Windows保护模式(六)10-10-12分页

已于 2022-10-20 00:03:04 修改
阅读量1.5k 收藏 2
点赞数 1
文章标签: windows 系统安全
于 2022-10-18 00:32:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45323960/article/details/127373985
版权
本文深入探讨了分页和段管理在内存管理中的作用,详细阐述了10-10-12分页结构,包括CR3寄存器、页目录表、页表和物理页的关系。通过实例展示了线性地址到物理地址的转换过程,并解释了物理页的各种属性。此外,文章还介绍了如何利用这些知识进行内存操作,如修改物理页属性以实现权限变更和访问高2GB内存。最后,给出了利用调用门提权执行shellcode的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

页管理与段管理的关系

分页是用于从虚拟地址到物理地址转换的结构,与段式内存管理的关系如下图:
在这里插入图片描述

10-10-12分页结构

在这里插入图片描述

需要注意以下几点:

  • CR3 寄存器存储了一个页目录表的物理地址,处理器每个核有一个 CR3 寄存器,而每个进程对应一个页目录表,维护一个 4GB 的线性空间,改变 CR3 寄存器的值也就切换了进程空间。
  • 页目录表(PDE),页表(PTT)和物理页的大小均为 4KB 。其中 PDT 中的 PDE 和 PTT 中的 PTE 大小均为 4B,因此 PDT 和 PTT 中的元素个数均为 1024 个。
  • PDE 中的第 0x301 项 PDE 指向所在的 PDT,又因为 PDE 和 PTE 结构一致,因此操作系统就可以通过线性地址访问 PDT 和 PTT 中的任意位置。
  • 为避免套娃,所有线性地址向物理地址转换时所查询 PDE 和 PTE 所用的地址均为物理地址。
  • PDE 和 PTE 不一定都存放地址,因为对应线性地址可能没有映射到物理页,多个 PTE可能指向同一个物理页(共享内存),多个 PDE 也可能指向同一个 PTT(所有进程高 2G 内存对应的 PTT 相同)。

线性地址到物理地址转换过程

转换过程如下图所示:在这里插入图片描述
在这里插入图片描述

由于 PDT 和 PTT 中元素个数均为 2 10 2^{10} 210 ,而物理页大小为 2 12 2^{12} 212 字节,因此可以将线性地址划分为 10bit ,10bit ,12bit 三部分,前两部分按照 4 字节寻址,后一部分按照 1 字节寻址,这样便可以通过 10-10-12 分页将线性地址转换为物理地址。
首先 CPU 通过 CR3 寄存器 + 线性地址 Directory * 4 得到一个 PDE。判断 PDE 中的 PS 位是否为 1 ,如果 PS 为 1 则 PDE 直接指向一个 4MB 大小的物理页的基址,直接将线性地址的低 22 位加上该物理页的基址即可得到物理地址。如果 PS 为 0 则根据 PDE 中存储的 PTT 基址 +线性地址 Table * 4 得到一个物理页基址,将该物理页基址加上线性地址 Offset 即可得到线性地址对应的物理地址。

根据这一寻址方式,我们可以推断出两类特殊的线性地址:

  • 当前 CR3 指向的 PTE 的线性地址:0xC0300000
    • 因此第 N 个 PDE 的线性地址为:0xc030000 + N * 4
    • 其中第 0x301 个 PDE 存放着 CR3,对应线性地址为:0xC0300c00
  • 第一个 PDE 指向的 PTT(如果有)基址对应的线性地址:0xC0000000
    • 因此第 N 个 PDE 指向的 PTT 的第 M 个 PTE的线性地址为:0xc0000000 + N * 4096 + M * 4

物理页属性

物理页的属性 = PDE 属性 & PTE 属性
在这里插入图片描述
在这里插入图片描述

  • P位:有效位
    注意:当PDE或PTE中有一个的属性P=0时,物理页就是无效的
  • R/W位:读写位
    • R/W=0:只读
    • R/W=1:可读可写
  • U/S位:权限位
    • U/S=0:只有特权用户才能访问(0到2环)
    • U/S=1:普通用户也可以访问(3环)
  • PS位:PDE特有,PS即PageSize
    • PS=1:PDE直接指向物理页,低22位=页内偏移,偏移最大值为4MB,俗称"大页"
    • PS=0:PDE指向PTE
  • A位:访问位
    • A=1:该PDE/PTE被访问过
    • A=0:该PDE/PTE未被访问过
  • D位:脏位
    • D=1:该PDE/PTE被写过
    • D=0:该PDE/PTE未被写过

