3.1 Windows驱动开发:内核远程堆分配与销毁

在开始学习内核内存读写篇之前,我们先来实现一个简单的内存分配销毁堆的功能,在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间,一般而言内核中提供了ZwAllocateVirtualMemory这个函数用于专门分配虚拟空间,而与之相对应的则是ZwFreeVirtualMemory此函数则用于销毁堆内存,当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作,接下来LyShark将从API开始介绍如何运用这两个函数实现内存分配与使用,并以此来作为驱动读写篇的入门知识。

首先以内存分配为例ZwAllocateVirtualMemory()函数,该系列函数在ntifs.h头文件内,且如果需要使用则最好提前在程序头部进行声明,该函数的微软官方定义如下所示;

NTSYSAPI NTSTATUS ZwAllocateVirtualMemory(
  [in]      HANDLE    ProcessHandle,           // 进程句柄
  [in, out] PVOID     *BaseAddress,            // 指向将接收已分配页面区域基址的变量的指针
  [in]      ULONG_PTR ZeroBits,                // 节视图基址中必须为零的高顺序地址位数
  [in, out] PSIZE_T   RegionSize,              // 指向将接收已分配页面区域的实际大小
  [in]      ULONG     AllocationType,          // 包含指定要执行的分配类型的标志的位掩码
  [in]      ULONG     Protect                  // 包含页面保护标志的位掩码
);

参数ProcessHandle用于传入一个进程句柄此处我们可以通过NtCurrentProcess()获取到当前自身进程的句柄。

参数BaseAddress则用于接收分配堆地址的首地址,此处指向将接收已分配页面区域基址的变量的指针。

参数RegionSize则用于指定需要分配的内存空间大小,此参数的初始值指定区域的大小(以字节为单位)并向上舍入到下一个主机页大小边界。

参数AllocationType用于指定分配内存的属性,通常我们会用到的只有两种MEM_COMMIT指定为提交类型,MEM_PHYSICAL则用于分配物理内存,此标志仅用于地址窗口扩展AWE内存。 如果设置了MEM_PHYSICAL则还必须设置MEM_RESERVE不能设置其他标志,并且必须将保护设置为PAGE_READWRITE

参数Protect用于设置当前分批堆的保护属性,通常当我们需要分配一段可执行指令的内存空间时会使用PAGE_EXECUTE_READWRITE,如果无执行需求则推荐使用PAGE_READWRITE属性。

在对特定进程分配堆时第一步就是要切入到该进程的进程栈中,此时可通过KeStackAttachProcess()切换到进程栈,于此对应的是KeUnstackDetachProcess()脱离进程栈,这两个函数的具体定义如下;

// 附加到进程栈
void KeStackAttachProcess(
        PRKPROCESS   PROCESS,      // 传入EProcess结构
  [out] PRKAPC_STATE ApcState      // 指向KAPC_STATE结构的不透明指针
);
// 接触附加
void KeUnstackDetachProcess(
  [in] PRKAPC_STATE ApcState       // 指向KAPC_STATE结构的不透明指针
);

此处如果需要附加进程栈则必须提供该进程的PRKPROCESS也就是EProcess结构,此结构可通过PsLookupProcessByProcessId()获取到,该函数接收一个进程PID并将此PID转为EProcess结构,函数定义如下;

NTSTATUS PsLookupProcessByProcessId(
  [in]  HANDLE    ProcessId,          // 进程PID
  [out] PEPROCESS *Process            // 输出EP结构
);

基本的函数介绍完了,那么这段代码应该不难理解了,如下代码中需要注意一点,参数OUT PVOID Buffer用于输出堆地址而不是输入地址。

#include <ntifs.h>
#include <windef.h>

// 定义声明
NTSTATUS ZwAllocateVirtualMemory(
    __in HANDLE  ProcessHandle,
    __inout PVOID  *BaseAddress,
    __in ULONG_PTR  ZeroBits,
    __inout PSIZE_T  RegionSize,
    __in ULONG  AllocationType,
    __in ULONG  Protect
);

// 分配内存空间
NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)
{
    NTSTATUS Status = STATUS_SUCCESS;
    PEPROCESS pEProcess = NULL;
    KAPC_STATE ApcState = { 0 };
    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess
    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);
    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))
    {
        return STATUS_UNSUCCESSFUL;
    }

    // 验证内存可读
    if (!MmIsAddressValid(pEProcess))
    {
        return STATUS_UNSUCCESSFUL;
    }
    __try
    {
        // 附加到进程栈
        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存
        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址
        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈
        KeUnstackDetachProcess(&ApcState);
    }
    __except (EXCEPTION_EXECUTE_HANDLER)
    {
        KeUnstackDetachProcess(&ApcState);
        Status = STATUS_UNSUCCESSFUL;
    }

