最近学习了一下Windows的内存管理方面的知识,包括了PTE的修改和PHYSICAL_MEMORY的内核对象。
从网上得到了一段杀伤力很强的代码(似乎是Zwell以前写的) ,就是通过设置物理内存对象的可读写,再加上映射PTE的方式从而在Ring3环境下读取内核数据。这正是我想要,于是乎严重地学习了一下,前面已经有人总结过关键步骤了,如下:
1、用ZwOpenSection打开PHYSICAL_MEMORY对象,并设置可读写
2、进行虚拟地址到物理地址的转换
3、用NtMapViewOfSection进行映射,(用MapViewOfFile也可以)
4、读取或写入数据(但不是每个地方都能写的)
5、用NtUnmapViewOFSection取消映射(也可以使用UnMapViewOfFile),并关闭句柄(ZwClose)
经过这几步之后就可以为所欲为了,下面贴一段将虚拟地址转换成物理地址的代码,(在此得感谢Zwell的代码,使我的学习过程简化了不少):
//----------------------------------------------------------------
// paramenter : PULONG
// PVOID
// return : PVOID
// convert linear address to physical address
//----------------------------------------------------------------
PVOID LinearToPhys(PULONG BaseAddress, PVOID addr)
{
ULONG VAddr = (ULONG)addr, PGDE, PTE, PAddr;
if ( VAddr >= 0x80000000 && VAddr < 0xa0000000 )//对于虚拟地址在0x80000000至0xa0000000这间的
{ //可以将虚拟的高3位置0,这样就能得到物理地址
PAddr = VAddr - 0x80000000;
return (PVOID)PAddr;
}
PGDE = BaseAddress[ VAddr >> 22 ]; //在PDT中索引得到PDE
if ( (PGDE&1) != 0 )
{
ULONG tmp = PGDE & 0x00000080; //如果是4M的分页则没有PageTable,用PDE的高10位 加上
if ( tmp!=0 ) //虚拟地址的低22位就可以了,所说这样是为性能的考虑
{
PAddr = ( PGDE & 0xFFC00000 ) + ( VAddr & 0x003FFFFF );
}
else //如果是4K的分页
{
PGDE = (ULONG) MapViewOfFile ( //映射到物理内存
g_hMPM,
FILE_MAP_ALL_ACCESS,
0,
PGDE & 0xfffff000,
0x1000
);
PTE = ( (PULONG)PGDE )[ (VAddr&0x003FF000) >> 12 ]; //用虚拟地址的中间10位来索引到PTE
if ( (PTE&1) != 0 ) //是否有效
{
PAddr = ( PTE & 0xFFFFF000 ) + ( VAddr & 0x00000FFF );//用PTE的高20位加上虚拟地址的低12
UnmapViewOfFile( (PVOID)PGDE ); //就可以了,这时取消映射
}
else return 0;
}
}
else return 0;
return (PVOID)PAddr;
}
这是主要的代码了,另外还有一段代码就是用来打开对象,并设置其可读写的,后来自已加了一点代码(不超过15行)就可以指哪打哪了。
当时为了试验随便改了一下,不想改的就是PTE,后来在启动IceSwrod的时候直接重启了,比较汗。
以前听HOPY说,他用驱动试的修改PTE成功了,但用物理内存却没有成功,貌似我没有遇到过这种情况,呵呵!