在开始学习内核内存读写篇之前,我们先来实现一个简单的内存分配销毁堆的功能,在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间,一般而言内核中提供了ZwAllocateVirtualMemory这个函数用于专门分配虚拟空间,而与之相对应的则是ZwFreeVirtualMemory此函数则用于销毁堆内存,当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作,接下来LyShark将从API开始介绍如何运用这两个函数实现内存分配与使用,并以此来作为驱动读写篇的入门知识。

首先以内存分配为例ZwAllocateVirtualMemory()函数,该系列函数在ntifs.h头文件内,且如果需要使用则最好提前在程序头部进行声明,该函数的微软官方定义如下所示;

NTSYSAPI NTSTATUS ZwAllocateVirtualMemory(

  [in]      HANDLE    ProcessHandle,           // 进程句柄

  [in, out] PVOID     *BaseAddress,            // 指向将接收已分配页面区域基址的变量的指针

  [in]      ULONG_PTR ZeroBits,                // 节视图基址中必须为零的高顺序地址位数

  [in, out] PSIZE_T   RegionSize,              // 指向将接收已分配页面区域的实际大小

  [in]      ULONG     AllocationType,          // 包含指定要执行的分配类型的标志的位掩码

  [in]      ULONG     Protect                  // 包含页面保护标志的位掩码

);

参数ProcessHandle用于传入一个进程句柄此处我们可以通过NtCurrentProcess()获取到当前自身进程的句柄。

参数BaseAddress则用于接收分配堆地址的首地址,此处指向将接收已分配页面区域基址的变量的指针。

参数RegionSize则用于指定需要分配的内存空间大小,此参数的初始值指定区域的大小(以字节为单位)并向上舍入到下一个主机页大小边界。

参数AllocationType用于指定分配内存的属性,通常我们会用到的只有两种MEM_COMMIT指定为提交类型,MEM_PHYSICAL则用于分配物理内存,此标志仅用于地址窗口扩展AWE内存。 如果设置了MEM_PHYSICAL则还必须设置MEM_RESERVE不能设置其他标志,并且必须将保护设置为PAGE_READWRITE

参数Protect用于设置当前分批堆的保护属性,通常当我们需要分配一段可执行指令的内存空间时会使用PAGE_EXECUTE_READWRITE,如果无执行需求则推荐使用PAGE_READWRITE属性。

在对特定进程分配堆时第一步就是要切入到该进程的进程栈中,此时可通过KeStackAttachProcess()切换到进程栈,于此对应的是KeUnstackDetachProcess()脱离进程栈,这两个函数的具体定义如下;

// 附加到进程栈

void KeStackAttachProcess(

        PRKPROCESS   PROCESS,      // 传入EProcess结构

  [out] PRKAPC_STATE ApcState      // 指向KAPC_STATE结构的不透明指针

);

// 接触附加

void KeUnstackDetachProcess(

  [in] PRKAPC_STATE ApcState       // 指向KAPC_STATE结构的不透明指针

);

此处如果需要附加进程栈则必须提供该进程的PRKPROCESS也就是EProcess结构,此结构可通过PsLookupProcessByProcessId()获取到,该函数接收一个进程PID并将此PID转为EProcess结构,函数定义如下;

NTSTATUS PsLookupProcessByProcessId(

  [in]  HANDLE    ProcessId,          // 进程PID

  [out] PEPROCESS *Process            // 输出EP结构

);

基本的函数介绍完了,那么这段代码应该不难理解了,如下代码中需要注意一点,参数OUT PVOID Buffer用于输出堆地址而不是输入地址。

#include <ntifs.h>

#include <windef.h>

// 定义声明

NTSTATUS ZwAllocateVirtualMemory(

    __in HANDLE  ProcessHandle,

    __inout PVOID  *BaseAddress,

    __in ULONG_PTR  ZeroBits,

    __inout PSIZE_T  RegionSize,

    __in ULONG  AllocationType,

    __in ULONG  Protect

);

// 分配内存空间

NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    // 验证内存可读

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存

        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址

        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;

    DWORD create_size = 1024;

    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);

    DbgPrint("分配长度: %d \n", create_size);

    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行如上代码片段,则会在进程PID=4160中开辟一段堆空间,输出效果如下;

与创建堆相对ZwFreeVirtualMemory()则用于销毁一个堆,其微软定义如下所示;

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(

  [in]      HANDLE  ProcessHandle,    // 进程句柄

  [in, out] PVOID   *BaseAddress,     // 堆基址

  [in, out] PSIZE_T RegionSize,       // 销毁长度

  [in]      ULONG   FreeType          // 释放类型

);

相对于创建来说,销毁堆则必须传入堆空间BaseAddress基址,以及堆空间的RegionSize长度,需要格外注意FreeType参数,这是一个位掩码,其中包含描述ZwFreeVirtualMemory将为页面指定区域执行的任意操作类型。如果传入MEM_DECOMMIT则将取消提交页面的指定区域,页面进入保留状态。而如果设置为MEM_RELEASE则堆地址将被立即释放。

