Blue Pill源代码分析(2)

最新推荐文章于 2024-04-22 07:10:06 发布
原创 最新推荐文章于 2024-04-22 07:10:06 发布 · 4.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#代码分析 #windows #allocation #ui #resources #api

本文深入探讨了Blue Pill驱动如何利用Windows的虚拟地址映射机制,详细解释了PML4、PDP、PD和PT常量的计算,并介绍了BP如何通过ExAllocatePoolWithTag和MmAllocateContiguousMemorySpecifyCache分配内存页面。此外,文章还讨论了内存页面的不同类型和标志,以及MmInitManager函数在创建PML4映射时的关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为了在虚拟运行之后,客户机被宿主机接管,驱动程序代码还能被访问,BP使用了和windows一样的虚拟地址映射方式,以下四个常量:
#define PML4_BASE 0xFFFFF6FB7DBED000
#define PDP_BASE 0xFFFFF6FB7DA00000
#define PD_BASE  0xFFFFF6FB40000000
#define PT_BASE  0xFFFFF68000000000
和windows内核的下面四个常量对应(WRK中base/ntos/inc/amd64.h(2528)):
#define PXE_BASE          0xFFFFF6FB7DBED000UI64
#define PPE_BASE          0xFFFFF6FB7DA00000UI64
#define PDE_BASE          0xFFFFF6FB40000000UI64
#define PTE_BASE          0xFFFFF68000000000UI64
      7B40000000
这四个常量的计算方法如下:
首先选定PTE_BASE,windows选择把页表映射到虚拟地址0xFFFFF68000000000UI64的位置,则后面的PDE_BASE、PPE_BASE和PXE_BASE依次算出
PDE_BASE = ((PTE_BASE & 0x0000FFFFFFFFF000) >> 12) * 8 + PTE_BASE = 0xF68000000 * 8 + PTE_BASE = 0x7B40000000

