ProbeForRead()和MmIsAddressValid()

最新推荐文章于 2022-05-25 23:05:30 发布
最新推荐文章于 2022-05-25 23:05:30 发布
阅读量2.7k 收藏
点赞数
分类专栏: window系统内核编程 软件安全 文章标签: exception 测试 url 2010
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zacklin/article/details/7656913
版权
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。



前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。


一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址范围其实是属于Ring3层的。绝大部分时候没有问题,但是这次就有了问题。


看过msdn和wrk后,注意到MmIsAddressVaild()不仅判断内存地址是否可读,还要判断该地址是否会引起页面错误,也就是说访问该地址是否会引起内存管理器进行换页操作。在nt内核下,如果IRQL处于Dispatch级别以上,那么引发换页操作的结果是系统崩溃BSOD。但是如果IRQL是在PASS级别,那么换页当然没问题,而且如果产生内存访问异常,只要捕获并处理了异常,那么系统本身是不会受任何影响的。ProbeForRead()本身只是检测了对齐数值和内存区间是否越过用户所能访问的最高地址顶端,其他并没有多做判断。因此只要再外面使用try-except捕获异常(msdn上也明确的说明了要捕获异常,因为ProbeForRead()本身失败的话会抛出异常)就可以了。


修改后目前正常,正在测试中,:-)


虽然我对ProbeForRead()中仅仅做了对齐数值和是否越过用户顶端内存的判断,但是由于外部有异常捕获,因此没有任何问题,当然,这是IRQL为PASS级别时,如果IRQL一旦处于Dispatch级别,那么死定了……
:-)

转自:[url]http://yukei.blog.163.com/blog/static/11258770320104455523731/[/url]

