一、原理

在windbg中，我们通过CR3找到页目录表，通过页目录表找到页表，期间使用的都是物理地址，物理地址在编程中是无法使用的。

我们在之前的学习中了解到页目录表和页表的结构和对应关系，如图：

我们知道了有一个线性地址 0xC0000000 指向了第一张页表，也知道了线性地址 0xC0300000 指向了页目录表，它其实是第0x300张页表。我们可以通过0xC0300000 找到任何一个线性地址的PDE，我们还知道1024张页表在内存中是连续的，这意味着我们可以通过 0xC0000000 找到任何一个 PTE。公式如下：

PDE = 0xC0300000 + PDI * 4
PTE = 0xC0000000 + PDI * 4KB + PTI * 4

PDI 是页目录表的下标，PTI是页表的下标，分别对应10-10-12的前两个10.
解释一下第二条公式，0xC0000000 + PDI * 4KB 是找到线性地址所在的页表，为什么可以这样做？因为页表的线性地址是连续的（但物理地址不连续），范围是 0xC0000000 - 0xC03FFFFF。
找到页表后，加上 PTI * 4 就能找到其页表项PTE了。

二、实验

下面编写一个程序，给NULL挂一个物理页。

// ModifyPDE_PTE.cpp : Defines the entry point for the console application.
// 10-10-12 分页#include "stdafx.h"
#include <Windows.h>typedef ULONG (WINAPI *DBGPRINT)(PCSTR Format,...
);DBGPRINT DbgPrint = NULL;DWORD *GetPDE(DWORD addr)
{DWORD PDI = addr>>22;DWORD PTI = (addr>>12)&0x000003FF;return (DWORD *)(0xC0300000 + PDI * 4);
}DWORD *GetPTE(DWORD addr)
{DWORD PDI = addr>>22;DWORD PTI = (addr>>12)&0x000003FF;return (DWORD *)(0xC0000000 + PDI * 0x1000 + PTI * 4);
}DWORD *page;void __declspec(naked) R0Function()
{__asm{push ebpmov ebp,espsub esp,0x1000pushadpushfd        }// 给NULL挂物理页__asm push fsDbgPrint("page PDE: %08X\n",*GetPDE((DWORD)page));DbgPrint("page PTE: %08X\n",*GetPTE((DWORD)page));DbgPrint("NULL PDE: %08X\n",*GetPDE(0));DbgPrint("NULL PTE: %08X\n",*GetPTE(0));DbgPrint("NULL挂物理页...\n");*GetPDE(NULL) = *GetPDE((DWORD)page);*GetPTE(NULL) = *GetPTE((DWORD)page);DbgPrint("page PDE: %08X\n",*GetPDE((DWORD)page));DbgPrint("page PTE: %08X\n",*GetPTE((DWORD)page));DbgPrint("NULL PDE: %08X\n",*GetPDE(0));DbgPrint("NULL PTE: %08X\n",*GetPTE(0));__asm pop fs__asm{popfdpopadadd esp,0x1000mov esp,ebppop ebpiretd}
}int _tmain(int argc, _TCHAR* argv[])
{   page = (DWORD *)VirtualAlloc(NULL,0x1000,MEM_COMMIT,PAGE_READWRITE);memset(page,0,0x1000); // 挂物理页DbgPrint = (DBGPRINT)GetProcAddress(LoadLibraryA("ntdll.dll"),"DbgPrint"); // 载入函数printf("在IDT表构建中断门，请在windbg中执行下面的指令：\n");printf("eq 8003f500 %04xee00`0008%04x\n",(DWORD)R0Function>>16,(DWORD)R0Function & 0x0000FFFF);getchar();// 用中断门提权，在R0读写PTE__asm int 0x20printf("NULL挂物理页成功.\n");*(int*)NULL = 0x12345678;printf("%x\n", page[0]);getchar();return 0;
}

运行结果：

（22）通过代码修改PTE实现挂物理页相关推荐

（18）修改 PTE 实现挂物理页读写空指针
一.10-10-12二级映射下图是101012二级映射结构: 二.读写NULL指针正常编程中,不能读写NULL,原因是NULL指针没有对应的物理页,因此,只要我们让NULL指针最终映射到一块可读写 ...
（19）修改PDE PTE 的RW位使物理页可读写
一.PDE PTE 结构低12位是权限位.低2位是RW位,RW=0表示只读,RW=1表示可读可写. 二.修改常量区数据 C语言中,修改常量区的字符串是不允许的,原因是物理页不具有写权限. // PD ...
22种代码味道（Martin Fowler与Kent Beck）
Martin Fowler在Refactoring: Improving the Design of Existing Code(中译名:<重构--改善既有代码的设计>)一书中与Kent ...
qt添加菜单纯代码_开始玩qt,使用代码修改设计模式生成的菜单
之前制作菜单时,不是纯代码便是用设计模式直接图形化完成. 今天我就是想用代码修改已经存在的菜单项,如果是用代码生成的可以直接调用指针完成: 但通过设计模式完成的没有暴露指针给我,至少我没发现. 在几 ...
am335x UART1输入u-boot 调试信息代码修改
AM335x 调试信息UART1输出代码修改 1. 关于pin_mux 的配置代码修改位置: /board/forlinx/ok335x/mux.c 1 void enable_uart0_pin ...
YOLOV5 模型和代码修改——针对小目标识别
2021.8.24 效果还是可以的,公司楼下: 一.简述针对YOLOV5小目标识别部分做了算法改进: 1.修改了MODEL,增加了小目标检测层 2.修改了detect.py,增加了分割检测模块,以时 ...
python小波分析，频率普分析——代码修改
写在前面: 做毕业论文的时候想要使用小波分析,开始到处找小波分析的代码,matlab代码居多但没有显著性检验,唯一找到有检验的这篇文章基于python进行小波分析,频率谱分析(作者:撼沧)是pytho ...
22种代码的坏味道，一句话概括
22种代码的坏味道,一句话概括: 如果一段代码是不稳定或者有一些潜在问题的,那么代码往往会包含一些明显的痕迹. 正如食物要腐坏之前,经常会发出一些异味一样. 我们管这些痕迹叫做"代码异味&q ...
TVM yolov3优化代码修改（编译运行OK）
TVM yolov3优化代码修改(编译运行OK) yolov3_quantize_sample.py 附https://github.com/makihiro/tvm_yolov3_sample代码: ...

（22）通过代码修改PTE实现挂物理页

一、原理

二、实验

（22）通过代码修改PTE实现挂物理页相关推荐

最新文章

热门文章