[转](23)逆向分析 MmIsAddressValid 函数(XP系统 10-10-12分页)

最新推荐文章于 2021-10-21 17:38:19 发布
最新推荐文章于 2021-10-21 17:38:19 发布
阅读量234 收藏 1
点赞数
原文链接:https://blog.csdn.net/Kwansy/article/details/108903067
版权

 

一、找到 MmIsAddressValid 函数

 

方法一:在windbg中输入 u MmIsAddressValid

 

在这里插入图片描述

 

方法二:在c:\windows\system32\ 中找到内核程序,用IDA分析。
ntkrnlpa.exe 2-9-9-12 分页内核
ntoskrnl.exe 10-10-12 分页内核

 

打开 ntoskrnl.exe 后,导入pdb文件,即可查看函数名称。
如果你没有pdb文件,请先安装对应系统版本的符号文件。

 

 

在这里插入图片描述

 

 

在这里插入图片描述

 

 

在这里插入图片描述

 

二、分析代码

 

先作一些说明,关于PAT位,我不清楚其作用,因此不做分析。
正式分析前,先聊聊函数头的 MOV EDI,EDI 指令。这条指令看起来什么也没做,但是很多系统函数开头都有这条指令,why?其实这是为了实现对函数行为的动态修改(热补丁),可以一下这篇文章 函数开始处的MOV EDI, EDI的作用

 

下面直接贴上我分析后的函数。

 

.text:0040C65C ; ---------------------------------------------------------------------------
.text:0040C65C                 nop
.text:0040C65D                 nop
.text:0040C65E                 nop
.text:0040C65F                 nop
.text:0040C660                 nop
.text:0040C661 ; Exported entry 685. MmIsAddressValid
.text:0040C661
.text:0040C661 ; =============== S U B R O U T I N E =======================================
.text:0040C661
.text:0040C661 ; Attributes: bp-based frame
.text:0040C661
.text:0040C661 ; BOOLEAN __stdcall MmIsAddressValid(PVOID VirtualAddress)
.text:0040C661                 public MmIsAddressValid
.text:0040C661 MmIsAddressValid proc near              ; CODE XREF: sub_40D65E+Cp
.text:0040C661                                         ; sub_415459:loc_415470p ...
.text:0040C661
.text:0040C661 VirtualAddress  = dword ptr  8
.text:0040C661
.text:0040C661 ; FUNCTION CHUNK AT .text:0041B856 SIZE 00000007 BYTES
.text:0040C661 ; FUNCTION CHUNK AT .text:0044A562 SIZE 00000019 BYTES
.text:0040C661
.text:0040C661                 mov     edi, edi
.text:0040C663                 push    ebp
.text:0040C664                 mov     ebp, esp
.text:0040C666                 mov     ecx, [ebp+VirtualAddress] ; ecx=VirtualAddress
.text:0040C669                 mov     eax, ecx        ; eax = VirtualAddress
.text:0040C66B                 shr     eax, 14h        ; 右移20位 因为*4=左移2位补0,所以这里直接右移20位
.text:0040C66E                 mov     edx, 0FFCh      ; 除PDI外其他位清零  1111 1111 1100  保证补位的都是0
.text:0040C673                 and     eax, edx        ; eax = PDI * 4
.text:0040C675                 sub     eax, 3FD00000h  ; eax += 0xC0300000 此时eax指向PDE
.text:0040C67A                 mov     eax, [eax]      ; eax = PDE
.text:0040C67C                 test    al, 1           ; if (P==0) JZ 意思是 P=0 则跳转到非法处理
.text:0040C67E                 jz      loc_41B856
.text:0040C684                 test    al, al          ;判断page size位  if (al < 0) JS  意思是 PS=1(大页)就返回1
.text:0040C686                 js      short loc_40C6AC ; 返回1,表示线性地址有效
.text:0040C688                 shr     ecx, 0Ah        ; ecx(VirtualAddress) >> 10  右移10位
.text:0040C68B                 and     ecx, 3FFFFCh    ; 除PDI,PTI外的位清零 0000 0000 0011 1111 1111 1111 1111 1100
.text:0040C691                 sub     ecx, 40000000h  ; ecx = 0xC0000000 + PDI * 4KB + PTI * 4  ecx指向PTE
.text:0040C697                 mov     eax, ecx
.text:0040C699                 mov     ecx, [eax]      ; ecx = PTE
.text:0040C69B                 test    cl, 1           ; if (P==0) 非法
.text:0040C69E                 jz      loc_41B856
.text:0040C6A4                 test    cl, cl          ; if (PAT == 1) JS  如果 PAT==1 另作判断,我就不分析了
.text:0040C6A6                 js      loc_44A562
.text:0040C6AC
.text:0040C6AC loc_40C6AC:                             ; CODE XREF: MmIsAddressValid+25j
.text:0040C6AC                                         ; MmIsAddressValid+3DF0Fj
.text:0040C6AC                 mov     al, 1           ; 返回1,表示线性地址有效
.text:0040C6AE
.text:0040C6AE loc_40C6AE:                             ; CODE XREF: MmIsAddressValid+F1F7j
.text:0040C6AE                 pop     ebp
.text:0040C6AF                 retn    4
.text:0040C6AF MmIsAddressValid endp