    ObDereferenceObject(pEProcess);
    return Status;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
    DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;
    DWORD create_size = 1024;
    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);
    DbgPrint("分配长度: %d \n", create_size);
    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

运行如上代码片段,则会在进程PID=4160中开辟一段堆空间,输出效果如下;

与创建堆相对ZwFreeVirtualMemory()则用于销毁一个堆,其微软定义如下所示;

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(
  [in]      HANDLE  ProcessHandle,    // 进程句柄
  [in, out] PVOID   *BaseAddress,     // 堆基址
  [in, out] PSIZE_T RegionSize,       // 销毁长度
  [in]      ULONG   FreeType          // 释放类型
);

相对于创建来说,销毁堆则必须传入堆空间BaseAddress基址,以及堆空间的RegionSize长度,需要格外注意FreeType参数,这是一个位掩码,其中包含描述ZwFreeVirtualMemory将为页面指定区域执行的任意操作类型。如果传入MEM_DECOMMIT则将取消提交页面的指定区域,页面进入保留状态。而如果设置为MEM_RELEASE则堆地址将被立即释放。

销毁堆空间FreeMemory()的完整代码如下所示,销毁是我们使用MEM_RELEASE参数即立即销毁。

#include <ntifs.h>
#include <windef.h>

// 申请堆
NTSTATUS ZwAllocateVirtualMemory(
    __in HANDLE  ProcessHandle,
    __inout PVOID  *BaseAddress,
    __in ULONG_PTR  ZeroBits,
    __inout PSIZE_T  RegionSize,
    __in ULONG  AllocationType,
    __in ULONG  Protect
);

// 销毁堆
NTSYSAPI NTSTATUS ZwFreeVirtualMemory(
    __in      HANDLE  ProcessHandle,
    __inout PVOID   *BaseAddress,
    __inout PSIZE_T RegionSize,
    __in      ULONG   FreeType
);

// 分配内存空间
NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)
{
    NTSTATUS Status = STATUS_SUCCESS;
    PEPROCESS pEProcess = NULL;
    KAPC_STATE ApcState = { 0 };
    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess
    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);
    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))
    {
        return STATUS_UNSUCCESSFUL;
    }

    // 验证内存可读
    if (!MmIsAddressValid(pEProcess))
    {
        return STATUS_UNSUCCESSFUL;
    }
    __try
    {
        // 附加到进程栈
        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存
        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址
        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈
        KeUnstackDetachProcess(&ApcState);
    }
    __except (EXCEPTION_EXECUTE_HANDLER)
    {
        KeUnstackDetachProcess(&ApcState);
        Status = STATUS_UNSUCCESSFUL;
    }

    ObDereferenceObject(pEProcess);
    return Status;
}

// 注销内存空间
NTSTATUS FreeMemory(IN ULONG ProcessPid, IN SIZE_T Length, IN PVOID BaseAddress)
{
    NTSTATUS Status = STATUS_SUCCESS;
    PEPROCESS pEProcess = NULL;
    KAPC_STATE ApcState = { 0 };

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);
    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))
    {
    return STATUS_UNSUCCESSFUL;
    }

    if (!MmIsAddressValid(pEProcess))
    {
        return STATUS_UNSUCCESSFUL;
    }

    __try
    {
        // 附加到进程栈
        KeStackAttachProcess(pEProcess, &ApcState);

        // 释放内存
        Status = ZwFreeVirtualMemory(NtCurrentProcess(), &BaseAddress, &Length, MEM_RELEASE);

        // 脱离进程栈
        KeUnstackDetachProcess(&ApcState);
    }
    __except (EXCEPTION_EXECUTE_HANDLER)
    {
        KeUnstackDetachProcess(&ApcState);
        Status = STATUS_UNSUCCESSFUL;
    }

    ObDereferenceObject(pEProcess);
    return Status;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
    DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;
    DWORD create_size = 1024;
    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);
    DbgPrint("分配长度: %d \n", create_size);
    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Status = FreeMemory(process_id, create_size, ref_address);
    DbgPrint("销毁堆地址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

编译并运行如上这段代码,代码会首先调用AllocMemory()函数实现分配堆,然后调用FreeMemory()函数销毁堆,并输出销毁地址,如下图所示;

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/151550.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Mac电脑好用的窗口管理软件 Magnet 中文for mac

