14.修改 PTE 实现挂物理页读写空指针

最新推荐文章于 2025-03-02 10:01:14 发布
最新推荐文章于 2025-03-02 10:01:14 发布
阅读量509 收藏 2
点赞数
分类专栏: 滴水中级
原文链接:https://blog.youkuaiyun.com/Kwansy/article/details/108906147#comments_15340356
版权

一、10-10-12二级映射

下图是101012二级映射结构:

在这里插入图片描述

CR3寄存器存放物理地址,指向的是页目录表(PDT)

页目录表(PDT)大小是4KB=4096字节,每个成员(PDE)占4字节,所以共有1024个

PDE指向页表(PTE),PTE指向物理页

PDE和PTE后六位都是属性

PTE特征:

1.可以不指向物理页

2.多个PTE可以指向同一个物理页

3.一个PTE只能指向一个物理页

 

二、读写NULL指针


正常编程中,不能读写NULL,原因是NULL指针没有对应的物理页,因此,只要我们让NULL指针最终映射到一块可读写的物理页,就可以用NULL去读写数据了。

代码短小精悍,也很好理解,关键步骤都在windbg里操作。下面先让程序跑起来,停在getchar()处。
 

// PDE_PTE.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"


int _tmain(int argc, _TCHAR* argv[])
{
	int x = 1; // 让NULL指向x所在的物理页
	printf("x的地址:%x\n", &x);
	getchar(); // 在windbg里修改NULL 的PTE
	// NULL不能读写,原因是PTE为0,即没有分配物理页
	// 所以只要给NULL的PTE分配物理页,就能读写NULL了	
	printf("NULL地址数据:%x\n",*(int*)NULL);
	*(int*)NULL = 0x112233;	
	printf("NULL地址数据:%x\n",*(int*)NULL); // 0x112233
	return 0;
}

在这里插入图片描述

 

 

 

然后,在windbg里按照上一节课的做法,找到 x 的物理地址。
拆分x的地址 0x0012ff60
00000000‭00 0x0
0100101111 0x12f
111101100000‬ 0xf60

!process 0 0 查到CR3=1915d000,CR3的值是PDT表的基址。
!dd 1915d000+4*0 查到x对应的PDE也就是PDT[0]=07842067,属性清零后是 07842000,这个值是x的PTT的基址。
!dd 07842000+4*12f 查x的PTE也就是PTT[12f]=0ce53067,属性清零后就得到x的物理页基址 0ce53000
!dd 0ce53000+f60 以dword形式查看x的内存


在这里插入图片描述

 

 

NULL = 0
拆分得:
00000000‭00
00000000‭00
00000000‭0000
下标全是0。
CR3是一样的,一个进程只有一个,CR3=1915d000
找NULL的PDE,!dd 1915d000,因为下标都是0,所以NULL 的PDE 和 x的PDE是一样的,不用改,都是 07842067。
所以 07842000 就是NULL的PTT,然后NULL的第二个下标也是0,所以 !dd 07842000 就能查到PTT[0] 即 NULL的PTE,值是0.
在这里插入图片描述

 

用!ed指令改写成x的PTE 0ce53067
!ed 7842000 0ce53067

 

在这里插入图片描述

现在x和NULL的PTE值相同,NULL和x处于同一个物理页,物理页基址是 0ce53000,但是物理地址仍然是不同的,因为x在物理页内的偏移是 0xf60,而NULL的偏移是0。

但是没有关系,NULL已经指向了一块可用的物理页了,现在可以对NULL进行读写了

在这里插入图片描述

 

 

