练习逆向XP内核2-9-9-12和10-10-12分页的MmIsAddressValid函数
前言:这篇笔记记录逆向XP内核MmIsAddressValid函数的学习
这个MmIsAddressValid函数就是判断对一个传入的线性地址是否有效,这里的有效指的就是判断可以将其转换为对应的物理地址,那么其中肯定就有对应的PDE PTE,如果都存在的话,并且P位有效等,那么也就是一个有效的地址
这个函数里面还判断了相关的PDE的PS位,是否为大页,还有PTE的PAT位,这个PAT位后面还走了一个跳转的流程,这个不知道具体是干什么的
然后还有一个重要的知识点,就是通过逆向这个函数,你会发现操作系统在找线性地址对应的物理页的时候,它的整体流程,通过C0300000页目录基址,C0000000页表基址来进行寻找
如何寻找MmIsAddressValid内核函数的方法
知识点:
1、XP系统下的2-9-9-12分页模式通过内核文件ntkrnlpa.exe来进行观察
2、XP系统下的10-10-12分页模式通过内核文件ntoskrnl.exe来进行观察
都是逆向可以用两个工具一个是ida,一个是windbg,windbg的话直接u MmIsAddressValid L40即可,如下图所示
因为当前XP是10-10-12分页下的,所以拿内核文件ntoskrnl.exe来进行分析,这里通过IDA来进行分析,ALT+T来进行全局搜索字符串MmIsAddressValid,
如下图所示,我这里用的是全局搜索字符串,或者直接在左边函数列表中Ctrl+F来搜索也可以
.text:0040AEC6 ; BOOLEAN __stdcall MmIsAddressValid(PVOID VirtualAddress)
.text:0040AEC6 public MmIsAddressValid
.text:0040AEC6 MmIsAddressValid proc near ; CODE XREF: sub_40AF1C+C↓p
.text:0040AEC6 ; sub_4129D8+2F5B↓p ...
.text:0040AEC6
.text:0040AEC6 VirtualAddress = dword ptr 8
.text:0040AEC6
.text:0040AEC6 ; FUNCTION CHUNK AT .text:0041DDA5 SIZE 00000007 BYTES
.text:0040AEC6 ; FUNCTION CHUNK AT .text:0044F150 SIZE 00000019 BYTES
.text:0040AEC6
.text:0040AEC6 mov edi, edi
.text:0040AEC8 push ebp
.text:0040AEC9 mov ebp, esp
.text:0040AECB mov ecx, [ebp+VirtualAddress]
.text:0040AECE mov eax, ecx
.text:0040AED0 shr eax, 14h
.text:0040AED3 mov edx, 0FFCh
.text:0040AED8 and eax, edx
.text:0040AEDA sub eax, 3FD00000h
.text:0040AEDF mov eax, [eax]
.text:0040AEE1 test al, 1
.text:0040AEE3 jz loc_41DDA5
.text:0040AEE9 test al, al
.text:0040AEEB js short loc_40AF11
.text:0040AEED shr ecx, 0Ah
.text:0040AEF0 and ecx, 3FFFFCh
.text:0040AEF6 sub ecx, 40000000h
.text:0040AEFC mov eax, ecx
.text:0040AEFE mov ecx, [eax]
.text:0040AF00 test cl, 1
.text:0040AF03 jz loc_41DDA5
.text:0040AF09 test cl, cl
.text:0040AF0B js loc_44F150
.text:0040AF11
.text:0040AF11 loc_40AF11: ; CODE XREF: MmIsAddressValid+25↑j
.text:0040AF11 ; MmIsAddressValid+44298↓j
.text:0040AF11 mov al, 1
.text:0040AF13
.text:0040AF13 loc_40AF13: ; CODE XREF: MmIsAddressValid+12EE1↓j
.text:0040AF13 pop ebp
.text:0040AF14 retn 4
.text:0040AF14 MmIsAddressValid endp
...
...
