linux内存写保护,[原创]不用CR0或MDL修改内核非分页写保护内存的一种思路(x64)

最新推荐文章于 2021-10-14 11:26:07 发布
最新推荐文章于 2021-10-14 11:26:07 发布
阅读量675 收藏 1
点赞数
文章标签: linux内存写保护

开门见山,本文的核心思路就是通过填充页表项,将一块连续的虚拟地址映射到新的地址,同时将需要修改的只读内存对应页表项的Dirty位置位。在Windows操作系统下,写保护是通过保护特定虚拟地址实现的,若不建立新映射,则即使将Dirty位置位,尝试写只读内存照样会触发BugCheck,若建立了新映射但不置位Dirty则触发PAGE_FAULT的BugCheck,两个步骤缺一不可。

填充页表项首先需要动态定位PTEBase,国际惯例是采用大表哥的页表自映射法,代码如下:ULONG_PTR PTEBase = 0;

BOOLEAN hzqstGetPTEBase()

{

BOOLEAN Result = FALSE;

ULONG_PTR PXEPA = __readcr3() & 0xFFFFFFFFF000;

PHYSICAL_ADDRESS PXEPAParam;

PXEPAParam.QuadPart = (LONGLONG)PXEPA;

ULONG_PTR PXEVA = (ULONG_PTR)MmGetVirtualForPhysical(PXEPAParam);

if (PXEVA)

{

ULONG_PTR PXEOffset = 0;

do

{

if ((*(PULONGLONG)(PXEVA + PXEOffset) & 0xFFFFFFFFF000) == PXEPA)

{

PTEBase = (PXEOffset + 0xFFFF000) <

Result = TRUE;

break;

}

PXEOffset += 8;

} while (PXEOffset 

}

return Result;

}

这里我顺便也给出另一种获取方案,基本思路是通过NT导出函数NTKERNELAPI ULONG NTAPI KeCapturePersistentThreadState(PCONTEXT Context, PKTHREAD Thread, ULONG BugCheckCode, ULONG_PTR BugCheckParameter1, ULONG_PTR BugCheckParameter2, ULONG_PTR BugCheckParameter3, ULONG_PTR BugCheckParameter4, PVOID VirtualAddress);

Dump下0x40000大小的数据,里面就存放有MmPfnDataBase,MmPfnDataBase是一个以物理地址页帧号为索引的内存信息数组,其中就有物理页对应的PTE项的地址PteAddress,我们传一个有效的物理地址进去(如当前CR3: __readcr3() & 0xFFFFFFFFF000)取出其中的PteAddress,由于PTEBase必定是0x8000000000的倍数,因此可由PteAddress直接算出PTEBase。另外,从Win10 RS1周年预览版开始,KeCapturePersistentThreadState开始受全局变量ForceDumpDisabled的控制,若注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl”中有关子项满足条件,此变量会在开机启动时置为1,导致KeCapturePersistentThreadState调用失败。综上所述我们得到第二种获取PTEBase的代码如下://若在Win10上测试,需要在这里加上"#define _WIN10 1"

#ifdef _WIN10

#define OFFSET_PTEADDRESS 0x8

#elif

#define OFFSET_PTEADDRESS 0x10

#endif

ULONG_PTR PTEBase = 0;

PBOOLEAN LocateForceDumpDisabledInRange(ULONG_PTR StartAddress, ULONG MaximumBytesToSearch)

{

PBOOLEAN Result = 0;

ULONG_PTR p = StartAddress;

ULONG_PTR pEnd = p + MaximumBytesToSearch;

do

{

//cmp cs:ForceDumpDisabled, al

//jnz ...

if ((*(PULONGLONG)p & 0xFFFF00000000FFFF) == 0x850F000000000538)

{

Result = p + 6 + *(PLONG)(p + 2);

break;

}

p++;

} while (p 

return Result;

}

BOOLEAN GetPTEBase()

{

BOOLEAN Result = FALSE;

CONTEXT Context = { 0 };

Context.Rcx = (ULONG64)&Context;

