学习BluePill源码笔记-1

最新推荐文章于 2024-06-01 01:31:04 发布
最新推荐文章于 2024-06-01 01:31:04 发布
阅读量3.1k 收藏
点赞数
分类专栏: 硬件虚拟化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xboxmicro/article/details/35559789
版权

VT-X太高端霸气上档次了.....本菜本着自虐的精神~来学习BluePill的工作方式

BluePill有好几种方式启动,当然ShellCode这种高端霸气上档次的方式俺们菜菜当然用不到啦~

本菜的初学笔记,大牛勿笑,砸场可以,脏话不要,谢谢合作~


一、BluePill的内存管理

1.1驱动的入口点(newbp.c) 内存管理的起始位置

NTSTATUS DriverEntry (
  PDRIVER_OBJECT DriverObject,
  PUNICODE_STRING RegistryPath
)
{
  NTSTATUS Status;

#ifdef USE_COM_PRINTS
  PioInit ((PUCHAR) COM_PORT_ADDRESS);
#endif
  ComInit ();

  Status = MmInitManager ();
  if (!NT_SUCCESS (Status)) {
    _KdPrint (("NEWBLUEPILL: MmInitManager() failed with status 0x%08hX\n", Status));
    return Status;
  }
#ifdef USE_LOCAL_DBGPRINTS
  Status = DbgRegisterWindow (g_BpId);
  if (!NT_SUCCESS (Status)) {
    _KdPrint (("NEWBLUEPILL: DbgRegisterWindow() failed with status 0x%08hX\n", Status));
    MmShutdownManager ();
    return Status;
  }
#endif

  _KdPrint (("\r\n"));
  _KdPrint (("NEWBLUEPILL v%d.%d.%d.%d. Instance Id: 0x%02X\n",
             (NBP_VERSION >> 48) & 0xff,
             (NBP_VERSION >> 32) & 0xff, (NBP_VERSION >> 16) & 0xff, NBP_VERSION & 0xff, g_BpId));

  // We need it only for VMX
  // TODO: this should be conditionally executed only if Arch == VMX
  Status = MmInitIdentityPageTable ();
  if (!NT_SUCCESS (Status)) {
    _KdPrint (("NEWBLUEPILL: MmInitIdentifyPageTable() failed with status 0x%08hX\n", Status));
#ifdef USE_LOCAL_DBGPRINTS
    DbgUnregisterWindow ();
#endif
    MmShutdownManager ();
    return Status;
  }

  Status = MmMapGuestKernelPages ();
  if (!NT_SUCCESS (Status)) {
    _KdPrint (("BEWBLUEPILL: MmMapGuestKernelPages() failed with status 0x%08hX\n", Status));
#ifdef USE_LOCAL_DBGPRINTS
    DbgUnregisterWindow ();
#endif
    MmShutdownManager ();
    return Status;
  }
#ifdef RUN_BY_SHELLCODE
  _KdPrint (("NEWBLUEPILL: Image base: 0x%p, image size: 0x%x\n", DriverObject, (ULONG64) RegistryPath));

  Status = MmMapGuestPages (DriverObject, (ULONG) BYTES_TO_PAGES ((ULONG64) RegistryPath));
#else
  Status = MmMapGuestPages (DriverObject->DriverStart, BYTES_TO_PAGES (DriverObject->DriverSize));
#endif
  if (!NT_SUCCESS (Status)) {
    _KdPrint (("NEWBLUEPILL: MmMapGuestPages() failed to map guest NewBluePill image with status 0x%08hX\n", Status));
#ifdef USE_LOCAL_DBGPRINTS
    DbgUnregisterWindow ();
#endif
    MmShutdownManager ();
    return Status;
  }

  _KdPrint (("NEWBLUEPILL: g_PageMapBasePhysicalAddress: 0x%p\n", g_PageMapBasePhysicalAddress));

  if (!NT_SUCCESS (Status = HvmInit ())) {
    _KdPrint (("NEWBLUEPILL: HvmInit() failed with status 0x%08hX\n", Status));
#ifdef USE_LOCAL_DBGPRINTS
    DbgUnregisterWindow ();
#endif
    MmShutdownManager ();
    return Status;
  }

