一、原理

在windbg中，我們通過CR3找到頁目錄表，通過頁目錄表找到頁表，期間使用的都是物理地址，物理地址在編程中是無法使用的。

我們在之前的學(xué)習(xí)中了解到頁目錄表和頁表的結(jié)構(gòu)和對應(yīng)關(guān)系，如圖：

我們知道了有一個線性地址 0xC0000000 指向了第一張頁表，也知道了線性地址 0xC0300000 指向了頁目錄表，它其實(shí)是第0x300張頁表。我們可以通過0xC0300000 找到任何一個線性地址的PDE，我們還知道1024張頁表在內(nèi)存中是連續(xù)的，這意味著我們可以通過 0xC0000000 找到任何一個 PTE。公式如下：

PDE = 0xC0300000 + PDI * 4
PTE = 0xC0000000 + PDI * 4KB + PTI * 4

PDI 是頁目錄表的下標(biāo)，PTI是頁表的下標(biāo)，分別對應(yīng)10-10-12的前兩個10.
解釋一下第二條公式，0xC0000000 + PDI * 4KB 是找到線性地址所在的頁表，為什么可以這樣做？因?yàn)轫摫淼木€性地址是連續(xù)的（但物理地址不連續(xù)），范圍是 0xC0000000 - 0xC03FFFFF。
找到頁表后，加上 PTI * 4 就能找到其頁表項(xiàng)PTE了。

二、實(shí)驗(yàn)

下面編寫一個程序，給NULL掛一個物理頁。

// ModifyPDE_PTE.cpp : Defines the entry point for the console application. // 10-10-12 分頁#include "stdafx.h" #include <Windows.h>typedef ULONG (WINAPI *DBGPRINT)(PCSTR Format,... );DBGPRINT DbgPrint = NULL;DWORD *GetPDE(DWORD addr) {DWORD PDI = addr>>22;DWORD PTI = (addr>>12)&0x000003FF;return (DWORD *)(0xC0300000 + PDI * 4); }DWORD *GetPTE(DWORD addr) {DWORD PDI = addr>>22;DWORD PTI = (addr>>12)&0x000003FF;return (DWORD *)(0xC0000000 + PDI * 0x1000 + PTI * 4); }DWORD *page;void __declspec(naked) R0Function() {__asm{push ebpmov ebp,espsub esp,0x1000pushadpushfd }// 給NULL掛物理頁__asm push fsDbgPrint("page PDE: %08X\n",*GetPDE((DWORD)page));DbgPrint("page PTE: %08X\n",*GetPTE((DWORD)page));DbgPrint("NULL PDE: %08X\n",*GetPDE(0));DbgPrint("NULL PTE: %08X\n",*GetPTE(0));DbgPrint("NULL掛物理頁...\n");*GetPDE(NULL) = *GetPDE((DWORD)page);*GetPTE(NULL) = *GetPTE((DWORD)page);DbgPrint("page PDE: %08X\n",*GetPDE((DWORD)page));DbgPrint("page PTE: %08X\n",*GetPTE((DWORD)page));DbgPrint("NULL PDE: %08X\n",*GetPDE(0));DbgPrint("NULL PTE: %08X\n",*GetPTE(0));__asm pop fs__asm{popfdpopadadd esp,0x1000mov esp,ebppop ebpiretd} }int _tmain(int argc, _TCHAR* argv[]) { page = (DWORD *)VirtualAlloc(NULL,0x1000,MEM_COMMIT,PAGE_READWRITE);memset(page,0,0x1000); // 掛物理頁DbgPrint = (DBGPRINT)GetProcAddress(LoadLibraryA("ntdll.dll"),"DbgPrint"); // 載入函數(shù)printf("在IDT表構(gòu)建中斷門，請?jiān)趙indbg中執(zhí)行下面的指令：\n");printf("eq 8003f500 %04xee00`0008%04x\n",(DWORD)R0Function>>16,(DWORD)R0Function & 0x0000FFFF);getchar();// 用中斷門提權(quán)，在R0讀寫PTE__asm int 0x20printf("NULL掛物理頁成功.\n");*(int*)NULL = 0x12345678;printf("%x\n", page[0]);getchar();return 0; }

運(yùn)行結(jié)果：

總結(jié)

以上是生活随笔為你收集整理的（22）通过代码修改PTE实现挂物理页的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。