1.基本函数及其原型
分配内存:
PVOID
ExAllocatePool(
IN POOL_TYPE PoolType,
IN SIZE_T NumberOfBytes
);
内存操作函数两个:
VOID
RtlMoveMemory(
IN VOID UNALIGNED *Destination,
IN CONST VOID UNALIGNED *Source,
IN SIZE_T Length
);
VOID
RtlFillMemory(
IN VOID UNALIGNED *Destination,
IN SIZE_T Length,
IN UCHAR Fill
);
释放内存函数:
VOID
ExFreePool(
IN PVOID P
);
2.内存操作
(1)PagedPool 和NonPagedPool
前者可以被置换到硬盘中,一般存储数据, 如打开一个大文件, 数据结构.
后者不能被置换到硬盘中,驻留在内存中,一般用来存储代码.
如果执行代码到PagedPool的内存中去了,很有可能导致蓝屏
此外,在内核空间中所有内存都是可读可写可执行,故没有类似用户态下的VirtualProtect改变内存属性的函数
但是并不意味着可以随意执行和改写内存中的代码.要满足2个条件: 一个是关闭内存写保护, 二个是提升IRQL级别.(防止执行出错)
对于关闭内存写保护通过操作cr0寄存器,后者使用KeRaiseIrqlToDpcLevel 和KeLowerIrql 实现
//关闭内存写保护和提升IRQL
KIRQL irql=KeRaiseIrqlToDpcLevel();
UINT64 cr0=__readcr0();
cr0 &= 0xfffffffffffeffff;
__writecr0(cr0);
_disable();
还原:
UINT64 cr0=__readcr0();
cr0 |= 0x10000;
_enable();
__writecr0(cr0);
KeLowerIrql(irql);
注意:
1、NonPagedPool的总量是有限的(具体大小和你物理内存的大小相关),而 PagedPool的总量较多 。
申请了内存忘记释放 都会造成 内存泄漏,但是很明显忘记放 释放 NonPagedPool 的后果要严重得多 ;
2、一般来说,PagedPool用来放 数据(比如:你用ZwQuerySystemInformation 枚举片内核模块,可以申请一大片 PagedPool存放返回的数据),
而 NonPagedPool 用来放代码,你写内核 shellcode并需要执行时,必须使用NonPagedPool存放shellcode)) 。
访问到切换出去的内存没事,但是执行到切换出去的内存必然蓝屏, 经验之谈,正确性待定。
3、在用户态,内存是有属性的,
有的内存片只能读不能写不能执行(PAGE_READ), 有的内存片可以读可以写也可以执行(PAGE_READ_WRITE_EXECUTE)。
在内核里,PagedPool 和 和 NonPagedPool都是可读可写可执行的 ,而且没有类似 VirtualProtect 之类的函数。
示例代码
void Test() {
PVOID ptr1 = ExAllocatePool(PagedPool ,0x100);
PVOID ptr2 = ExAllocatePool(NonPagedPool ,0x200);
RtlFillMemory(ptr2 ,0x200 ,0x90);
RtlMoveMemory(ptr1 ,ptr2 ,0x50);
ExFreePool(ptr1);
ExFreePool(ptr2);
DbgPrint("[KrnlHW64]tttttttttt\n");}
到这里顺便提醒下大家,驱动里面的SEH很多时候都是在自己骗自己,该蓝还得蓝。
内核内存写入可以使用的两种方法:
(1)在内核里想要写入“别人的”内存(一般指 NTOS 等系统模块的内存空间),还有另外的规矩,
这里又涉及到另外两个概念:
IRQL和内存保护。
IRQL称为中断请求级别,从0~31 共32个级别;内存保护可以打开和关闭,如果在内存处于保护状态时写入,会导致蓝屏。
一般来说,要写入“别人的”内核内存,必须关闭内存写保护,并把 IRQL提升到 2 才行(绝大多数候时候 IRQL 都为 0 ,当IRQL=2时,会阻断大部分线程执行,防止执行出错)。
内存是否处于写保护的状态记录在 CR0 寄存器上,因此直接修改CR0寄存器的值即可;
而提升或降低IRQL则使用KeRaiseIrqlToDpcLevel和KeLowerIrql实现(WIN64的IRQL值记录在CR8寄存器上,而WIN32的IRQL值记录在KPCR上)。
代码如下:
KIRQL WPOFFx64() {
KIRQL irql = KeRaiseIrqlToDpcLevel();
UINT64 cr0 = __readcr0();
cr0 &= 0xfffffffffffeffff;
__writecr0(cr0);
_disable();
return irql;
}
void WPONx64(KIRQL irql) {
UINT64 cr0 = __readcr0();
cr0 |= 0x10000;
_enable();
__writecr0(cr0);
KeLowerIrql(irql);
}
void Test() {
KIRQL irql = WPOFFx64();
PVOID HookCode = ExAllocatePool(NonPagedPool, 0x200);
RtlFillMemory(HookCode, 0x200, 0x90);
RtlMoveMemory(HookCode, NtOpenProcess, 0x3);
RtlMoveMemory(NtOpenProcess ,HookCode , 0x3);
WPONx64(irql);
}
注意:如果不调用WPOFFx64,WPONx64直接去写内存会蓝屏,直接往上面的那个位置写0也会蓝屏。
(2)至于写入“别人的”内存,还有一种微软推荐的安全方式,就是 MDL 映射内存的方式。
这个比较麻烦,大概方法是申请一个MDL(类似句柄的玩意),然后尝试锁定页面,
如果成功,则让系统分配一个“ 安全” 的虚拟地址再行写入, 写入完毕后解锁页面并释放掉 MDL。
以下是某人写的 SafeCopyMemory
BOOLEAN SafeCopyMemory(PVOID pDestination, PVOID pSourceAddress, SIZE_T SizeOfCopy)
{
PMDL pMdl = NULL;
PVOID pSafeAddress = NULL;
if (!MmIsAddressValid(pDestination) || !MmIsAddressValid(pSourceAddress))
return FALSE;
pMdl = IoAllocateMdl(pDestination, (ULONG)SizeOfCopy, FALSE, FALSE, NULL);
if (!pMdl)
return FALSE;
__try
{
MmProbeAndLockPages(pMdl, KernelMode, IoReadAccess);
}
__except (EXCEPTION_EXECUTE_HANDLER)
{
IoFreeMdl(pMdl);
return FALSE;
}
pSafeAddress = MmGetSystemAddressForMdlSafe(pMdl, NormalPagePriority);
if (!pSafeAddress)
return FALSE;
__try
{
RtlMoveMemory(pSafeAddress, pSourceAddress, SizeOfCopy);
}
__except (EXCEPTION_EXECUTE_HANDLER)
{;}
MmUnlockPages(pMdl);
IoFreeMdl(pMdl);
return TRUE;
}
void Test() {
PVOID HookCode = ExAllocatePool(NonPagedPool, 0x200);
RtlFillMemory(HookCode, 0x200, 0x90);
RtlMoveMemory(HookCode, NtOpenProcess, 0x3);
SafeCopyMemory(NtOpenProcess, HookCode, 0x3);
}