X64下MmIsAddressValid的逆向及内存寻址解析

标 题: 【原创】X64下MmIsAddressValid的逆向及内存寻址解析
作 者: 普通朋友
时 间: 2015-10-21,20:03:52
链 接: http://bbs.pediy.com/showthread.php?t=205143

在内核编程时,经常会用到MmIsAddressValid来检测地址是否有效,结合之前学过的虚拟地址到物理地址之间的转化,所以发一篇对该函数的逆向以及代码还原,x86的资料论坛以及网络有很多了,所以这里楼主只谈一下Win7 x64下的MmIsAddressValid过程分析

要检测地址是否有效以及逆向MmIsAddressValid,还是得先从 x64下线性地址的格式入手

为了方便起见,楼主只说一下最普通的4k分页的情况,其他的可以举一反三
从这张图上,可以看到虽然线性地址有64位,但实际只用了48位,高16位其实是符号拓展位, 根据这高16位也可以做一个简单的内存地址是否有效判断(后面逆向会谈到)

从上面这张图,可以看到线性地址被拆开成了五个部分, 还有四张表分别是:
PML4T : 大小为4k ,每项8 字节 ,每一项指向PDPT的首地址
PDPT  : 大小为4k ,每项8 字节 , 每一项指向PD的首地址
PD  : 大小为4k ,每项8 字节 , 每一项指向PT的首地址
PT: 大小为4k ,每项8 字节 , 每一项存放一个物理页

如果从编程的角度来说,这四张表其实就是四个数组,数组的每一项可以看做是一个指针
线性地址被拆开成了五个部分,前四个部分都可以看做是数组的下标

举个例子,比如线性地址的39-47位,可以看做是一个Pml4t的下标Index,那么在代码里相当于
Pml4t[Index * 8]这样的寻址
其他的数组的访问依此类推

最后在PT的数组里找到物理页后,再加上线性地址的低12位,便是最终的物理地址

上面这张图是每一张表项的结构图,其中比较重要的是第0位,也就是P位,用于检测所指的页面或页表当前是否加载到了物理存储器中 ,p = 0即为无效

了解了理论,再来手工解析一下
随便写一个程序如下:

字符串地址在0000000140092000
字符串内容是NoteBook

首先,对该虚拟地址做一个格式转化
0     101       000000000        010010010       000000000000
0      5        0          0x92              0
由低到高分成了五个部分,前四个是四个数组的下标,最后的0是偏移

第一步,找到该进程的CR3的值,也就是第一个表PML4T的首地址

地址在4e37b000 处   ,注意,该地址是物理地址 ,并且根据格式,低十二位需要清0

第二步,找到该进程PDPT 的首地址,根据之前的下标,得到在PML4T[0]处:

对齐后,PDPT的首地址在4d1cc000处

第三步,找到该进程PDT的首地址,根据之前的下标,得到在PDPT [5]处:

对齐后,PDT的首地址在4d8cd000处

第四步,找到该进程PT的首地址,根据之前的下标,得到在PDT [0]处:

对齐后,PT的首地址在4de4e000处

第五步,找到对应的物理页,根据之前的下标,得到在PT[0x92]处:

对齐后,数据物理页在4cdfa000处

最后一步,得到完整的物理地址:

和程序中的字符串内容一样

说了这么多,进入逆向MmIsAddressValid

.text:00000001400AD930 _MmIsAddressValid proc near             .text:000000014000FB6E
.text:00000001400AD930                                         
.text:00000001400AD930                 mov     rax, rcx
.text:00000001400AD933                 sar     rax, 48        
                                                 ;取得线性地址的   高16位
.text:00000001400AD937                 inc     rax
.text:00000001400AD93A                 cmp     rax, 1
.text:00000001400AD93E                 ja      loc_1400AD9D3   
                                 ; 高16位要么全0, 要么全1 ,加一后大于1则不合法,直接返回false
.text:00000001400AD944                 mov     rax, rcx
.text:00000001400AD947                 mov     rdx, 0FFFFF6FB7DBED000h 
                                                     ; PML4T 的虚拟地址
.text:00000001400AD951                 shr     rax, 39        
                                                   ; 将虚拟地址右移39位
.text:00000001400AD955                 and     eax, 1FFh       
                                                   ; 拿到pml4数组的下标
.text:00000001400AD95A                 test    byte ptr [rdx+rax*8], 1 
                                                 ; 检测PML4T项p位
.text:00000001400AD95E                 jz      short loc_1400AD9D3 
                                                  ; p=0 则直接返回false
.text:00000001400AD960                 mov     rax, rcx
.text:00000001400AD963                 mov     rdx, 0FFFFF6FB7DA00000h
.text:00000001400AD96D                 shr     rax, 27         
                                                ; 右移30位 ,再 乘 8 ,相当于右移27位
.text:00000001400AD971                 and     eax, 1FFFF8h    
                                                ; 8字节对齐 得到PDPT的偏移
.text:00000001400AD976                test    byte ptr [rax+rdx], 1
                                               ; 检测PDPT项的p位 rax+rdx=PDPT的首地址
.text:00000001400AD97A                jz      short loc_1400AD9D3
.text:00000001400AD97C                 mov     rdx, -0FFFFF6FB40000000h
.text:00000001400AD986                 mov     rax, rcx
.text:00000001400AD989                 shr     rax, 18        
                                                  ; 右移21位,再乘8 ,相当于右移18位
.text:00000001400AD98D                 and     eax, 3FFFFFF8h  
                                                   ;得到PDT的偏移
.text:00000001400AD992                 sub     rax, rdx      
                                                 ; rax = rax + 0FFFFF6FB40000000h  
.text:00000001400AD995                 mov     rdx, [rax]    
                                                ;此时rax指向PDT中的 某一项
.text:00000001400AD998                 test    dl, 1          
                                                  ; 检测PDT项p位
.text:00000001400AD99B                 jz      short loc_1400AD9D3
.text:00000001400AD99D                 test    dl, dl
.text:00000001400AD99F                 js      short loc_1400AD9D6 
                                                     ; 是否开启PSE,是的话直接返回真
.text:00000001400AD9A1                 shr     rcx, 9         
                                                    ; 右移12位,再乘 8 ,相当于右移9位
.text:00000001400AD9A5                 mov     rax, 7FFFFFFFF8h ; 8字节对齐
.text:00000001400AD9AF                 and     rcx, rax    
.text:00000001400AD9B2                 mov     rax, -0FFFFF68000000000h
.text:00000001400AD9BC                 sub     rcx, rax
.text:00000001400AD9BF                 mov     rax, [rcx]  
                                                   ;此时RCX指向PT的的某一项
.text:00000001400AD9C2                 test    al, 1
.text:00000001400AD9C4                 jz      short loc_1400AD9D3
                                                   ; 检测PT项的P位
.text:00000001400AD9C6                 mov     r8b, 80h
.text:00000001400AD9C9                 and     al, r8b
.text:00000001400AD9CC                 cmp     al, r8b
.text:00000001400AD9CF                 setnz   al            
                                                  ; 检测PT项的PAT位是否存在,不存在返回真
.text:00000001400AD9D2                 retn
.text:00000001400AD9D3 ; ---------------------------------------------------------------------------
.text:00000001400AD9D3
.text:00000001400AD9D3 loc_1400AD9D3:                          
.text:00000001400AD9D3                                         
.text:00000001400AD9D3                 xor     al, al
.text:00000001400AD9D5                 retn
.text:00000001400AD9D6 ; ---------------------------------------------------------------------------
.text:00000001400AD9D6
.text:00000001400AD9D6 loc_1400AD9D6:                         _
.text:00000001400AD9D6                 mov     al, 1
.text:00000001400AD9D8                 retn
.text:00000001400AD9D8 _MmIsAddressValid endp

