驱动开发:内核远程堆分配与销毁

news2025/1/22 13:12:51

在开始学习内核内存读写篇之前,我们先来实现一个简单的内存分配销毁堆的功能,在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间,一般而言内核中提供了ZwAllocateVirtualMemory这个函数用于专门分配虚拟空间,而与之相对应的则是ZwFreeVirtualMemory此函数则用于销毁堆内存,当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作,接下来LyShark将从API开始介绍如何运用这两个函数实现内存分配与使用,并以此来作为驱动读写篇的入门知识。

首先以内存分配为例ZwAllocateVirtualMemory()函数,该系列函数在ntifs.h头文件内,且如果需要使用则最好提前在程序头部进行声明,该函数的微软官方定义如下所示;

NTSYSAPI NTSTATUS ZwAllocateVirtualMemory(
  [in]      HANDLE    ProcessHandle,           // 进程句柄
  [in, out] PVOID     *BaseAddress,            // 指向将接收已分配页面区域基址的变量的指针
  [in]      ULONG_PTR ZeroBits,                // 节视图基址中必须为零的高顺序地址位数
  [in, out] PSIZE_T   RegionSize,              // 指向将接收已分配页面区域的实际大小
  [in]      ULONG     AllocationType,          // 包含指定要执行的分配类型的标志的位掩码
  [in]      ULONG     Protect                  // 包含页面保护标志的位掩码
);

参数ProcessHandle用于传入一个进程句柄此处我们可以通过NtCurrentProcess()获取到当前自身进程的句柄。

参数BaseAddress则用于接收分配堆地址的首地址,此处指向将接收已分配页面区域基址的变量的指针。

参数RegionSize则用于指定需要分配的内存空间大小,此参数的初始值指定区域的大小(以字节为单位)并向上舍入到下一个主机页大小边界。

参数AllocationType用于指定分配内存的属性,通常我们会用到的只有两种MEM_COMMIT指定为提交类型,MEM_PHYSICAL则用于分配物理内存,此标志仅用于地址窗口扩展AWE内存。 如果设置了MEM_PHYSICAL则还必须设置MEM_RESERVE不能设置其他标志,并且必须将保护设置为PAGE_READWRITE

参数Protect用于设置当前分批堆的保护属性,通常当我们需要分配一段可执行指令的内存空间时会使用PAGE_EXECUTE_READWRITE,如果无执行需求则推荐使用PAGE_READWRITE属性。

在对特定进程分配堆时第一步就是要切入到该进程的进程栈中,此时可通过KeStackAttachProcess()切换到进程栈,于此对应的是KeUnstackDetachProcess()脱离进程栈,这两个函数的具体定义如下;

// 附加到进程栈
void KeStackAttachProcess(
        PRKPROCESS   PROCESS,      // 传入EProcess结构
  [out] PRKAPC_STATE ApcState      // 指向KAPC_STATE结构的不透明指针
);
// 接触附加
void KeUnstackDetachProcess(
  [in] PRKAPC_STATE ApcState       // 指向KAPC_STATE结构的不透明指针
);

此处如果需要附加进程栈则必须提供该进程的PRKPROCESS也就是EProcess结构,此结构可通过PsLookupProcessByProcessId()获取到,该函数接收一个进程PID并将此PID转为EProcess结构,函数定义如下;

NTSTATUS PsLookupProcessByProcessId(
  [in]  HANDLE    ProcessId,          // 进程PID
  [out] PEPROCESS *Process            // 输出EP结构
);

基本的函数介绍完了,那么这段代码应该不难理解了,如下代码中需要注意一点,参数OUT PVOID Buffer用于输出堆地址而不是输入地址。

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com

#include <ntifs.h>
#include <windef.h>

// 定义声明
NTSTATUS ZwAllocateVirtualMemory(
	__in HANDLE  ProcessHandle,
	__inout PVOID  *BaseAddress,
	__in ULONG_PTR  ZeroBits,
	__inout PSIZE_T  RegionSize,
	__in ULONG  AllocationType,
	__in ULONG  Protect
);

// 分配内存空间
NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)
{
	NTSTATUS Status = STATUS_SUCCESS;
	PEPROCESS pEProcess = NULL;
	KAPC_STATE ApcState = { 0 };
	PVOID BaseAddress = NULL;

	// 通过进程PID得到进程EProcess
	Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);
	if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))
	{
		return STATUS_UNSUCCESSFUL;
	}

	// 验证内存可读
	if (!MmIsAddressValid(pEProcess))
	{
		return STATUS_UNSUCCESSFUL;
	}
	__try
	{
		// 附加到进程栈
		KeStackAttachProcess(pEProcess, &ApcState);

		// 分配内存
		Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
		RtlZeroMemory(BaseAddress, Length);

