 * to the entry and the level of the mapping.
 *
 * Note: We return pud and pmd either when the entry is marked large
 * or when the present bit is not set. Otherwise we would return a
 * pointer to a nonexisting mapping.
 */
pte_t *lookup_address(unsigned long address, unsigned int *level)
{
        return lookup_address_in_pgd(pgd_offset_k(address), address, level);
}
EXPORT_SYMBOL_GPL(lookup_address);

#define _PAGE_PRESENT   0x001
#define _PAGE_NEWPAGE   0x002
#define _PAGE_NEWPROT   0x004
#define _PAGE_RW        0x020
#define _PAGE_USER      0x040
#define _PAGE_ACCESSED  0x080
#define _PAGE_DIRTY     0x100
#define _PAGE_PROTNONE  0x010

lookup_address通过传入的虚拟地址找到对应的页表项,通过修改页表项的属性来修改对应物理读写属性。

二、修改内存写保护并hook 系统调用mkdir
#include <linux/init.h>
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kallsyms.h>

unsigned long *sys_call_table = NULL;
unsigned long (*orig_mkdir)(const char __user *path, int mode);

static int make_memory_rw(unsigned long address)
{
	unsigned int level = 0;	
	pte_t *pte = NULL;

	pte = lookup_address(address, &level);
	if(pte == NULL) {
		printk("%s: get pte failed\n", __func__);
		return -1;
	} 
	
	if(pte->pte & ~_PAGE_RW)
		pte->pte |= _PAGE_RW;

	return 0;
}

static int make_memory_ro(unsigned long address)
{
	unsigned int level = 0;	
	pte_t *pte = NULL;

	pte = lookup_address(address, &level);
	if(pte == NULL) {
		printk("%s: get pte failed\n", __func__);
		return -1;
	} 
	
	pte->pte &= ~_PAGE_RW;

	return 0;
}

asmlinkage long hook_mkdir(const char __user *path, int mode)
{
	printk("%s: the mkdir has been hook\n", __func__);

	return orig_mkdir(path, mode);
}

static int __init lkm_init(void)
{

	sys_call_table = (unsigned long *)kallsyms_lookup_name("sys_call_table");
	if(sys_call_table == NULL) {
		printk("%s: can not find sys_call_table address\n", __func__);
		return -1;
	}
	printk("%s: sys_call_addr = 0x%lx\n", __func__, sys_call_table);

	orig_mkdir = (unsigned long)(sys_call_table[__NR_mkdir]);
	make_memory_rw((unsigned long)sys_call_table);
	sys_call_table[__NR_mkdir] = (unsigned long)hook_mkdir;
	make_memory_ro((unsigned long)sys_call_table);

	return 0;
}

static void __exit lkm_exit(void)
{
	make_memory_rw((unsigned long)sys_call_table);
	sys_call_table[__NR_mkdir] = (unsigned long)orig_mkdir;
	make_memory_ro((unsigned long)sys_call_table);

	printk("Goodbye\n");
}

module_init(lkm_init);
module_exit(lkm_exit);

