Ко взлому статья неотносится, но если вкурите суть, то ознакомитесь с азами отладки оси...
А также поймёте, как устроена виртуальная память в винде ! :)
Изучение виртуального адресного пространства и алгоритма преобразования адресов заметно упростится, если начать с несложного практического примера. Для этого напишем простую программу, выводящую адрес локальной переменной:
Код:
int main()
{
unsigned i = 0xDEADBEEF;
std::cout << "address of i is " << std::hex << &i;
std::cin.get(); //Чтобы процесс не завершился
return 0;
}
Затем попробуем найти физический адрес и просмотреть значение по этому адресу.
В моем случае адрес получился равным 0x22FF2C. Вообще, он может различаться при каждом запуске программы (см.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
). У других процессов по этому адресу могут находиться какие-то свои значения, потому что это не физический, а виртуальный адрес. Пожалуй, основное предназначение виртуального адресного пространства – возможность предоставлять каждому процессу собственное адресное пространство, в котором он бы не мешал другим. Размер виртуального адресного пространства зависит от платформы. Для x86 теоретический максимальный размер составляет 4 Гб.По умолчанию, первая половина (0 – 0x7FFFFFFF) является пространством процессов пользователя, в котором располагается образ исполняемого файла текущего процесса, его стек, куча и прочее. Вторая половина (0x80000000 – 0xFFFFFFFF) – системным. С некоторыми оговорками можно считать, что пространство процессов пользователя уникально для каждого процесса, а системное только одно. Адрес 0x22FF2C, очевидно, попал в первую половину.
Виртуальное адресное пространство разбито на 0x100000 (1048576) страниц размером 4096 байт каждая. Физическая память также разбита на страницы такого же размера, называемых страничными блоками. Страницы (не все, конечно) отображаются на страничные блоки, поэтому для каждой страницы нужна информация о ее расположении в физической памяти.
Всем 0x100000 страницам соответствует столько же 4-байтовых записей, называемых PTE (page table entry – запись таблицы страниц). В виртуальном пространстве они расположены в диапазоне адресов 0xC0000000 — 0xC03FFFFF, и занимают 1024 страницы, называемых таблицами страниц. Получить запись просто: k-й странице соответствует k-я запись.
Оранжевым отмечены таблицы страниц.
Код:
virtual_address = 0x22FF2C
page_index = virtual_address / 4096
pte_addr = 0xC0000000 + page_index * 4
Наивная попытка
Адрес PTE есть, пробуем узнать что там:
Код:
std::cout << "PTE is " << std::hex << *(unsigned*)0xC00008BC;
Использование отладчика ядра
Ставим
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. LiveKD позволяет запускать отладчики ядра Microsoft Kd и Windbg, входящие в пакет инструментов отладки для Windows, в действующей системе в локальном режиме. По последней ссылке также небольшая справка по установке и справке.Запускаем наш пример (пусть он называется main.exe). Запускаем LiveKd. Пишем "!process 0 0", чтобы вывести список всех работающих процессов, или сразу "!process 0 0 main.exe"
Код:
0: kd> !process 0 0 main.exe
PROCESS 86530118 SessionId: 1 Cid: 0dcc Peb: 7ffdd000 ParentCid: 0428
DirBase: 2402e000 ObjectTable: 8879f430 HandleCount: 16.
Image: main.exe
Нас интересует адрес после слова PROCESS (это адрес на структуру EPROCESS, содержащей атрибуты процесса). Подключаемся к процессу:
Код:
0: kd> .process 86530118
Implicit process is now 86530118
Код:
0: kd> dd 22FF2C L1
0022ff2c deadbeef
Чтение PTE
Код:
0: kd> dd C00008BC L1
c00008bc 6612f847
Можно было самим не считать:
Код:
dd C0000000 + (22FF2C >> 0xC) * 4 L1
c00008bc 6612f847
Код:
page_block_index = 0x6612F
page_block_address = page_block_index << 12 = 0x6612F000 //Умножение на 4096
Код:
virtual_adress = 0x22FF2C
offset = virtual_adress & 0xFFF = 0xF2C //Последние три hex-цифры
phisycal_address = page_block_address + offset = 0x6612FF2C
Код:
0: kd> !dd 6612FF2C L1
#6612ff2c deadbeef
Мы выяснили, что наш адрес можно представить так:
Код:
0x22FF2C = b 00000000001000101111 111100101100
20 бит 12 бит
page_index byte_offset
Но еще заметьте, что найденная PTE находится в 0-й таблице страниц с индексом 0x22F внутри нее. И наш адрес может быть представлен так:
Код:
0x22FF2C = b 0000000000 1000101111 111100101100
10 бит 10 бит 12 бит
table_idx PTE_index byte_offset
We need to go deeper (PDE)
Пользоваться виртуальными адресами PTE неспортивно. Ведь они тоже являются обычными страницами которым нужно найти страничные блоки. А раз так, то просто найдем свои PTE для этих страниц. Всего у нас 1024 таких страниц (называемых таблицами страниц) и все PTE для них помещаются в одной странице. Эту страницу называют каталогом страниц и она содержит 1024 записи (называемых PDE – page directory entry, запись каталога страниц) с адресами на таблицы страниц.
Синим отмечен каталог таблиц, оранжевым – таблицы страниц.
Поступаем точно так же, как уже делали:
Код:
pte_addr = 0xC00008BC
page_index = pte_addr / 4096 = 0xC0000
pde_addr = 0xC0000000 + page_index * 4 = 0xC0300000
Получили адрес PDE = 0xC0300000 (все PDE хранятся в странице по адресу 0xC0300000, мы попали в нулевую PDE). Проверяем содержимое:
Код:
0: kd> dd C0300000 L1
c0300000 0b21d867
Код:
0: kd> !dd 0b21d000 + 0x22f * 4
# b21d8bc 6612f847
С адресом 6612f847 мы уже работали.
Осталось выяснить, где в физической памяти находится каталог (так как мы получали PDE с помощью виртуальной адресации). Адрес был указан в DirBase, когда мы просмотрели информацию о процессе командой "!process 0 0 main.exe". В нашем случае DirBase = 2402e000
Код:
0: kd> !dd 2402e000
#2402e000 0b21d867
Итоговая формула
Код:
0x22FF2C = b 0000000000 1000101111 111100101100
10 бит 10 бит 12 бит
PDE_index PTE_index byte_offset
pde_addr = DirBase + PDE_index * 4
pte_addr = ((*pde_addr) & 0xFFFFF000) | (PTE_index * 4)
value_addr = ((*pte_addr) & 0xFFFFF000) | byte_offset
Ищем в дампе
Думаю, снять дамп с работающей системы несколько проблематично, поэтому снимем с VirtualBox. Для этого нужно запустить в режиме отладки:
VirtualBox.exe --dbg --startvm VM_name
Выбрать в меню "Отладка" -> "Командная строка..." и набрать:
.pgmphystofile "path_to_dump_file"
Открываем файл (я пользуюсь HxD), переходим на 6612ff2c:
Зная DirBase и виртуальный адрес можно искать значение сразу в дампе, без отладчика. Вообще, в дампе можно найти значение DirBase по имени процесса, но это уже другая история.
Источник:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Таким образом можете исследовать различные программы и т.д. ! :)