18_ShadowWalker
白皮书中 page-fault error code:
shadowWalker 原理:
接管 指定程序 的 执行页面异常、读写页面异常;然后 调用一下正常的 使其出现在快表;然后恢复到假的pte
------ 根据白皮书中 的error code 过滤出 执行、读写异常类型
相关:
将 402000 这个页面通过修改pte 设置为不存在(直接 给 p位置为 0);这样产生异常 我们接管
然后通过 0x10 判断 是否是执行异常;是的话,就将页面给挂上去。
全程接管 读写、执行异常
读写异常 -- 不能交给系统默认处理;因为系统有虚拟地址的管理,他可能以为还没有映射该页面或者可能被置换到磁盘文件等,再次映射;但是还是不是我们想要的正确的。
所以我们接管。
只接管 402000 页面(具体根据项目//后来我的项目是 412000)
因为其他页面也会产生异常;如果想把该程序的都接收,那么得区分出来分别处理,这里我们只处理一个页面就行;原理类似。
利用 TLB 使得瞬间正常,然后又恢复异常状态;不然只接管了一次。
#define K REAL PTEO 0x8003f3e4
#define K REAL PTE1 0x8003f3e0
#define K FAKE PTEO 0x8003f3dc
#define K FAKE PTE1 0x8003f3d8
DWORD g esp;
DWORD 9 esp 4;
DWORD 9 cr2;
//0x401000
void一dec lspec (naked) IdtEntry()
{
*(DWORD *)K REAL PTEO = PTE (0x402000)[0];
*(DWORD *)K REAL PTE1 = PTE(0x402000)[1;
dasir
mov eax, cr3
mov ds:[K TARGET CR3],eax
}
_asm {
iretd
#pragma code seg(" . my_ code")__ declspec (allocate(".my_ code ")) void gc
#pragma code seg(".my_ code")_ dectspec (allocate(".my_ code ")) void ma
vold go() {
_asm
int 0x20
//eq 8003f500 0040ee000081000
void main()
在被接管得测试程序 一进入 0环 ,就保存 需要接管的 pte ;代码如上;
异常接管后;如果不给页面的话 ;它会一直死循环 页面异常;所以 我们给他假的页面
创建一个假页面:
#pragma section("data seg", read, write)
_declspec(allocate("data seg")) DWORD FakePage[1024]; //405000
再把假页面给 内核;这样 我们在内核接管的时候;可以将这个假页面给请求者。
*(DWORD *)K_FAKE_PTEO = PTE (0x405000)[0];
*(DWORD *)K_FAKE_PTE1 = PTE (0x405000)[1];
处理之后不能直接退出;得手动平 error code 这个栈位;因为中断系统只平默认的5个。
接管处理:
代码执行异常:
读写异常接管:
同理。。。 只是纠正后用一下;让其快表中;然后恢复到假页面
OD 有时能读出; 要完善的话得考虑OD 和内核通讯得路径
程序退出 有可能蓝屏:
原因: 退出得时候;把页面得pte 应该设置成正常得;前面遇到过重复释放问题。程序有虚拟地址管理;程序结束会回收;找pte 物理页面找不到;会出错。
所以在退出程序得时候将pte 修改回来;还可以将钩子卸掉;
还是得C 了 窗口消息函数 然后 将 pte 得修改回来!★ ---- 这个才是i正确得。。。
代码1 被隐藏目标程序:shadowWalker.cpp
// 9_页面异常.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include "pch.h"
#include <stdio.h>
#include<stdlib.h>
#include<Windows.h>
// 计算 pte 的宏 -- 针对29912
#define PTE(y) ((DWORD *)(0xc0000000 + ((y>> 12)<< 3)))
// 定义一些内核地址宏;用来保存当前程序相关数据(cr3)
#define K_REAL_PTE0 0x8003f3e0 // * 真正得pte 【0】
#define K_REAL_PTE1 0x8003f3e4 // * 真正得pte 【1】
// 假页的PTE
#define K_FAKE_PTE0 0x8003f3d0 // * 假页 pte 【0】
#define K_FAKE_PTE1 0x8003f3d4 // * 假页 pte 【1】
// j假
#define K_TARGET_CR30x8003f3c0 // cr3 * 异常程序cr3
DWORD g_bReady = FALSE;
DWORD g_bNewExpt = FALSE;