MODULE_LICENSE("GPL");
Configure-Handler
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 核心编程研究系列之一(-改变进程PTE属性-)[已补完]
享受开发,颠倒银河
11-01 5290
 Windows 核心编程研究系列之一-改 变 进 程 PTE 属性-           这是我研究windows 核心编程的第一篇正式文章,之所以叫核心编程而不叫内核编程,是我觉得从字面上来看核心(core)比内核(kernel)更靠近windows中心,当然只是偶本人的看法的拉。         我们知道在 win NT 中,系统把每个进程的虚拟4G空间分为两大部份,
Linux内存管理(二):面查询过程简述
私房菜
06-24 716
本篇主要在代码剖析Page 之前的理论阐述,其中包括MMU、TLB、TTW、VIVT、VIPT、PIPT等术语的含义,介绍MMU 的工作过程,也会简单介绍一级页表 ~ 多级页表的映射过程,最后会以ARMv8 为例简单阐述分管理的原理。.....................
Linux Arm64修改页表属性
最新发布
小立仔
09-11 1358
Linux Arm64修改页表属性,给出一个arm64平台下hook系统调用的demo。
(实验)修改PDE、PTE属性读取高2G地址
qq_50242229的博客
04-18 236
在代码中直接读取高2G的内存地址会报错,当然我们可以通过调用门、中断门等提权读取,不过今天我们直接修改属性,物理偏移 (0x00C)
页表HOOK
sanqiuai的博客
10-07 1404
hook一个内核函数,不修改API对应的物理,而是把与API相关的物理拷贝一份(PTE,PDE,PPE,PXE四个),然后修改目标进程的页表映射到拷贝的物理,使目标进程对此API的操作与其他进程分离,让对此API的hook不会影响到其他进程 结构体 enum { PhyPage, PT, PDT, PPT, PXT, }; typedef struct _PAGE_INFO { UINT64 PteBase;//页表基址 UINT32 PXE
页表属性总结
techtitan的专栏
04-06 310
参考资料 Linux内核缺二三事 https://blog.csdn.net/rockrockwu/article/details/80993594
属性
Misaka10046的博客
05-06 899
首先来看属性的定义 目录表 页表 P位是存在位,当P位是0时,访问会产生异常 R/W位是读写位,这个标志位对应着一组或者一个能否写入,当位0时,该是只读的 U/S位是
linux内存写保护,[原创]不用CR0或MDL修改内核非分写保护内存的一种思路(x64)
weixin_33644009的博客
05-12 705
开门见山,本文的核心思路就是通过填充页表项,将一块连续的虚拟地址映射到新的地址,同时将需要修改的只读内存对应页表项的Dirty位置位。在Windows操作系统下,写保护是通过保护特定虚拟地址实现的,若不建立新映射,则即使将Dirty位置位,尝试写只读内存照样会触发BugCheck,若建立了新映射但不置位Dirty则触发PAGE_FAULT的BugCheck,两个步骤缺一不可。填充页表项首先需要动态...
Linux内存管理二(页表
YH1363190的博客
07-10 1516
Linux内存管理系列,持续更新中...
内存Linux 页表、大与透明大|大内存
小鱼菜鸟的博客
07-22 2786
目录 页表与MMU CPU访问的是什么地址(虚拟地址,物理地址)? MMU如何工作 MMU对内存的保护 多级页表 一、 内存映射与页表 1. 内存映射 2. 页表 4. 页表的简单工作原理 大 什么是大内存huge page? 为什么使用“大内存”? 1. 大的优点 2. 大的缺点 大内存适用范围 3. 大的...
属性页表 完善资料
04-16
本人编的属性页表程序,完善个人信息后,显示更新在视图上。
深入理解Linux虚拟内存详解(MMU、页表结构)
j简说Linux的博客
11-08 1570
前言:内存是程序得以运行的重要物质基础。如何在有限的内存空间运行较大的应用程序,曾是困扰人们的一个难题。为解决这个问题,人们设计了许多的方案,其中最成功的当属虚拟内存技术。Linux作为一个以通用为目的的现代大型操作系统,当然也毫不例外的采用了优点甚多的虚拟内存技术。 一,虚拟内存 为了运行比实际物理内存容量还要大的程序,包括Linux在内的所有现代操作系统几乎毫无例外的都采用了虚拟内存技术。虚拟内存技术,可让系统看上去具有比实际物理意义内存大的多的内存空间,并为实现多道程序的执行创造了条件。 (1)虚.
armv8 mmu 内存页表属性
Do one thing at a time, and do well.
09-06 6313
armv8中的页表项 D5.3 VMSAv8-64 translation table format descriptors In general, a descriptor is one of:页表项的4种类型 • An invalid or fault entry.有效的或者无效的页表项 • A table entry, that points to the next-level translation table.指向下一级的页表项 • A block entry, that defi...
linux 页表属性,ARM Linux页表项格式 - 未使用的位?
weixin_35721505的博客
05-18 285
我需要使用两个PTE位来存储我的内核模块在拦截面保护错误时将使用的自定义"状态"值.我正在开发Galaxy Nexus,它有一个ARM Cortex A9(我相信ARM v7).Linux内核版本3.0.31.Linux PTE定义如下(来自arch/arm/include/asm/pgtable.h:/** "Linux" PTE definitions.** We keep two sets...
armv8/armv9页表属性(page descriptor)的详细介绍
baron-周贺贺-代码改变世界ctw
03-19 2618
stage1的页表属性 (Attribute fields in stage 1 VMSAv8-64 Block and Page descriptors) PBHA, bits[62:59] :for FEAT_HPDS2 XN or UXN, bit[54] : Execute-never or Unprivileged execute-never PXN, bit[53] :Privileged execute-never Contiguous, bit[52] : translation tab
【2021.03.26】PDE、PTE属性:P、RW
oalken的博客
03-26 806
要点回顾 通过前文简单了解了PDE、PTE,本文来了解一下PDE、PTE属性。 物理属性 物理属性 = PDE属性 &(与运算) PTE属性 通过前文的实验可以发现,PDE与PTE的后12位,也就是二进制的低12位,是属性。其中存储的内容代表着属性。 PDE与PTE的后12位有很多是重叠的,属性类型都是一样的,只有一部分不一样。 P位 线性地址0为什么不能访问?没有指定物理。 指定物理就一定能访问?看PDE与PTE的P位,P = 1,才是有效的物理。 如地址0,
Linux Kernel ARM64架构中, 如何突破内存只读的限制-pte方案
Linux内核研究者
02-25 620
方案1 将原来只读的内存地址, 重新映射到一个可写面。方案2 获取内存地址所在的pte, 修改pte属性可写
修改内核页表问题
gudujianjsk的专栏
09-04 1351
以前一直以为内核代码段的保护属性是 可执行|只读的 最近才发现内核代码段竟然是可写的 现在我想把内核代码段设置成为不可写的,做了个实验,修改了3G+1M ~ 3G+4M这段地址对应的页表项 但是这个模块一加载就死机,/var/log/messages也没有任何出错信息 这是哪里的问题呢?内核是i386,没有PAE。 #include #include #define
[VT虚拟化驱动]利用EPT实现无痕HOOK
热门推荐
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值