		// 返回内存地址
		*(PVOID*)Buffer = BaseAddress;

		// 脱离进程栈
		KeUnstackDetachProcess(&ApcState);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KeUnstackDetachProcess(&ApcState);
		Status = STATUS_UNSUCCESSFUL;
	}

	ObDereferenceObject(pEProcess);
	return Status;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint(("hello lyshark \n"));

	DWORD process_id = 4160;
	DWORD create_size = 1024;
	DWORD64 ref_address = 0;

	NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

	DbgPrint("对端进程: %d \n", process_id);
	DbgPrint("分配长度: %d \n", create_size);
	DbgPrint("分配的内核堆基址: %p \n", ref_address);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

运行如上代码片段,则会在进程PID=4160中开辟一段堆空间,输出效果如下;

与创建堆相对ZwFreeVirtualMemory()则用于销毁一个堆,其微软定义如下所示;

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(
  [in]      HANDLE  ProcessHandle,    // 进程句柄
  [in, out] PVOID   *BaseAddress,     // 堆基址
  [in, out] PSIZE_T RegionSize,       // 销毁长度
  [in]      ULONG   FreeType          // 释放类型
);

相对于创建来说,销毁堆则必须传入堆空间BaseAddress基址,以及堆空间的RegionSize长度,需要格外注意FreeType参数,这是一个位掩码,其中包含描述ZwFreeVirtualMemory将为页面指定区域执行的任意操作类型。如果传入MEM_DECOMMIT则将取消提交页面的指定区域,页面进入保留状态。而如果设置为MEM_RELEASE则堆地址将被立即释放。

销毁堆空间FreeMemory()的完整代码如下所示,销毁是我们使用MEM_RELEASE参数即立即销毁。

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com

#include <ntifs.h>
#include <windef.h>

// 申请堆
NTSTATUS ZwAllocateVirtualMemory(
	__in HANDLE  ProcessHandle,
	__inout PVOID  *BaseAddress,
	__in ULONG_PTR  ZeroBits,
	__inout PSIZE_T  RegionSize,
	__in ULONG  AllocationType,
	__in ULONG  Protect
);

// 销毁堆
NTSYSAPI NTSTATUS ZwFreeVirtualMemory(
	__in      HANDLE  ProcessHandle,
	__inout PVOID   *BaseAddress,
	__inout PSIZE_T RegionSize,
	__in      ULONG   FreeType
);

// 分配内存空间
NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)
{
	NTSTATUS Status = STATUS_SUCCESS;
	PEPROCESS pEProcess = NULL;
	KAPC_STATE ApcState = { 0 };
	PVOID BaseAddress = NULL;

	// 通过进程PID得到进程EProcess
	Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);
	if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))
	{
		return STATUS_UNSUCCESSFUL;
	}

	// 验证内存可读
	if (!MmIsAddressValid(pEProcess))
	{
		return STATUS_UNSUCCESSFUL;
	}
	__try
	{
		// 附加到进程栈
		KeStackAttachProcess(pEProcess, &ApcState);

		// 分配内存
		Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
		RtlZeroMemory(BaseAddress, Length);

		// 返回内存地址
		*(PVOID*)Buffer = BaseAddress;

		// 脱离进程栈
		KeUnstackDetachProcess(&ApcState);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KeUnstackDetachProcess(&ApcState);
		Status = STATUS_UNSUCCESSFUL;
	}

	ObDereferenceObject(pEProcess);
	return Status;
}

// 注销内存空间
NTSTATUS FreeMemory(IN ULONG ProcessPid, IN SIZE_T Length, IN PVOID BaseAddress)
{
	NTSTATUS Status = STATUS_SUCCESS;
	PEPROCESS pEProcess = NULL;
	KAPC_STATE ApcState = { 0 };

	Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);
	if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))
	{
	return STATUS_UNSUCCESSFUL;
	}

	if (!MmIsAddressValid(pEProcess))
	{
		return STATUS_UNSUCCESSFUL;
	}

	__try
	{
		// 附加到进程栈
		KeStackAttachProcess(pEProcess, &ApcState);

		// 释放内存
		Status = ZwFreeVirtualMemory(NtCurrentProcess(), &BaseAddress, &Length, MEM_RELEASE);

		// 脱离进程栈
		KeUnstackDetachProcess(&ApcState);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KeUnstackDetachProcess(&ApcState);
		Status = STATUS_UNSUCCESSFUL;
	}

	ObDereferenceObject(pEProcess);
	return Status;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint(("hello lyshark \n"));

	DWORD process_id = 4160;
	DWORD create_size = 1024;
	DWORD64 ref_address = 0;

	NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

	DbgPrint("对端进程: %d \n", process_id);
	DbgPrint("分配长度: %d \n", create_size);
	DbgPrint("分配的内核堆基址: %p \n", ref_address);