Mac电脑好用的窗口管理软件 Magnet 中文for mac

Magnet是一款用于Mac操作系统的窗口管理工具&#xff0c;它可以帮助您快速和方便地组织和管理应用程序窗口&#xff0c;以提高您的工作效率和多任务处理能力。 以下是Magnet的一些主要功能和特点&#xff1a; 窗口自动调整&#xff1a;Magnet允许您通过简单的拖放操作或使用快…
阅读更多...
计算机毕业设计选题推荐-一周穿搭推荐微信小程序/安卓APP-项目实战

计算机毕业设计选题推荐-一周穿搭推荐微信小程序/安卓APP-项目实战

✨作者主页&#xff1a;IT研究室✨ 个人简介&#xff1a;曾从事计算机专业培训教学&#xff0c;擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Python…
阅读更多...
python之使用深度学习创建自己的表情符号

python之使用深度学习创建自己的表情符号

目录 部署项目1、首先运行train.py训练模型2、接下运行gui.py测试 一、使用 CNN 进行面部情绪识别二、GUI 代码和表情符号映射 在这个深度学习项目中&#xff0c;我们将对人类面部表情进行分类&#xff0c;以过滤和映射相应的表情符号或头像。 数据集&#xff08;面部表情识别&…
阅读更多...
《持续交付:发布可靠软件的系统方法》- 读书笔记(十四)

《持续交付:发布可靠软件的系统方法》- 读书笔记(十四)

持续交付&#xff1a;发布可靠软件的系统方法&#xff08;十四&#xff09; 第 14 章 版本控制进阶14.1 引言14.2 版本控制的历史14.2.1 CVS14.2.2 SVN14.2.3 商业版本控制系统14.2.4 放弃悲观锁 14.3 分支与合并14.3.1 合并14.3.2 分支、流和持续集成 14.4 DVCS14.4.1 什么是 …
阅读更多...
在Centos7.9_2207安装CDH6.3.2

在Centos7.9_2207安装CDH6.3.2

在Centos7.9_2207安装CDH6.3.2 背景 笔者做大数据开发&#xff0c;实时部分一般要用到HBase、Kudu、Redis等组件来保证幂等性&#xff0c;为了方便&#xff0c;还是选用老古董CDH6.3.2【最后的免费版】做一个单节点机器&#xff0c;方便随时挂起。多节点虚拟机由之前的双路E5…
阅读更多...
【UE5】显示或隐藏物体轮廓线

【UE5】显示或隐藏物体轮廓线

效果 步骤 1. 先下载所需的材质文件“M_Highlight.uasset” 材质下载链接&#xff1a; 链接&#xff1a;https://pan.baidu.com/s/1rxmRhkUoXVq6-DkIKyBhAQ 提取码&#xff1a;55bv 2. 在视口中拖入后期处理体积 根据需求设置后期处理体积的大小或者直接设置无限范围&…
阅读更多...
Lobatto Quadrature-数值积分

Lobatto Quadrature-数值积分

See https://mathworld.wolfram.com/LobattoQuadrature.html
阅读更多...
053-第三代软件开发-元对象系统

053-第三代软件开发-元对象系统

第三代软件开发-元对象系统 文章目录 第三代软件开发-元对象系统项目介绍元对象系统Qt的元对象系统如何实现对象的属性系统&#xff1f;请问Qt的元对象系统还有哪些功能&#xff1f;Qt的元对象系统支持哪些类型的事件&#xff1f;元对象系统中的属性可以用于实现哪些功能&#…
阅读更多...
MySQL 分库分表与 TiDB(平凯数据库),如何选择?

MySQL 分库分表与 TiDB(平凯数据库),如何选择?

随着互联网行业的飞速发展&#xff0c;数据量不断增长&#xff0c;传统的关系型数据库已经无法满足大规模数据处理的需求。为了解决这一问题&#xff0c;分库分表和分布式数据库应运而生。本文将对比分析 MySQL 分库分表和 TiDB 这两种解决方案&#xff0c;帮助大家更好地选择适…
阅读更多...
栈的三道oj【C++】

栈的三道oj【C++】

栈和队列的相关oj 最小栈思路解决代码 栈的压入弹出序列思路解决代码 逆波兰表达式思路&#xff1a;解决代码 这里就挑了三道题用来熟悉栈 最小栈 力扣链接 咱们已经是高贵的C使用者了&#xff0c;不用像C语言一样从头开始造轮子了 这里我们调用了stack后&#xff0c;就会发…
阅读更多...
一个22届被裁前端思想上得转变

一个22届被裁前端思想上得转变

距离上篇文章已经过去了三个多月&#xff0c;这个三个月&#xff0c;经历了技术攻坚&#xff0c;然后裁员&#xff0c;退房&#xff0c;回老家&#xff0c;找工作。短短的几个月&#xff0c;就经历社会的一次次毒打&#xff0c;特别是找工作&#xff0c;虽然算上实习我也有两年…
阅读更多...
Since Maven 3.8.1 http repositories are blocked

