windows kernel pool

最新推荐文章于 2024-09-10 08:55:30 发布
最新推荐文章于 2024-09-10 08:55:30 发布
阅读量267 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: c/c++ 大数据
原文链接:http://www.cnblogs.com/yizhanlvcha/p/9105947.html
本文介绍了Windows内核中的KernelPool概念,包括Non-PagedPool、PagedPool和SessionPools等不同类型的内存池及其管理机制。详细解释了这些内存池如何被定义、使用及维护,并概述了它们的数据结构和操作流程。

kernel pool 基础

kernel pools 被分为 Non-Paged Pools, Paged Pools, Session Pools, etc. 被定义在POOL_TYPE 中

Non-Paged Pool

  • 不可分页的系统内存
  • 保证在任何时候都驻留在物理内存中
  • pools 的数量储存于 nt!ExpNumberOfNonPagedPools
  • 在单处理器系统中,nt!PoolVector 数组的第一个节点指向 non-paged pool 描述符
kd> dt nt!_POOL_DESCRIPTOR poi(nt!PoolVector)
   +0x000 PoolType         : 0 ( NonPagedPool )
   +0x004 PagedLock        : _KGUARDED_MUTEX
   +0x004 NonPagedLock     : 0
   +0x040 RunningAllocs    : 0n769209
   +0x044 RunningDeAllocs  : 0n679297
   +0x048 TotalBigPages    : 0n2518
   +0x04c ThreadsProcessingDeferrals : 0n0
   +0x050 TotalBytes       : 0x12a3618
   +0x080 PoolIndex        : 0
   +0x0c0 TotalPages       : 0n3184
   +0x100 PendingFrees     : 0x866582c0  -> 0x8688cb40 Void
   +0x104 PendingFreeDepth : 0n14
   +0x140 ListHeads        : [512] _LIST_ENTRY [ 0x8414cfc0 - 0x8414cfc0 ]
  • 在多处理器中,每个节点又它自己的 non-paed pool 秒素符, 指针保存在 nt!ExpNunPagedPoolDescriptor 数组中

Paged Pool

  • 分页系统内存
  • 在IRQL < DPC/Dispatch level 时才可以被访问
  • pools 的数量保存于 nt!ExpNumberOfPagedPools
  • 在单处理器系统中,有4 pages pool 描述符, 从1-4 在 nt!ExpPagedPoolDescriptor
  • 在多处理器系统中,在每个节点有1个paged pool 描述符
  • 为原型池/整页分配定义了一个额外的paged pool 描述符, 下标0 的 nt!ExpPagedPoolDescriptor

Session Paged Pool

  • 会话空间的可分页系统内存, 每个登录用户都是唯一的
  • 初始化在 nt!MilnitializeSessionPool
  • 在Vista, pool 描述符保存在 nt!ExpSessionPoolDescriptor(session space)
  • 在win7, 使用从当前线程指向池描述符的指针,
    KTHREAD->Process->Session.PagedPool
  • Non-paged session 分配使用全局 non-paged pools

每个kernel pool 由 POOL_DESCRIPTOR 结构定义,

-可以用于追踪 分配/释放的数量,使用中的pages ,etc,

  • 维持free pool chunks 列表

paged 和 non-paged pool 的初始描述符在nt!PoolVector数组中定义

  • 每个索引都指向一个或多个描述符的数组

win7 x86

kd> dt nt!_POOL_DESCRIPTOR
   +0x000 PoolType         : _POOL_TYPE
   +0x004 PagedLock        : _KGUARDED_MUTEX
   +0x004 NonPagedLock     : Uint4B
   +0x040 RunningAllocs    : Int4B
   +0x044 RunningDeAllocs  : Int4B
   +0x048 TotalBigPages    : Int4B
   +0x04c ThreadsProcessingDeferrals : Int4B
   +0x050 TotalBytes       : Uint4B
   +0x080 PoolIndex        : Uint4B
   +0x0c0 TotalPages       : Int4B
   +0x100 PendingFrees     : Ptr32 Ptr32 Void
   +0x104 PendingFreeDepth : Int4B
   +0x140 ListHeads        : [512] _LIST_ENTRY

每个pool chunk 有8字节的pool header,空闲的chunks 根据block size 放到ListHeads 中
1405424-20180530175551265-245605016.png

x86

kd> dt nt!_POOL_HEADER
   +0x000 PreviousSize     : Pos 0, 9 Bits
   +0x000 PoolIndex        : Pos 9, 7 Bits
   +0x002 BlockSize        : Pos 0, 9 Bits
   +0x002 PoolType         : Pos 9, 7 Bits
   +0x000 Ulong1           : Uint4B
   +0x004 PoolTag          : Uint4B
   +0x004 AllocatorBackTraceIndex : Uint2B
   +0x006 PoolTagHash      : Uint2B

PreviousSize: 上一个cunk 的blocksize
PoolIndex: 在pool 描述符中的索引
BlockSize: (NumberOfBytes + 0xF) >> 3
PoolType: Free = 0, Allocated = (PoolType|2) PoolTag;4

x64
BlockSize: (NumberOfBytes + 0x1F) >> 4 (256 ListHeads entries due to 16 byte block size)
ProcessBilled: 指向为池分配收取的过程对象的指针(用于配额管理)