三、为变量x再映射一个线性地址,并通过这个新的地址读取x的值


方法是调用 VirtualAlloc 申请一个物理页,得到一个指针p,拆分地址,将p后12位改成和x的后12位相同,这样就构造好了一个新的线性地址。

解释一下为什么要VirtualAlloc,目的是确保有一块可用的物理页,并且和x的物理页不是同一个;而修改p的后12位,目的是让p的物理页偏移和x一样。

接下来,只需要修改p的PDE和PTE,使得p和x指向同一个物理页即可。
 

// PDE_PTE.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <Windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
	int x = 0x1;
	printf("x的地址:%x\n", &x);
	// 申请一个新的物理页,将p的PTE和物理页内偏移改成和x一样
	int p = (int)VirtualAlloc(NULL,0x1000,MEM_COMMIT,PAGE_READWRITE);
	int p_bak = p;
	memset((int*)p,0,0x1000);
	
	p &= 0xFFFFF000;
	p |= ((int)&x & 0x00000FFF);
	printf("新的线性地址:%x\n", p);
	getchar(); // 在windbg里修改 p 的 PTE

	// 用新的线性地址读x
	printf("*addr:%x\n",*(int*)p); // 0x1
	// 用新的线性地址写x
	*(int*)p = 0x112233;
	printf("x:%x\n",x); // 0x112233

	getchar();
	VirtualFree((int*)p_bak,0x1000,MEM_DECOMMIT);
	return 0;
}

 

在这里插入图片描述

 

 

然后将p的PTE改成和x的PTE一样,这个过程步骤繁琐:

拆分x:
0x0012ff60
00000000‭00 0x0
0100101111 0x12f
111101100000‬ 0xf60

拆分p:
0x003b0f60
00000000‭00 0x0
1110110000 0x3b0
111101100000‬ 0xf60

查CR3:
!process 0 0
CR3 = 0ef6f000

查PDEx
!dd 0ef6f000
PDEx = 09f43067

查PTEx
!dd 09f43000+4*12f
PTEx = 0f461047

查PTEp
!dd 09f43000+4*3b0


在这里插入图片描述

 

 

改PTEp
!ed 9f43ec0 0f461047

执行剩余的代码:

在这里插入图片描述

 

四、10-10-12分页模式物理内存能够识别的最多范围是多少

在这里插入图片描述

 

页目录表有1024项,页表有1024项,物理页有4KB

寻址范围:1024 * 1024 * 4096 = 4GB

 

五、如何判断2个线性地址是否在同一个物理页?

看线性地址前20位,只要相同就在同一个物理页。
因为前20位确定了PDE 和 PTE,PTE相同一定是同一个物理页。

 

 