DWORD g_pEIP = 0;
DWORD g_pExceptPvn = 0;
DWORD g_iCr3 = 0;
DWORD g_iErrCode = -1;
void go();
#pragma section("data_seg",read,write)
__declspec(allocate("data_seg")) DWORD FakePage[1024] = {0};// 0x41d000
//#pragma code_seg(".text") __declspec(allocate(".text"))void IdtEntry();
// 0x401040
void __declspec(naked) IdtEntry()
{
// 注册 int 0x21; -- FixBack() -- 0x401090
*(DWORD*)0x8003f508 = 0x000810b0;
*(DWORD*)0x8003f50c = 0x0040ee00;
// 将pte数据提交
//__asm int 3;
*(DWORD*)K_REAL_PTE0 = PTE((DWORD)0x412000)[0];
*(DWORD*)K_REAL_PTE1 = PTE((DWORD)0x412000)[1];
*(DWORD*)K_FAKE_PTE0 = PTE((DWORD)0x41d000)[0];
*(DWORD*)K_FAKE_PTE1 = PTE((DWORD)0x41d000)[1];
//__asm int 3;
g_pExceptPvn = PTE(0x412000)[0];
g_pEIP = *(DWORD*)K_REAL_PTE0;
PTE(0x412000)[0]= PTE(0x412000)[0]&0xfffffffe;// 关闭 p位 缺页异常!。
__asm
{
// 将当前cr3 数据提交
mov eax, cr3;
mov ds : [K_TARGET_CR3], eax;
//// 提交完成的标识。
//mov eax, 0x1;
//mov ds : [K_BOOL_READY], eax;
iretd;
}
}
void __declspec(naked) FixBack()
{
__asm
{
//int 3
mov eax, cr3;
mov cr3, eax;
}
__asm
{
invlpg ds : [0x412000];// 书信 TLB
}
PTE(0x412000)[0] = *(DWORD*)K_REAL_PTE0;
//PTE(0x412000)[1] = *(DWORD*)K_REAL_PTE1;
__asm
{
mov eax, ds:[0x412000];
//int 3;
push 0x3b;
pop fs;
iretd; // 返回。
}
}
// 真实得代码页: 0x412000;五角星 放得位置 决定着 所在得虚拟位置 == 地址
#pragma code_seg(".my_code") __declspec(allocate(".my_code"))int main();
#pragma code_seg(".my_code") __declspec(allocate(".my_code"))void go();
void _declspec(naked) go()
{
__asm
{
int 0x20;
ret;
}
}
int main()
{
__asm {
jmp L
ret// 这里会产生缺页中断 --- 其实这里是对下面的 缺页中断 响应
//00402005
L :
}
if ((DWORD)IdtEntry != 0x401040)
{
printf("wrong addr: %p", IdtEntry);
printf("wrong addr: %p", FixBack);
exit(-1);
}
FakePage[0] = 0;
go();
__asm
{
//int 3;
}
int i = 0;
while (1) {
if (i == 2000)
{
__asm
{
int 0x21;
//inc i;
}
printf("%d : BF: %p AF:%p \n", i++, g_pEIP, g_pExceptPvn);
break;
}
printf("%d : BF: %p AF:%p \n", i++,g_pEIP,g_pExceptPvn);
Sleep(1000);// 这里 Sleep完之后;不存在那个TLB 表中了会产生 缺页 中断;
}
system(" pause");
}
//int main()
//{
//if ((DWORD)IdtEntry != 0x401040)
//{
// printf("Func addres is wrong !!");
// Sleep(5000);
// system("pause");
// FakePage[0] = 0;
// exit(-1);
//}
//__asm
//{
// jmp L;
// ret;
//L:
//}
//
//FakePage[0] = 0;// 这里访问一次使得可以 第一次可以不产生异常。