释放

当pool chunk 被释放加入到ListHeads 中,头部将又LIST_ENTRY 结构

kd> dt nt!_LIST_ENTRY
   +0x000 Flink            : Ptr32 _LIST_ENTRY
   +0x004 Blink            : Ptr32 _LIST_ENTRY

1405424-20180530181931028-743557495.png

Lookaside Lists

  • 内核使用lookaside lists 来 申请/释放 小的pool chunks
  • 独立的每处理器lookaside列表为可分页和不可分页的分配
  • 在KPRCB(Processor Control Block) 中定义
  • 最大blocksize 为0x20 ( 256 bytes)
  • 单向

1405424-20180530182712835-1209442575.png

Large Pool Allocations

  • 分配超过0xff0 (4080) bytes
  • 由nt!ExpAllocateBigPool 处理
  • 每个处理器又4 个单向lookaside lists for big pool allocations
  • 1 paged 分配一个页面
  • 3 non-paged 分配页面计数为1,2,3
  • 如果不能分配lookaside list, 使用bitmap 来获取请求的pool pages
  • 在位图中搜索包含所请求数量的未使用页面的第一个索引
  • bitmap 使用它自己的memory 来定义主要的pool type
  • bits 数组位于pool 内存范围的开始

分配算法

  • Lookaside list
  • ListHeads List
  • Pool page allocator

1405424-20180530185410939-1745210342.png

释放

ExFreePoolWithTag
相邻的free chunk 可能会被会被合并

1405424-20180530190018766-1018733605.png

利用

https://www.blackhat.com/docs/us-14/materials/us-14-Tarakanov-Data-Only-Pwning-Microsoft-Windows-Kernel-Exploitation-Of-Kernel-Pool-Overflows-On-Microsoft-Windows-8.1.pdf

参考

http://www.nosuchcon.org/talks/2013/D3_02_Nikita_Exploiting_Hardcore_Pool_Corruptions_in_Microsoft_Windows_Kernel.pdf
https://infiltratecon.com/archives/kernelpool_infiltrate2011.pdf
https://www.cnblogs.com/flycat-2016/p/5449738.html

