(22)通过代码修改PTE实现挂物理页
生活随笔
收集整理的這篇文章主要介紹了
(22)通过代码修改PTE实现挂物理页
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
一、原理
在windbg中,我們通過CR3找到頁目錄表,通過頁目錄表找到頁表,期間使用的都是物理地址,物理地址在編程中是無法使用的。
我們在之前的學(xué)習(xí)中了解到頁目錄表和頁表的結(jié)構(gòu)和對應(yīng)關(guān)系,如圖:
我們知道了有一個線性地址 0xC0000000 指向了第一張頁表,也知道了線性地址 0xC0300000 指向了頁目錄表,它其實(shí)是第0x300張頁表。我們可以通過0xC0300000 找到任何一個線性地址的PDE,我們還知道1024張頁表在內(nèi)存中是連續(xù)的,這意味著我們可以通過 0xC0000000 找到任何一個 PTE。公式如下:
PDE = 0xC0300000 + PDI * 4
PTE = 0xC0000000 + PDI * 4KB + PTI * 4
PDI 是頁目錄表的下標(biāo),PTI是頁表的下標(biāo),分別對應(yīng)10-10-12的前兩個10.
解釋一下第二條公式,0xC0000000 + PDI * 4KB 是找到線性地址所在的頁表,為什么可以這樣做?因?yàn)轫摫淼木€性地址是連續(xù)的(但物理地址不連續(xù)),范圍是 0xC0000000 - 0xC03FFFFF。
找到頁表后,加上 PTI * 4 就能找到其頁表項(xiàng)PTE了。
二、實(shí)驗(yàn)
下面編寫一個程序,給NULL掛一個物理頁。
// ModifyPDE_PTE.cpp : Defines the entry point for the console application. // 10-10-12 分頁#include "stdafx.h" #include <Windows.h>typedef ULONG (WINAPI *DBGPRINT)(PCSTR Format,... );DBGPRINT DbgPrint = NULL;DWORD *GetPDE(DWORD addr) {DWORD PDI = addr>>22;DWORD PTI = (addr>>12)&0x000003FF;return (DWORD *)(0xC0300000 + PDI * 4); }DWORD *GetPTE(DWORD addr) {DWORD PDI = addr>>22;DWORD PTI = (addr>>12)&0x000003FF;return (DWORD *)(0xC0000000 + PDI * 0x1000 + PTI * 4); }DWORD *page;void __declspec(naked) R0Function() {__asm{push ebpmov ebp,espsub esp,0x1000pushadpushfd }// 給NULL掛物理頁__asm push fsDbgPrint("page PDE: %08X\n",*GetPDE((DWORD)page));DbgPrint("page PTE: %08X\n",*GetPTE((DWORD)page));DbgPrint("NULL PDE: %08X\n",*GetPDE(0));DbgPrint("NULL PTE: %08X\n",*GetPTE(0));DbgPrint("NULL掛物理頁...\n");*GetPDE(NULL) = *GetPDE((DWORD)page);*GetPTE(NULL) = *GetPTE((DWORD)page);DbgPrint("page PDE: %08X\n",*GetPDE((DWORD)page));DbgPrint("page PTE: %08X\n",*GetPTE((DWORD)page));DbgPrint("NULL PDE: %08X\n",*GetPDE(0));DbgPrint("NULL PTE: %08X\n",*GetPTE(0));__asm pop fs__asm{popfdpopadadd esp,0x1000mov esp,ebppop ebpiretd} }int _tmain(int argc, _TCHAR* argv[]) { page = (DWORD *)VirtualAlloc(NULL,0x1000,MEM_COMMIT,PAGE_READWRITE);memset(page,0,0x1000); // 掛物理頁DbgPrint = (DBGPRINT)GetProcAddress(LoadLibraryA("ntdll.dll"),"DbgPrint"); // 載入函數(shù)printf("在IDT表構(gòu)建中斷門,請?jiān)趙indbg中執(zhí)行下面的指令:\n");printf("eq 8003f500 %04xee00`0008%04x\n",(DWORD)R0Function>>16,(DWORD)R0Function & 0x0000FFFF);getchar();// 用中斷門提權(quán),在R0讀寫PTE__asm int 0x20printf("NULL掛物理頁成功.\n");*(int*)NULL = 0x12345678;printf("%x\n", page[0]);getchar();return 0; }運(yùn)行結(jié)果:
總結(jié)
以上是生活随笔為你收集整理的(22)通过代码修改PTE实现挂物理页的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (21)页目录表,页表基址(XP系统 1
- 下一篇: (23)逆向分析 MmIsAddress