////printf("%d\n", FakePage[0]);
//go();
//int i = 0;
//while (1)
//{
// i++;
// if (i % 10 != 0)
// {
// for (int j = 0; j < i; j++)
// {
// printf(".");
// }
// Sleep(50);
// continue;
// }
// else
// {
// i = 0;
//
// printf("runing...\n");
// Sleep(500);
// system("cls");
// }
//
//}
//
//system("pause");
//}
代码2:注册和过滤处理目标页面异常消息
// 9_页面异常_过滤获取目标异常信息.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include "pch.h"
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
// 计算 pte 的宏 -- 针对29912
#define PTE(y) ((DWORD *)(0xc0000000 + ((y>> 12)<< 3)))
// 定义一些内核地址宏;用来保存当前程序相关数据(cr3)
#define K_REAL_PTE0 0x8003f3e0 // * 真正得pte 【0】
#define K_REAL_PTE1 0x8003f3e4 // * 真正得pte 【1】
// 假页的PTE
#define K_FAKE_PTE0 0x8003f3d0 // * 假页 pte 【0】
#define K_FAKE_PTE1 0x8003f3d4 // * 假页 pte 【1】
// j假
#define K_TARGET_CR30x8003f3c0 // cr3 * 异常程序cr3
#define K_HOOK_IDT_E_CODE 0x8003F120 // * Hook 代码所在
#define K_HOOK_IDT_E_SRCCODE 0x80541450 // * Hook目标 所在
DWORD g_bReady = FALSE;
DWORD g_bNewExpt = FALSE;
DWORD g_pEIP = 0;
DWORD g_pExceptPvn = 0;
DWORD g_iCr3 = 0;
DWORD g_iErrCode = -1;
DWORD g_iCurCr3 = 0;
int g_i = 0;
DWORD g_p = 0;
void checkAndCap();
// -- int0x20 -- 0x401040
void __declspec(naked) HookIdt_0xe()
{
// hook
__asm
{
// 修改写保护 WP
//cli;//将处理器标志寄存器的中断标志位清0 ,不允许中断
mov eax, cr0
and eax, not 0x10000
mov cr0, eax
// 原来的第一句 有7个字节;而我们push ret 只有6个字节 ;扩充到 7个字节 68 20 f1 03 80 C3 90;
// push 0x8003f120;
// ret
// nop
mov al, 0x68;
mov byte ptr ds : [K_HOOK_IDT_E_SRCCODE], al;
mov eax, 0x8003f120;
mov dword ptr ds : [K_HOOK_IDT_E_SRCCODE + 1], eax;
mov ax, 0x90c3;
mov word ptr ds : [K_HOOK_IDT_E_SRCCODE + 5], ax;
mov eax, cr0
or eax, 0x10000
mov cr0, eax
//sti;//将中断恢复
}
g_i = 0;
g_p = K_HOOK_IDT_E_CODE;
// 拷贝hook 代码带内核区
for (; g_i < 256; g_i++)
{
*(BYTE*)(g_p + g_i) = *(byte*)((DWORD)checkAndCap + g_i);
}
__asm
{
iretd;
}
}
// 0x401040 --
void _declspec(naked) checkAndCap()
{
__asm
{
pushad;
// 判断是否是 目标程序
mov eax, cr3; // cr3不能用于比较的 参数
cmp eax, ds:[K_TARGET_CR3];
jnz PASS;
//***** 到这里 说明是新的 目标程序的异常
// 再过滤指定区段得异常
mov eax, cr2;
shr eax, 0xc;
cmp eax, 0x412;
jnz PASS;
// 在这里需要拦截不能交给系统继续处理
mov eax, [esp + 0x20];// 因为前面push ad ;error code;
test eax, 0x10;//如果是
jnz EXEC;
jmp DATA;
DATA:
// 修改PTE 读写操作全部移动到假页;
}
PTE(0x412000)[0] = *((DWORD*)K_FAKE_PTE0);
