win10 1909逆向----MiLocateAddress(查找虛擬地址的VAD),再代碼實現。

原創 学好技术打豆豆 2020-06-30 16:51

//接下來用代碼實現,因爲懶,所以結構體能用就行,先上效果圖:

接着上代碼:

/*
功能:通過虛擬地址找到VAD【Virtual Address Descriptor虛擬地址描述符】
*/
#include <ntddk.h>


typedef struct _EX_PUSH_LOCK
{
	union
	{
		struct
		{

			UINT64 Locked : 1;
			UINT64 Waiting : 1;
			UINT64 Waking : 1;
			UINT64 MultipleShared : 1;
			UINT64 Shared : 60;
		};
		UINT64 Value;
		PVOID Ptr;
	};
}EX_PUSH_LOCK, *PEX_PUSH_LOCK;

typedef struct _MMVAD_SHORT
{

	RTL_BALANCED_NODE VadNode;
	UINT32 StartingVpn;
	UINT32 EndingVpn;
	UCHAR StartingVpnHigh;
	UCHAR EndingVpnHigh;
	UCHAR CommitChargeHigh;
	UCHAR SpareNT64VadUChar;
	INT32 ReferenceCount;
	EX_PUSH_LOCK PushLock;
	//下面用不到,省略
	UINT64 x1;
	UINT64 x2;

}MMVAD_SHORT, *PMMVAD_SHORT;

typedef struct _MMVAD
{
	MMVAD_SHORT Core;
	union
	{
		UINT32 LongFlags2;
		//現在用不到省略
		//MMVAD_FLAGS2 VadFlags2;

	}u2;
	PVOID Subsection;
	PVOID FirstPrototypePte;
	PVOID LastContiguousPte;
	LIST_ENTRY ViewLinks;
	PEPROCESS VadsProcess;
	PVOID u4;
	PVOID FileObject;
}MMVAD, *PMMVAD;

PMMVAD  MiLocateAddress(IN PVOID VirtualAddress, IN PEPROCESS pEprocess);

VOID Unload(PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("end\n"));
	
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{

	NTSTATUS status = STATUS_SUCCESS;
	pDriverObject->DriverUnload = Unload;
	KdPrint(("start\n"));
    //首先找到要查找哪個進程的哪個虛擬地址
	PMMVAD Ret=MiLocateAddress((PVOID)0x400004,(PEPROCESS)0xffffdf8191cda080);
	KdPrint(("%llx\n", Ret));


	return status;
}
PMMVAD MiLocateAddress(IN PVOID VirtualAddress, IN PEPROCESS pEprocess)
{
	//首先得到進程的VADHINT,看是否有VAD命中,這樣就不需要從頭找起
	PMMVAD VadHint =(PMMVAD)(*(PUINT64)((UINT64)pEprocess + 0x660));
	PMMVAD VadRoot = (PMMVAD)(*(PUINT64)((UINT64)pEprocess + 0x658));
	if (VadHint == NULL)
	{
		return 0;
	}

	PUCHAR Vpn = (PUCHAR)((UINT64)VirtualAddress >> PAGE_SHIFT);
	//如果VPN在VADHINT範圍內,直接返回VadHint
	if ((Vpn >= ((UINT64)VadHint->Core.StartingVpnHigh << 32 | VadHint->Core.StartingVpn)) && (Vpn <= ((UINT64)VadHint->Core.EndingVpnHigh << 32 | VadHint->Core.EndingVpn)))
		return VadHint;

	//否則,從VadRoot開始遍歷
	while (TRUE)
	{
		if (Vpn > (VadRoot->Core.EndingVpnHigh << 32 | VadRoot->Core.EndingVpn))
		{
			VadRoot = VadRoot->Core.VadNode.Right;
		}
		else
		{
			if (Vpn >= (VadRoot->Core.StartingVpnHigh << 32 | VadRoot->Core.StartingVpn))
			{
				return VadRoot;
			}
			VadRoot = VadRoot->Core.VadNode.Left;
		}
		if (!VadRoot) return 0;
	}

	return 0;
}

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

BSD和Linux的區別

Linux 是由 Linus Torvalds 在芬蘭上大學的時候開發的。BSD 則代表“Berkeley Software Distribution,伯克利軟件套件”,其源於對加州大學伯克利分校所開發的貝爾實驗室UNIX的一系列修改,它

GoodboyDan 2020-07-08 04:59:52

linux驅動開發:input子系統二

輸入子系統:linux內核中將所有輸入設備歸爲一個類:input子系統。裏面實現了幾乎所有輸入設備的公共操作接口,相當於內核給我們搭建了一個輸入子系統的框架,我們用它的框架開發驅動,會變得非常簡單。因爲一些公共的函數內核已經幫我們

changliang7731 2020-07-08 04:08:45

內核中重要的數據結構

任務鏈表(Task List):流程調度程序爲每個活動的流程維護一個數據塊。這些數據塊存儲在稱爲任務列表的鏈接列表中。進程調度程序始終維護一個指示當前活動進程的當前指針。 內存映射(memry map):內存管理器基於每個進程存儲虛擬地址

