在开始学习内核内存读写篇之前,我们先来实现一个简单的内存分配销毁堆的功能,在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间,一般而言内核中提供了ZwAllocateVirtualMemory这个函数用于专门分配虚拟空间,而与之相对应的则是ZwFreeVirtualMemory此函数则用于销毁堆内存,当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作,接下来LyShark将从API开始介绍如何运用这两个函数实现内存分配与使用,并以此来作为驱动读写篇的入门知识。

首先以内存分配为例ZwAllocateVirtualMemory()函数,该系列函数在ntifs.h头文件内,且如果需要使用则最好提前在程序头部进行声明,该函数的微软官方定义如下所示;

NTSYSAPI NTSTATUS ZwAllocateVirtualMemory(

  [in]      HANDLE    ProcessHandle,           // 进程句柄

  [in, out] PVOID     *BaseAddress,            // 指向将接收已分配页面区域基址的变量的指针

  [in]      ULONG_PTR ZeroBits,                // 节视图基址中必须为零的高顺序地址位数

  [in, out] PSIZE_T   RegionSize,              // 指向将接收已分配页面区域的实际大小

  [in]      ULONG     AllocationType,          // 包含指定要执行的分配类型的标志的位掩码

  [in]      ULONG     Protect                  // 包含页面保护标志的位掩码

);

参数ProcessHandle用于传入一个进程句柄此处我们可以通过NtCurrentProcess()获取到当前自身进程的句柄。

参数BaseAddress则用于接收分配堆地址的首地址,此处指向将接收已分配页面区域基址的变量的指针。

参数RegionSize则用于指定需要分配的内存空间大小,此参数的初始值指定区域的大小(以字节为单位)并向上舍入到下一个主机页大小边界。

参数AllocationType用于指定分配内存的属性,通常我们会用到的只有两种MEM_COMMIT指定为提交类型,MEM_PHYSICAL则用于分配物理内存,此标志仅用于地址窗口扩展AWE内存。 如果设置了MEM_PHYSICAL则还必须设置MEM_RESERVE不能设置其他标志,并且必须将保护设置为PAGE_READWRITE

参数Protect用于设置当前分批堆的保护属性,通常当我们需要分配一段可执行指令的内存空间时会使用PAGE_EXECUTE_READWRITE,如果无执行需求则推荐使用PAGE_READWRITE属性。

在对特定进程分配堆时第一步就是要切入到该进程的进程栈中,此时可通过KeStackAttachProcess()切换到进程栈,于此对应的是KeUnstackDetachProcess()脱离进程栈,这两个函数的具体定义如下;

// 附加到进程栈

void KeStackAttachProcess(

        PRKPROCESS   PROCESS,      // 传入EProcess结构

  [out] PRKAPC_STATE ApcState      // 指向KAPC_STATE结构的不透明指针

);

// 接触附加

void KeUnstackDetachProcess(

  [in] PRKAPC_STATE ApcState       // 指向KAPC_STATE结构的不透明指针

);

此处如果需要附加进程栈则必须提供该进程的PRKPROCESS也就是EProcess结构,此结构可通过PsLookupProcessByProcessId()获取到,该函数接收一个进程PID并将此PID转为EProcess结构,函数定义如下;

NTSTATUS PsLookupProcessByProcessId(

  [in]  HANDLE    ProcessId,          // 进程PID

  [out] PEPROCESS *Process            // 输出EP结构

);

基本的函数介绍完了,那么这段代码应该不难理解了,如下代码中需要注意一点,参数OUT PVOID Buffer用于输出堆地址而不是输入地址。

#include <ntifs.h>

#include <windef.h>

// 定义声明

NTSTATUS ZwAllocateVirtualMemory(

    __in HANDLE  ProcessHandle,

    __inout PVOID  *BaseAddress,

    __in ULONG_PTR  ZeroBits,

    __inout PSIZE_T  RegionSize,

    __in ULONG  AllocationType,

    __in ULONG  Protect

);

// 分配内存空间

NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    // 验证内存可读

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存

        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址

        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;

    DWORD create_size = 1024;

    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);

    DbgPrint("分配长度: %d \n", create_size);

    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行如上代码片段,则会在进程PID=4160中开辟一段堆空间,输出效果如下;

与创建堆相对ZwFreeVirtualMemory()则用于销毁一个堆,其微软定义如下所示;

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(

  [in]      HANDLE  ProcessHandle,    // 进程句柄

  [in, out] PVOID   *BaseAddress,     // 堆基址

  [in, out] PSIZE_T RegionSize,       // 销毁长度

  [in]      ULONG   FreeType          // 释放类型

);

相对于创建来说,销毁堆则必须传入堆空间BaseAddress基址,以及堆空间的RegionSize长度,需要格外注意FreeType参数,这是一个位掩码,其中包含描述ZwFreeVirtualMemory将为页面指定区域执行的任意操作类型。如果传入MEM_DECOMMIT则将取消提交页面的指定区域,页面进入保留状态。而如果设置为MEM_RELEASE则堆地址将被立即释放。

