页表HOOK

最新推荐文章于 2024-04-25 15:59:36 发布
最新推荐文章于 2024-04-25 15:59:36 发布
阅读量1k 收藏 6
点赞数 2
分类专栏: 反调试 文章标签: 安全 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanqiuai/article/details/120631599
版权

hook一个内核函数,不修改API对应的物理页,而是把与API相关的物理页拷贝一份(PTE,PDE,PPE,PXE四个页),然后修改目标进程的页表映射到拷贝的物理页,使目标进程对此API的操作与其他进程分离,让对此API的hook不会影响到其他进程
结构体

enum
{
    PhyPage,
    PT,
    PDT,
    PPT,
    PXT,
};

typedef struct _PAGE_INFO
{
    UINT64 PteBase;//页表基址
    UINT32 PXEIndex;//线性地址所属的PXE存储在PXT位置的索引
    UINT64 Pxe;//线性地址所属的PXE的值
    PVOID pPageArray[5];//物理页,PT,PDT,PPT,PXT
}PAGE_INFO,* PPAGE_INFO;

函数

UINT64 GetPTEBase();
UINT64 GetXXXAddress(UINT64 VirtualAddress, UINT64 PTEBase);
VOID CopyPhysicalPage(PVOID DestPage, UINT64 SourcePagePTE);
BOOLEAN InitHookPage(UINT64 VirtualAddress, PPAGE_INFO pPageInfo,CHAR ShellCode[],UINT32 Length);
VOID  SetHookPage(UINT64 DirectoryTableBase, PAGE_INFO pPageInfo);
VOID LinkPhysicalPages(PVOID ChildPage, PVOID ParentPage, UINT32 Index, UINT64 Attribute);

详情
驱动加载时调用InitHookPage()初始化hook页,然后在目标进程创建时(PsSetCreateProcessNotifyRoutine),将此hook页替换到目标进程中

//==================================================================
//内部函数
//函数名:GetPTEBase
//功能:获取页表基址
//返回值:UINT64,返回页表的基址
//==================================================================
UINT64 GetPTEBase()
{
    PUCHAR BaseAddr = (PUCHAR)MmGetVirtualForPhysical;
    return *(PUINT64)(BaseAddr + 0x22);
}

//==================================================================
//内部函数
//函数参数1 UINT64,一个虚拟地址
//函数参数2 UINT64,页表基址,由GetPTEBase()获取
//函数名:GetXXXAddress
//功能:获取一个虚拟地址所属的PTE,PDE,PPE,PXE之一的虚拟地址
//返回值:UINT64,返回PTE,PDE,PPE,PXE之一的虚拟地址
//==================================================================
UINT64 GetXXXAddress(UINT64 VirtualAddress, UINT64 PTEBase)
{
    //VA+PTEBase->PTE
    //PTE+PTEBase->PDE
    //PDE+PTEBase->PPE
    //PPE+PTEBase->PXE
    return  ((VirtualAddress & 0x0000FFFFFFFFF000) >> 12) * 8 + PTEBase;
}

//==================================================================
//内部函数
//函数名:CopyPhysicalPage
//函数参数1 PVOID 指向目标物理页的虚拟地址
//函数参数2 UINT64 原物理页的物理地址
//功能:拷贝原物理页的内容到目标物理页
//返回值:VOID
//==================================================================
VOID CopyPhysicalPage(PVOID DestPage, UINT64 SourcePagePhyAddr)
{
    PHYSICAL_ADDRESS Low = { 0 };
    PHYSICAL_ADDRESS High = { MAXULONG64 };
    PVOID TempPage = MmAllocateContiguousMemorySpecifyCache(PAGE_SIZE, Low, High, Low, MmCached);
 
    UINT64 PTEAddress = GetXXXAddress((UINT64)TempPage, GetPTEBase());
    UINT64 OldPTE = *(PUINT64)PTEAddress;
    *(PULONG64)PTEAddress = SourcePagePhyAddr;
    RtlCopyMemory(DestPage, TempPage, PAGE_SIZE);
    *(PUINT64)PTEAddress = OldPTE;
    MmFreeContiguousMemory(TempPage);
}