实验

根据线性地址找物理地址

通过 CE 确定记事本内容所在逻辑地址 0xAEF80。由于 Windows 的数据段寄存器基址为 0,因此该地址可以看做是线性地址。
在这里插入图片描述
WinDbg 获取 CR3

kd> !process 0 0
.
.
.
Failed to get VadRoot
PROCESS 8a01dda0  SessionId: 0  Cid: 0498    Peb: 7ffde000  ParentCid: 05f8
    DirBase: a9024000  ObjectTable: e1bf5dc8  HandleCount:  52.
    Image: notepad.exe

将 0xAEF80 地址按 10-10-12 分页进行拆分:0xAEF80 = 0x0 << 22 | 0xAE << 12 | 0x80
在 WinDbg 查找到对应物理地址:

kd> !dd a9024000 + 0
#a9024000 a8471067 a959f067 a997d067 00000000
#a9024010 a90b0067 00000000 00000000 00000000
#a9024020 00000000 00000000 00000000 00000000
#a9024030 00000000 00000000 00000000 00000000
#a9024040 00000000 00000000 00000000 00000000
#a9024050 00000000 00000000 00000000 00000000
#a9024060 00000000 00000000 00000000 00000000
#a9024070 00000000 00000000 00000000 00000000
kd> !dd a8471000 + ae * 4
#a84712b8 a9236067 a8cf9067 a89ba067 a8f3b067
#a84712c8 a8e7c067 a99bd067 a9afe067 ae80d067
#a84712d8 00000000 00000000 00000000 00000000
#a84712e8 00000000 00000000 00000000 00000000
#a84712f8 00000000 00000000 00000000 00000000
#a8471308 00000000 00000000 00000000 00000000
#a8471318 00000000 00000000 00000000 00000000
#a8471328 00000000 00000000 00000000 00000000
kd> !dd a9236000 + f80
#a9236f80 006b0073 00310079 00330032 00000000
#a9236f90 00000000 00000000 00000000 00000000
#a9236fa0 00000000 00000000 00000000 00000000
#a9236fb0 00000000 00a4000c 00080002 000a0100
#a9236fc0 98755206 000a0000 00020002 0008010e
#a9236fd0 00000000 00310079 00020094 000c010c
#a9236fe0 7468759c 00000001 bebacc94 46625cd3
#a9236ff0 31f3e0a1 69364999 58c99d96 42ce2f9b
kd> !db a9236f80
#a9236f80 73 00 6b 00 79 00 31 00-32 00 33 00 00 00 00 00 s.k.y.1.2.3.....
#a9236f90 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
#a9236fa0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
#a9236fb0 00 00 00 00 0c 00 a4 00-02 00 08 00 00 01 0a 00 ................
#a9236fc0 06 52 75 98 00 00 0a 00-02 00 02 00 0e 01 08 00 .Ru.............
#a9236fd0 00 00 00 00 79 00 31 00-94 00 02 00 0c 01 0c 00 ....y.1.........
#a9236fe0 9c 75 68 74 01 00 00 00-94 cc ba be d3 5c 62 46 .uht.........\bF
#a9236ff0 a1 e0 f3 31 99 49 36 69-96 9d c9 58 9b 2f ce 42 ...1.I6i...X./.B

获取 CR3

构造调用门提权后读取 0xC0300C00 处的地址。

#include<stdio.h>
#include<stdlib.h>

unsigned int _cr3;

__declspec(naked) void test(){
	__asm{
		int 3
		mov eax,dword ptr ds:[0xc0300c00]
		mov _cr3,eax
		retf
	}
}

int main(){
	unsigned char buf[6]={0,0,0,0,0x48,0};
	printf("test: %X\n",test);
	system("pause");
	__asm{
		push fs
		pushad
		pushfd
		call fword ptr ds:[buf]
		popfd
		popad
		pop fs
	}
	_cr3 = (_cr3 >> 12) << 12;
	printf("CR3: %X\n",_cr3);
	return 0;
}

在这里插入图片描述

通过修改物理页属性使常量可修改

首先测试一下 0 环权限是否可以修改常量

#include <stdio.h>
#include <stdlib.h>

const int val = 0;

__declspec(naked) void callGate() {
    __asm {
        mov val, 0x12345678
        retf
    }
}

int main() {
    unsigned char buf[] = {0, 0, 0, 0, 0x48, 0};
    printf("callGate: %X\nval: %X", callGate, &val);
    system("pause");
    __asm {
        call fword ptr ds:[buf]
    }
    return 0;
}

触发 c0000005 错误(好在没有蓝屏)。
判断读写属性不能只看权限。调试器修改内存数据并不是简单的提权,实际上也修改了 CR3 寄存器的写保护标志。
在这里插入图片描述
利用调用门提权后将页表的 R/W 位置 1 。可以修改常量。