Windows 核心编程研究系列之一(-改变进程PTE属性-)[已补完]
享受开发,颠倒银河
11-01 5391
 Windows 核心编程研究系列之一-改 变 进 程 PTE 属性-           这是我研究windows 核心编程的第一篇正式文章,之所以叫核心编程而不叫内核编程,是我觉得从字面上来看核心(core)比内核(kernel)更靠近windows中心,当然只是偶本人的看法的拉。         我们知道在 win NT 中,系统把每个进程的虚拟4G空间分为两大部份,
滴水中级--物理
stmlg的博客
05-13 657
物理 唯一存储物理的寄存器 CR3 尝试一下物理 想法 --> 谁说0地址编号不能读写? 思路: 1. 在VC6.0 写一个变量,并查看这个变量的线性地址,通过101012转化找到物理地址 2. 给0这个线性地址 上与上面这个变量相同物理地址 #include "stdafx.h" #include <windows.h> int main(int argc, char* argv[]) { int x = 0x1234; printf("x: %x",&x); /
20-读写空指针
进击的小学生
10-03 2307
有不少人看到这个标题会说,博主疯了,走吧走吧,不看了。学过 C 语言的人都知道,0 地址是不可能被读写的。为了能够狡辩,我不得不提前把实验结果贴在下面。 图1 读写空指针 请原谅我,无论你在自己的 VC6.0 执行多少次,你都不会成功,但是我成功了。我确实做了手脚。难道你不想知道吗?聪明的你也许根本不需要继续往下读,就能完成这个功能(如果你真的搞定了前面的分知识的话)。0 地址分析动手能力
通过代码物理
taolaodawho的博客
10-28 792
给0地址物理,吧VirtualAlloc函数开辟的线性地址物理给0地址上,这样这两个线性地址访问的就是同一个物理, 内存映射的本质就是相同或者不同进程的两个线性地址,使用同一个物理 这个是2-9-9-12分的,如果10-10-12分会更简单,代码可以在此基础上改 这里我将只提几个需要注意到的问题 1.memset填充是为了 VirutalAlloc开辟内存后,线性地址并不会马上物理PTE没有指向物理需要注意 2.那个裸函数注释掉的代码需要注意,虽然说要把那个线性地址P.
(实验) 给地址0物理实现可读可写
qq_50242229的博客
04-25 282
【代码】(实验)给地址0物理实现可读可写。
给0地址物理实现读取和写入
qq_41490873的博客
04-10 1190
10 10 12分模式下 // readPageAttr.cpp : 定义控制台应用程序的入口点。 //调用门段描述符 0041ec00`000813c0 #include "stdafx.h" DWORD PDE=0; DWORD PTE=0; DWORD dwPDT_Index=0; DWORD dwPTT_Index=0; DWORD dwPageIndex=0; DW...
lab2物理内存管理实现
a284185006的博客
05-30 600
lab2代码执行流程 本次实验主要完成ucore内核对物理内存的管理工作。 内存管理相关的总体控制函数是pmm_init函数(kern_init调用pmm_init),它完成的主要工作包括: 1、初始化物理内存管理器框架pmm_manager; 2、建立空闲的page链表,这样就可以分配以(4KB)为单位的空闲内存了; 3、检查物理内存分配算法; 4、为确保切换到分机制后,代码能够正常执行,先建立一个临时二级表; 5、建立一一映射关系的二级表; 6、使能分机制; 7、从新设置全局段描述符表;
Linux系统交换(swap)机制实现原理以及OOM测试
tugouxp的专栏
07-20 2538
综上,可以swap出去的面包含匿名和共享,除此之外,不支持swap到磁盘交换分区或者swap文件。所以可以看出,对于内存回收来说,文件cache的回收和匿名面的回收是同一个路径,没有区别,只有到具体的承载后台时候,这也是为何开始一致寻找swap处理的“特殊路径”求而不得的原因,原因就是这个特殊路径不存在,swap处理也没有什么特殊的,"特殊"的部分仅仅是swap_aops的实现,这部分一开始我就找到了。匿名面是如何来的?
QEMU&KVM 虚拟机实例demo以及RISCV/x86上KVM的实现分析
tugouxp的专栏
05-02 3059
KVM通过一组IOCTL向用户空间导出接口,这些接口能够用于虚拟机的创建,虚拟机内存的设置,虚拟机VCPU的创建与运行等,按照接口所使用的文件描述符不同,KVM的这组IOCTL接口可以分为三类:0./dev/kvm节点对应全局kvmfd, 通过kvmfd创建每个虚拟机对应的vmfd, 再由vmfd为每个虚拟VCPU创建一个vcpufd,vcpufd通过vmfd暴露的接口获取。KVM全局管理用kvmfd,虚拟机管理用vmfd, vcpu运行用vcpufd. 内核对应三套chrdev的fops.