 

MmIsAddressValid 函数和我们之前练习时做的事情是一样的,主要就是判断PDE和PTE是否 P=1。MmIsAddressValid 是系统函数,它的效率是很高的,位运算看起来有点费脑,目的也是减少指令数。


---------------------
作者:hambaga
来源:CSDN
原文:https://blog.csdn.net/Kwansy/article/details/108945068
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件

昵称正在加载
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向程序分析:Windows的main(),启动函数分析
CodeBowl的博客
10-23 1166
@[TOC](Windows main() 启动函数分析) 实验环境 Windows10 Vs2015 x86程序 启动函数 C/C++的运行时启动函数,该函数负责对C/C++运行库进行初始化。 启动函数的作用: 检索指向新进程的命令行指针、检索指向新进程的环境变量指针、全局变量初始化、内存初始化等。 当所有的初始化操作完成之后,启动函数会调用应用程序的进入点函数。 调试实战 我们写一个简单的main函数,然后F5进入调试。 mainCRTStartup() 这个函数调用了__scrt_common_ma
易语言驱动判断内核内存是否可读源码-易语言
06-13
易语言是一种基于中文编程的软件开发工具,它...通过研究和实践这个源码,不仅可以提升编程技能,还能增强对底层系统操作的理解,对于从事系统开发、安全分析或者驱动编程等相关工作的人员来说,这是一个宝贵的资源。
X64下MmIsAddressValid的逆向及内存寻址解析
06-27 297
标 题: 【原创】X64下MmIsAddressValid的逆向及内存寻址解析 作 者: 普通朋友 时 间: 2015-10-21,20:03:52 链 接: http://bbs.pediy.com/showthread.php?t=205143 在内核编程时,经常会用到MmI...
[windows内核]分析MmIsAddressValid
r250414958的博客
09-19 3089
如果有过驱动编程经验的人一定会了解这个函数MmIsAddressValid(),这个函数的作用简单来说就是验证一个地址可否使用,因为在驱动编程里稍有不慎就会导致BSOD,会在读取和写入数据的时候都要非常谨慎,做好充足的判断。 这是MSDN中的解释 https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-mmisaddressvalid If no page fault would occur from r
MmIsAddressValid
01-25 546
ULONG readmemory(IN ULONG windowh,IN ULONG BaseAdd,IN ULONG BufferSize) {   //参数一:窗口句柄 参数二:要读取的地址 参数三:读取的大小   HANDLE ProcessId=0;   ProcessId =(HANDLE) RealNtUserQueryWindow(windowh, 0);//窗口句柄化为进
保护模式(八)pde与pte、基址、 逆向MmIsAddressValid
weixin_37673331的博客
02-26 1030
Windows保护模式学习笔记(七)—— PDE&PTE 原创 ...
透过MmIsAddressValid看Windows分页机制.doc
09-29
透过MmIsAddressValid看Windows分页机制.doc
BypassDriverDetection_And_Kill360Process:感谢所有帮助我的人
05-14
BypassDriverDetection_And_Kill360Process 环境:Win7 7600 x86 ...3、分析Win2000源码 3.1、MmIsAddressValid 3.2、ProbeForRead() 3.3、ProbeForWrite() 3.4、总结: 三、实现代码: 1、结束进程代码
MmIsAddressValid、ProbeForRead、ProbeForWrite函数分析
zz_strive_2012的专栏
12-19 1113