#include <stdio.h>
#include <stdlib.h>

const int val = 0;

__declspec(naked) void callGate() {
    __asm {
        push 0x30
        pop fs
        pushad
        pushfd
        lea eax, val
        shr eax, 20
        and eax, 0xFFC
        or eax, 0xC0300000
        mov ebx,[eax]
        or ebx, 2
        mov [eax],ebx
        lea eax, val
        shr eax, 10
        and eax, 0x3FFFFC
        or eax, 0xC0000000
        mov ebx,[eax]
        or ebx, 2
        mov [eax], ebx
        popfd
        popad
        retf
    }
}

int main() {
    unsigned char gate[] = {0, 0, 0, 0, 0x48, 0};
    printf("Callgate: %X\nval addr: %X\n", callGate, &val);
    system("pause");
    __asm {
        push fs
        pushad
        pushfd
        call fword ptr ds:[gate]
        popfd
        popad
        pop fs
        mov val,0x12345678
    }
    printf("val: %X\n", val);
    return 0;
}

在这里插入图片描述

通过修改物理页属性读高2G内存

复用上一实验代码

#include <stdio.h>
#include <stdlib.h>

unsigned int *val = (unsigned int *) 0x8003F00C;

__declspec(naked) void callGate() {
    __asm {
        push 0x30
        pop fs
        pushad
        pushfd
        mov eax, val
        shr eax, 20
        and eax, 0xFFC
        or eax, 0xC0300000
        mov ebx,[eax]
        or ebx, 4
        mov [eax],ebx
        mov eax, val
        shr eax, 10
        and eax, 0x3FFFFC
        or eax, 0xC0000000
        mov ebx,[eax]
        or ebx, 4
        mov [eax], ebx
        popfd
        popad
        retf
    }
}

int main() {
    unsigned char gate[] = {0, 0, 0, 0, 0x48, 0};
    unsigned tval;
    printf("Callgate: %X\n", callGate);
    system("pause");
    __asm {
        push fs
        pushad
        pushfd
        call fword ptr ds:[gate]
        popfd
        popad
        pop fs
    }
    tval = *val;
    printf("val: %X\n", tval);
    return 0;
}

在这里插入图片描述
不稳定,下过 int3 断点后成功率会高一些,原因未知。

挂物理页执行shellcode

代码如下,调用门提权后判断 0 地址对应 PDE 和 PTE 是否有效,若无效则将 buf 对应结构的内容写入。

#include <Windows.h>
#include <stdio.h>
#include <stdlib.h>

//                     push 0;     push 0;     push 0;     push 0;     call MessageBox;              retn;
unsigned char buf[] = {0x6a, 0x00, 0x6a, 0x00, 0x6a, 0x00, 0x6a, 0x00, 0xe8, 0x00, 0x00, 0x00, 0x00, 0xc3};

__declspec(naked) void callGate() {
    __asm {
		push 0x30
		pop fs
		pushad
		pushfd
		lea eax, buf
		mov ebx, dword ptr ds:[0xC0300000]
		test ebx, ebx
		je __getPDE
		shr eax, 10
		and eax, 0x3FFFFc
		or eax, 0xC0000000
		mov eax, [eax]
		mov dword ptr ds:[0xC0000000], eax
		jmp __return
__getPDE:
		shr eax, 20
		and eax, 0xFFC
		or eax, 0xC0300000
		mov eax, [eax]
		mov dword ptr ds:[0xC0300000], eax
__return:
		popfd
		popad
		retf
    }
}

int main() {
    unsigned int funcAddress = (unsigned int) MessageBox;
    unsigned int _offset = ((unsigned int) buf) & 0xFFF;
    unsigned char gate[] = {0, 0, 0, 0, 0x48, 0};
    *(unsigned int *) (&buf[9]) = funcAddress - (13 + _offset);
    printf("callGate: %X\n", callGate);
    system("pause");
    __asm {
		push fs
		pushad
		pushfd
		call fword ptr ds:[gate]
		popfd
		popad
		pop fs
		mov eax, _offset
		call eax
    }
    return 0;
}

运行结果:

在这里插入图片描述

Windows 内核之保护模式
玄道的网安博客
01-13 1556
在早期8086的年代,处理器只存在实模式,在实模式下,内存是以 段:段内偏移的方式寻址的,所操作的地址都是物理地址,并且所有的段都是可以读、写、执行的,就相当于直接运行在机器之上的程序,没有任何保护措施,可以认为当一个程序修改了 0x1000的内存地址,另一个程序读取0x1000的地址会是被修改后的数据。 而在其之后,为了将程序之间的(内存)空间隔离开,出现了保护模式,在保护模式下运行的程序,每个进程拥有者单独的内存空间,即进程与进程之间的内存地址互相隔离。在一个进程修改0x401000地址的内存时,另.
保护模式 x86 页保护机制
挖树
01-06 1006
页的机制 目录 文章目录页的机制目录分页物理地址-线性地址-有效地址分页机制2 9 9 1210 10 12设置分页方式实验:通过线性地址找到物理地址(10-10-12)PDE PTEPDE_PTE属性P位 [0]R/W位 [1]U/S [2]P/S PDE[7] pte没有A位D位页目录表基址 0xc0300000页表基址 0xc0000000线性地址转物理地址公式 分页 物理地址-线性地址-...
windows分页机制
09-07
网上找的资料,介绍windows内存分页相关知识
[windows内核]10-10-12分页
r250414958的博客
08-09 922
基本概念 4GB内存空间 我们都了解过每个进程都有独立的4GB空间 4GB的虚拟内存结构: 虚拟内存地址范围 描述 0x00000000~0x0000FFFF 64kb大小的空指针区域,当然就不可以访问了 0x00001000~0x7FFFFFFF 加上上述的空指针区域,低2GB的用户态空间 0x80000000~0xFFFFFFFF 高2GB的内核态空间 但这个4GB空间并不是完全都使用或者真实存在的。 实际上,进程被分配到的“4GB内存空间”只是虚拟的的内存空间,并不是指真正意义上的物理内存,虚拟
13.10-10-12分页
qq_35129925的博客
03-09 455
一、概念铺垫 mov eax,dword ptr ds:[0x12345678] 上面这条mov指令中,0x12345678 是有效地址,ds.base+0x12345678是线性地址。 每个进程都拥有“4GB”地址空间,这4GB实际上并不存在,数据真正存储在“物理地址”中。 在10-10-12分页模式下,一个线性地址分为3部分: 二、设置系统分页模式为10-10-12模式 将boot.ini文件中的启动参数,noexecute改成execute。如图: ...
Windows保护模式学习笔记()—— 10-10-12分页
lzyddf的博客
10-18 1500
Windows保护模式学习笔记()—— 10-10-12分页前言基本概念4GB内存空间有效地址-线性地址-物理地址有效地址与线性地址物理地址控制寄存器:Cr310-10-12分页实验:通过线性地址找到物理地址第一步:将XP虚拟机设置为10-10-12分页模式第二步:新建一个记事本,写入"Hello World"第三步:使用Cheat Engine附加进程第四步:找到"Hello World"的线...
Windows保护模式下的分页机制(PART1:10-10-12模式)
tutucoo
12-03 1454
1.概述 一个进程的虚拟地址空间是4GB,它的物理大小并不是真的4GB,如果真的是4GB,那运行中的所有进程都加起来占用的空间是一个天文数字,事实上系统会对这4GB的地址空间进行转换,然后映射到物理内存中。换句话说虚拟地址本身并不是真实存在的。 将虚拟地址转换为物理地址依赖的规则就是分页机制。 物理地址也并不是内存条地址,物理地址需要再进行一层转换才能找到真正的内存条地址。 我们只要会转换到物理地...
x86汇编语言-从实模式到保护模式 配套源码及资料
05-10
保护模式应运而生,它不仅支持32位和64位的处理器架构,还引入了分页机制、段机制和不同的权限级别,为多任务和多用户操作提供了硬件层面的支持。在保护模式下,操作系统能够有效管理内存访问,确保系统稳定性和安全...
x86汇编语言-从实模式到保护模式源码及工具
11-04
实模式是8086处理器的初始工作模式,而保护模式则是现代操作系统如Windows和Linux的基础。这本书通过源码和实验工具,为读者提供了亲自动手实践的机会,从而更好地掌握汇编语言和系统编程。 汇编语言是计算机科学的...
WIndows内核学习笔记:分页机制——PAE分页模式
weixin_38526180的博客
07-21 3544
Chapter 4 Paging 4.1 分页模式和控制位 分页控制有关的寄存器 CR0 标志位:WP(bit 16)、PG(bit 31) CR4 标志位:PSE(bit 4)、PAE(bit 5)、PGE(bit 7)、PCIDE(bit 17)、SMEP(bit 20)、SMAP(bit 21)、PKE(bit 22)、CET(bit 23)、PKS(bit 24) IA32_EFER MSR 标志位:LEM(bit 8)、NXE(bit 11) EFLAGS 标志位:AC(
