驱动漏洞中的__try和ProbeForRead

最新推荐文章于 2024-07-28 16:23:25 发布
最新推荐文章于 2024-07-28 16:23:25 发布
阅读量216 收藏
点赞数
原文链接:http://www.cnblogs.com/ywledoc/archive/2012/11/26/2789646.html
版权

__try,__except在HIPS驱动中的实现。

一般出现异常,流程到__except中,会直接放行。

 wooyun上有一个漏洞跟这个有关:

http://www.wooyun.org/bugs/wooyun-2012-013160

用PAGE_GUARD,造成第一次访问参数会出异常

mj0011,也有一个类似的ProbeBypass

http://hi.baidu.com/mj0011/item/e57573340dc583302e0f81f0

ProbeForRead的第三个参数Alignment,如果为2。只要传入不以2对齐的内存,就会引发异常。

同时,关于Probe和__try的漏洞MJ还有一个

http://hi.baidu.com/mj0011/item/ce6187d84fe3d0ffcb0c39f7

这个比较2,ProbeForRead后,就直接不管了。以前看过这个驱动,没找出来。

转载于:https://www.cnblogs.com/ywledoc/archive/2012/11/26/2789646.html

weixin_30567471
关注
ProbeForRead&&ProbeForWrite(Windows内核学习笔记)
KOOKNUT的博客
04-01 1418
上篇博文提到了Ring0层对于Ring3层地址的校验方法,我将源码实现放到这里: 其判断是否越界的那个宏: MmUserProbeAddress,在源码没有找到它的定义,所以用Windbg看了看。 Windbg: /* ProbeForRead例程检查用户模式缓冲区是否实际驻留在地址空间的用户部分,并且是否正确对齐。 简而言之,就是看看这块内存是否是Ring3的内存,并不检查内存是...
VC++异常捕获__try...__except和try...catch的使用介绍(附源码)
dvlinker的技术专栏
06-17 7345
异常捕获__try...__except和try...catch的使用介绍。
ProbeForRead(),ProbeForWrite()
duhaomin的专栏
10-28 4730
ProbeForRead(),ProbeForWrite()函数 ProbeForRead MSDN解释,ProbeForWrite MSDN解释 ProbeForWrite ( __inout_bcount(Length) PVOID Address, __in SIZE_T Length, __in ULONG Alignment ) /*++ Ro
probeForRead
yymiaoxin2010的博客
07-30 625
ProbeForReadProbeForWrite函数探测地址是否可读和可写
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2859
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
驱动模式使用__try __excpet
05-17 295
内核模式下判断内存可读可写(下面两个函数是判断ring3的内存。我也搞不懂有啥用) VOID ProbeForRead( IN CONST VOID *Address, IN SIZE_T Length, IN ULONG Alignment ); VOID ProbeForWrite( IN CONST VOID *Address, IN SIZE_T Length, IN U...
使用__try...__except或try...catch捕获异常防止C++程序产生异常崩溃(附源码)
最新发布
dvlinker的技术专栏
07-28 4447
使用__try...__except或try...catch捕获异常防止C++程序产生异常崩溃(附源码)
“error C2712: 无法在要求对象展开的函数使用__try”解决办法
dvlinker的技术专栏
05-14 6913
“error C2712: 无法在要求对象展开的函数使用__try”解决办法
“error C2712: 无法在要求对象展开的函数使用__try”解决方案
ShiQW5696的博客
06-12 7973
前段时间写了一篇关于C++异常捕获及异常处理的文章:c++异常捕获及异常处理try-throw-catch严格的来说,那不算是一篇完整的文章,更多的是提出我的疑惑。顺便总结了一下网友关于C++异常捕获及异常处理给出的精炼的示例。至今,上文提到的疑惑本菜鸟都没有完全解开。于是,我就选择了用 __try __except 来捕获及处理异常。经过测试,我想捕获的异常用 __try __except 都捕...
Nginx:配置 try_files 实现内部重定向
热门推荐
Java Punk
04-07 1万+
在0.7以后的版本加入了一个try_files指令,配合命名location,可以部分替代原本常用的rewrite配置方式,提高解析效率。
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 949
ProbeForRead/Write 在开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
关于在驱动使用__try __finally的问题
anxi2128的博客
09-30 420
今天调试一个驱动发现了一些平时没有考虑过的问题,在驱动使用__try和__finally时,在__try块直接使用return时会出现什么情况! 我用wdk里面的例子做为我的测试代码,通过逆向发现在__try块执行return不会被执行到__finally,而是马上就返回了。因此在__try直接使用return会非常的危险,强烈建议不要这样做!我今天就吃了大苦头。 下面是...
MmIsAddressValid、ProbeForReadProbeForWrite函数分析
zz_strive_2012的专栏
12-19 1145
MmIsAddressValid WDK文档给出的功能描述: The MmIsAddressValid routine checks whether a page fault will occur for a read or write operation at a given virtual address. 根据描述来看这个函数的功能只是去检查读写操作会不会触发一个页错误,但是作为一个...
__try异常处理
125096
06-22 907
#ifdef __cplusplus extern "C" { #endif #include #ifdef __cplusplus } #endif void helloxpUnload(IN PDRIVER_OBJECT DriverObject); void Test(void); #ifdef __cplusplus extern "C" NTSTATUS DriverEntry
MS08-066 : 绕过ProbeForRead/ProbeForWrite及修复
09-26 500
MS08-066 : Catching and fixing a ProbeForRead / ProbeForWrite bypass The driver afd.sys is responsible for handling socket connections.
C++ 之try-except
DoYou?'s csdn
06-22 5847
C++ 之try-except转载自:http://blog.csdn.net/chief1985/archive/2008/05/13/2443235.aspx导读: 从本篇文章开始,将全面阐述__try,__except,__finally,__leave异常模型机制,它也即是Windows系列操作系统平台上提供的SEH模型。主人公阿愚将在这里与大家分享SEH的学习过程和经验总结。
win10驱动开发10——异常处理
qq_41610493的博客
12-05 1010
驱动内存异常 ProbeForRead 判断内存是否可读 ProbeForWrite 判断内存是否可写 ExRaiseStatus 指定状态代码触发异常 ExRaiseAccessViolation 触发STATUS_ACCESS_VIOLATION异常(访问异常) ExRaiseDatatypeMisalignment 触发STATUS_DATATYPE_MISALIGNMENT异常(数据类型异常) 注意不要通过触发异常告诉你的调用者你在普通执行状态的信息,你完全可以返回
驱动下的异常处理
crkres9527
09-27 590
返回状态值   检查内存的可用性   异常处理try-except   异常处理try-finally   断言 NTSTATUS typedef LONG NTSTATUS;   NT_SUCCESS #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)   #define STATUS_SUCCESS      ...
pthread_mutex_trylock详解
09-14
pthread_mutex_trylock是一个函数,用于尝试对互斥锁进行加锁操作。它的作用是在不阻塞线程的情况下,尝试获取互斥锁的所有权。如果互斥锁当前已经被其他线程持有,则pthread_mutex_trylock立即返回一个非零值,并且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值