MmIsAddressValid WDK文档中给出的功能描述: The MmIsAddressValid routine checks whether a page fault will occur for a read or write operation at a given virtual address. 根据描述来看这个函数的功能只是去检查读写操作会不会触发一个页错误,但是作为一个...
函数逆向分析
05-12 141
函数逆向分析 作者:ONDragon 环境:Windows 7 VC6.0。 一、 函数源码 __cdecl int CTestPlus(int a,int b,int c) { return a + b + c; } __stdcall int STestPlus(int a,int b,int c) { re...
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 895
ProbeForRead/Write 在开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现: ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2821
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
inline hook MmIsAddressValid
futosky的专栏
03-21 421
//用于inline hook #include KIRQL Irql; extern PEPROCESS pEprocess; /******************************************************************************************/// hook MmIsAddressValid ULONG g_
透过MmIsAddressValid看Windows分页机制
求索
10-28 1810
标 题: 【原创】透过MmIsAddressValid看Windows分页机制作 者: combojiang时 间: 2008-03-16,00:53链 接: http://bbs.pediy.com/showthread.php?t=61327这两天在逆向分析MmIsAddressValid这个函数,学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddre
浅谈逆向——32位逆向分析技术(1.函数
qq_38684512的博客
01-30 738
浅谈逆向-32位逆向分析技术启动函数函数 启动函数 编写Win32应用程序时,必须在源码中实现一个WinMain函数,但windows执行并不是从WinMain开始的,首先被执行的是启动函数的相关代码,这段代码是由编译器生成的,在启动代码初始化进程完成后,才会调用WinMain函数。 对VC++程序来说,调用了C/C++运行时的启动函数,对运行库进行初始化,C/C++程序运行,启动函数作用基本相同...
小甲鱼 OllyDbg 教程系列 (十) : Windows 逆向常用 api 以及 XOFTSPY 逆向
freeking101的博客
11-16 1495
小甲鱼 OllyDbg 视频教程 尝试 1 :https://www.bilibili.com/video/av6889190?p=17 尝试 2 :https://www.bilibili.com/video/av6889190?p=18 小甲鱼OD学习第13-14讲:https://www.bbsmax.com/A/QV5ZL1gZzy/ 逆向常用 api...
Proxifier逆向分析(Windows)
哆啦安全
01-15 872
Proxifier这里就不多介绍了,详细介绍可以看上一篇文章,这里直接进入主题带大家分析Proxifier的Windows版本。 Windows端逆向分析 环境与工具 windows 10任意版本 frida ida X64dbg vscode 010editor 去官网下载最新windows版本,运行效果如下图所示。 这里就不带大家怎么看什么写的了(方法一样是查看所有模块),我们注册看看有什么效果,如下图所示。 网上找个...
Windows 驱动层读取用户层地址
最新发布
05-31
1. 使用函数 MmIsAddressValid() 来检查给定的地址是否合法,如果合法则说明该地址是用户层地址。 2. 使用函数 ProbeForRead() 或 ProbeForWrite() 来验证给定的用户层地址是否具有正确的访问权限,并将其换为内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值