X86分页机制-101012分页
最新发布
qq_30528603的博客
06-11 418
它里面存了一个值指向的是物理页,上图所示的一级二级其实是一个页目录表,我们的10-10-12分页第一个10比特位就是找在第一级页目录的哪个位置,找到后里面存的又是一个地址,指向第二级页目录,然后通过第二个10比特位来找到第二级目录表中具体位置,里面存的是指向物理页的地址,接着用这个物理地址加上我们分解的12比特位找到最终位置。首先我们在xp上做实验,打开一个记事本写一句Hello world,因为一个记事本也是一个进程,同样有属于自己的4GB空间,我们写的hello world一定会存在它的空间里。
11.分页10-10-12
My classmates
10-13 1369
在x86的cpu有两种转换的方式 101012 29912 先讲101012分页,默认是29912分页我们要将它先改成101012分页先 把矩形处的no去掉然后重启 实验 过滤它找到正确的 现在找到的是一个线性地址,我们来将他转换成物理地址。 000AE6C8 10-10-12分页刚好32位将它分成3份 0000 0000 00 == 0x0; 00 1010 1110 == 0xA...
10-10-12分页
qq_69743753的博客
03-30 96
10-10-12分页怎么找到真正的物理地址
保护模式(七)101012分页、配置以及实验
weixin_37673331的博客
02-22 1247
地址说明 有效地址-线性地址-物理地址 有效地址与线性地址 先看如下指令: MOV eax,dword ptr ds:[0x12345678] 其中,0x12345678 是有效地址 ds.Base + 0x12345678 是线性地址 注意:当段寄存器的Base为0时,有效地址=线性地址,大多数时候都是如此;但也有特殊情况,比如fs段寄存器的Base不为0 CR3说明 每个进程都有一个Cr3(准...
【2021.03.26】分页10-10-12
oalken的博客
03-26 525
要点回顾 前文主要讲解段的机制,其实段的机制还有很多细节,需要在实验的过程中详细总结。 从本文开始,开始进入页的机制的学习。 4GB内存空间 每个进程都有自己的4GB的内存空间,如果开启两个进程那么就是2x4=8GB。 那么当前计算机的内存条是多少呢?可能是4GB,或者更少。那么这样就会有一个问题,内存不够,明显是不正常的。 也就是说,每个进程都有4GB的内存空间的时候,进程的4GB空间是不是真实存在的? 每个进程的4GB进程空间是假的,并不存在的。操作系统为每个进程分配了4GB的虚假内存
Windows操作系统 分页文件 | 九七的Windows开发
九七的博客
06-19 8376
Windows 分页文件 环境 Windows7 64位 一、定义介绍   分页一词由Paging翻译而来。所谓的分页,其本质是对页的一种操作。页是磁盘和内存间传输数据块最小单位
Windows分页管理机制的学习(一)实践1
zfdyq
11-08 1918
一)先来针对未开启PAE模式来进行分析 测试机器XP 32位系统:(Dbgview.exe程序的线性(虚拟)地址与物理地址的对应)     这里关闭了PAE模式。   我先用OD载入Dbgview.exe程序,并且运行, 看到程序入口点的线性(虚拟)地址:004153B7==> 00000000 01000001 01010011 10110111   根据INTEL手册中的定义
Windows分页管理机制的学习(一)实践2
zfdyq
11-09 933
(二)针对开启PAE模式来进行分析 测试机器Win7 32位系统:(Dbgview.exe程序的线性(虚拟)地址与物理地址的对应) 根据读INTEL手册可知,开启了PAE模式后线性(虚拟)地址的结构发生了变化(开启PAE后PDE共4*4kb,每项8byte ):   30~31位变成了PDPTE   首先在虚拟机中打开OD,加载Dbgview.exe记录下入口点地址:00415757
记一次面试(有关windows分页机制浅谈)
weixin_34186950的博客
03-24 298
引子: 一直在研究恶意代码方向与逆向软件方向,面试聊了windows内核与保护模式相关知识,有很多没有回答上来,确实研究过相关资料,但是没有深入研究,加上长时间没有复习,有些遗忘了 基本功不扎实,毕竟好久没写过驱动编程与复习内核/保护模式相关的知识,所以静下心来复习一下吧。  4GB的虚拟内存结构: 虚拟内存地址范围 描述 0x00000000~0x0000FFFF 64kb大小的空...
X86保护模式下的内存访问:分段与分页机制解析
在X86体系结构中,保护模式是一个关键特性,它允许系统支持复杂的操作系统,如Windows或Linux。与实模式相比,保护模式提供了更高级别的内存管理和访问控制。在实模式下,内存寻址直接且有限,而在保护模式下,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_sky123_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值