<
最低0.47元/天 解锁文章
严成旺
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x64 r0 irp通信 mdl通信 lnlinehook
03-27
学习出的代码 环境vs2017+wdk10, 有注释常适合学习。其中包含irp通信 mdl通信 inlinkhook, 功能 r0 r3通信, r0 获取进程列表,结束进程 以及inlinehook,
内存READWRITE_读驱动_读_驱动_驱动读_驱动内存
09-10
读取内存可以帮助获取程序运行时的状态,而内存则可能涉及到修改程序运行的行为,例如内存调试器就依赖这种功能来修正错误或测试不同条件。 驱动读过程通常涉及以下步骤: 1. 请求:当应用程序需要访问内存...
linux绕过内存保护,内存保护机制及绕过方法——利用Ret2Libc绕过DEP之VirtualProtect函数...
weixin_39709262的博客
05-01 1151
利用Ret2Libc绕过DEP之VirtualProtect函数⑴. 原理分析:i.相关概念:VirtualProtect()函数:BOOL WINAPI VirtualProtect(_In_ LPVOID lpAddress, //目标地址的起始位置_In_ SIZE_T dwSize, //区域大小_In_ DWORD flNewProtect, //新的保护属性,设置为...
Linux内核内存保护,Linux内核学习-----内存管理
weixin_39963080的博客
04-30 692
#include < signal.h > //信号头文件,定义信号符号常量,信号结构以及信号操作函数原型#include < asm/system.h > //系统头文件,定义了设置或是修改描述符/中断门等的嵌入式汇编宏#include < linux/sched.h >//调度程序头文件,定义了任务结构taskstruct,初始化任务0的数据,还有一些有...
Linux操作系统基础(三)保护模式内存管理(1)
终身学习的程序猿
01-30 4769
Linux操作系统基础(三)保护模式内存管理(1)   转载请注明出处:http://blog.csdn.net/rosetta 保护模式内存管理     本节描述IA-32架构保护模式下内存管理机制,包括段机制和页机制。 内存管理简介          IA-32架构内存管理机制分两部分:分段机制和分页机制。分段机制使代码段、数据段和堆栈段相互独立,这样多任务才可以在一个处理器上运行...
linux mmpro内存保护,新手看招 Linux系统的内存管理技巧总结
weixin_42347739的博客
05-07 218
1 mem_map[PAGING_PAGES]数组为什么不直接从主存储区开始记录,而从1M开始记录,然后又把1M到主存储区之间的内容置为1002 mem_map[i]在那些时候会大于1:同一物理页面被n个(n>1)线性地址共享,如copy_page_table()会影响这里的值3 哪些地方需要执行刷新页变换缓冲(invalidate()函数实现):3.1 free_page_tables()...
linux系统下文件过滤驱动开发(越过内核内存保护)
kafetom的博客
05-19 1867
linux 越过内核内存保护方法归纳,目前在工作中遇到的问题及解决方法,供大家参考。 在做文件过滤驱动模块功能时,分别基于X86_64架构 amd64操作系统 和 基于aarch64架构 arm64操作系统上开发实现,在hook内核的函数功能时,遇到内核内存保护阻止替换函数地址的问题。公司响应国家推行国产化操作系统进程号召,所以是在 统信uos个人版操作系统上开发实施的: Linux uos-PC 5.4.50-amd64-desktop #73 SMP Mon Aug 24 15:42:54 CST
OFDM_64QAM_R14.mdl.zip_64QAM_MATLAB 64qam_OFDM mdl_OFDM.mdl_OFDM
07-13
OFDM 64QAM simulation
ofdm_simulink.rar_OFDM simuli_OFDM-64QAM.MDL_ofdm matlab simulin
07-14
OFDM系统的matlab simulink仿真框图,能设置不同参数进行仿真。
pidex0_mdl_
10-01
标题中的"pidex0_mdl_"可能是指一个PID控制器的模型文件,PID是比例积分微分控制器(Proportional Integral Derivative Controller)的缩,是自动控制领域中最常用的一种控制算法。它通过综合比例(P)、积分(I)...
关于SSDT HOOK取消内存保护的问题
huobengle
10-02 186
有些人说不去掉也不会蓝屏,照样能HOOK成功 确实,我当时也是这样过。。。 不过拿给别人机器一测试就蓝了 网上找到了MJ给出的答案:当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可的,这种情况下直接改是没有问题的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Manage...