lab3虚拟内存管理实现
a284185006的博客
06-02 455
通过内存地址虚拟化,可以使得软件在没有访问某虚拟内存地址时不分配具体的物理内存,而只有在实际访问某虚拟内存地址时,操作系统再动态地分配物理内存,建立虚拟内存到物理内存的映射关系,这种技术称为按需分(demand paging)。把不经常访问的数据所占的内存空间临时写到硬盘上,这样可以腾出更多的空闲内存空间给经常访问的数据;当CPU访问到不经常访问的数据时,再把这些数据从硬盘读入到内存中,这种技术称为换入换出(page swap in/out)。这种内存管理技术给了程序员更大的内存“空间”,从而可以让更
Linux内存管理-缺异常 (Page fault)实现分析及优化
sinat_37817094的博客
03-02 459
linux内核原理 内存管理
21-物理属性-P-RW
进击的小学生
10-03 2114
熟练掌握了线性地址到物理地址的转换后,我们也知道PDE和PTE的结构。当时只知道PDE和PTE中保存了物理的属性。PDE、PTE结构 PDE 结构 |<------ 31~12------>|<------ 11~0 --------->| 比特 |b a 9 8 7 6 5 4 3 2 1 0| |--------------------|-|-|-|
0线性地址shellcode
weixin_73368512的博客
11-30 228
【代码】0线性地址shellcode。
【2021.03.26】PDE、PTE
oalken的博客
03-26 1872
要点回顾 前文简单了解了80x86的 10-10-12 分机制,本篇文章继续学习。 PDE与PTE CR3:唯一一个存储物理地址的寄存器。 在Windows中,大小是4KB。在后期会接触到另一种,有4MB大小,称为大。 CR3里面存储的地址,指向的是目录表(PDT),表中每个成员称为PDE(目录表项/目录项)。 目录表(PDT)中每个成员(PDE)又指向另一张表,该表称为表(PTT)。 表(PTT)的大小与目录表(PDT)一样是4KB,其中存储的成员有1024个,每
3.异常
My classmates
11-06 1455
P: 当前面是否有效 当CPU访问一个地址,其PTE的P位为0,此时会产生缺异常 缺异常Windows每一秒都在发生,Windows使用缺异常可以更加有效的使用这个物理。 比如你当前有效的物理内存只有2M,在某个地方被使用了就会一直被占用,必须要它释放我们才能用,这样的话效率是非常低的。 Windows是只有正在被使用的线性地址才会给你物理,如果你的线性地址隔了一段时间没使用或者...
任鸟飞逆向C++高级篇
09-08
【课程简介】本课程为任鸟飞逆向C++高级篇,注重在逆向中运用的技巧和思维逻辑,掌握后相关工具与手法可以熟练运用,在反汇编的世界里如鱼得水。 本套课程不只是一套深入学习C++的课程,更是一套深入学习汇编逆向课程、外与反外、软件安全的课程。 逆向思路技术随笔,请关注我的优快云博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣咨询等请在博客私聊我。 PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】任鸟飞逆向C++系列课程是一条精心安排为掌握汇编逆向、外与反外、软件安全以及软件编程的学习路线,包括但不限于 基础篇、进阶篇、高级篇(本篇)、实战篇等,所以为保证您能学有所成请在学习本篇之前务必掌握基础篇与进阶篇!!! 基础篇优快云学院链接:https://edu.csdn.net/course/detail/30509进阶篇优快云学院链接:https://edu.csdn.net/course/detail/30680 【学员学成收获】认真学习并练习后将掌握:1、熟练游戏逆向思想与技巧。2、熟练通用辅助程序设计。3、熟练诸多逆向工具使用。4、熟练常见数据结构逆向分析。5、熟悉智能主线脚本编写。 
(10) [保护模式] 2-9-9-12分
qq_50332504的博客
05-19 769
认识2-9-9-12分,给0地址物理修改高2G属性,实现代码物理 海哥说过:做出来的东西才懂,没做出来就是没懂
22-物理属性-U/S-PS-A-D
进击的小学生
10-03 2524
上一篇介绍了物理的 P 属性和 RW 属性。本篇介绍 U/S、PS、A、D。PDE、PTE 结构 PDE 结构 |<------ 31~12------>|<------ 11~0 --------->| 比特 |b a 9 8 7 6 5 4 3 2 1 0| |--------------------|-|-|-|-|-|-|-|-|-|-|-|-|