销毁堆空间FreeMemory()的完整代码如下所示,销毁是我们使用MEM_RELEASE参数即立即销毁。

#include <ntifs.h>

#include <windef.h>

// 申请堆

NTSTATUS ZwAllocateVirtualMemory(

    __in HANDLE  ProcessHandle,

    __inout PVOID  *BaseAddress,

    __in ULONG_PTR  ZeroBits,

    __inout PSIZE_T  RegionSize,

    __in ULONG  AllocationType,

    __in ULONG  Protect

);

// 销毁堆

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(

    __in      HANDLE  ProcessHandle,

    __inout PVOID   *BaseAddress,

    __inout PSIZE_T RegionSize,

    __in      ULONG   FreeType

);

// 分配内存空间

NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    // 验证内存可读

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存

        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址

        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

// 注销内存空间

NTSTATUS FreeMemory(IN ULONG ProcessPid, IN SIZE_T Length, IN PVOID BaseAddress)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

    return STATUS_UNSUCCESSFUL;

    }

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 释放内存

        Status = ZwFreeVirtualMemory(NtCurrentProcess(), &BaseAddress, &Length, MEM_RELEASE);

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;

    DWORD create_size = 1024;

    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);

    DbgPrint("分配长度: %d \n", create_size);

    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Status = FreeMemory(process_id, create_size, ref_address);

    DbgPrint("销毁堆地址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

编译并运行如上这段代码,代码会首先调用AllocMemory()函数实现分配堆,然后调用FreeMemory()函数销毁堆,并输出销毁地址,如下图所示;

3.1 Windows驱动开发:内核远程堆分配与销毁的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  5. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. 阿里云视频云「 vPaaS 」演绎了怎样的音视频应用开发「未来图景」?

    vPaaS是阿里云视频云最新推出的低代码音视频应用开发产品,其中,vPaaS低代码音视频工厂,彻底打破了音视频应用的繁冗技术开发壁垒:vPaaS视频原生应用开发平台,全新定义了音视频应用的开发方式. ...

  2. DS | 一维数组 & 二维数组 & 对称矩阵 & 三角矩阵 & 三对角矩阵地址的计算

    一维数组的地址计算 设每个元素的大小是 \(size\),首元素的地址是 \(a[1]\) ,则 a[i] = a[1] + (i-1)*size 若首元素的地址是 \(a[0]\) 则a[i] = ...

  3. 【每日一题】26.codeJan与旅行 (贪心)

    补题链接:Here 算法涉及:贪心 思路: 首先,我们处在p位置,显然要么向左走到相邻的城市,要么向右走走到相邻的城市. 有一个不会证明但观察到的结论,从这两个位置走的话,只有四种可能. 可能1:一直 ...

  4. RPC与Http的区别

    一.远程调用方式 无论是微服务还是分布式服务(都是SOA,都是面向服务编程),都面临着服务间的远程调用.那么服务间的远程调用方式有哪些呢? 常见的远程调用方式有以下几种: RPC:Remote Pro ...

  5. 广州|阿里云 Serverless 技术实战营邀你来玩!

    活动简介 "Serverless 技术实战与创新沙龙 " 是一场以 Serverless 为主题的开发者活动,活动受众以关注Serverless 技术的开发者.企业决策人.云原生领 ...

  6. sipp3.6 on centos7安装部署

    概述 在VOIP软交换的开发过程中,必然需要对软交换进行批量压测. SIP压测工具一般都是sipp,免费,开源,功能足够强大,配置灵活,优点多. 环境 centos7.9 cmake3.6 sipp ...

  7. MINGW64 禁用 Bash 路径参数转换

    MINGW64 可以让 Windows 无缝使用 Linux 命令,但是路径参数会被转换为 Windows 风格.例如: $ ./adb shell ls /system ls: C:/Program ...

  8. 机器学习-无监督机器学习-SVD奇异值分解-24

    [POC] 1. 奇异值分解的本质 特征值分解只能够对于方阵提取重要特征, Ax=λx λ为特征值 x为对应的特征向量 奇异值分解可以对于任意矩阵: 注意看中间的矩阵是一个对角矩阵,颜色越深越起作用- ...

  9. 存储器(Memory)

    存储器(Memory) 通信领域中有很多重要的部分,比如基带.射频芯片,存储器. 1.存储器是什么?和内存如何进行区分? 作为数据的载体,存储器是任何电子设备中都必不可少的单元.由于存储器之间相似的名 ...

  10. Java开发者的Python进修指南:JSON利器之官方json库、demjson和orjson的实用指南

    JSON JSON作为目前最流行的传输格式,在Python中也有相应的实现方式.由于JSON格式的文本可以跨平台并且简单易用,因此被广泛传播.因此,我们今天的主要讨论内容是如何熟练地应用Python的 ...