	Status = FreeMemory(process_id, create_size, ref_address);
	DbgPrint("销毁堆地址: %p \n", ref_address);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

编译并运行如上这段代码,代码会首先调用AllocMemory()函数实现分配堆,然后调用FreeMemory()函数销毁堆,并输出销毁地址,如下图所示;

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/527176.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MATLAB绘制动画(二)擦除动画

MATLAB绘制动画(二)擦除动画

如果我们在绘制图形之后将原有的图形擦除&#xff0c;并重新绘制&#xff0c;看上去就像动画了 示例: t 0; m [sin(t);cos(t)]; p plot(t,m,EraseMode,background,MarkerSize,5); x -1.5*pi; axis([x x2*pi -1.5 1.5]); grid onfor i 1:100t [t 0.1*i];m [m [sin(0.1*i…
阅读更多...
【LeetCode: 97. 交错字符串 | 暴力递归=>记忆化搜索=>动态规划 | 位置对应】

【LeetCode: 97. 交错字符串 | 暴力递归=>记忆化搜索=>动态规划 | 位置对应】

&#x1f680; 算法题 &#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜&#xff0c;…
阅读更多...
校园安全,一键报警主机助力保障

校园安全,一键报警主机助力保障

校园安全&#xff0c;一键报警主机助力保障 随着社会发展和科技进步&#xff0c;校园安全问题日益受到重视。如何保障师生们的安全成为了学校一项重要任务。而校园可视一键报警主机就是一种非常有效的安保设备。 这种报警主机集合了视频监控、安全防范、数据处理等多个功能&a…
阅读更多...
asm 加盘 udev 重启 导致网络异常

asm 加盘 udev 重启 导致网络异常

Network interface going down when dynamically adding disks to storage using udev in RHEL 6 (Doc ID 1569028.1)正在上传…重新上传取消To Bottom In this Document APPLIES TO: Oracle Database - Enterprise Edition - Version 11.2.0.3 and later Oracle Net Servi…
阅读更多...
阿里国际、Lazada、eBay如何提高转化率?测评养号优化方式是什么

阿里国际、Lazada、eBay如何提高转化率?测评养号优化方式是什么

转化率是卖家在分析复盘时非常关键的因素&#xff0c;转化率的高低直接影响着卖家目前的关键词listing或者商品描述是否符合&#xff0c;消费者的满意度。 1.调查获客&#xff0c;明确分析市场需求 这是在产品上架之前必须明确的重要环节。如果市场上对于一个产品接受率低&am…
阅读更多...
ChatGPT有中文版吗?

ChatGPT有中文版吗?

2023年最热的技术话题是什么&#xff1f;毫无疑问是人工智能&#xff0c;特别是AIGC领域。其中又以ChatGPT为最热门产品。ChatGPT是一个革命性的人工智能产品&#xff0c;能对我们的生产生活产生巨大的影响。然而&#xff0c;有网友担心ChatGPT是西方开发的AI工具&#xff0c;能…
阅读更多...
若依管理系统RuoYi-Vue:登录和鉴权的实现

若依管理系统RuoYi-Vue:登录和鉴权的实现

文章目录 摘要spring-boot-starter-security验证码生成是否开启验证码配置验证码类型CaptchaController的getCode来生成验证码 用户登录SysLoginController的login验证登录是否正确用户名密码是否正确Spring Security 的用户名密码验证机制在SecurityConfig中配置PasswordEncod…
阅读更多...
聚观早报|恒大公告许家印成被执行人;特斯拉回应召回超百万辆车

聚观早报|恒大公告许家印成被执行人;特斯拉回应召回超百万辆车

今日要闻&#xff1a;恒大公告&#xff1a;许家印成被执行人&#xff1b;特斯拉回应召回超百万辆车&#xff1b;ChatGPT联网插件下周开放票&#xff1b;天翼物联发布首个3AZ亿级物联网平台&#xff1b;苹果MR头显功能预计远超竞争对手 恒大公告&#xff1a;许家印成被执行人 12…
阅读更多...
【沐风老师】3DMAX一键种草插件GrassScatter使用方法详解

【沐风老师】3DMAX一键种草插件GrassScatter使用方法详解

GrassScatter for 3dMax一键种草插件使用教程 3DMAX一键种草插件GrassScatter&#xff0c;用于控制草的创建和散布&#xff0c;快速生成草坪&#xff01; 【版本要求】 3dMax2012及更高版本 【安装方法】 方法一&#xff1a;本插件无需安装&#xff0c;使用时直接拖动插件脚…
阅读更多...
什么是独享数据库(Database per Microservice)?解决了什么问题?

什么是独享数据库(Database per Microservice)?解决了什么问题?

