• 禁用copy on write实现全局EAT HOOK


    以前写过一个,但是一不小心删除了,哎,就当再次复习复习吧。 

    首先抛出一个有意思的问题:

     已知所有Windows可执行文件exe都会链接子系统ntdll.dll,那么真实内存中有几份ntdll.dll?

     答案很显然只有一份!所有的exe都是映射的同一份物理内存!

     那么又有一个新问题:

     我如果对一个进程下的ntdll.dll导出表进行hook,作用域范围是当前进程还是所有进程呢?

     有很多人在没有实践下或许会认为是所有进程,可是真正结果是作用域只是在本进程内!

     为什么会出现这种情况呢?不是内存中只有一份ntdll.dll吗?

     其实原因就在于Windows的copy on write机制!

    copy on write 大致原理:

    应用程序启动多个实例,这多个进程的地址空间中,应用程序部分地址空间对应到physical storage上,都是一份(memory map的)。所以,如果一个实例尝试修改一个全局或静态变量时,如果没有copy-on-write,这个变量就会被污染。所以windows在使用 memory map装载应用程序时,对全局和静态变量识别,然后给存放这些变量的page设上copy-on-write属性,这样当一个实例尝试修改一个全局或静态 变量时,一个exceptin产生,windows捕获然后重新分配page出来给该实例使用,从而避免了污染。DLL的处理方式和这个是一模一样的。

    也就是说当有程序改变公用的dll内存页时,操作系统会copy出来一份一模一样的来让程序write!所以要想实现理想中的全局EAT,必须得禁用copy-on-write!

    那么如何禁用copy-on-write呢?

    首先我们必须得了解Windows的内存管理以及虚拟内存与物理内存的转换过程,因为开启/关闭copy-on-write是页表PTE的一个标志位。

    虚拟内存与物理内存的转换:

    下面以32位Windows操作系统,未开启PAE物理地址扩展为例,分析下Windows虚拟地址与物理地址的转换问题:

     首先我们看看intel手册的经典图例:

     

    一个内存地址如图4字节32位,高10位代表页面录得索引,中间10位代表页表的索引,最后低12位代表页内偏移。

    Windows的页表与页目录是连续的,可以看成一维数组,数组每一项的大小是4个字节。

    0xC0300000 页目录即被映射到这个地址上,页目录本身为一页,具有1024个页目录项,每一项为4字节,整个页目录的大小为4k。每一个页目录项都描述一张页表。
    0xC0000000 所有的页表都将从该地址开始映射,每4kb为一个页表,每个页表1024个项,每项描述4k的内存页,因此每个页表应当描述: 1024个页表项*4kb = 4M ,4M大小的内存,共1024张页表,因此这些页表描述了整个4G内存地址空间。而每个页表项与页目录项一样,仅占用4个字节的地址空间,因此每一张页表的占内存的大小为: 1024个页表项*4字节 = 4KB。

    那么我们就可以得到一个换算公式:

    1.PDE     = PDBR[Directory];
    2.PTE      = PDE + Table * 4;
    3.PA       = PTE + Offset;

    在Windbg上完全可以很简单的得到验证。

    下面我们来看一看具体获得PDE与PTE的代码

    Pde = ( ((VirtualAddress)>>20) & 0xFFC ) + 0xC0300000;   
    Pte = ( ((VirtualAddress)>>10) & 0x003FFFFC ) + 0xC0000000;

    似乎与我们所推论的不太一样,为什么Pte的计算不需要用到pde?

    这是因为物理地址是不能直接访问的。也就是这个所在页表的起始物理地址(PDE),是不能访问的,因此我们没有办法通过得到的PDE地址去访问一个页表。既然页表都访问不了,那么久不可能获得一个PTE。所以这时候就需要进行变通了。所以用到了一个很有意思的数学问题:

    我们可以看到:
    当虚拟地址寻址页目录为第0项的时候,其页表地址其实是从第0张页表开始的,
    当虚拟地址寻址页目录为第1项的时候,其页表地址其实是从第1张页表开始的。
    当虚拟地址寻址页目录为第2项的时候,其页表地址其实是从第2张页表开始的。

    接下来我们可以得知:
    当虚拟地址寻址页目录为第0项的时候,其页表地址实际跨越了0个页表项,
    当虚拟地址寻址页目录为第1项的时候,其页表地址实际跨越了1024个页表项。(跨过了第0张页表的1024个页表项)
    当虚拟地址寻址页目录为第2项的时候,其页表地址实际跨越了2048个页表项。(跨过了第0张页表的1024个页表项和第1张页表的1024个页表项)

