[转](40)写拷贝

最新推荐文章于 2023-03-22 20:02:46 发布
最新推荐文章于 2023-03-22 20:02:46 发布
阅读量272 收藏
点赞数
原文链接:https://blog.youkuaiyun.com/Kwansy/article/details/109211912
版权
本文介绍了写拷贝相关知识,写拷贝是VAD树里的属性,访问线性地址触发缺页异常时,异常处理函数会检查VAD树。还说明了在windbg中打印VAD树的步骤,以及绕过写拷贝的两种思路,如申请线性地址映射物理页、修改VAD树属性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

一、什么是写拷贝

 

写拷贝是VAD树里的属性。当访问一个线性地址,页表项 PTE = 0 时,就会触发缺页异常,跳转到异常处理函数,处理函数会检查VAD树,看看这个线性地址到底是没挂物理页,还是写拷贝,或者是别的什么情况。

 

举个例子,在Windows XP系统里,MessageBoxA 这个函数位于 ntdll.dll,假如我想HOOK它,比如把它头两个字节的 MOV EDI,EDI 改成JMP,此时由于 PTE = 0,就会触发缺页异常。然后异常处理函数遍历 VAD 树,就会发现 MessageBoxA 的属性是 WriteCopy.

 

在这里插入图片描述

 

此时,如果你对数据进行修改,系统会帮你拷贝一份 MessageBoxA 的代码,然后你的HOOK就只对本进程有效。

 

二、如何在windbg中打印 VAD 树

 

首先,!process 0 0 查看进程信息

 

PROCESS 81ecbd50  SessionId: 0  Cid: 0118    Peb: 7ffde000  ParentCid: 05c4
    DirBase: 11edc000  ObjectTable: e15ae880  HandleCount:  18.
    Image: MessageBoxA_PDE_PTE.exe

 

然后查看 EPROCESS 结构:

 

kd> dt _EPROCESS 81ecbd50  
ntdll!_EPROCESS
	...
   +0x11c VadRoot          : 0x81e8e8d8 Void
   +0x120 VadHint          : 0x81e8e8d8 Void
   +0x124 CloneRoot        : (null) 
   +0x128 NumberOfPrivatePages : 0x4a
   +0x12c NumberOfLockedPages : 0
   +0x130 Win32Process     : 0xe1ad8608 Void
   +0x134 Job              : (null) 
	...

 

然后 !vad 打印:

 