独享数据库&#xff08;Database per Microservice&#xff09;是一种微服务架构模式&#xff0c;涉及为每个微服务创建单独的数据库。在这种模式下&#xff0c;每个微服务都有自己的数据库&#xff0c;这允许更大的可扩展性、灵活性和自治性。 使用这种模式&#xff0c;每个微…
阅读更多...
考考驾照(安卓)

考考驾照(安卓)

软件安装好后&#xff0c;不用注册登录直接就可以用&#xff0c;软件里主要包含有科目一&#xff0c;科目二&#xff0c;科目三&#xff0c;科目四等等学习的知识内容和一些技巧。 像科目一和科目四有考前须知&#xff0c;考试技巧&#xff0c;和学车流程&#xff0c;还有考试一…
阅读更多...
JavaScript学习-DOM事件基础

JavaScript学习-DOM事件基础

DOM事件基础 事件监听(绑定)事件监听案例&#xff1a;关闭广告随机点名案例事件监听版本 事件类型类型鼠标经过与鼠标离开轮播图完整版焦点事件键盘事件与文本事件评论字数统计 事件对象获取事件对象事件对象常用属性案例&#xff1a;评论回车发布 环境对象回调函数综合案例&am…
阅读更多...
MPLS格式和802.1q帧格式,ISL格式

MPLS格式和802.1q帧格式,ISL格式

一.MPLS IETF开发的多协议标记交换&#xff08;MPLS)把第2层的链路状态信息&#xff08;带宽、延迟、利用率等&#xff09;集成到第3层的协议数据单元中&#xff0c;从而简化和改进了第3层分组的交换过程 。理论上&#xff0c;MPLS支持任何第2层和第3层协议。MPLS包头的位置界…
阅读更多...
常见电子元器件

常见电子元器件

目录 常见电子元器件NTC(负温度系数热敏电阻)压敏电阻X2电容(抑制电源电磁干扰用电容器)泄放电阻共模电压共模电感整流桥滤波电容RCD吸收二极管Y电容整流器的原理输出整流肖特基二极管 功率晶体管&#xff08;GTR&#xff0c;三极管)双极型晶体管(BJT&#xff0c;三极管)MOSFET…
阅读更多...
Linux安装使用PostgreSQL

Linux安装使用PostgreSQL

安装PostgreSQL 开源数据库&#xff1a;PostgreSQL 在官网选择对应版本的安装包 https://www.postgresql.org/download/ 我的Linux系统是CentOS7 选择对应的系统 选择安装的版本、平台、架构 复制粘贴安装脚本运行 初始化后会创建一个用户postgres&#xff0c;一般开始…
阅读更多...
基于javaweb(springboot+mybatis)网上家具商城项目设计和实现以及文档报告

基于javaweb(springboot+mybatis)网上家具商城项目设计和实现以及文档报告

基于javaweb(springbootmybatis)网上家具商城项目设计和实现以及文档报告 博主介绍&#xff1a;5年java开发经验&#xff0c;专注Java开发、定制、远程、指导等,csdn特邀作者、专注于Java技术领域 作者主页 超级帅帅吴 Java项目精品实战案例《500套》 欢迎点赞 收藏 ⭐留言 文末…
阅读更多...
内存对齐为何会提高性能?

内存对齐为何会提高性能?

文章目录 前言一、内存对齐是什么&#xff1f;二、这一行是什么?高速缓存行: CacheLine为啥补齐到64? 总结 前言 著名的Java并发编发锁编程大师Doug lea在JDK 7的并发包里新增一个队列集合LinkedTransferQueue&#xff0c;它在使用volatile变量时&#xff0c;用一种追加字节…
阅读更多...
用于鲁棒分割的矢量量化

用于鲁棒分割的矢量量化

文章目录 Vector Quantisation for Robust Segmentation摘要本文方法Quantisation for RobustnessPerturbation Bounds 实验结果 Vector Quantisation for Robust Segmentation 摘要 背景 医学领域中分割模型的可靠性取决于模型对输入空间中扰动的鲁棒性。鲁棒性是医学成像中…
阅读更多...
读SQL进阶教程笔记16_SQL优化让SQL飞起来

读SQL进阶教程笔记16_SQL优化让SQL飞起来

1. 查询速度慢并不只是因为SQL语句本身&#xff0c;还可能是因为内存分配不佳、文件结构不合理等其他原因 1.1. 都是为了减少对硬盘的访问 2. 不同代码能够得出相同结果 2.1. 从理论上来说&#xff0c;得到相同结果的不同代码应该有相同的性能 2.2. 遗憾的是&#xff0c;查…
阅读更多...
MySQL 高级语句

MySQL 高级语句

实验准备&#xff1a; 第一张表&#xff1a; create table location (Region char(20),Store_Name char(20)); insert into location values(East,Boston); insert into location values(East,New York); insert into location values(West,Los Angeles); insert into location…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023