    现在我们来试着计算一个地址: 
    假设地址: 0x00401000
    该地址二进制形式为:10000000001000000000000
    取其高10bit 0000000001   (页目录牵引第一项)
    取其中10bit 0000000001   (页表牵引  第一项)
    其低12bit为0,即页对齐,这里为了简单点说明,因此没有页内偏移。

    我们按照上面得出的结论,以页表项为最小单位进行计算,0000000001为第一个页目录项,即其指向了第一张页表,针对所有页表的总基址而言,这张页表的所处位置已经跨越了1024个页表项(属于第0张页表的1024个页表项),所以我们可以写出:
    0000000001 * 1024个页表项 * 4(每个页表项4字节) = 4096个字节。
    即相对于所有页表的总基址0xC0000000的偏移。

    现在我们得到了页表的地址,接下来再看中10bit 的0000000001,其含义为我们需要的是这张页表中的第1项,因为不是使用第0项,所以我们略过第个0页表项所占用的4个字节。取第一项即得到该虚拟地址真实所在的内存页物理地址。

    总结为:
    页表项相对页表总基址的偏移为 = 4096个字节 + 4个字节 = 4100个字节。
    好,接下来我们用作者的方式来计算这个偏移:
    0x00401000 右移 12位后 等于 0x401
    0x401 * 4 = 0x1004 = 4100个字节。

    结果是很明显的,是正确的。

    页目录与页表

    的结构:

    得到的页表后只需要把第1位置为1就可以停止此页面的copy on write机制了

    NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp)
    {
        NTSTATUS status = STATUS_INVALID_DEVICE_REQUEST;
        PCOPY_ON_WRITE_MEMORY pMM ;
        ULONG ulMemSize=0;
        PVOID pMem=0;
        ULONG ulPDEB=0;
        ULONG ulPTEB=0;
        BOOLEAN bPDEB=FALSE;
        BOOLEAN bPTEB=FALSE;
        ULONG ulPDE=0;
        ULONG ulPTE=0;
        BOOLEAN bPDE=FALSE;
        BOOLEAN bPTE=FALSE;
        BOOLEAN PAE = FALSE;
    
        // 取得IRP的I/O堆栈指针
        PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(pIrp);
    
        // 取得I/O控制码
        ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
        // 取得I/O缓冲区指针和它的长度
        PVOID pIoBuffer = pIrp->AssociatedIrp.SystemBuffer;
        ULONG uInSize = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
        ULONG uOutSize = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
        // 获取缓冲区
        pMM = (PCOPY_ON_WRITE_MEMORY)pIoBuffer;
        // 获取待修改数据区地址和大小
        pMem = pMM->Base;
        ulMemSize = pMM->Size;
    
        DbgPrint("memory : 0X%08X \n", pMem);
    
        PAE=ExIsProcessorFeaturePresent(PF_PAE_ENABLED);
        if(PAE==TRUE)
        {
            DbgPrint("PAE page mode.\n");
            // 按照PAE page mode尝试计算PDE和PTE,并查看虚拟地址是否在同一页面
            //要修改的地址起始处
            ulPDEB = ( (((ULONG)pMem)>>18) & 0x3FF8 ) + 0xC0600000;
            ulPTEB = ( (((ULONG)pMem)>>9) & 0x7FFFF8 ) + 0xC0000000;
            bPDEB = MmIsAddressValid((PVOID)ulPDEB);
            bPTEB = MmIsAddressValid((PVOID)ulPTEB);
            //要修改的地址后边界
            ulPDE = ( ((((ULONG)pMem+ulMemSize))>>18) & 0x3FF8 ) + 0xC0600000;
            ulPTE = ( ((((ULONG)pMem+ulMemSize))>>9) & 0x7FFFF8 ) + 0xC0000000;
            bPDE = MmIsAddressValid((PVOID)ulPDE);
            bPTE = MmIsAddressValid((PVOID)ulPTE);
            if ((bPDEB && bPTEB && bPTE))
            {
                DbgPrint("PDE(%d) : 0X%08X -> 0X%08X\n", bPDEB, ulPDEB, *(PULONG)ulPDEB);
                DbgPrint("PTE(%d) : 0X%08X -> 0X%08X\n", bPTEB, ulPTEB,ulPTE );
            }
            else 
                return STATUS_UNSUCCESSFUL;
        }
        else
        {
            DbgPrint("Non PAE page mode.\n");
            // 按照Non PAE page mode尝试计算PDE和PTE
            ulPDEB = ( (((ULONG)pMem)>>20) & 0xFFC ) + 0xC0300000;  //cr3寄存器起始地址
            ulPTEB = ( (((ULONG)pMem)>>10) & 0x3FFFFC ) + 0xC0000000;
            bPDEB = MmIsAddressValid((PVOID)ulPDEB);
            bPTEB = MmIsAddressValid((PVOID)ulPTEB);
    