.text:0044F150 ; START OF FUNCTION CHUNK FOR MmIsAddressValid
.text:0044F150
.text:0044F150 loc_44F150: ; CODE XREF: MmIsAddressValid+45↑j
.text:0044F150 and eax, edx
.text:0044F152 mov eax, [eax-3FD00000h]
.text:0044F158 and ax, 81h
.text:0044F15C cmp al, 81h
.text:0044F15E jnz loc_40AF11
.text:0044F164 jmp loc_41DDA5
.text:0044F164 ; END OF FUNCTION CHUNK FOR MmIsAddressValid
10-10-12分页逆向过程
位运算的知识点:
.text:0040AEED shr ecx, 0Ah
.text:0040AEF0 and ecx, 3FFFFCh
对于这两条,我一开始看不懂,为什么这样的位运算可以使得PDI*4096+PTI*4,然后我自己想了下,应该是获取10-10-12的 10 和10的时候,此时 >> 10 ,相当于少右移了2位,那么整体多左移了2位,那么对于PDI的话,其实就是右移了12位也就是2^(10+2)那么是*4096,而对于PTI的话就是右移了2位也就是2^(0+2)次,那么*4
思考
从这个函数的入口可以看到mov edi,edi的指令,好像没什么用,因为下面都没看到有使用该寄存器,实际上是用到的:
参考文章:https://blog.csdn.net/swanabin/article/details/17550897
很明显,两个字节的MOV EDI,EDI指令什么事情也不做?
那么,就有两个问题:
第一,为什么不直接从函数体开始而要从这条什么都不做的指令开始呢?
第二,即使需要在函数一开始空出两个字节,为什么不直接使用两条NOP指令,而要使用这条MOV指令呢?
在网上查阅一些资料后,得到了答案:
对于第一个问题,答案是为了实现hot-patching技术,即运行时修改一个函数的行为。修改过程如下:把MOV EDI, EDI修改为一条短跳转指令(一条短跳转指令恰好两个字节),把MOV EDI, EDI上面的五个NOP修改为一条长跳转指令(一条长跳转指令恰好五个字节),短跳转指令跳到长跳转指令上,长跳转指令跳到修改后的函数体上。
这个指令可以用在与0环交互的时候,比如中断门就需要两个字节,刚刚好满足条件,后面驱动篇章实现去写拷贝监控的项目中就会用到
参考文章: https://www.cnblogs.com/zpchcbd/p/15949802.html
对于第二个问题,答案是为了提高效率。执行一条MOV指令比执行两条NOP指令花费更少的时间。
注意点
逆向的时候可以看到,偏移有些写的是sub ecx, 40000000h和sub eax, 3FD00000h,实际上转换下为:
sub ecx, 40000000h -> add ecx, C0000000h
sub eax, 3FD00000h -> add eax, C0300000h
2-9-9-12分页逆向过程
这个是后面学了2-9-9-12以后补上的
2-9-9-12分页模式通过内核文件ntkrnlpa.exe来进行观察
同样的还是用IDA来进行分析
.text:0043CA48 ; BOOLEAN __stdcall MmIsAddressValid(PVOID VirtualAddress)
.text:0043CA48 public MmIsAddressValid
.text:0043CA48 MmIsAddressValid proc near ; CODE XREF: sub_41ADD4+2F↑p
.text:0043CA48 ; sub_41AE26+29↑p ...
.text:0043CA48
.text:0043CA48 var_8 = dword ptr -8
.text:0043CA48 var_4 = dword ptr -4
.text:0043CA48 VirtualAddress = dword ptr 8
.text:0043CA48
.text:0043CA48 mov edi, edi ; hot-patching技术
.text:0043CA4A push ebp
.text:0043CA4B mov ebp, esp
.text:0043CA4D push ecx
.text:0043CA4E push ecx
.text:0043CA4F mov ecx, [ebp+VirtualAddress] ; ecx = VirtualAddress 也就是压入的线性地址
.text:0043CA52 push esi ; 保存原来的esi,后面需要用到esi作为计算
.text:0043CA53 mov eax, ecx ; eax = VirtualAddress
.text:0043CA55 shr eax, 12h ; VirtualAddress = VirtualAddress >> 18
.text:0043CA58 mov esi, 3FF8h ; esi = 0x3FF8
.text:0043CA5D and eax, esi ; VirtualAddress = VirtualAddress & 0x3FF8 相当于获取的是PDPTEI*8*512+PDI*8
.text:0043CA5F sub eax, 3FA00000h ; eax = PDPTEI*8*512+PDI*8+0xC0600000,相当于拿到了PDE的地址
.text:0043CA64 mov edx, [eax] ; 获取PDE结构地址中存储的值
.text:0043CA66 mov eax, [eax+4] ; 获取当前PDE结构中得下一个PDE结构地址中存储的值
.text:0043CA69 mov [ebp+var_4], eax ; 把第二个获取的PDE结构地址中的值存储到堆栈中
