AI 助理
备案控制台
开发者社区 云计算 文章 正文

驱动开发:内核解析内存四级页表

2023-05-29 10838
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介: 当今操作系统普遍采用64位架构,CPU最大寻址能力虽然达到了64位,但其实仅仅只是用到了48位进行寻址,其内存管理采用了`9-9-9-9-12`的分页模式,`9-9-9-9-12`分页表示物理地址拥有四级页表,微软将这四级依次命名为PXE、PPE、PDE、PTE这四项。关于内存管理和分页模式,不同的操作系统和体系结构可能会有略微不同的实现方式。9-9-9-9-12的分页模式是一种常见的分页方案,其中物理地址被分成四级页表:PXE(Page Directory Pointer Table Entry)、PPE(Page Directory Entry)、PDE(Page Table Entry)

当今操作系统普遍采用64位架构,CPU最大寻址能力虽然达到了64位,但其实仅仅只是用到了48位进行寻址,其内存管理采用了9-9-9-9-12的分页模式,9-9-9-9-12分页表示物理地址拥有四级页表,微软将这四级依次命名为PXE、PPE、PDE、PTE这四项。

关于内存管理和分页模式,不同的操作系统和体系结构可能会有略微不同的实现方式。9-9-9-9-12的分页模式是一种常见的分页方案,其中物理地址被分成四级页表:PXE(Page Directory Pointer Table Entry)、PPE(Page Directory Entry)、PDE(Page Table Entry)和PTE(Page Table Entry)。这种分页模式可以支持大量的物理内存地址映射到虚拟内存地址空间中。每个级别的页表都负责将虚拟地址映射到更具体的物理地址。通过这种层次化的页表结构,操作系统可以更有效地管理和分配内存。

首先一个PTE管理1个分页大小的内存也就是0x1000字节,PTE结构的解析非常容易,打开WinDBG输入!PTE 0即可解析,如下所示,当前地址0位置处的PTE基址是FFFF898000000000,由于PTE的一个页大小是0x1000所以当内存地址高于0x1000时将会切换到另一个页中,如下FFFF898000000008则是另一个页中的地址。

0: kd> !PTE 0
                                           VA 0000000000000000
PXE at FFFF89C4E2713000    PPE at FFFF89C4E2600000    PDE at FFFF89C4C0000000    PTE at FFFF898000000000
contains 8A0000000405F867  contains 0000000000000000
pfn 405f      ---DA--UW-V  not valid

0: kd> !PTE 0x1000
                                           VA 0000000000001000
PXE at FFFF89C4E2713000    PPE at FFFF89C4E2600000    PDE at FFFF89C4C0000000    PTE at FFFF898000000008
contains 8A0000000405F867  contains 0000000000000000
pfn 405f      ---DA--UW-V  not valid

由于PTE是动态变化的,找到该地址的关键就在于通过MmGetSystemRoutineAddress函数动态得到MmGetVirtualForPhysical的内存地址,然后向下扫描特征寻找mov rdx,0FFFF8B0000000000h并将内部的地址提取出来。

image.png

这段代码完整版如下所示,代码可动态定位到PTE的内存地址,然后将其取出;

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com

#include <ntifs.h>
#include <ntstrsafe.h>

// 指定内存区域的特征码扫描
PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)
{
   
   
    PVOID pAddress = NULL;
    PUCHAR i = NULL;
    ULONG m = 0;

    // 扫描内存
    for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)
    {
   
   
        // 判断特征码
        for (m = 0; m < ulMemoryDataSize; m++)
        {
   
   
            if (*(PUCHAR)(i + m) != pMemoryData[m])
            {
   
   
                break;
            }
        }
        // 判断是否找到符合特征码的地址
        if (m >= ulMemoryDataSize)
        {
   
   
            // 找到特征码位置, 获取紧接着特征码的下一地址
            pAddress = (PVOID)(i + ulMemoryDataSize);
            break;
        }
    }

    return pAddress;
}

// 获取到函数地址
PVOID GetMmGetVirtualForPhysical()
{
   
   
    PVOID VariableAddress = 0;
    UNICODE_STRING uioiTime = {
   
    0 };

    RtlInitUnicodeString(&uioiTime, L"MmGetVirtualForPhysical");
    VariableAddress = (PVOID)MmGetSystemRoutineAddress(&uioiTime);
    if (VariableAddress != 0)
    {
   
   
        return VariableAddress;
    }
    return 0;
}

// 驱动卸载例程
VOID UnDriver(PDRIVER_OBJECT driver)
{
   
   
    DbgPrint("Uninstall Driver \n");
}

// 驱动入口地址
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
   
   
    DbgPrint("Hello LyShark \n");