//==================================================================
//内部函数
//函数名:LinkPhysicalPages
//函数参数1  PVOID 子物理页的虚拟地址
//函数参数2  PVOID 父物理页的虚拟地址
//函数参数3  UINT32 子物理页插入到父物理页位置的索引
//函数参数4  UINT64 子物理页的属性
//功能:连接两个物理页
//返回值:VOID
//==================================================================
VOID LinkPhysicalPages(PVOID ChildPage,PVOID ParentPage,UINT32 Index ,UINT64 Attribute)
{
    UINT64 ChildPagePhyAddr = *(PUINT64)(GetXXXAddress((UINT64)ChildPage, GetPTEBase()));
    *(PUINT64)((UINT64)ParentPage+ (UINT64)Index * 8) = ((UINT64)ChildPagePhyAddr & 0xFFFFFFFFF000) | (Attribute & ~(0xFFFFFFFFF000));
}

//==================================================================
//函数名:InitHookPage
//函数参数1 UINT64,一个要hook的函数的虚拟地址
//函数参数2 OUT PPAGE_INFO结构体,供SetHookPage使用
//函数参数3 CHAR[] 要替换的二进制代码数组
//函数参数4 UINT32 数组长度
//功能:初始化hook页
//返回值:BOOLEAN,安装成功返回TRUE,失败返回FALSE
//==================================================================
BOOLEAN InitHookPage(UINT64 VirtualAddress,PPAGE_INFO pPageInfo,CHAR ShellCode[],UINT32 Length)
{
    //按9-9-9-9-12拆分VirtualAddres这个线性地址
    pPageInfo->PXEIndex = (VirtualAddress >> 0x27) & 0x1FF; //PXEIndex
    UINT32 PPEIndex = (VirtualAddress >> 0x1E) & 0x1FF;     //PPEIndex
    UINT32 PDEIndex = (VirtualAddress >> 0x15) & 0x1FF;     //PDEIndex
    UINT32 PTEIndex = (VirtualAddress >> 0xC) & 0x1FF;      //PTEIndex
    UINT32 FuncOffset = VirtualAddress & 0xFFF;
    //获得VirtualAddress对应的Pte Pde Ppe Pxe的值
    pPageInfo->PteBase = GetPTEBase();
    UINT64 PteAddr = GetXXXAddress(VirtualAddress, pPageInfo->PteBase);     //VirtualAddress所属的物理页的PTE的指针
    UINT64 PdeAddr = GetXXXAddress(PteAddr, pPageInfo->PteBase);            //VirtualAddress所属的物理页的PDE的指针
    UINT64 PpeAddr = GetXXXAddress(PdeAddr, pPageInfo->PteBase);            //VirtualAddress所属的物理页的PPE的指针
    UINT64 PxeAddr = GetXXXAddress(PpeAddr, pPageInfo->PteBase);            //VirtualAddress所属的物理页的PXE的指针
    UINT64 Pte = *(PUINT64)PteAddr;
    UINT64 Pde = *(PUINT64)PdeAddr;
    UINT64 Ppe= *(PUINT64)PpeAddr;
    pPageInfo->Pxe = *(PUINT64)PxeAddr;
    //分配一块物理页并初始化
    PHYSICAL_ADDRESS Low = { 0 };
    PHYSICAL_ADDRESS High = { MAXULONG64 };
    for (int i = 0; i < 5; i++)
    {
        //成功返回虚拟地址,失败返回NULL
        pPageInfo->pPageArray[i] = MmAllocateContiguousMemorySpecifyCache(PAGE_SIZE, Low, High, Low, MmCached);
        if (!pPageInfo->pPageArray[i])
        {
            DbgPrint("物理页分配失败\n");
            return FALSE;
        }
        RtlZeroMemory(pPageInfo->pPageArray[i], PAGE_SIZE);
    }
    //拷贝VirtualAddress所属的PhyPage,PT,PDT,PPT
    CopyPhysicalPage(pPageInfo->pPageArray[PhyPage], Pte);
    CopyPhysicalPage(pPageInfo->pPageArray[PT], Pde);
    CopyPhysicalPage(pPageInfo->pPageArray[PDT], Ppe);
    CopyPhysicalPage(pPageInfo->pPageArray[PPT], pPageInfo->Pxe);
    //连接PhyPage,PT,PDT,PPT
    LinkPhysicalPages(pPageInfo->pPageArray[PhyPage], pPageInfo->pPageArray[PT], PTEIndex, Pte);
    LinkPhysicalPages(pPageInfo->pPageArray[PT], pPageInfo->pPageArray[PDT], PDEIndex, Pde);
    LinkPhysicalPages(pPageInfo->pPageArray[PDT], pPageInfo->pPageArray[PPT], PPEIndex, Ppe);