Since Maven 3.8.1 http repositories are blocked

原因 高版本的maven不支持http的存储库。 解决方案 其实方法有好几种&#xff0c;比如降级maven版本至3.6.3(之前一直用的都是这个版本)&#xff0c;我选择了一种比较快(但不一定安全)的方式&#xff0c;因为3.6.3版本被我卸载了&#xff0c;这里直接修改idea的setting配置&…
阅读更多...
算法分析与设计考前冲刺 阅读

算法分析与设计考前冲刺 阅读

拜读我胡哥的精品复习资料 acmack 胡哥发表重要讲话&#xff0c;强调算法的重要性&#xff0c;我等深受触动。 Map&#xff1a;底层是红黑树&#xff0c;按照key自动进行排序 list&#xff1a; 线性链表 我一直单纯的觉得list是列表&#xff0c;这不仅说明了胡哥与我的技术…
阅读更多...
(十一)Flask模板引擎jinja2

(十一)Flask模板引擎jinja2

模板引擎Jinja2 一、简介及基本使用&#xff1a; Flask使用Jinja2作为默认的模板引擎。Jinja2是一个功能强大且易于使用的模板引擎&#xff0c;它允许我们在HTML中嵌入Python代码&#xff0c;并通过将模板和数据进行渲染来生成动态内容。 实战之在Flask中使用Jinja2模板引擎…
阅读更多...
Python | 机器学习之逻辑回归

Python | 机器学习之逻辑回归

​&#x1f308;个人主页&#xff1a;Sarapines Programmer&#x1f525; 系列专栏&#xff1a;《人工智能奇遇记》&#x1f516;少年有梦不应止于心动&#xff0c;更要付诸行动。 目录结构 1. 机器学习之逻辑回归概念 1.1 机器学习 1.2 逻辑回归 2. 逻辑回归 2.1 实验目的…
阅读更多...
不可错过的10本架构师必读书籍,带你嗨翻架构师之路,三连评论送书!

不可错过的10本架构师必读书籍,带你嗨翻架构师之路,三连评论送书!

书籍目录 一&#xff1a;书前开胃菜 二&#xff1a;高并发架构实战 三&#xff1a;架构师的自我修炼 四&#xff1a;中台架构与实现 五&#xff1a;分布式系统架构 六&#xff1a;流程自动化实战 七&#xff1a;分布式系统架构与开发 八&#xff1a;服务端开发 九&am…
阅读更多...
代码随想录图论|130. 被围绕的区域 417太平洋大西洋水流问题

代码随想录图论|130. 被围绕的区域 417太平洋大西洋水流问题

130. 被围绕的区域 **题目&#xff1a;**给你一个 m x n 的矩阵 board &#xff0c;由若干字符 ‘X’ 和 ‘O’ &#xff0c;找到所有被 ‘X’ 围绕的区域&#xff0c;并将这些区域里所有的 ‘O’ 用 ‘X’ 填充。 题目链接&#xff1a;130. 被围绕的区域 解题思路&#xff1a…
阅读更多...
基于springboot实现“漫画之家”系统项目【项目源码+论文说明】

基于springboot实现“漫画之家”系统项目【项目源码+论文说明】

基于springboot实现“漫画之家”系统演示 摘要 随着信息技术和网络技术的飞速发展&#xff0c;人类已进入全新信息化时代&#xff0c;传统管理技术已无法高效&#xff0c;便捷地管理信息。为了迎合时代需求&#xff0c;优化管理效率&#xff0c;各种各样的管理系统应运而生&am…
阅读更多...
FreeSWITCH案例跟踪之一,sip bye发不出去

FreeSWITCH案例跟踪之一,sip bye发不出去

报故障的说&#xff0c;网关呼叫fs&#xff0c;网关收不到fs的sip bye Wireshark看call-flow, 是这样的&#xff1a; INVITE里面的contact是<sip:172.23.4.109:5060;transporttcp> 于是Wireshark设置过滤条件为ip.addr 172.23.4.109 and tcp.port 5060 fs tcp连网关被…
阅读更多...
提高生存能力的7个关键技巧!

提高生存能力的7个关键技巧!

作为一款备受热议和玩家喜爱的多人在线射击游戏&#xff0c;《绝地求生》中生存能力的提高是取得胜利的关键。在这篇实用干货分享中&#xff0c;我们将详细说明7个关键技巧&#xff0c;帮助你在游戏中提高生存能力&#xff0c;获得更多胜利。 1.选择降落点&#xff1a;选择适合…
阅读更多...
最新文章

Copyright @ 2022~2023