//PTE(0x412000)[1] = *((DWORD*)K_FAKE_PTE1);
__asm
{
mov eax, ds:[0x412000];
};// 使得加入快表-- 这次得异常得以执行;
PTE(0x412000)[0] = PTE(0x412000)[0] & 0xfffffffe;// 这样使得p位为0;会继续产生异常交给我们接管;
//PTE(0x412000)[1] = 0;// 这样使得p位为0;会继续产生异常交给我们接管;
__asm
{
jmp DEALED;
EXEC:
}
// 修改pte 将执行操作 移动到真页
PTE(0x412000)[0] = *(DWORD*)K_REAL_PTE0;
//PTE(0x412000)[1] = *(DWORD*)K_REAL_PTE1;
// 调用代码 使得进入 itlb -- 指令快表--使得这次能得以处理
__asm
{
mov eax, 0x00412012;
call eax;
}
// 继续使得p 位 为 0 -- 后面继续产生 缺页 我们接管。
PTE(0x412000)[0] = PTE(0x412000)[0] & 0xfffffffe;
//PTE(0x412000)[1] = 0;
__asm
{
DEALED:
popad;
add esp, 4;// 因为有一个 errorcode!!;这个得手动平
iretd;
PASS:
popad;
mov word ptr[esp + 2], 0 // 恢复 原来的执行
push 0x80541457; // 返回之前hook 的下一句
ret
}
}
void _declspec(naked) go()
{
__asm
{
int 0x20;
ret;
}
}
int main()
{
if ((DWORD)HookIdt_0xe != 0x401040)
{
printf("HOOK出错了:%p", HookIdt_0xe);
Sleep(10000);
exit(-1);
}
if ((DWORD)checkAndCap != 0x4010b0)
{
printf("CHEC出错了:%p", checkAndCap);
Sleep(10000);
exit(-1);
}
go();
system("pause");
}
18_ShadowWalker的更多相关文章
随机推荐
- java性能调优03
1.java中的四种引用类型(级别由高到低为:强引用,软引用,弱引用和虚引用) 1.1 强引用:默认创建的变量都是强引用,垃圾回收机制不会将其回收,当内存空 间不足,Java虚拟机宁愿抛出OutOfM ...
- [轉]Reverse a singly linked list
Reverse a singly linked list http://angelonotes.blogspot.tw/2011/08/reverse-singly-linked-list.html ...
- 分布式-技术专区-Redis分布式锁原理实现
在很多场景中,我们为了保证数据的最终一致性,需要很多的技术方案来支持,比如分布式事务.分布式锁等.那具体什么是分布式锁,分布式锁应用在哪些业务场景.如何来实现分布式锁呢?今天来探讨分布式锁这个话题. ...
- 处理CSS前缀问题的神器——AutoPrefixer
众所周知为兼容所有浏览器,有的CSS属性需要对不同的浏览器加上前缀,然而有时添加一条属性,需要添加3~4条类似的属性只是为了满足浏览器的兼容,这不仅会增加许多的工作量. What is AutoPre ...
- web集群和分布式服务以及消息补偿机制几种方案
一.为什么要集群? 1.JavaEE项目,如果部署在一台Tomcat上,所有的请求,都由这一台服务器处理,存在很大风险: A:并发处理能力有限(一般单台服务器处理的并发量为250左右,超过250,可能 ...
- RK3288 GPIO控制
参考: https://blog.csdn.net/kris_fei/article/details/69553422
- oracle number 类型 只显示10位精度
,) show numwidth; 设置为15位 ; xa ------------------ 123456789012.12 或者 TO_CHAR(xa,'FM099999999999.09999 ...
- ubtuntu下虚拟环境搭建【python】
为什么要搭建虚拟环境? 在开发过程中, 当需要使用python的某些工具包/框架时需要联网安装 比如联网安装Flask框架flask-0.10.1版本 sudo pip install flask== ...
- element 的时间快捷键
1. <div> <el-date-picker v-model="value4" type="month" :picker-options= ...
- webapp兼容问题解决
1. IOS移动端click事件300ms的延迟响应 移动设备上的web网页是有300ms延迟的,玩玩会造成按钮点击延迟甚至是点击失效.这是由于区分单击事件和双击屏幕缩放的历史原因造成的, 2007年 ...