__try     
{      
            ProbeForRead( InputBuffer, sizeof( ULONG ), sizeof( ULONG ) );      
            ProbeForWrite( OutputBuffer, sizeof( ULONG ), sizeof( ULONG ) );      
}      
__except( EXCEPTION_EXECUTE_HANDLER )      
{      
            IoStatus->Status = GetExceptionCode();      
            break;      
}
zacklin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ProbeForRead&&ProbeForWrite(Windows内核学习笔记)
KOOKNUT的博客
04-01 1397
上篇博文提到了Ring0层对于Ring3层地址的校验方法,我将源码中的实现放到这里: 其中判断是否越界的那个宏: MmUserProbeAddress,在源码中没有找到它的定义,所以用Windbg看了看。 Windbg: /* ProbeForRead例程检查用户模式缓冲区是否实际驻留在地址空间的用户部分中,并且是否正确对齐。 简而言之,就是看看这块内存是否是Ring3的内存,并不检查内存是...
常见的内核漏洞的成因
逆向学习
09-20 1002
文章目录内核漏洞的成因不要随便使用MmIsAddressVaild函数在驱动中如果要对用户态地址进行操作请使用try,__except长度为0的缓存或者为NULL的指针长度为0的缓存一个为NULL的指针缓存对齐不正确的内核函数的调用ObReferenceObjectByHandle不正确的Zw函数调用不要接受任何用户输入的内核对象传递给内核函数。给驱动程序提供功能接口需要小心 内核漏洞的成因 不要...
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 869
ProbeForRead/Write 在开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现: ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
win10驱动开发10——异常处理
qq_41610493的博客
12-05 976
驱动内存异常 ProbeForRead 判断内存是否可读 ProbeForWrite 判断内存是否可写 ExRaiseStatus 指定状态代码触发异常 ExRaiseAccessViolation 触发STATUS_ACCESS_VIOLATION异常(访问异常) ExRaiseDatatypeMisalignment 触发STATUS_DATATYPE_MISALIGNMENT异常(数据类型异常) 注意不要通过触发异常告诉你的调用者你在普通执行状态中的信息,你完全可以返回
probeForRead
yymiaoxin2010的博客
07-30 613
ProbeForRead和ProbeForWrite函数探测地址是否可读和可写
[windows内核]分析MmIsAddressValid
r250414958的博客
09-19 2998
如果有过驱动编程经验的人一定会了解这个函数MmIsAddressValid(),这个函数的作用简单来说就是验证一个地址可否使用,因为在驱动编程里稍有不慎就会导致BSOD,会在读取和写入数据的时候都要非常谨慎,做好充足的判断。 这是MSDN中的解释 https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-mmisaddressvalid If no page fault would occur from r
ProbeForRead(),ProbeForWrite()
duhaomin的专栏
10-28 4704
ProbeForRead(),ProbeForWrite()函数 ProbeForRead MSDN解释,ProbeForWrite MSDN解释 ProbeForWrite ( __inout_bcount(Length) PVOID Address, __in SIZE_T Length, __in ULONG Alignment ) /*++ Ro
透过MmIsAddressValid看Windows分页机制.doc
09-29
透过MmIsAddressValid看Windows分页机制.doc
BypassDriverDetection_And_Kill360Process:感谢所有帮助我的人
05-14
BypassDriverDetection_And_Kill360Process 环境:Win7 7600 x86 360版本:11.4.0.2002 ...3.1、MmIsAddressValid 3.2、ProbeForRead() 3.3、ProbeForWrite() 3.4、总结: 三、实现代码: 1、结束进程代码
易语言驱动判断内核内存是否可读源码-易语言
06-13
2. **内存访问检查**:在驱动程序中,使用内核API(如 ZwQueryVirtualMemory 或 MmIsAddressValid)来检查指定内存地址的访问权限。这些API可以提供关于内存页的保护状态,例如是否可读、可写或执行。 3. **安全...
漏洞预防
m0_55875295的博客
05-25 192
内核驱动漏洞原因和七大忠告 不要使用MMIsAddressValid函数,这个函数对于校验内存结果是UNreliable的 首先,他只能判断一个字节地址的有效性 比如:​​​​​​ if(MmIsAdressValid(p1)){ memcmp(p1,p2,len); } 攻击者只需要传递第一个字节在有效页,而第二个字节在无效页的内存就会导致系统崩溃。比如0x7000是有效也 0x8000是无效也 传入0x7fff 其次,MmIsAddressValid对于 pageout的页面不能准..
Ring3/Ring0的四种通信方式
Rodney443220的专栏
06-11 7893
21.1.5  DeviceIoControl函数与IoControlCode 打开驱动设备后,Ring3还要和驱动进行通讯或调用驱动的派遣例程,这需要用到一个非常重要的函数:DeviceIoControl。 BOOL DeviceIoControl(    HANDLE hDevice,           //设备句柄    DWORD dwIoControlCode,
驱动漏洞中的__try和ProbeForRead
weixin_30567471的博客
11-26 205
__try,__except在HIPS驱动中的实现。 一般出现异常,流程到__except中,会直接放行。 wooyun上有一个漏洞跟这个有关: http://www.wooyun.org/bugs/wooyun-2012-013160 用PAGE_GUARD,造成第一次访问参数会出异常 mj0011,也有一个类似的ProbeBypass http://hi.baidu.c...
更安全的MmIsAddressValid
zhuhuibeishadiao
06-05 4265
代码来着开源工具 CheatEngine 在初始化是先调用InitMemSafe() 然后就可以使用IsAddressSafe来代替MmIsAddressValid了 int PTESize; UINT_PTR PAGE_SIZE_LARGE; UINT_PTR MAX_PDE_POS; UINT_PTR MAX_PTE_POS; struct PTEStruct { un
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存
hucaiyu2009的专栏
07-14 1369
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存 这里只是简单的实现下读取进程空间的数据...写操做也是一样的....比较简单... 这样你就可以在内核读用户空间了....哈哈 大家都知道在用户态我们常用 kernel32.dll中的ReadProcessMemory来读 取进程...这个函数只是简单地对传入的参数进行处理然后调用了 ntdll.dll中的NtReadVirtualMemory/ZwReadVirtualMemo
几个重要windows驱动函数分析
瘦子
11-17 1387
1.  AFX_MANAGE_STATE(AfxGetStaticModuleState())    动态链接到MFC的规则DLL应用程序里头的输出函数可以被任意Win32程序使用,包括使用MFC的应用程序。 但是,所有从DLL输出的函数应该以如下语句开始:AFX_MANAGE_STATE(AfxGetStaticModuleState())   此语句用来正确地切换MFC模块状态。
DeviceIoControl与驱动交互
iteye_8029的博客
05-02 792
与驱动程序通信的函数,除了ReadFile和WriteFile函数还有DeviceIoControl函数,而且DeviceIoControl函数那是相当的彪悍。因为它可以自定义控制码,你只要在IRP_MJ_DEVICE_CONTROL对应的派遣函数中读取控制码,然后针对控制码,你就可以实现自定义的功能了。 函数原型: BOOL WINAPI DeviceIoControl( __...
Windows 驱动层读取用户层地址
最新发布
05-31
1. 使用函数 MmIsAddressValid() 来检查给定的地址是否合法,如果合法则说明该地址是用户层地址。 2. 使用函数 ProbeForRead() 或 ProbeForWrite() 来验证给定的用户层地址是否具有正确的访问权限,并将其转换为内核...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值