通过修改CR0取消内存保护
qq_33215865的博客
10-14 3689
在x86_64进行补丁系统的原地址指令更改时,会因为x86的内存保护,使得对原地址的操作引起内核panic,报oops。可以通过修改CR0寄存器的第16位暂时关闭保护。 1、CR0     CR0 是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。     CR0的第16位是保护未即WP位(486系列之后),只要将这一位置0就可以禁用保护,置1...
Cr0内核打开关闭保护
haodawei123的博客
02-12 3533
////////////////////////////////////////////下面是32位编程实现///////////////////////////////////////////////////////////////////// // 关闭保护 #pragma PAGEDCODE void OpenGate() { __asm { cli;//将处理器标志寄存器的中断标志位清0...
Windows内存管理—内存映射、PAE、MmPfnDatabase
qq_42814021的博客
10-14 2582
Windows内存管理 内存有两种,一种是由内存条构成的所谓的物理内存,这种内存读取速度快; 还有一种是虚拟内存,由硬盘构成,也就是把硬盘的一部分容量拿来当作内存用,但是速度没有内存条那么快。 两者的关系: 每个进程都有4GB的虚拟内存,但不是所有的虚拟内存都有对应的物理内存,它其实是在物理内存和磁盘之间进行倒换的。 虚拟内存在用的时候,会从磁盘倒入物理内存不用的时候就还是存在磁盘上。因此,同一个物理内存在不同的时间可以被用于不同进程的不同虚拟内存。 基于页面映射的虚拟内存机制: 在硬件上:由CPU芯片内
WIN7 64位之动态定位ObpRootDirectoryObjct
qq_37213846的博客
09-28 884
一 . 关于内核目录对象的基础知识请了解其他作者的博客, 此文只讲述如何动态定位目录对象的起始位置. 二 . ObpRootDirectoryObject是内核中的一个地址,这个地址里面存放的第一个64位的数据就为目录对象的起始地址。 打红圈的是目录对象的起始地址,前面FFFFF80005675590就是ObpRootDirectoryObject的地址,那么如何在内核动态定位ObpRootD...
一个操作系统的实现:第三篇——保护模式(Protect Mode)
goodcrony的博客
03-05 6851
目录 汇编知识: GDT(Global Descriptor Table)全局描述符表 GDTR 全局描述符寄存器 段选择子(Selector) 描述符(Descriptor) LDTR 局部描述符寄存器 TR 任务寄存器 门描述符: 进入保护模式的主要步骤: 保护模式下寻址的机制: 一致代码段: 一致代码段: 特权级: TSS结构: 什么叫做“页”: PDE和P...
19.x64下算出PTE
qq_35129925的博客
04-05 1193
X64下用的是9-9-9-9-12的分页模式,PML4E-PDPTE-PDE-PTE-偏移,线性地址的前16位是作符号扩展,后48位是分页模式. 1.PTE是直接指向物理内存的,X86下有个固定的页目录表0xc0000000可得到所有地址信息,X64下为了安全起见,页目录表随机了,文章末有分析如何得到。 一、PTE的算法: 1.已一个线性地址为例0xfffffa801a628b30,下面先拆分 PML4E:1111 1010 1 1F5 PDPTE:000 000...
MDL的使用简介
qiaoli的知识备忘录
03-14 2158
锁定内存页的意思是:被锁定内存页会一直存在于物理内存中,不会被置换到磁盘文件中去。 MDL只能在内核态使用,但它指定的虚拟内存即可以是内核态地址也可以是用户态地址。如果是用户态的地址你必须要自行弄清地址所在的进程上下文,因为不同的进程拥有不同的地址空间,即使地址的值一模一样它们包含的数据也一定完全不同。如果是内核态的地址那么事情会变的稍微简单点,因为在内核态地址空间是共享的,同一
存储物理页属性的PFN数据库
微赚淘客开发者博客
10-24 582
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 存储物理页属性的PFN 数据库 一、PFN的基础概念     页帧:即CPU的分页,常见的是4KB大小的分页。操作系统分页即用页帧为最小单位。       我们之前在保护模式中所学习到的PTE,其指向的就是页地址+页属性。(这个页地址是物理地址,唯一的) ...
windows 内核 内存映射的函数和例子
最新发布
06-02
Windows 内核提供了一些函数来进行内存映射,其中最常用的是 `MmMapLockedPagesSpecifyCache` 和 `MmUnmapLockedPages`。 下面是一个使用 `MmMapLockedPagesSpecifyCache` 函数进行内存映射的示例代码: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值