可以看出,函数也是将线性地址进行了拆分,取得表中每一项的值后,依次进行判断 ,主要是针对P位

将以上代码做一个等价还原后如下:
bool _MmIsAddressValid(void *pAddress)
{
  BYTE* pMl4e = (BYTE *)0x0FFFFF6FB7DBED000;
  BYTE* pDPTE = (BYTE *)0x0FFFFF6FB7DA00000;
  BYTE* pDE = (BYTE *)0x0FFFFF6FB40000000;
  BYTE* pTE = (BYTE *)0x0FFFFF68000000000;
  BYTE* curItem;

ULONG_PTR ulAddress = (ULONG_PTR)pAddress;

ulAddress = ((LONG_PTR)ulAddress>>48) + 1;

if (ulAddress <= 1)      //只要是合法地址,必然不会超过1
  {

ulAddress = (ULONG_PTR)pAddress;
    ulAddress = ulAddress >> 39;
    ulAddress = ulAddress & 0x1ff;

if ((pMl4e[ulAddress * 8] & 1) == 0)  //检测pMl4T项的P位
      return false;

ulAddress = (ULONG_PTR)pAddress;
    ulAddress = (ulAddress >> 30) << 3;
    ulAddress = ulAddress & 0x1FFFF8;
    if ((pDPTE[ulAddress] & 1) == 0)  //检测PDPT项的P位
      return false;

ulAddress = (ULONG_PTR)pAddress;
    ulAddress = (ulAddress >> 21) << 3;
    ulAddress = ulAddress & 0x3FFFFFF8;
    curItem = pDE + ulAddress;

if ((*(LONG_PTR*)curItem & 1) == 0)  //检测PDT项的P位
      return false;
    if ((*(LONG_PTR*)curItem & 0xff) >= 0)    //PDT的PSE被置位,直接返回TRUE (2mb分页)
    {
      ulAddress = (ULONG_PTR)pAddress;
      ulAddress = (ulAddress >> 12) << 3;
      ulAddress = ulAddress & 0x7FFFFFFFF8;
      curItem = pTE + ulAddress;
      if ((*(LONG_PTR*)curItem & 1) == 0)  //检测PT项的P位
        return false;

char itemTmp = (char)*(LONG_PTR*)curItem;
      itemTmp = itemTmp & 0x80;
      return (itemTmp == (char)0x80) ? false : true; //检测PT项的PAT位
    }else
      return true;
  }
    return false;
}

jpg 改 rar

时间: 2024-08-26 09:19:44

X64下MmIsAddressValid的逆向及内存寻址解析的相关文章

win x64下C++对象的内存布局的学习

这篇文章是在学习陈皓的一篇文章<C++对象的内存布局(上)>后,针对x64的下情况的学习笔记.他的文章的链接地址是:http://blog.csdn.net/haoel/article/details/3081328. 他的示例代码中有下列片段: 如果在vs2015社区版中以debug方式编译出x64版本的exe运行后会崩溃.经过调试发现在x64下地址是以unsigned long long表示的(如果测试发现,编译后台实际上会把unsigned long long 转换为unsigned _

内存寻址

当使用80x86微处理器时,我们必须区分三种地址: 1.逻辑地址(logical address) 包含在机器语言指令中用来指定一个操作数或者一条指令的地址.由一个段(segment)和偏移量(offset)组成. 2.线性地址(linear addres,也称虚拟地址 virtual address) 是一个32位无符号整型.是我们编程时接触到的都是这种. 3.物理地址(physical address) 用于内存芯片级内存单位元寻址. 内存控制单元(MMU)通过一种称为分段单元(segmen