WinDbg命令
qq_36308972的博客
07-17 818
段、 WinDbg可以使用r命令来观察GDTR和IDTR GDTR、IDTR:用来标识GDT表和IDT表的位置和边界 使用dg n 命令(n为数字)可以查看段选择子的对应的描述符信息 线程 使用 ~ 可以列出线程的基本信息 调试 *x a.exe! : 列出a.exe的所有符号 ...
Page fault Execute error
最新发布
03-08
<think>好的,用户遇到了面故障执行错误的问题,需要了解其原因和解决方法。首先,我需要回忆操作系统相关的知识,特别是内存管理和面错误的部分。 面故障(Page Fault)通常发生在进程访问的虚拟地址没有映射到物理内存时,这时候操作系统需要处理这个异常。但执行错误(Execute Error)可能涉及到权限问题,比如尝试执行不可执行的面。 可能的原因包括: 1. 访问了未映射的地址,导致缺错误。但如果是执行错误,可能面存在但权限不足,比如代码段被标记为不可执行。 2. 内存权限设置错误,例如数据段或堆栈段被错误地标记为可执行,而操作系统启用了NX位(不可执行位)保护。 3. 内存损坏,比如缓冲区溢出覆盖了表项,导致权限位被修改。 4. 驱动程序或内核模块错误地修改了内存映射,导致权限冲突。 5. 硬件故障,比如内存条损坏,但这种情况比较少见。 解决方法方面: 首先检查应用程序是否有内存访问越界或执行非法操作,使用调试工具如GDB分析崩溃点。如果是权限问题,需要检查表项中的权限位是否正确设置。对于启用了NX位的系统,确保代码段可执行而数据段不可执行。如果是驱动程序问题,更新或回滚驱动版本。硬件问题则需要运行内存检测工具。 另外,用户提供的引用中有提到延迟失效漏洞和集群节点固定命令,可能和分布式系统中的内存一致性或缓存失效有关,但不确定是否直接相关。需要确认面错误是否发生在集群环境下,可能涉及节点间内存同步问题,此时按照引用[2]的方法固定节点可能有助于稳定内存状态。 最后,生成相关问题时要覆盖原因、排查工具、系统保护机制、硬件问题以及集群环境下的处理。</think>### 面故障执行错误的原因及解决方法 #### 一、核心原因分析 1. **权限冲突** 进程尝试执行没有执行权限的内存区域(如数据段或堆栈段),触发硬件保护机制。现代处理器支持$NX$位(No-eXecute)技术,操作系统通过$$PAGE_EXECUTE_READWRITE$$等标志控制内存区域权限[^1]。 2. **无效地址访问** 访问未映射到物理内存的虚拟地址(如空指针解引用),或访问已被释放的内存区域,引发缺异常(Page Fault)。此时若错误类型为$0xC0000005$(ACCESS_VIOLATION),通常伴随STATUS_IN_PAGE_ERROR[^2]。 3. **内存映射异常** 驱动程序或内核模块错误修改表项(PTE)导致权限位异常,例如将代码误标记为不可执行。此类问题常见于$$mmap()$$系统调用参数配置错误。 4. **硬件故障** 内存条损坏或总线错误导致物理地址读写异常,但此类情况仅占故障总量的$<5\%$。 #### 二、排查与解决方法 1. **调试工具定位** 使用GDB/WinDbg分析崩溃堆栈: ```bash gdb -ex "bt full" --args ./your_program ``` 重点关注$$si/eip$$寄存器指向的故障地址权限属性。 2. **检查内存权限配置** 对于Linux系统,通过$$/proc/[pid]/maps$$查看进程内存映射: ```bash cat /proc/$(pidof your_program)/maps | grep -i [故障地址所在区间] ``` 验证目标地址区间是否具有$x$(可执行)权限。 3. **系统级保护设置** 在集群环境中,若出现跨节点内存同步问题,可参考引用[2]的节点固定方法: ```bash crsctl pin css -n <node1> <node2> ``` 4. **代码层面修复** - 使用AddressSanitizer检测内存越界访问 ```bash gcc -fsanitize=address -g your_code.c ``` - 对动态生成代码(如JIT编译)需显式设置可执行权限: ```c mprotect(code_ptr, size, PROT_READ | PROT_EXEC); ``` #### 三、预防措施 1. 开启DEP(Data Execution Prevention)保护机制 2. 定期使用memtest86+检测物理内存完整性 3. 在分布式系统中遵循引用[1]的延迟失效处理规范,确保缓存一致性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值