2021年2月7日09:58:50评论291 views字数 2822阅读9分24秒阅读模式

本文为看雪论坛优秀文章

看雪论坛作者ID：不对

0x01 前言

win10(或者说windows)读取物理内存方式有很多种，但是在DISPATCH_LEVEL下读取物理内存的方式就少的可怜了，原因是DISPATCH_LEVEL无法执行缺页中断，所以像MDL的方法就会直接导致蓝屏。

这里一般的情况下，我会推荐使用MmMapIoSpace，将物理地址映射成虚拟地址。但是在win10 的1803版本之后，这个方法也不太适用了，那么有没有替代的方法甚至是更为通杀的方法呢？

0x02 正常的流程

首先我们先来分析，分页页表等级分为9-9-9-9-12 (4 * 9 + 12 = 48)，这个我应该没有记错，我们的页表存在于Cr3，然而现在MmMapIoSpace不让用了，所以，我们只能从另一个方向入手：PTE，我写了一个程序，源代码如下：

#include "stdio.h"
int main() {    unsigned char* pUserBuffer = (unsigned char *)"Hello World!n";    printf("0x%pn", pUserBuffer);    getchar();    printf("%sn", pUserBuffer);    getchar();}

这段代码是将一个字符串的虚拟地址打印出来，然后等待按键，再然后输入该字符串，编译后，放入虚拟机中，看看实际运行情况我们查看一下运行情况：

此时我们可以得到字符串的虚拟地址，0x00DD86EC，我们通过PTE读取这个虚拟地址的物理地址基址，公式是物理地址基址 = *(ULONG_PTR *)(PTE_BASE + ( 0x00DD86EC >> 12) * 8) & 0xFFFFFFFFF000 ，那么这个PTE_BASE 是多少呢？论坛里面的hzqst 大神总结了几种方法，https://bbs.pediy.com/thread-254276.htm ，这里就不在赘述，我们采用的是tandasat的方法。

那么，现在的PTE_BASE就是 0xFFFFFB8000000000，我们带入公式中算一下，结果为 fffffb8000006ec0，目前为止我们需要挂靠进程，才能读到对应的内容：

通过公式我们可以出，物理地址的基址是 0x11cfe000，我们再加上原虚拟地址的低12位偏移0x6eC，查看一下物理内存：

可以看到我们能够正确的读取了。

0x03 驱动代码的实现

讲到这里，应该已经能猜到我的方法了，但是我还是打算说出来，希望大家能表示惊讶一下，就是构造一段连续的物理地址，然后根据PTE_BASE找到自己对应的PTE，将自己的地址挂靠到对应的物理地址上面。

那么自己手工构造怎么构造呢？如果你想到了PLM4，那么恭喜你，你想的太深了，我们只需要申请一段NonPage内存就可以了，这样子，系统会自动替我们构造好，问题又来了，我们需要申请多大的呢？我们注意到一个PTE可以描述的是4KB大小的物理地址，所以，我们就申请4KB就好了。

笔者不太了解ExAllocateMemoryWithTag如果申请0x1000(4KB)个字节会是具体申请多少，在这里，笔者选用了MmAllocateContiguousMemory，根据文档，只要是4KB对齐的大小，申请出来的内存都会是4kb对齐的（就是低12位为0）。

现在看来思路清晰了，我们申请的内存挂靠到对应的物理地址的4kb对齐的头部地址，然后再加上物理地址的低12位偏移，就可以了。

结合实际情况就是：我们设我们申请出来的内存虚拟地址为X，则X的PTE描述地址为：p = (PTE_BASE + (x >> 12) * 8) ，将 p 地址中的 48 ~ 12位替换为要读取的物理地址的48 ~ 12位，然后我们就可以通过 p + offset 读取到内容了。（我们暂时不考虑内容会被交换到硬盘上）

代码如下：

#include "ntddk.h"
void DriverUnload(PDRIVER_OBJECT pDriverObject) {
}
extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pUnicodeString) {    pDriverObject->DriverUnload = DriverUnload;    KIRQL kIrql = KeRaiseIrqlToDpcLevel();    ULONG_PTR PTE_BASE = 0xFFFFF68000000000;    ULONG_PTR pReadPhysicalAddress = 0x708c6EC;    PHYSICAL_ADDRESS dtPhysical;    dtPhysical.QuadPart = -1;    unsigned char* p = (unsigned char *)MmAllocateContiguousMemory(0x1000, dtPhysical);    if (p)    {        KdPrint(("MmAllocateContiguousMemory Address : 0x%pn", p));
        ULONG_PTR* pPte = (ULONG_PTR *)(PTE_BASE + (((ULONG_PTR)p & 0xFFFFFFFFF000) >> 12) * 8);        ULONG_PTR nOldValue = *pPte;  //保存原来的值        *pPte = (nOldValue & ~(0xFFFFFFFFF000)) | (pReadPhysicalAddress & 0xFFFFFFFFF000);
        unsigned char* pReadStart = p + (pReadPhysicalAddress & 0xFFF);        for (size_t i = 0; i < 16; i++)        {            KdPrint(("%c", pReadStart[i]));        }
        KdPrint(("n"));
        *pPte = nOldValue;   //恢复原来的值
        MmFreeContiguousMemory(p);    }
    KeLowerIrql(kIrql);
    return STATUS_SUCCESS;}

运行结果：

参考文章：

https://bbs.pediy.com/thread-254276.htm

https://bbs.pediy.com/thread-253677.htm

‍

Win10 DiSPATCH_LEVEL下读取物理内存

- End -

Win10 DiSPATCH_LEVEL下读取物理内存

看雪ID：不对

https://bbs.pediy.com/user-home-572364.htm

*本文由看雪论坛不对原创，转载请注明来自看雪社区。

# 往期推荐

公众号ID：ikanxue

官方微博：看雪安全

商务合作：[email protected]

球分享

球点赞

球在看

点击“阅读原文”，了解更多！

本文始发于微信公众号（看雪学院）：Win10 DiSPATCH_LEVEL下读取物理内存

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Win10 DiSPATCH_LEVEL下读取物理内存

运行结果：

参考文章：

通过数据指针进行控制流劫持

2025騰訊遊戲安全大賽(安卓決賽)

使用 Frida 拦截 Flutter 中的 HTTPS 通信

对某旅行APP的逆向分析

CP AUTOSAR 中防火墙功能规范详解

MIPS栈溢出漏洞实战解析：从DVRF题目看ROP链构造

如何优雅的杀敌以做到英雄无敌?记一次血战上海滩修改器制作过程

第四届商师校赛-web（ak）

逆向分析：Win10 ObRegisterCallbacks的相关分析

网络化船舶自主航行系统安全技术研究进展

发表评论

在线咨询

微信