Linux内存寻址之分段机制

http://blog.xiaohansong.com/2015/10/03/Linux内存寻址之分段机制/ .段的起始地址.段的长度等等,而在保护模式下则复杂一些.IA32将它们结合在一起用一个8字节的数表示,称为描述符 .IA32的一个通用的段描述符的结构从图可以看出,一个段描述符指出了段的32位基地址和20位段界限(即段长).这里我们只关注基地址和段界限,其他的属性略过. 段描述符表 各种各样的用户描述符和系统描述符,都放在对应的全局描述符表.局部描述符表和中断描述符表中.描述符表(即段表

Linux内存寻址之分页机制

http://blog.xiaohansong.com/2015/10/05/Linux内存寻址之分页机制/ 在上一篇文章Linux内存寻址之分段机制中,我们了解逻辑地址通过分段机制转换为线性地址的过程.下面,我们就来看看更加重要和复杂的分页机制. 分页机制在段机制之后进行,以完成线性-物理地址的转换过程.段机制把逻辑地址转换为线性地址,分页机制进一步把该线性地址再转换为物理地址. 硬件中的分页 分页机制由CR0中的PG位启用.如PG=1,启用分页机制,并使用本节要描述的机制,把线性地址转换为物

Linux内存管理学习笔记——内存寻址

最近开始想稍微深入一点地学习Linux内核,主要参考内容是<深入理解Linux内核>和<深入理解Linux内核架构>以及源码,经验有限,只能分析出有限的内容,看完这遍以后再更深入学习吧. 1,内存地址 逻辑地址:包含在机器语言中用来指定一个操作数或一条指令的地址. 线性地址:一个32位无符号数,用于直接映射物理地址 物理地址:片上引脚寻址级别的地址 2,逻辑地址->线性地址 2.1 段选择符与段寄存器 逻辑地址:段选择符(16位)+段内偏移(32位) index:在GDT或L

内存寻址二(分页)

硬件中的分页 概念 分页单元(paging unit)把线性地址转换成物理地址.其中一个关键任务是把所请求的访问类型与线性地址的访问权限相比较,如果这次内存访问时无效的,就产生一个缺页异常. 为了效率起见,线性地址被分成以固定长度为单位的组,称为页(page).页内部连续的线性地址被映射到连续的物理地址中.这样,内核可以指定一个页的物理地址和其存取权限,而不用指定页所包含的全部线性地址的存取权限.通常使用术语"页"既指一组线性地址,又指包含在这组地址中的数据. 分页单元把所有的RAM分

[原创]MinHook测试与分析(x64下 E9,EB,CALL指令测试,且逆推测试微软热补丁)

依稀记得第一次接触Hook的概念是在周伟民先生的书中-><<多任务下的数据结构与算法>>,当时觉得Hook很奇妙,有机会要学习到,正好近段日子找来了MiniHook,就一起分享一下. 本篇文章是在x64下测试与分析jmp+offset类型的Hook,并且逆推测出热补丁的简单用法,MinHook它的中心就是覆盖重写并且可以复原.知道大概的思路后后让我们先来具体的实现MinHook再去做测试. 首先是堆的申请(申请PAGE_SIZE大小自动生长的堆),以下是实现与卸载 1 NTS

内核基础 - 寄存器与内存寻址(by quqi99)

作者:张华  发表于:2016-03-01 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) 汇编 汇编编译器assembler编译目标代码二进制文件(nasm -f elf -g -F stabs *.asm),连接器linker(ld -o bin_file *.o)除了把目标代码组合成一个单个的块,还要确保模块以外的函数调用能够指向正确的内存引用(连接器必须建立一个索引,也就是符号表,里面

WIN10 X64下通过TLS实现反调试

目录(?)[-] TLS技术简介 1 TLS回调函数 2 TLS的数据结构 具体实现及原理 1 VS2015 X64 release下的demo 2 回调函数的具体实现 21 使用IsDebuggerPresent检测调试器 22 使调DebugPort检测调试器 实际测试 1 测试直接执行 2 测试用调试器加载 总 结 1 TLS技术简介 Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制.TLS可以简单地由操作系统代为完成