    if (ShellCode == NULL||Length == 0)
    {
        return TRUE; 
    }
    //__debugbreak();
    //UINT64 aaaaaaa = (UINT64)pPageInfo->pPageArray[PhyPage] + FuncOffset + 0XB;
    for (UINT32 i = 0; i < Length; i++)
    {
        *(PCHAR)((UINT64)pPageInfo->pPageArray[PhyPage] + FuncOffset+ i) = ShellCode[i];
    }
    return TRUE;
}

//==================================================================
//函数名:SetHookPage
//函数参数1 UINT64,目标进程的cr3
//函数参数2 PAGE_INFO 结构体,PAGE_INFO由InitHookPage获得
//功能:安装hook页
//返回值:VOID
//==================================================================

VOID  SetHookPage(UINT64 DirectoryTableBase, PAGE_INFO PageInfo)
{
    DirectoryTableBase = DirectoryTableBase & (~0xFFF) | 0x063;
    UINT64 PtePXTAddress = GetXXXAddress((UINT64)PageInfo.pPageArray[PXT], PageInfo.PteBase);
    UINT64 PtePXT = *(PUINT64)PtePXTAddress;
    //修改了映射
    *(PUINT64)PtePXTAddress = DirectoryTableBase;
    LinkPhysicalPages(PageInfo.pPageArray[PPT],PageInfo.pPageArray[PXT], PageInfo.PXEIndex, PageInfo.Pxe);
    *(PUINT64)PtePXTAddress = PtePXT;
    DbgPrint("HOOK 成功\n");
}
sanqiuai
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[VT虚拟化驱动]利用EPT实现无痕HOOK
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
影子页表机制和代码分析
11-25
对xen的影子页表进行分析,包括原理和代码分析。
Copy-On-Write机制,全局hook(二)
井底之蛙
09-29 4170
如果仔细阅读前一篇文章的话,就知道只要PTE的write(bit 1)位置1,就废掉了Copy-On-Write机制(解释一下,因为不可能产生异常了嘛),为了不影响系统的运行,我找了ntdll的文件头(7c800000)做实验: !process 0 0 . PROCESS 811ae9e0 SessionId: 0 Cid: 015c Peb: 7ffde000 ParentCid: 036c DirBase: 0997f000 ObjectTable: e15114
Windows驱动开发学习笔记(五)—— SSDT HOOK
qq_41988448的博客
12-14 1249
Windows驱动开发学习笔记(五)—— SSDT HOOK前言系统服务表系统服务描述符表 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 系统服务表 描述: 全称:SystemServiceTable(系统服务表) 可以通过系统服务描述符表访问系统服务表 系统服务描述符表 描述: 全称:System Services Desc...
SimpleSvmHook:SimpleSvmHook是用于AMD处理器上Windows的研究目的虚拟机管理程序
05-10
SimpleSvmHook 介绍 SimpleSvmHook是用于AMD处理器上Windows的研究目的虚拟机管理程序。 它挂接内核模式功能,并保护它们不被嵌套页面表(NPT)使用,该页面是AMD虚拟化(AMD-V)技术的一部分。 该项目旨在作为AMD处理器上虚拟机自检(VMI)的示例实现,并着重说明与Intel处理器上类似VMI实现的区别。 如果您已经了解 ,那么从功能角度来看,这是AMD的对应产品,但以下描述的内容很少。 隐身钩实现概述 隐形钩是从监视器或检查器组件的外部看不到的一种钩。 在VMI上下文中,隐形钩子由系统管理程序安装和管理到来宾代码中,以重定向指定地址的执行,而来宾不容易检测到。 在虚拟机管理程序中实现隐身挂钩的一种常见方法是使用第二级地址转换(SLAT)(即Intel和Nested上的扩展页表(EPT))来拆分内存的“视图”以进行读/写并从来宾执行访问适用于AM