转载于:https://www.cnblogs.com/yizhanlvcha/p/9105947.html

[翻译]Windows 内核池原理 (win7 x86)
WocW的博客
05-21 1181
0x00:前言 查了一下好像没看到啥关于内核池原理的翻译,国外的一个PPT有详细说Win7池溢出的原理。内容比较长,今天来翻译阅读一下Win 7内核的池部分的原理。 Kernel Pool Exploitation on Windows 7 0X01:正文 1 内核池的基本属性 内核池被分为 Non-Paged Pools, Paged Pools, Session Pools等类型。 每个池都由一个池描述符所定义 该结构为 POOL_DESCRIPTOR 。 通过该结构我们可以追踪有多少
[翻译]Windows内核漏洞学习-内核池攻击原理
WocW的博客
05-22 894
前言 在练习HEVD的内核池溢出漏洞之前,首先先需要了解一下内核池溢出的一些攻击方法和原理。这里对kernelpool-exploitation进行翻译阅读一下。 kernelpool-exploitation 正文 ListEntry Flink Overwrite Win7在从ListHeads[n]分配池块(对于给定的块大小)时,使用的安全算法验证的是ListHeads[n]的列表条目结构,而不会去验证即将unlink的实际块的结构。因此,在一个free的块中覆盖它的Flink可能会导致ListH
Windows kernel pool 初探(2014.12)
weixin_30407099的博客
05-02 279
Windows kernel pool 1. 简介 Kernel pool类似于Windows用户层所使用Heap,其为内核组件提供系统资源。在系统初始化的时候,内存管理模块就创建了pool。 严格的来说,pool只分为nonpaged pool和paged pool两类。 nonpaged pool: 只能常驻于物理内存地址,不能映射。(reside in physi...
3c 释放地址池_Windows内核进击之旅——池溢出漏洞
weixin_39539588的博客
01-13 176
上一篇文章主要介绍了windows内核中UAF漏洞的利用方式,这次的主题是池溢出漏洞。仍然是通过HEVD这个项目来了解该内核漏洞的原理以及利用方式。调试机是win7 64位,被调试机是win7 32位。漏洞简介内核池(pool)是windows中类似于堆的一种动态内存结构,以实现系统中灵活释放与分配内存的需求。池的大小在申请出来后是一定的,此时如果程序没有对输入长度进行检查,则就会导致溢...
Kernel Pool Exploitation on Windows 7 (BlackHat_DC_2011_Mandt_kernelpool-wp)-计算机科学
04-22
Kernel Pool Exploitation on Windows 7Tarjei Mandtkernelpool@gmail.comAbstract. In Windows 7, Microsoft introduced safe unlinking to ad- dress the growing number of security bulletins affecting the Windows kernel. Prior to removing an entry from a doubly-linked list, safe un- linking aims to detect memory corruption by validating the pointers to adjacent list entries. Hence, an attacker cannot easily leverage generic techniques in exploiting pool overflows or other pool corruption vulner- abiliti
Windows Kernel Attacks through User-Mode Callbacks (Black Hat USA 2011)-计算机科学
04-22
august 2011Who am I• Security Researcher at Norman• Malware Detection Team (MDT)• Interests• Vulnerability research• Operating system internals• Past Work• Kernel Pool Exploitation on Windows ...
windows-kernel-programming 中文机翻-第六章
jiaodou2的博客
12-15 1158
在本章中,我们研究了驱动程序开发人员应了解和使用的各种内核机制。在下一章中,我们将仔细研究 I/O 请求数据包 (IRP)。
windows 内核驱动通过哪些方式直接访问硬件
zhangyihu321的专栏
08-14 1680
windows 内核 硬件访问
KERNEL POOL LIST ENTRY OVERWRITE ATTACK
爱杀之爪的矩阵
02-29 959
KERNEL POOL LISTENTRY OVERWRITE ATTACK     LIST_ENTRY OVERWRITE 原理图   测试代码: Sys: VOID Nopagepool_ListEntry_Overwrite(ULONGcbin,ULONG cout,UCHAR * InputBuffer) { PVOIDpatdbuffer=NULL,p
操作系统真象还原[11章]-用户进程
koutaoran4812的博客
06-20 667
本章在内核线程的基础上实现用户进程,主要区别是内核线程运行在特权级别3下,用户进程运行在特权级别0下。 Intel原生为CPU提供的多任务机制主要是LDT/TSS,关于LDT/TSS简要阐述一下,现代操作系统与本书实现的操作系统均未实现该机制。 LDT Intel官方提出LDT的目的就是为了把每个任务自己的代码、数据、栈段这些私有资源用单独的一个结构来存储,避免多任务运行时各个程序的资源混乱。但书中采用虚拟内存(平坦模型)+二级页表的机制已经天然的将各个............
Windows系统内存分析工具的介绍
热门推荐
renluborenlubo的专栏
01-13 1万+
内存泄漏查找工具
PoolMonXv2 开源项目教程
gitblog_00542的博客
09-10 427
PoolMonXv2 开源项目教程 1. 项目介绍 PoolMonXv2 是一个用于监控 Windows 内核池分配的工具。它能够显示内核池分配的标签、分配次数、释放次数以及消耗的内存。PoolMonXv2 是基于 Windows 驱动工具包(WDK)开发的,适用于需要深入了解系统内存使用情况的技术人员和开发人员。 2. 项目快速启动 2.1 环境准备 在开始使用 PoolMonXv2 之前,您需...
探索系统底层的秘密:PoolMonXv2——深入Windows内核池监控的利器
最新发布
gitblog_00768的博客
09-10 370
探索系统底层的秘密:PoolMonXv2——深入Windows内核池监控的利器 项目介绍 在复杂的系统运维和软件开发世界中,洞察操作系统内核的运行细节变得日益重要。PoolMonXv2,这款由zodiacon精心打造的工具,正是为此而来。它犹如一名侦探,潜入Windows系统的深层,揭示内核池分配的真相。通过直观展示内核池中的标签信息、分配次数、释放情况以及消耗的内存总量,PoolMonXv2为开...
kernel 启动流程之 【设备驱动加载】 学习笔记
沉思
10-21 8457
先上总流程图,一图胜千言! 点击查看大图 head.S 初始化完成后跳转到 start_kernel 入口: kernel-3.18/init/main.c:505:asmlinkage __visible void __init start_kernel(void) START => 源码分析: 这里要干的事情非常
其他 - win10 paged pool 内存溢出
weixin_30764883的博客
07-30 1523
1. 概述 win 10 内存时不时溢出 目前还没有跟踪完毕 有空继续跟踪 2. 问题 win10 内存动不动就 往上涨 只涨不降 看各个进程又是正常的 3. 思路 先看看内存情况 妈的我 jvm 的内存都分析不清楚, 这下要看 windows 的... 定位进程 能改就改, 不能改干掉 4. 初步诊断 获取 win10 的内存工具 RAMMap 偏向整体 vmma...
利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记
Fly_鹏程万里
05-16 4956
简介windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深...
操作系统真相还原笔记
weixin_39849839的博客
12-01 1981
bochs 使用 编译汇编代码。 nasm -I include/ -o mbr.bin mbr.S 将生成的 mbr.bin 写入我们的虚拟硬盘 dd if=./mbr.bin of=/your_path/bochs/hd60M.img bs=512 count=1 conv=notrunc 同理将loader.bin写入硬盘 nasm -I include/ -o loader.bin loader.S && dd if=./loader.bin of=./hd60M.img
揭秘Windows蓝屏错误代码及解决方法
- 0x0000008E:KERNEL_MODE_EXCEPTION_NOT_HANDLED(内核模式异常未处理) - 0x000000C2:BAD_POOL_CALLER(坏池调用者) - 0xC000021A:STATUS_SYSTEM_PROCESS_TERMINATED(系统进程终止) 每种错误代码都可能对应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值