kd> !vad 0x81e8e8d8 
VAD     level      start      end    commit
81d440b0 ( 1)         10       10         1 Private      READWRITE         
81e2cb70 ( 2)         20       20         1 Private      READWRITE         
81e8e8d8 ( 0)         30      12f         6 Private      READWRITE         
81d12318 ( 3)        130      132         0 Mapped       READONLY           Pagefile-backed section
81e552c8 ( 2)        140      140         0 Mapped       READONLY           Pagefile-backed section
81e25c60 ( 4)        150      24f         9 Private      READWRITE         
81d71d60 ( 3)        250      25f         6 Private      READWRITE         
81dead50 ( 5)        260      26f         0 Mapped       READWRITE          Pagefile-backed section
81f12898 ( 4)        270      285         0 Mapped       READONLY           \WINDOWS\system32\unicode.nls
81e3f2d8 ( 6)        290      2d0         0 Mapped       READONLY           \WINDOWS\system32\locale.nls
81d5e648 ( 5)        2e0      320         0 Mapped       READONLY           \WINDOWS\system32\sortkey.nls
81ec9320 ( 7)        330      335         0 Mapped       READONLY           \WINDOWS\system32\sorttbls.nls
81d707f0 ( 6)        340      380         0 Mapped       READONLY           Pagefile-backed section
81e929c0 ( 7)        3d0      3df         8 Private      READWRITE         
81e90970 ( 8)        3e0      3e0         1 Private      READWRITE         
81b47688 ( 9)        3f0      3f0         1 Private      READWRITE         
81b29358 ( 1)        400      41a        18 Mapped  Exe  EXECUTE_WRITECOPY  \;F:\VBoxSvr\Projects\MessageBoxA_PDE_PTE\Debug\MessageBoxA_PDE_PTE.exe
81d400a8 ( 6)        420      4e7         0 Mapped       EXECUTE_READ       Pagefile-backed section
81b0f3a0 ( 7)        4f0      5f2         0 Mapped       READONLY           Pagefile-backed section
81d5ed80 ( 8)        600      8ff         0 Mapped       EXECUTE_READ       Pagefile-backed section
81e918b0 ( 9)        900      90f         8 Private      READWRITE         
81d40110 (10)        910      912         0 Mapped       READONLY           \WINDOWS\system32\ctype.nls
81d18980 (11)        920      92d         0 Mapped       READWRITE          Pagefile-backed section
81fc0768 (12)        930      930         1 Private      READWRITE         
81d4b238 ( 5)      10200    10371         7 Mapped  Exe  EXECUTE_WRITECOPY  \;F:\VBoxSvr\Projects\MessageBoxA_PDE_PTE\Debug\MSVCR100D.dll
81aee750 ( 7)      62c20    62c28         1 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\lpk.dll
81e55128 ( 8)      73fa0    7400a        16 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\usp10.dll
81d8fd30 ( 6)      76300    7631c         1 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\imm32.dll
81d55d00 ( 7)      76d70    76d91         1 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\apphelp.dll
81d57998 ( 8)      77bd0    77bd7         1 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\version.dll
81d19630 ( 4)      77d10    77d9f         2 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\user32.dll
81d90128 ( 6)      77da0    77e48         5 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\advapi32.dll
81ea8c48 ( 7)      77e50    77ee1         1 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\rpcrt4.dll
81d5e618 ( 5)      77ef0    77f38         2 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\gdi32.dll
81d40178 ( 6)      77fc0    77fd0         1 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\secur32.dll
81da9d10 ( 3)      7c800    7c91d         5 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\kernel32.dll
81d5bca0 ( 2)      7c920    7c9b2         5 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\ntdll.dll
81dc4f70 ( 4)      7f6f0    7f7ef         0 Mapped       EXECUTE_READ       Pagefile-backed section
81b2f1d8 ( 3)      7ffa0    7ffd2         0 Mapped       READONLY           Pagefile-backed section
81d13f88 ( 5)      7ffdd    7ffdd         1 Private      READWRITE         
81f5c498 ( 4)      7ffde    7ffde         1 Private      READWRITE         

Total VADs:    41  average level:    6  maximum depth: 12

 

三、如何绕过写拷贝

 

提供两种思路:

 

1、另外申请一个线性地址,映射到MessageBoxA的物理页,设置PTE的R/W属性,使其可读写。
2、修改 VAD 树,将写拷贝改为可读可写。


---------------------
作者:hambaga
来源:优快云
原文:https://blog.youkuaiyun.com/Kwansy/article/details/109232856
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:优快云,CNBLOG博客文章一键转载插件

