在开始学习内核内存读写篇之前,我们先来实现一个简单的内存分配销毁堆的功能,在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间,一般而言内核中提供了ZwAllocateVirtualMemory这个函数用于专门分配虚拟空间,而与之相对应的则是ZwFreeVirtualMemory此函数则用于销毁堆内存,当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作,接下来LyShark将从API开始介绍如何运用这两个函数实现内存分配与使用,并以此来作为驱动读写篇的入门知识。

首先以内存分配为例ZwAllocateVirtualMemory()函数,该系列函数在ntifs.h头文件内,且如果需要使用则最好提前在程序头部进行声明,该函数的微软官方定义如下所示;

NTSYSAPI NTSTATUS ZwAllocateVirtualMemory(

  [in]      HANDLE    ProcessHandle,           // 进程句柄

  [in, out] PVOID     *BaseAddress,            // 指向将接收已分配页面区域基址的变量的指针

  [in]      ULONG_PTR ZeroBits,                // 节视图基址中必须为零的高顺序地址位数

  [in, out] PSIZE_T   RegionSize,              // 指向将接收已分配页面区域的实际大小

  [in]      ULONG     AllocationType,          // 包含指定要执行的分配类型的标志的位掩码

  [in]      ULONG     Protect                  // 包含页面保护标志的位掩码

);

参数ProcessHandle用于传入一个进程句柄此处我们可以通过NtCurrentProcess()获取到当前自身进程的句柄。

参数BaseAddress则用于接收分配堆地址的首地址,此处指向将接收已分配页面区域基址的变量的指针。

参数RegionSize则用于指定需要分配的内存空间大小,此参数的初始值指定区域的大小(以字节为单位)并向上舍入到下一个主机页大小边界。

参数AllocationType用于指定分配内存的属性,通常我们会用到的只有两种MEM_COMMIT指定为提交类型,MEM_PHYSICAL则用于分配物理内存,此标志仅用于地址窗口扩展AWE内存。 如果设置了MEM_PHYSICAL则还必须设置MEM_RESERVE不能设置其他标志,并且必须将保护设置为PAGE_READWRITE

参数Protect用于设置当前分批堆的保护属性,通常当我们需要分配一段可执行指令的内存空间时会使用PAGE_EXECUTE_READWRITE,如果无执行需求则推荐使用PAGE_READWRITE属性。

在对特定进程分配堆时第一步就是要切入到该进程的进程栈中,此时可通过KeStackAttachProcess()切换到进程栈,于此对应的是KeUnstackDetachProcess()脱离进程栈,这两个函数的具体定义如下;

// 附加到进程栈

void KeStackAttachProcess(

        PRKPROCESS   PROCESS,      // 传入EProcess结构

  [out] PRKAPC_STATE ApcState      // 指向KAPC_STATE结构的不透明指针

);

// 接触附加

void KeUnstackDetachProcess(

  [in] PRKAPC_STATE ApcState       // 指向KAPC_STATE结构的不透明指针

);

此处如果需要附加进程栈则必须提供该进程的PRKPROCESS也就是EProcess结构,此结构可通过PsLookupProcessByProcessId()获取到,该函数接收一个进程PID并将此PID转为EProcess结构,函数定义如下;

NTSTATUS PsLookupProcessByProcessId(

  [in]  HANDLE    ProcessId,          // 进程PID

  [out] PEPROCESS *Process            // 输出EP结构

);

基本的函数介绍完了,那么这段代码应该不难理解了,如下代码中需要注意一点,参数OUT PVOID Buffer用于输出堆地址而不是输入地址。

#include <ntifs.h>

#include <windef.h>

// 定义声明

NTSTATUS ZwAllocateVirtualMemory(

    __in HANDLE  ProcessHandle,

    __inout PVOID  *BaseAddress,

    __in ULONG_PTR  ZeroBits,

    __inout PSIZE_T  RegionSize,

    __in ULONG  AllocationType,

    __in ULONG  Protect

);

// 分配内存空间

NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    // 验证内存可读

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存

        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址

        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;

    DWORD create_size = 1024;

    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);

    DbgPrint("分配长度: %d \n", create_size);

    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行如上代码片段,则会在进程PID=4160中开辟一段堆空间,输出效果如下;

与创建堆相对ZwFreeVirtualMemory()则用于销毁一个堆,其微软定义如下所示;

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(

  [in]      HANDLE  ProcessHandle,    // 进程句柄

  [in, out] PVOID   *BaseAddress,     // 堆基址

  [in, out] PSIZE_T RegionSize,       // 销毁长度

  [in]      ULONG   FreeType          // 释放类型

);