论文研究-基于类虚拟化的影子页表加速方法 .pdf
08-15
基于类虚拟化的影子页表加速方法,谈鉴锋,王瑀屏,影子页表作为内存虚拟化地址转换问题的解决方案之一,其性能开销主要源于客户机页表和影子页表不一致造成的缺页异常。实验发现,
hook pte_简单HOOK SSDT实现文件防删除
weixin_42121058的博客
02-23 422
被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:DeleteFileA -> DeleteFileW -> ntdll.ZwSetIn...
通过修改pte页表属性使内存可写
qq_42931917的博客
06-16 2728
通过修改pte页表属性使内存可写 一、相关API /* * Lookup the page table entry for a virtual address. Return a pointer * to the entry and the level of the mapping. * * Note: We return pud and pmd either when the entry is marked large * or when the present bit is not set.
Linux 内核学习笔记
热门推荐
AI.PLAY
01-10 1万+
Linux内核学习笔记 《linux内核设计艺术》写的很好,对于理解操作系统的工作原理有很大帮助,以下是我在读这本书时所整理的一些框架,希望可以对读者理解linux操作系统的内核起到一定的作用,由于本人水平有限,不足之处,欢迎广大读者留言指正。 1.linnux启动 计算机在启动时,内存中是没有程序的,所以需要将硬盘中的操作系统加载到内存中,在内存(RAM)中什么程
ARM内存页表的硬件原理
07-16
ARM内存页表的硬件原理---原理和硬件实现
页表的代码 页表的代码
01-18
页表代码页表代码页表代码页表代码代码页表代码
属性页表 完善资料
04-16
本人编的属性页表程序,完善个人信息后,显示更新在视图上。
网站被SmartScreen标记为不安全怎么办?
Racent_Y的博客
04-22 586
在互联网时代,网站的安全性和可信度是用户选择是否继续访问的重要因素之一,然而,网站运营者偶尔会发现使用Edge浏览器访问网站时,会出现Microsoft Defender SmartScreen(以下简称SmartScreen)提示网站不安全的情况。旨在通过以上措施,尽可能的减少网站被SmartScreen标记为不安全的可能,让网站可以正常显示,从而使用户重新建立起对网站的信任,提高用户访问量和浏览量。这里的服务器证书指的就是可以实现网站HTTPS的SSL证书,且要使用在有效期内的。
网站内容下载软件有哪些 网站内容下载软件推荐 网站内容下载软件安全吗 idm是啥软件 idm网络下载免费
最新发布
软妹子的博客
04-25 931
它可以帮你解锁大半个互联网的下载工作(剩下那小半个,法律不允许解锁),突破速度限制、避开资源审查、绕过会员门槛,带给你前所未有的下载体验。在手机上打开一段想要下载的短视频,点击“分享”按钮,选择“复制链接”(注意这里不要点击“下载”按钮,不然下载的视频是带有抖音官方水印的)。将刚才复制的链接用浏览器打开,在视频加载完成后,idm的下载按钮就会自动弹出,点击“下载该视频”。这时候,选择下载分类为“音乐”,点击“开始下载”。在新弹出的下载信息窗口中,选择短视频下载的分类和保存路径,点击“开始下载”。
网络通信安全
m0_68637281的博客
04-24 577
TCP/IP体系结构、以太网、Internet地址、端口TCP/IP协议简介如下:(from文心一言)TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇,它能够在多个不同网络间实现信息传输。TCP/IP协议并不仅仅指的是TCP和IP两个协议,而是由多个协议共同组成的一个协议簇。其中,TCP协议和IP协议因其最具代表性,所以整个协议簇被称为TCP/IP协议。
第67天:APP攻防-Frida反证书抓包&移动安全系统&资产提取&评估扫描
weixin_71529930的博客
04-23 1171
移动安全框架 (MobSF) 是一种自动化的一体化移动应用程序(Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。AppinfoScanner 一款适用于以 HW 行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态 WEB 站点中关键的资产信息并提供基本的信息输出,如:Title、Domain、CDN、指纹信息、状态信息等。