销毁堆空间FreeMemory()的完整代码如下所示,销毁是我们使用MEM_RELEASE参数即立即销毁。

#include <ntifs.h>

#include <windef.h>

// 申请堆

NTSTATUS ZwAllocateVirtualMemory(

    __in HANDLE  ProcessHandle,

    __inout PVOID  *BaseAddress,

    __in ULONG_PTR  ZeroBits,

    __inout PSIZE_T  RegionSize,

    __in ULONG  AllocationType,

    __in ULONG  Protect

);

// 销毁堆

NTSYSAPI NTSTATUS ZwFreeVirtualMemory(

    __in      HANDLE  ProcessHandle,

    __inout PVOID   *BaseAddress,

    __inout PSIZE_T RegionSize,

    __in      ULONG   FreeType

);

// 分配内存空间

NTSTATUS AllocMemory(IN ULONG ProcessPid, IN SIZE_T Length, OUT PVOID Buffer)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    PVOID BaseAddress = NULL;

    // 通过进程PID得到进程EProcess

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    // 验证内存可读

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 分配内存

        Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &BaseAddress, 0, &Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

        RtlZeroMemory(BaseAddress, Length);

        // 返回内存地址

        *(PVOID*)Buffer = BaseAddress;

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

// 注销内存空间

NTSTATUS FreeMemory(IN ULONG ProcessPid, IN SIZE_T Length, IN PVOID BaseAddress)

{

    NTSTATUS Status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    KAPC_STATE ApcState = { 0 };

    Status = PsLookupProcessByProcessId((HANDLE)ProcessPid, &pEProcess);

    if (!NT_SUCCESS(Status) && !MmIsAddressValid(pEProcess))

    {

    return STATUS_UNSUCCESSFUL;

    }

    if (!MmIsAddressValid(pEProcess))

    {

        return STATUS_UNSUCCESSFUL;

    }

    __try

    {

        // 附加到进程栈

        KeStackAttachProcess(pEProcess, &ApcState);

        // 释放内存

        Status = ZwFreeVirtualMemory(NtCurrentProcess(), &BaseAddress, &Length, MEM_RELEASE);

        // 脱离进程栈

        KeUnstackDetachProcess(&ApcState);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        KeUnstackDetachProcess(&ApcState);

        Status = STATUS_UNSUCCESSFUL;

    }

    ObDereferenceObject(pEProcess);

    return Status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint(("hello lyshark \n"));

    DWORD process_id = 4160;

    DWORD create_size = 1024;

    DWORD64 ref_address = 0;

    NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

    DbgPrint("对端进程: %d \n", process_id);

    DbgPrint("分配长度: %d \n", create_size);

    DbgPrint("分配的内核堆基址: %p \n", ref_address);

    Status = FreeMemory(process_id, create_size, ref_address);

    DbgPrint("销毁堆地址: %p \n", ref_address);

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

编译并运行如上这段代码,代码会首先调用AllocMemory()函数实现分配堆,然后调用FreeMemory()函数销毁堆,并输出销毁地址,如下图所示;

3.1 Windows驱动开发:内核远程堆分配与销毁的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  5. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. L2-007 家庭房产 (25 分) (并查集)

    给定每个人的家庭成员和其自己名下的房产,请你统计出每个家庭的人口数.人均房产面积及房产套数. 输入格式: 输入第一行给出一个正整数N(≤1000),随后N行,每行按下列格式给出一个人的房产: 编号 父 ...

  2. 无需代码绘制人工神经网络ANN模型结构图的方法

      本文介绍几种基于在线网页或软件的.不用代码的神经网络模型结构可视化绘图方法.   之前向大家介绍了一种基于Python第三方ann_visualizer模块的神经网络结构可视化方法,大家可以直接点 ...

  3. RSAC创新沙盒十强出炉,这家SCA公司火了

    引言 近日,全球网络安全行业创新风向标RSAC创新沙盒公布了本年度入围十强的名单,软件供应链安全企业Endor Labs凭借基于依赖关系建立应用开发生命周期的解决方案获得了广泛关注. Endor La ...

  4. vue3调用高德地图,实现地址,经纬度填写

    父组件引用高德地图: 1 <template> 2 <div class="wrapper"> 3 <div class="box" ...

  5. C++中不支持strdup(),使用_strdup()

    1.问题 C4996 'strdup': The POSIX name for this item is deprecated. Instead, use the ISO C and C++ conf ...

  6. java - 数组降序输出

    package array; import java.util.Arrays; /** * 降序 */ public class Reverse { public static void main(S ...

  7. 梳理Langchain-Chatchat知识库API接口

    一.Langchain-Chatchat 知识库管理 1.Langchain-Chatchat 对话和知识库管理界面   Langchain-Chatchat v0.28 完整的界面截图,如下所示: ...

  8. TiKV 服务部署的注意事项

    TiKV 服务部署的注意事项 背景 最近发现tikv总是会掉线 不知道是哪里触发了啥样子的bug. 所以想着使用systemd 管理一下, 至少在tikv宕机的时候能够拉起来服务. 二进制文件 pd- ...

  9. [转帖]Linux内核参数 rp_filter

    https://www.cnblogs.com/chenmh/p/6001977.html 简介 rp_filter (Reverse Path Filtering)参数定义了网卡对接收到的数据包进行 ...

  10. [转帖]性能测试工具netperf安装使用

    https://blog.51cto.com/dingtongxue1990/1853714 netperf工具使用 一.安装 1,下载 liunx下载地址:ftp://ftp.netperf.org ...