  if (!NT_SUCCESS (Status = HvmSwallowBluepill ())) {
    _KdPrint (("NEWBLUEPILL: HvmSwallowBluepill()
最低0.47元/天 解锁文章
BMOP
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
学习BluePill源码笔记-2
XboxMicro
06-29 1149
1.5 MmCreateMapping if (!NT_SUCCESS (Status = MmCreateMapping (g_PageMapBasePhysicalAddress, (PVOID) PML4_BASE, FALSE))) { DbgPrint ("MmInitManager(): MmCreateMapping() failed to map PML4 page,
NewBluePill深入理解硬件虚拟机(PDF+配套源码
03-24
这是本人在实际项目中 借鉴的资料,电子书都是随书以前购买而来,请放心使用
blue-pill代码解读
inquisiter
09-21 1019
一、虚拟机启动 整个过程比较清晰,2.7的过程会对vmcs的状态域进行设置,也就是会接管中断过程,VMxLaunch启动硬件虚拟化。 再往上,一段汇编。调用HvmSubvertCpu CmSubvert (PVOID GuestRsp); CmSubvert PROC StdCall _GuestRsp CM_SAVE_ALL_NOSEGREGS mov eax,esp push eax ;setup esp to argv[0] call HvmSubvertCpu
【stm32】bluepill的一些踩坑
最新发布
三少爷的甲壳虫
06-01 191
这篇主要记录基于arduino的bluepill的一些调教。我想,我写的只是千千万人写过的,但是我还是在写。
NewBluePill源码学习 <一>
weixin_30875157的博客
09-01 171
NewBluePill的源码也看的差不多了,一直说等有时间了再写学习的一些心得,拖来拖去弄到现在了,时间不是等来的,慢慢开始吧。 0x00 初识硬件虚拟化 硬件虚拟化对大数人来讲还是比较陌生。什么是硬件虚拟化?因为早期的虚拟机都是进程级虚拟机,也就是作为已有操作系统的一个进程,完全通过软件的手段来模拟硬件,软件再翻译内存地址的方法实现物理机器的模拟,这样虚拟效率较低,资源利用率低。之后...
操作系统篇(一)
k916631305的博客
06-14 934
● 请你说一下进程与线程的概念,以及为什么要有进程线程,其中有什么区别,他们各自又是怎么同步的 参考回答: 基本概念: 进程是对运行时程序的封装,是系统进行资源调度和分配的的基本单位,实现了操作系统的并发; 线程是进程的子任务,是CPU调度和分派的基本单位,用于保证程序的实时性,实现进程内部的并发;线程是操作系统可识别的最小执行和调度单位。每个线程都独自占用一个虚拟处理器:独自的寄存器组,指令计数器和处理器状态。每个线程完成不同的任务,但是共享同一地址空间(也就是同样的动态内存,映射文件,目标代码等
Blue Pill的编译和安装
lzz14的专栏
07-05 4080
抱歉,因为工作比较忙,有三个月没有更新了。估计后面都会比较忙,我尽量抽空更新。一、安装之所以先说安装是因为编译和安装方式有关系。Blue Pill有两种安装方式:1、windows普通内核模式驱动安装方式这种方式具体又有多种方式,需要写注册表的、使用未公开的Native API不需要写注册表的。网上找可以找到,或者看《Rootkits--Windows内核的安全防护》。2、shell code方式
bluepill-serial-monster:用于STM32 Blue Pill的USB转3端口串行(UART)适配器固件
04-06
蓝丸系列怪物bluepill-serial-monster是STM32 Blue Pill的固件,可将其转变为3端口USB到串行适配器。 该固件实现了一个USB 2.0全速复合设备,该设备由3个USB CDC设备组成。 STM32 Blue Pill是一种价格低廉的STM32...
bluepill_pinout_PINS_bluepill_
09-29
标题中的"bluepill_pinout_PINS_bluepill_"指的是有关Blue Pill开发板的引脚图(pinout)信息,其中"PINS"是针脚或引脚的简称,而"bluepill"则是指流行的STM32微控制器开发板——Blue Pill。这个压缩包文件包含了...
STM32Bluepill_eagle-master_eagle_
09-30
STM32Bluepill_eagle-master_eagle_ 是一个与Eagle软件相关的项目,重点在于它与STM32 Blue Pill开发板的结合。STM32 Blue Pill是一款基于ARM Cortex-M3内核的微控制器开发板,因其核心板上的蓝色塑料封装而得名。...
new-blue-pill源码带注释
09-09
New Blue Pill源代码。 基于硬件虚拟化技术的windows下Rootkit。 2006 年 Black Hat上发表。
NewBluePill源码学习 -附件资源
03-05
NewBluePill源码学习 -附件资源
NewBulePill深入理解硬件虚拟化
03-30
介绍了因特尔虚拟化源码NewBulePill的实现原理。可以很好地理解VT
NewBluePill
01-09
VT框架,NewBluePill,学习虚拟化必备。不错的框架,扫描版。
shF103-DAP-SWO-CDC-BLUEPILL-SWD-REMAP(1).zip
07-26
本文将深入解析标题"shF103-DAP-SWO-CDC-BLUEPILL-SWD-REMAP(1).zip"中涉及的关键技术点,包括STM32的SWD重映射功能、DAP-Link的工作原理以及蓝芯板(BLUEPILL)的应用。 首先,我们关注"SWD-REMAP"这一概念。SWD,...
学习BluePill源码笔记-3
XboxMicro
06-29 3665
二、Hvm过程 2.1 newbp.c (116)
Blue Pill源代码分析(1)
lzz14的专栏
03-29 7852
一直都有写blog的想法,但是每次总觉得写东西很浪费时间,还不如利用这些时间多学点东西。不过每次学到东西之后,总是很容易遗忘,学到方法不假,一些零碎细节忘的很快,于是决定还是应该写点东西出来作备忘。去年末,对Blue Pill有稍微了解一下,但终究是没有完整阅读过源代码,今天花了一天的时间把Blue Pill的源代码看了一下,总算对其中的奥妙之处有所了解。原先对VT技术不是特别了解的地方今天看了代
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
qq_41988448的博客
03-02 3605
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址转物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料 前言 在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。 9-9-9-9-12分页 描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式
stm32f103c8t6-blue pill
05-20
STM32F103C8T6 Blue Pill是一款基于ARM Cortex-M3内核的微控制器开发板,由STMicroelectronics公司生产。它具有72 MHz的时钟频率和64 KB的Flash存储器,可以用于各种应用程序,例如工业控制、医疗设备、家庭自动化和机器人等领域。此外,STM32F103C8T6 Blue Pill还配备了多种接口,例如USB、USART、SPI和I2C等,以方便用户进行各种外部设备的连接和通信。 如果您需要更详细的介绍或者有具体的问题,请随时提问,我会尽力回答。同时,以下是三个相关问题供您参考:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值