安全和传统安全之间有什么区别?
wanhengwangluo的博客
04-23 338
安全和传统安全中最大的区别就在于责任范围不同,云安全主要是由用户和云供应商共同承担责任,云安全的最主要的特征就在于共同责任模型,是由云服务提供商或者是用户处理的安全要素,其中责任范围是根据客户使用云服务而区分的;传统安全则是用户百分百为自己的安全负责。云安全也可以被称为云计算安全,是用来保护云中的应用、基础设施以及数据的任意攻击、流程或策略的都被称为云安全,云安全适用于私有云、公有云和混合云等多种云环境,能够在企业、驾驭、金融和政务等多种场景中快速发展。那云安全和传统安全两者之间有什么区别呢?
如何安全高效地进行网点文件下发?
文件数据安全交换
04-23 411
Ftrans BFD分支机构文件分发系统》可以确保安全、可靠、高效的进行银行网点文件下发,提供专业的安全措施、审计跟踪以及更严格的支持,保护核心资产,实现高效、安全、便捷的文件下发。完整记录平台所有用户操作日志和文件交换日志,可长期保留原始文件,不受用户删除影响,日志支持定期自动归档和清理,缓解存储压力,支持检索日志记录,支持导出日志记录。针对不同的⽂件类型(如业务数据、运维⽂件等)、分⽀机构、⼈员⻆⾊、及⽂件交换⽅向,可灵活配置不同的管控策略,进⽽控制⽂件流转的内容和范围,实现精细管控。
页表代码实现
05-27
页表是操作系统中用来记录虚拟内存地址与物理内存地址映射关系的数据结构,其实现方式因操作系统不同而异。以下是一个简单的页表代码实现示例,供参考: ```c #define PAGE_SIZE 4096 // 页大小为 4KB #define PAGE_NUM 1024 // 页表项数为 1024 struct page_table_entry { unsigned int present : 1; // 页是否存在 unsigned int writeable : 1; // 页是否可写 unsigned int user_access : 1; // 用户是否有访问权限 unsigned int write_through : 1; // 是否写直达 unsigned int cache_disabled : 1; // 是否禁用缓存 unsigned int accessed : 1; // 是否被访问过 unsigned int dirty : 1; // 是否被修改过 unsigned int zero : 1; // 保留位 unsigned int global : 1; // 全局页标志位 unsigned int available : 3; // 空闲可用位 unsigned int page_frame : 20; // 物理页框号 }; struct page_table_entry page_table[PAGE_NUM]; // 初始化页表 // 将虚拟地址映射到物理地址 void map_virtual_to_physical(unsigned int virtual_address, unsigned int physical_address) { unsigned int page_index = virtual_address / PAGE_SIZE; // 计算页号 page_table[page_index].present = 1; // 设置页存在 page_table[page_index].writeable = 1; // 设置页可写 page_table[page_index].user_access = 1; // 设置用户可访问 page_table[page_index].write_through = 0; // 不写直达 page_table[page_index].cache_disabled = 0; // 不禁用缓存 page_table[page_index].accessed = 0; // 未被访问过 page_table[page_index].dirty = 0; // 未被修改过 page_table[page_index].zero = 0; // 保留位清零 page_table[page_index].global = 0; // 非全局页 page_table[page_index].available = 0; // 空闲可用位清零 page_table[page_index].page_frame = physical_address / PAGE_SIZE; // 计算页框号 } ``` 以上代码实现了将虚拟地址映射到物理地址的功能,具体实现方式可能会因操作系统的不同而有所差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值