            ulPDE = ( (((ULONG)pMem+ulMemSize)>>20) & 0xFFC ) + 0xC0300000;
            ulPTE = ( (((ULONG)pMem+ulMemSize)>>10) & 0x3FFFFC ) + 0xC0000000;
            bPDE = MmIsAddressValid((PVOID)ulPDE);
            bPTE = MmIsAddressValid((PVOID)ulPTE);
    
    
            if ((bPDEB && bPTEB && bPTE))
            {
                DbgPrint("PDE(%d) : 0X%08X -> 0X%08X\n", bPDEB, ulPDEB, *(PULONG)ulPDEB);
                DbgPrint("PTE(%d) : 0X%08X -> 0X%08X\n", bPTEB, ulPTEB, *(PULONG)ulPTEB);
            }
            else
                return STATUS_UNSUCCESSFUL;
        }
    
        switch(uIoControlCode)
        {
        case IOCTL_MODIFY_MEMORY:
            {
                // 禁用指定内存的Copy on write机制
                if (bPTE==bPTEB)//物理页面是否存在有效
                {
                    *(PULONG)ulPTEB |=0x00000002; //修改PTE使指定页Copy on write机制失效
                    DbgPrint("The copy-on-write attrib in address 0X%08X  has been forbidden!\n", pMem);
                    status = STATUS_SUCCESS;
                }
                else
                {
                    *(PULONG)ulPTEB |=0x00000002;
                    *(PULONG)ulPTE |=0x00000002; 
                    DbgPrint("The copy-on-write attrib has been forbidden!\n");
                    status = STATUS_SUCCESS;
                }
                break;
            }
        case IOCTL_RECOVER_MEMORY:
            {
                // 恢复指定内存的Copy on write机制
                if (bPTE==bPTEB)
                {
                    *(PULONG)ulPTEB &= ~0x00000002;  //修改PTE恢复指定页的Copy on write机制
                    status = STATUS_SUCCESS;
                }
                else
                { 
                    *(PULONG)ulPTEB &= ~0x00000002;
                    *(PULONG)ulPTE &= ~0x00000002;
                    status = STATUS_SUCCESS;
                }
                break;
            }
        }
    
        if(status == STATUS_SUCCESS)
            pIrp->IoStatus.Information = uOutSize;
        else
            pIrp->IoStatus.Information = 0;
        // 完成请求
        pIrp->IoStatus.Status = status;
        IoCompleteRequest(pIrp, IO_NO_INCREMENT);
    
        return status;
    }

    一般情况下,每个进程都加载了Kernel32.dll这个模块,并且绝大多数情况下Kernel32在每个进程中所加载的基址都一样,在物理内存中,也只有一份Kernel32的映象,所以可以让用户程序LoadLibrary后,把Kernel32的基地址发到Ring 0的驱动程序中,让驱动程序来修改相应PTE,禁了Copy-On-Write后再修改相应的API指令就行了,但是,为了防止某种可能,比如:之前有一个进程也对它进行了写操作,让系统中有了两份或多份Kernel32的映象,而在用户级LoadLibrary,最多只可能修改到某一个映象,所以,我从内核中枚举了所有的EPROCESS结构,再根据PEB_LDR_DATA结构中找到它的所加载的模信息,对其修改。 直接操作各个进程地址空间的数据,很不方便,可以用Windows 未公开API,KeAttachProcess, 函数来切换到指定进程的内存上下文环境。把CreateProcessW的入口处改成了JMP XXX,但是,跳到哪去呢?程序工作在Ring 0下,CreateProcessW不可能直接那里边的一个函数中的,但是,PE文件中每个节都会存在一些“空洞”,kernel32也不例外,就把代码Copy到Kernel32的某个节区的“空洞”中去吧。如果“空洞”太小,怎么办呢?可以把我们的代码写成一个DLL,在那个“空洞”中放上一小段代码来Load这个DLL。

     

  • 相关阅读:
    Linux的僵尸进程及其解决方法
    描述linux系统从开机到登陆界面的启动过程
    __weak、__strong这样的关键词和weak、strong有哪些区别
    选择器(UIPickerView)
    UITableView 滚动流程性优化
    几种设置UITableView的cell动态高度的方法
    强大的Core Image(教你做自己的美图秀秀))
    iOS UIBezierPath类 介绍
    Quartz 2D编程指南- PDF文档的创建、显示及转换
    Quartz 2D编程指南(4) - 颜色和颜色空间
  • 原文地址:https://www.cnblogs.com/zibility/p/5660718.html
Copyright © 2020-2023  润新知