相对于创建来说,销毁堆则必须传入堆空间BaseAddress基址,以及堆空间的RegionSize长度,需要格外注意FreeType参数,这是一个位掩码,其中包含描述ZwFreeVirtualMemory将为页面指定区域执行的任意操作类型。如果传入MEM_DECOMMIT则将取消提交页面的指定区域,页面进入保留状态。而如果设置为MEM_RELEASE则堆地址将被立即释放。

销毁堆空间FreeMemory()的完整代码如下所示,销毁是我们使用MEM_RELEASE参数即立即销毁。

#include <ntifs.h>

#include <windef.h>

// 申请堆

NTSTATUS ZwAllocateVirtualMemory(

    __in HANDLE  ProcessHandle,

    __inout PVOID  *BaseAddress,

    __in ULONG_PTR  ZeroBits,

    __inout PSIZE_T  RegionSize,

    __in ULONG  AllocationType,

    __in ULONG  Protect

);

// 销毁堆

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(

    __in      HANDLE  ProcessHandle,

    __inout PVOID   *BaseAddress,

    __inout PSIZE_T RegionSize,

    __in      ULONG   FreeType

);

// 分配内存空间

NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    // 验证内存可读

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存

        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址

        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

// 注销内存空间

NTSTATUS FreeMemory(IN ULONG ProcessPid, IN SIZE_T Length, IN PVOID BaseAddress)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

    return STATUS_UNSUCCESSFUL;

    }

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 释放内存

        Status = ZwFreeVirtualMemory(NtCurrentProcess(), &BaseAddress, &Length, MEM_RELEASE);

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;

    DWORD create_size = 1024;

    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);

    DbgPrint("分配长度: %d \n", create_size);

    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Status = FreeMemory(process_id, create_size, ref_address);

    DbgPrint("销毁堆地址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

编译并运行如上这段代码,代码会首先调用AllocMemory()函数实现分配堆,然后调用FreeMemory()函数销毁堆,并输出销毁地址,如下图所示;

3.1 Windows驱动开发:内核远程堆分配与销毁的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  5. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. POJ2965 The Pilots Brothers' refrigerator (精妙方法秒杀DFS BFS)

    这道题和算法进阶指南的一道题解法一样,必须另操作为奇数.见证明过程 证明:要使一个为'+'的符号变为'-',必须其相应的行和列的操作数为奇数;可以证明,如果'+'位置对应的行和列上每一个位置都进行一次 ...

  2. Vue-pdf实现在线预览PDF文件

    前言 在大多数项目中都会遇到在线预览PDF文件,项目使用的是element ui,使用vue-pdf实现. 安装依赖 npm install --save vue-pdf 相关参数 参数介绍: url ...

  3. Flume原理及使用案例

    本文为转载篇!原文: https://www.cnblogs.com/zhangyinhua/p/7803486.html https://www.cnblogs.com/ciade/p/549521 ...

  4. freeswitch透传带SDP的180

    概述 freeswitch是一款简单好用的VOIP开源软交换平台. freeswitch对于180/183的消息处理有默认的规则,但是在3GPP的标准中,消息流程会更加复杂,场景更多变. 这样就需要我 ...

  5. 机器学习-线性回归-损失函数+正则化regularization-06

    目录 1. 为什么要加上正则项 2 L1稀疏 L2平滑 3. 代码1--L2正则 4 代码2--L2正则2 5. 代码3--l1正则 6. ElasticNet 1. 为什么要加上正则项 防止模型的过 ...

  6. Spring Boot 中使用Caffeine缓存的简单例子

    Caffeine 缓存是 Java 的高性能缓存库.本文简单记录下 Caffeine 缓存的用法. 依赖配置 <dependencies> <dependency> <g ...

  7. SV interface and Program3

    时钟域的理解 在仿真过程中,时钟跳变的一瞬间,CPU将时间域划分为不同的时钟域执行不同的代码 信号在芯片中都是金属丝,在进行跳变的时候都是电容的充放电过程,通常使用时钟上升沿进行模拟,而不使用时钟下降 ...

  8. 【TouchGFX】实测工程所在路径深度不可超过10级(10级有效)

    实测环境 win10 64bit touchgfx designer 4.13.0

  9. [转帖]060-轻量级基于curl的seafile上传脚本

    https://anjia0532.github.io/2021/04/07/seafile-client-curl/ 这是坚持技术写作计划(含翻译)的第 60 篇,定个小目标 999,每周最少 2 ...

  10. [转帖]Linux的tmpfs和ramfs

    tmpfs tmpfs是一种虚拟内存文件系统, 它的存储空间在VM里面,现在大多数操作系统都采用了虚拟内存管理机制, VM(Virtual Memory) 是由Linux内核里面的VM子系统管理. V ...