最低0.47元/天 解锁文章

200万优质内容无限畅学
lzz14
关注
Blue Pill源代码分析(1)
lzz14的专栏
03-29 7925
一直都有写blog的想法,但是每次总觉得写东西很浪费时间,还不如利用这些时间多学点东西。不过每次学到东西之后,总是很容易遗忘,学到方法不假,一些零碎细节忘的很快,于是决定还是应该写点东西出来作备忘。去年末,对Blue Pill有稍微了解一下,但终究是没有完整阅读过源代码,今天花了一天的时间把Blue Pill源代码看了一下,总算对其中的奥妙之处有所了解。原先对VT技术不是特别了解的地方今天看了代
blue-pill代码解读
inquisiter
09-21 1149
一、虚拟机启动 整个过程比较清晰,2.7的过程会对vmcs的状态域进行设置,也就是会接管中断过程,VMxLaunch启动硬件虚拟化。 再往上,一段汇编。调用HvmSubvertCpu CmSubvert (PVOID GuestRsp); CmSubvert PROC StdCall _GuestRsp CM_SAVE_ALL_NOSEGREGS mov eax,esp push eax ;setup esp to argv[0] call HvmSubvertCpu
Windows内核--WRK和真实的Windows内核源代码差多少?(1.3)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-05 1573
前面有提到WRK是微软官方公布的XP/Server 2003供学习和研究的内核源代码WRK1.2究竟占据源代码的多少比例?
win10内核部分源码
11-28
瘟10 内核部分代码,win10内核部分源码,win10内核部分源码,win10内核部分源码。仅供学习,请于下载后24小时内销毁
Windows内核--源代码在哪里?(1.1)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-02 3350
利用WinDbg调试Kernel, 可以得到内核数据结构,参照WRK源代码和深入解析Windows操作系统可以猜测到内核源码的可能长相,结合IDA等反编译工具和Windbg可以获取内核全貌。微软官方并不完全公开源代码, 想清楚Windows技术内幕,就需要逆向工具。大部分人能看到这篇帖子, 想必已经用过Windows系统多年了...
bluepillBluepill是可靠的iOS测试工具,可在一台计算机上使用多个模拟器运行UI测试
02-03
获取bluepill二进制文件:从源代码构建或使用我们的。 您也可以从Homebrew获取二进制文件。 $ brew install bluepill 构建您的应用程序和测试包。 如果在终端中使用xcodebuild ,则必须build-for-testing 。 ...
bluepill:Bluepill 是一款可靠的 iOS 测试工具,可在单台机器上使用多个模拟器运行 UI 测试
07-24
获取 bluepill 二进制文件:从源代码构建或使用我们的。 您还可以从 Homebrew 获取二进制文件。 $ brew install bluepill 构建您的应用程序和测试包。 如果在终端中使用xcodebuild ,则必须build-for-testing 。 ...
stm32f303c6-956234_NEW_bluepill_stmf303_
09-30
"bluepill"是开发板的一种,它通常配备STM32系列的微控制器,为开发者提供了一个低成本且功能丰富的平台,用于学习、原型设计和项目开发。"956234_NEW_bluepill_stmf303_"可能是指该开发板的一个特定版本或修订版,...
Windows 源码学习,WRK 和 ReactOS
LYSM
04-23 1447
WRKwindows Research Kernel ) 是微软公开的一部分 windows 内核源码,用来供给开发人员学习。 下载地址:http://www.awarenetwork.org/home/iqlord/other/wrk.rar ReactOS 是一个开源项目,通过逆向来兼容 windows 系统,相比 WRK 代码更全面但 bug 也多。 下载地址:https://sourc...
操作系统课程设计 Kernel编译和WinDbg启动 批处理文件
weixin_30246221的博客
09-01 99
适用对象:东大计算机学院大四正在做操作系统课程设计的同学们 (其他同学请低空掠过) 操作系统课程设计 Kernel编译及WinDbg运行批处理文件,Help you work better! 在下载文件之前,请仔细阅读以下使用说明 用途:1.Kernel的编译命令行集成;2.WinDbg启动的命令行集成 (不用每次都敲这么多命令行啦~~) 在运行之前:1.请将虚拟机装好,端口配置OK;2...
wrk内核详细源代码
01-08
WRK的全称是“Windows Research Kernel”,它是微软为高校操作系统课程提供的可修改和跟踪的操作系统教学平台。它给出了Windows这个成功的商业操作系统的内核大部分代码,可以对其进行修改、编译,并且可以用这个内核启动Windows操作系统。可让学生将操作系统基本原理和商业操作系统内核联系起来,进一步加深对操作系统整体的理解。
WRK源码,可直接用VS打开
02-28
windows驱动编程的参考,里面是WRK的源码,可直接用VS打开,编程中有不懂的可以直接看
wrk源文件阅读
ivalue的博客
09-25 834
1:wrk是一个开源的基准测试工具 https://github.com/wg/wrk 2:代码详解 int main(int argc, char **argv) { char *url, **headers = zmalloc(argc * sizeof(char *)); struct http_parser_url parts = {}; // 在这里解析...
wrk 安装及使用
可可飞扬的博客
05-05 3427
1克隆wrk安装文件到本地 git clone https://github.com/wg/wrk.git 2编译wrk文件 cd wrk && make 若出现错误:xmlto: command not found,可以尝试重新安装xmlto:# yum -y install xmlto 3#拷贝可执行文件到PATH目录下 cp wrk /usr/l...
驱动开发:内核解析内存四级页表
热门推荐
优快云
05-29 1万+
当今操作系统普遍采用64位架构,CPU最大寻址能力虽然达到了64位,但其实仅仅只是用到了48位进行寻址,其内存管理采用了。这段代码完整版如下所示,代码可动态定位到PTE的内存地址,然后将其取出;运行如上代码可动态获取到当前系统的PTE地址,然后将PTE填入到。中,即可实现解析系统内的四个标志位,完整解析代码如下所示;字节,PTE结构的解析非常容易,打开WinDBG输入。即可解析,如下所示,当前地址0位置处的PTE基址是。由于PTE是动态变化的,找到该地址的关键就在于通过。,由于PTE的一个页大小是。
windows驱动开发-内存概述
最新发布
苏洛的博客
04-22 1245
90%的程序问题都是由内存引起的,剩下的10%是使用内存引起的!”这是一句非常经典的论证,实际上,在程序开发中,内存问题就是最大的问题,没有之一。现代的计算机体系中,内存承载了太多的功能,内存既是数据的载体,也是指令的载体,甚至还因为虚拟内存技术和磁盘挂钩,故上面那句话的意思是,所有的程序问题都可以从内存方面找到一部分原因。注意: 下面的讨论中,我们使用windows 10 x64版本来讨论64位地址空间下的内存话题。
驱动程序内存分配
lbird
02-12 7538
 何谓可分页和非分页内存       默认情况下,内核加载器会加载所有的代码部分和全局数据到非分页内存中。而且,加载器是一次加载整个驱动的可执行文件,包括相关的DLL。加载后,内核加载器关闭驱动程序文件,甚至你可以删除当前正在执行的驱动文件。但是,你可以告诉加载器你希望驱动的哪部分是可分页,所谓可分页,就是可能会被换页出内存(Page out)。可以使用下面的指令来实现:#define A
win10 x64 1903的miniVT实现ept
被遗弃的庸才博客
12-08 2076
代码是之前写的,由于之前比较习惯c语言。所以很多东西包括方法都是放在一个main函数中,具体实现的功能就是一个简单的读写和指向分离。也抄了不少人的代码(不这是我自己写的,cv之后就是自己的了) 首先是main函数,用的sublime中文会乱码,vt最核心的还是嵌套(但是我不会),还有就是各个版本的兼容。 #include "CPU.h" #include "MSR.h" #include "comm.h" #include "EPT.h" #include "WMX.h" extern void in
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值