.text:0043CA6C mov eax, edx ; eax = 第一个获取的PDE结构地址中存储的值
.text:0043CA6E push edi
.text:0043CA6F and eax, 1 ; 判断是否第一个获取的PDE结构地址中存储的值,就可以判断当前PDE结构P位是否有效
.text:0043CA72 xor edi, edi
.text:0043CA74 or eax, edi ; 判断是否当前PDE结构中的值是否为空
.text:0043CA76 jz short loc_43CAD9 ; 如果为空则结束
.text:0043CA78 mov edi, 80h
.text:0043CA7D and edx, edi ; 判断PDE是否为大页,也就是判断PS位,第7位
.text:0043CA7F push 0
.text:0043CA81 mov [ebp+var_8], edx ; 判断PS位的结果存储到堆栈中
.text:0043CA84 pop eax ; 清空eax
.text:0043CA85 jz short loc_43CA8B ; 如果不是大页,PS位不为1,那跳转到0x43CA8B进行处理
.text:0043CA87 test eax, eax
.text:0043CA89 jz short loc_43CADD ; 如果走到这里,那么就肯定会跳转到43CADD,意味着这个函数的结束
.text:0043CA8B
.text:0043CA8B loc_43CA8B: ; CODE XREF: MmIsAddressValid+3D↑j
.text:0043CA8B shr ecx, 9 ; 下面是PDE PS位0 物理页为4kb的情况的处理,VirtualAddress = VirtualAddress >> 9
.text:0043CA8E and ecx, 7FFFF8h ; ecx相当于获取的是PDPTEI*512*512*8+PDI*8*512+PTI*8
.text:0043CA94 mov eax, [ecx-3FFFFFFCh]
.text:0043CA9A sub ecx, 40000000h ; ecx = C0000000+PDPTEI*512*512*8+PDI*8*512+PTI*8
.text:0043CAA0 mov edx, [ecx] ; 获得指定的PTE结构地址中的值
.text:0043CAA2 mov [ebp+var_4], eax
.text:0043CAA5 push ebx
.text:0043CAA6 mov eax, edx ; edx = PTE结构地址中的值
.text:0043CAA8 xor ebx, ebx
.text:0043CAAA and eax, 1 ; 判断有效位P
.text:0043CAAD or eax, ebx ; 判断当前PTE结构中的值有没有
.text:0043CAAF pop ebx
.text:0043CAB0 jz short loc_43CAD9 ; 如果没有值的话,那么函数结束
.text:0043CAB2 and edx, edi ; 判断PTE的PAT位,第7位
.text:0043CAB4 push 0
.text:0043CAB6 mov [ebp+var_8], edx
.text:0043CAB9 pop eax
.text:0043CABA jz short loc_43CADD ; 如果PAT位为0则跳转
.text:0043CABC test eax, eax ; 这个不知道再判断什么,但是这里的会正常来说不会跳转,一直往下走
.text:0043CABE jnz short loc_43CADD
.text:0043CAC0 and ecx, esi ; PDE的地址 & 3FF8 看不太懂
.text:0043CAC2 mov ecx, [ecx-3FA00000h] ; (PDE的地址 & 3FF8) + 0xC0600000,这个不知道获得的是什么结构体,老师没讲过
.text:0043CAC8 mov eax, 81h
.text:0043CACD and ecx, eax
.text:0043CACF xor edx, edx
.text:0043CAD1 cmp ecx, eax ; 同样也会判断第7位和第0位
.text:0043CAD3 jnz short loc_43CADD
.text:0043CAD5 test edx, edx
.text:0043CAD7 jnz short loc_43CADD
.text:0043CAD9
.text:0043CAD9 loc_43CAD9: ; CODE XREF: MmIsAddressValid+2E↑j
.text:0043CAD9 ; MmIsAddressValid+68↑j
.text:0043CAD9 xor al, al
.text:0043CADB jmp short loc_43CADF
.text:0043CADD ; ---------------------------------------------------------------------------
.text:0043CADD
.text:0043CADD loc_43CADD: ; CODE XREF: MmIsAddressValid+41↑j
.text:0043CADD ; MmIsAddressValid+72↑j ...
.text:0043CADD mov al, 1
.text:0043CADF
.text:0043CADF loc_43CADF: ; CODE XREF: MmIsAddressValid+93↑j
.text:0043CADF pop edi
.text:0043CAE0 pop esi
.text:0043CAE1 leave
.text:0043CAE2 retn 4
.text:0043CAE2 MmIsAddressValid endp