超实用!Office三件套批量PDF以及PDF书签读与加水印
叶庭云 成为自己的光
07-24 3679
日常工作中,我们经常需要将 office 三件套,Word、Excel和PPT换成PDF。当然办公软件自身都带有这样的功能,但当我们需要一次性换大量的office文件时,还是用程序批量处理比较方便。 其实这类代码有其他作者过,但是呢,要么每个组件用一个库,用么代码没法正常跑。今天呢,我将带大家完全只使用 win32 调用 VBA 的 API 来完成这个换。 另外,将完成 PDF 书签的入和提取操作以及批量加水印的操作。关于水印我们可以加背景底图水印或悬浮文字水印。 本文目录: 文章目录 offi
byte拷贝java_Java字节流文件复制
weixin_39679370的博客
02-12 833
1、字节流在 Java 中,文件的复制使用字节输入流和字节输出流实现,java.io 包有 InputStream 和 OutputStream 这两个顶层抽象类规范了读文件所需的核心 API。我们可以使用它们的子类 FileInputStream 和 FileOutputStream 来编程序复制文件。第一种方式:使用 read() 和 write() 方法配合循环操作单字节的读取、入In...
9.拷贝
Mikasys的博客
10-31 957
0x9 拷贝(WriteCopy) 一、什么是拷贝? HOOK了这个Dll某个函数,其他进程受影响吗? 答:不受影响!因为有拷贝拷贝由操作系统执行 二、低2G的VAD二叉树(记录了哪些线性地址被占用或被占用) 使用命令查看vad的地址 level //二叉树的级别 start //因为单位为4KB,再加3个0即为真正线性地址 commit //若为Private(VirtualAlloc申请)为私有,自己独享 READWRITE //可读可 READONLY //只读
拷贝(copy on write)
NICOC_的博客
07-21 1144
拷贝和传统深拷贝的区别:深拷贝是,每创建一个对象,则开辟一块空间,不管读拷贝是用一块空间count计数指向同一块空间指针的数量。 如果只读不,则只需要开辟一次空间。效率很高,内存占用的也少,如果指向同一块空间的指针需要 修改其内容,则该指针会自己开辟一块空间用于修改,不会影响原来的空间。 拷贝有两种方法 ————————————————————————————————
拷贝
@柠檬少年
04-27 783
接前两篇深拷贝与浅拷贝,实现更加方便的拷贝 什么时候会时才拷贝?很显然,当然是在共享同一块内存的类发生内容改变时,才会发生CopyOnWrite。比如string类的[]、=、+=、+、操作符赋值,还有一些string类中诸如insert、replace、append等成员函数,包括类的析构时。修改数据才会触发CopyOnWrite。 第一种 引用计数法: 思路: 定义一个in...
C++拷贝
SHLYYY
03-04 563
拷贝前言0x00 为什么会有拷贝0x01 拷贝的实现0x02 拷贝需要注意的问题 前言 Write On Copy 需要先看一下 C++引用计数 的内容 0x00 为什么会有拷贝 因为浅拷贝会重复释放资源,因此C++用深拷贝来解决浅拷贝的这个问题。 因为深拷贝会带来资源占用空间太大的问题,因此C++引入了引用计数的方法解决了深拷贝的这个问题,也顺便解决了浅拷贝重复释放资源的问题。 引用计数虽然好用,但资源毕竟只有一份,如果一个人修改了资源,则其他人访问到的资源都是修改以后的资源。 为了解决引用
拷贝技术
qq_41727218的博客
02-22 416
       拷贝的主要思想是在复制原来实体的时候,如果复制后的实体不需要进行改变,那么实际上没必要进行实体内容的拷贝,只需建立一个引用指向原来的实体内存,直接应用原来的实体内容即可,只有当需要对复制后的实体进行修改的时候才进行内容的拷贝。        拷贝技术在很多方面都有应用,典型的有: C++中的拷贝技术 Linux中的拷贝技术 一、C++中的拷贝技术     ...
7 张图,轻松掌握零拷贝原理
Linuxhus的博客
07-12 386
拷贝是老生常谈的问题啦,大厂非常喜欢问。比如Kafka为什么快,RocketMQ为什么快等,都涉及到零拷贝知识点。最近技术讨论群几个伙伴分享了阿里、虾皮的面试真题,也都涉及到零拷贝。因此本文将跟大家一起来学习零拷贝原理。1. 什么是零拷贝2. 传统的IO执行流程3. 零拷贝相关的知识点回顾4. 零拷贝实现的几种方式5. 提供的零拷贝方式零拷贝字面上的意思包括两个,“零”和“拷贝”:“拷贝”:就是指数据从一个存储区域移到另一个存储区域。“零” :表示次数为0,它表示拷贝数据的次数为0。合起来,那零拷贝就是
拷贝系统的制作
qianbo042311的博客
02-19 393