    // 获取函数地址
    PVOID address = GetMmGetVirtualForPhysical();

    DbgPrint("GetMmGetVirtualForPhysical = %p \n", address);

    UCHAR pSecondSpecialData[50] = {
   
    0 };
    ULONG ulFirstSpecialDataSize = 0;

    pSecondSpecialData[0] = 0x48;
    pSecondSpecialData[1] = 0xc1;
    pSecondSpecialData[2] = 0xe0;
    ulFirstSpecialDataSize = 3;

    // 定位特征码
    PVOID PTE = SearchMemory(address, (PVOID)((PUCHAR)address + 0xFF), pSecondSpecialData, ulFirstSpecialDataSize);
    __try
    {
   
   
        PVOID lOffset = (ULONG)PTE + 1;
        DbgPrint("PTE Address = %p \n", lOffset);
    }
    __except (EXCEPTION_EXECUTE_HANDLER)
    {
   
   
        DbgPrint("error");
    }

    Driver->DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

运行如上代码可动态获取到当前系统的PTE地址,然后将PTE填入到g_PTEBASE中,即可实现解析系统内的四个标志位,完整解析代码如下所示;

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com

#include <ntifs.h>
#include <ntstrsafe.h>

INT64 g_PTEBASE = 0;
INT64 g_PDEBASE = 0;
INT64 g_PPEBASE = 0;
INT64 g_PXEBASE = 0;

PULONG64 GetPteBase(PVOID va)
{
   
   
    return (PULONG64)((((ULONG64)va & 0xFFFFFFFFFFFF) >> 12) * 8) + g_PTEBASE;
}

PULONG64 GetPdeBase(PVOID va)
{
   
   
    return (PULONG64)((((ULONG64)va & 0xFFFFFFFFFFFF) >> 12) * 8) + g_PDEBASE;
}

PULONG64 GetPpeBase(PVOID va)
{
   
   
    return (PULONG64)((((ULONG64)va & 0xFFFFFFFFFFFF) >> 12) * 8) + g_PPEBASE;
}

PULONG64 GetPxeBase(PVOID va)
{
   
   
    return (PULONG64)((((ULONG64)va & 0xFFFFFFFFFFFF) >> 12) * 8) + g_PXEBASE;
}

// 驱动卸载例程
VOID UnDriver(PDRIVER_OBJECT driver)
{
   
   
    DbgPrint("Uninstall Driver \n");
}

// 驱动入口地址
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
   
   
    DbgPrint("Hello LyShark \n");

    g_PTEBASE = 0XFFFFF20000000000;

    g_PDEBASE = (ULONG64)GetPteBase((PVOID)g_PTEBASE);
    g_PPEBASE = (ULONG64)GetPteBase((PVOID)g_PDEBASE);
    g_PXEBASE = (ULONG64)GetPteBase((PVOID)g_PPEBASE);

    DbgPrint("PXE = %p \n", g_PXEBASE);
    DbgPrint("PPE  = %p \n", g_PPEBASE);
    DbgPrint("PDE  = %p \n", g_PDEBASE);
    DbgPrint("PTE  = %p \n", g_PTEBASE);

    Driver->DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

我的系统内PTE地址为0XFFFFF20000000000,填入变量内解析效果如下图所示;