楼兰公子 2020-07-08 01:47:44

爲什麼建議多用glibc而不是系統調用

用戶空間運行的進程,他們各自擁有獨立的虛擬地址空間,而內核則有單獨的地址空間。 內核空間分爲三類 系統調用層;它是屬於最上層,它提供了用戶空間和內核空間通信的方式。 Linux內核,應該更加確切的說是獨立於體系結構的內核代碼,這些通用的代

楼兰公子 2020-07-08 01:47:44

進程調度器可分爲四大模塊:

調度策略模塊負責判斷哪個進程可以訪問CPU;設計該策略是爲了使進程可以公平地訪問CPU。 體系結構相關模塊特定於體系結構的模塊設計有一個公共接口,用於抽象任何特定計算機體系結構的詳細信息。這些模塊負責與CPU通信以掛起和恢復進程。這些操作

楼兰公子 2020-07-08 01:47:44

linux內核之源碼編譯

linux內核之源碼編譯 如需轉載請標明出處:http://blog.csdn.net/itas109 QQ技術交流羣:129518033 文章目錄linux內核之源碼編譯1.下載linux內核2.安裝所需前置軟件3.解壓源碼

itas109 2020-07-08 00:25:38

【linux】循序漸進學運維-基礎篇-操作系統初始化

大家好,我是高勝寒,本文是Linux運維-循序漸進學運維-基礎篇的第60篇文章 文章目錄前言安裝Linux後的初始化操作1. 關閉selinux功能2. 精簡開機啓動項a) 開啓自啓動服務b) 刪除特殊的用戶和用戶組3. 用戶及密

高胜寒|职场引路人 2020-07-07 21:30:38

FreeRTOS內核源碼解讀之-------系統啓動(二)

FreeRTOS系統啓動過程主要分爲三部分:彙編部分、main函數初始化部分、開啓任務調度部分。 對於彙編部分主要是設置一些中斷向量表、設置堆和棧等一些C語言運行需要的條件,當這些部分設置完成時候,就會跳轉到main函數運行。對於

lucas_sane 2020-07-07 14:02:54

linux內核中的MKDEV MAJOR MINOR

參考的是恩智浦提供的內核,不知道是在哪個內核版本上修改的 MKDEV這個是在驅動學習中碰到的,定義在./include/linux/kdev_t.h中,如下: 1 #define MINORBITS 20 2 #defin

那可真是太开心了呢 2020-07-07 13:51:40

linux驅動開發學習筆記1---字符設備驅動開發

1.字符設備驅動簡介 字符設備是linux驅動中最基本的一類設備驅動,字符設備就是一個一個字節,按照字節流進行讀寫操作的設備,讀寫數據是分先後順序的,比如我們最常見的點燈、按鍵、IIC、SPI、LCD等等都是字符設備,這些設備的驅

那可真是太开心了呢 2020-07-07 13:51:40

gpio子系統

文章目錄gpio子系統簡介I.MX6ULL的gpio子系統驅動設備樹中的 gpio 信息gpio子系統API函數設備樹中添加gpio節點模塊與 gpio 相關的 OF 函數 gpio子系統簡介 如果pinctrl子系統將一個PIN

那可真是太开心了呢 2020-07-07 13:51:37

Linux與VxWorks任務調度機制分析

論文出處:《工業控制計算機》2005年18卷第6期       原作者:高鵬飛、李新明、孫建 文字轉自:http://blog.csdn.net/chongzi865458/article/details/7701247 AbStract

HanSunmoon 2020-07-07 11:53:13

openwrt更換原有Linux內核版本

1;將openwrt14.07中的內核版本從3.10.49更換成3.10.102 a;更改文件include/kernel-version.mk b;修改文件​target/linux/<路由器架構> 下的Makefile,將KERNEL

flexman09 2020-07-07 10:50:08

嵌入式設備交叉編譯perf性能分析工具

嵌入式設備交叉編譯perf性能分析工具 1.1 背景 最近工作一直在做嵌入式相關的開發,主要是應用方面,隨着程序的業務功能越寫越複雜,加上嵌入式系統上的調試工具,少之又少,主要還是靠printf的傳統調試大法,下面來整個perf分

jorin@zou 2020-07-07 03:05:27

談系統設計之面向對象設計方法

                                                               談系統設計之面向對象設計方法                                          

若水003 2020-07-07 02:09:08