1、减少memset 和memcpy的使用 经常看到程序员使用memset和memcpy,一层一层的拷贝耗cpu是比较多的,需要争取零拷贝字节 memset一块内存需要看是否必要,在rtp程序的时候,看见过有程序眼memset一块内存,也就是mtu大小的缓存,mtu一般在1000到1500之内,每发一次包,就memset一次,完全每必要,因为你每次拷贝进去,那就很费,拷贝过程已经把缓存清掉了,没有必要事先memset 一次 制作服务器的过程中,零拷贝系统的法其实比较简单,就是预留空间,在flv和rtm
Golang 拷贝二维Slice踩坑
unirrrrr的博客
03-22 535
golang拷贝二维slice踩坑记录
(15)[驱动开发]过拷贝
qq_50332504的博客
07-20 549
拷贝是一种内存权限,是3环用的使用查看内存权限。什么是拷贝,就是你要往里面修改数据的时候,就会拷贝一份内容放入另一个内存且自己独占,并修改独占的内存,不会直接修改原来的内存大概就是我不喜欢流水线大批量生产的东西,于是我自己定制了一份只有自己能用的.........
拷贝/时复制技术
weixin_54355176的博客
07-01 890
拷贝与浅拷贝,计数,拷贝
c++拷贝
来信
10-31 282
拿String类举例: class String { public: String(const char* str = "") :_str(new char[strlen(str) + 1]) { strcpy(_str, str); } ~String() { delete[] _str; } private: char* _str; }; void test
C/C++ — 拷贝
阿亮的博客
03-27 3445
拷贝
linux 拷贝
linux_vae的专栏
02-06 318
string的拷贝: linux fork 时候的拷贝 :http://www.cnblogs.com/biyeymyhjob/archive/2012/07/20/2601655.html  方案三 class String {     private:               char* _str;               int* _refCou
由深拷贝与浅拷贝引发的引用计数、拷贝技术
互联网时代,属于我们的时代!
08-13 906
一、理解深拷贝和浅拷贝: #include using namespace std; class String { public: String(const char *str = "") { if(str == NULL) { data = new char[1]; data[0] = '\0'; } else { data = new char[
WriteCopy
qq_41490873的博客
06-02 733
在自己的进程进程中hookMessagebox 为什么对别的进程没有影响呢: 因为自己进程的meaagebox和其他进程的其实是在一个物理页中的。 这个内存在pte中是只读的。 当运行hook代码时,(这时需要把hook的代码到messagebox的指定地方,用到了这个权限,而pte是只读的)会触发异常,cpu就会去检查进程的vad (位于进程结构体的+11c处,是一个二叉树),如果属性是w...
C++拷贝技术
Sunrise的博客
06-18 432
C++拷贝技术1. 深拷贝与浅拷贝概念和优缺点 1. 深拷贝与浅拷贝概念和优缺点 浅拷贝:只拷贝指针地址。 通常默认拷贝构造函数与赋值运算符重载都是浅拷贝。 成员变量中没有指针的情况可以直接使用浅拷贝。 优点:共享一份内存,节省空间 缺点:在释放的时候可能会多次释放,造成内存泄漏 深拷贝:重现分配堆内存,拷贝指针指向内容。 例如:String类 优点:每个指针指向不同的地址,避免了多次的释放 缺点:重复数据较多,占用空间 ...
拷贝
sting
07-25 618
1.拷贝的定义:        拷贝顾名思义,是在的时候(即改变字符串的时候)才会真正开辟空间(深拷贝),如果只对数据读取时,只会对数据进行浅拷贝,称拷贝,引用计数器的拷贝,又称为延时拷贝。        拷贝技术是通过“引用计数”实现的,在分配空间的时候多分配4个字节,用来记录有多少个指针指向块空间,当有新的指针指向这块空间时,引用计数加一,当要释放这块空间时,引用计数
C++ win环境,memcpy将数组int* a拷贝到new分配的内存变量uchar buffer处,怎么
最新发布
03-20
- 示例:10个int元素需要`10×4=40`字节空间 2. **类型换特性** - `memcpy`执行二进制层面的直接拷贝 - 数值换示例: ```cpp int val = 0x12345678; // 小端模式下buffer内容为: // 0x78, 0x56, 0x34, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值