image.png

文章标签:
云解析DNS
关键词:
开发云解析DNS
内存解析
内核云解析DNS
云解析DNS内核
驱动云解析DNS
aliyun_11084
目录
相关文章
131王
|
24天前
|
存储 缓存 安全
Java内存模型深度解析:从理论到实践####
【10月更文挑战第21天】 本文深入探讨了Java内存模型(JMM)的核心概念与底层机制,通过剖析其设计原理、内存可见性问题及其解决方案,结合具体代码示例,帮助读者构建对JMM的全面理解。不同于传统的摘要概述,我们将直接以故事化手法引入,让读者在轻松的情境中领略JMM的精髓。 ####
131王
33 6
游客762btuqu5wybw666
|
18天前
|
存储 Linux API
深入探索Android系统架构:从内核到应用层的全面解析
本文旨在为读者提供一份详尽的Android系统架构分析,从底层的Linux内核到顶层的应用程序框架。我们将探讨Android系统的模块化设计、各层之间的交互机制以及它们如何共同协作以支持丰富多样的应用生态。通过本篇文章,开发者和爱好者可以更深入理解Android平台的工作原理,从而优化开发流程和提升应用性能。
游客762btuqu5wybw666
52 13
游客kwe6k52lwpmug
|
17天前
|
存储 算法 Java
Java内存管理深度解析####
本文深入探讨了Java虚拟机(JVM)中的内存分配与垃圾回收机制,揭示了其高效管理内存的奥秘。文章首先概述了JVM内存模型,随后详细阐述了堆、栈、方法区等关键区域的作用及管理策略。在垃圾回收部分,重点介绍了标记-清除、复制算法、标记-整理等多种回收算法的工作原理及其适用场景,并通过实际案例分析了不同GC策略对应用性能的影响。对于开发者而言,理解这些原理有助于编写出更加高效、稳定的Java应用程序。 ####
游客kwe6k52lwpmug
27 2
muxiaoxi
|
21天前
|
缓存 并行计算 Linux
深入解析Linux操作系统的内核优化策略
本文旨在探讨Linux操作系统内核的优化策略,包括内核参数调整、内存管理、CPU调度以及文件系统性能提升等方面。通过对这些关键领域的分析,我们可以理解如何有效地提高Linux系统的性能和稳定性,从而为用户提供更加流畅和高效的计算体验。
muxiaoxi
29 2
ShaFaChuang-36210
|
1月前
|
存储 人工智能 安全
操作系统的心脏——内核深度解析
【10月更文挑战第29天】 本文深入探讨了操作系统的核心组件——内核,包括其定义、功能、架构以及在现代计算中的重要性。通过对比不同操作系统内核的设计哲学和技术实现,揭示了内核如何影响系统性能、稳定性和安全性。此外,文章还讨论了未来内核技术的潜在发展方向,为读者提供了一个全面了解内核工作原理的平台。
ShaFaChuang-36210
67 7
ShaFaChuang-36210
|
1月前
|
存储 消息中间件 算法
深入探索操作系统的心脏——内核机制解析
本文旨在揭示操作系统核心——内核的工作原理,通过剖析其关键组件与机制,为读者提供一个清晰的内核结构图景。不同于常规摘要的概述性内容,本文摘要将直接聚焦于内核的核心概念、主要功能以及其在系统管理中扮演的角色,旨在激发读者对操作系统深层次运作原理的兴趣与理解。
ShaFaChuang-36210
47 2
喜欢猪猪
|
1月前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
喜欢猪猪
71 2
Codelinghu
|
2月前
|
缓存 Java 程序员
Map - LinkedHashSet&Map源码解析
Map - LinkedHashSet&Map源码解析
Codelinghu
76 0
Codelinghu
|
2月前
|
算法 Java 容器
Map - HashSet & HashMap 源码解析
Map - HashSet & HashMap 源码解析
Codelinghu
62 0
Codelinghu
|
2月前
|
存储 Java C++
Collection-PriorityQueue源码解析
Collection-PriorityQueue源码解析
Codelinghu
66 0

热门文章

最新文章

  • 1
    CMake构建Makefile深度解析:从底层原理到复杂项目(一)
  • 2
    Android Service完全解析,关于服务你所需知道的一切(下)
  • 3
    uboot移植之uboot命令体系解析
  • 4
    MXNet安装教程:详细步骤与常见问题解析
  • 5
    小白学数据分析----->解析在线平高比
  • 6
    企业域名更换操作系列3:增加新域名所需DNS相关记录
  • 7
    Linux--IP基础知识 网关设定 dns服务
  • 8
    SpringMVC介绍之视图解析器ViewResolver
  • 9
    Linux Shell : Test命令参数解析
  • 10
    C# 面试题解析-请遍历页面上所有的TextBox控件并给它赋值为string.Empty
  • 1
    Python内存管理与垃圾回收机制
    69
  • 2
    【MongoDB 专栏】MongoDB 的内存管理与优化
    350
  • 3
    JavaScript的垃圾回收机制通过标记-清除算法自动管理内存
    60
  • 4
    LabVIEW使用数据引用减少内存
    70
  • 5
    linux上如何排查JVM内存过高?
    1093
  • 6
    Redis内存分析工具RDR
    1770
  • 7
    LabVIEW中CPU和内存使用情况在NI分布式系统管理器中不可见
    83
  • 8
    LabVIEW监控实时嵌入式目标上的CPU和内存使用情况
    274
  • 9
    LabVIEW最大内存块属性不存在
    37
  • 10
    LabVIEW性能和内存管理 8
    71

    • 相关课程

    更多
  • 第八届大学生创新创业大赛阿里命题IoT赛题解析
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 深入解析Docker容器化技术
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计

    • 相关电子书

    更多
  • 神龙云服务器产品及技术深度解析
  • 弹性创造价值:基于ECS的最佳性价比实践解析
  • 又快又稳:阿里云下一代虚拟交换机解析

    • 相关实验场景

    更多
  • 通过云拨测对指定服务器进行Ping/DNS监测

    • 推荐镜像

    更多
  • DNS
  • NTP
  • wireshark
    • 下一篇
    阿里云oss存储简介和如何使用