保护模式篇——PAE分页

写在前面

  此系列是本人一个字一个字码出来的，包括示例和实验截图。由于系统内核的复杂性，故可能有错误或者不全面的地方，如有错误，欢迎批评指正，本教程将会长期更新。 如有好的建议，欢迎反馈。码字不易，如果本篇文章有帮助你的，如有闲钱，可以打赏支持我的创作。如想转载，请把我的转载信息附在文章后面，并声明我的个人信息和本人博客地址即可，但必须事先通知我。

你如果是从中间插过来看的，请仔细阅读 羽夏看Win系统内核——简述 ，方便学习本教程。

  看此教程之前，问几个问题，基础知识储备好了吗？上一节教程学会了吗？上一节课的练习做了吗？没有的话就不要继续了。

 

---

华丽的分割线

---

 

练习及参考

本次答案均为参考，可以与我的答案不一致，但必须成功通过。

1️⃣ 拆两个进程的4GB物理页。

点击查看答案

---

  自己拆吧，也不是真让你把所有的都拆了。这玩意建议还是写个驱动来进行拆解。不过我的教程没写，之后才会讲解。故拆几个比较有特点的就行了，之后学了驱动后可以回来再把这道题给完整地做了。

  首先讨论我们怎么拆，一个物理页有4KB的大小，如果线性地址在同一个物理页，那么它的高20位一定是相同的。故如果完整的拆完，我们需要拆0x1000 * n线性地址。怎么拆已经给你说明白了。

  需要拆解的线性地址类型：0x0 - 0x10000 和 0x10000 - 0x7FFFFFFF 和 高2G三部分，每个部分拆解2-3个即可。这里就不拆了。

---

2️⃣ 定义一个只读类型的变量，再另一个线性地址指向相同的物理页，通过修改PDE/PTE属性，实现可写。

点击查看答案

---

  这题目说实话还是有一些坑，主要是独自编写验证代码上。可以点击下方“查看代码”进行查看。

  首先运行我们的代码，报内存访问错误，这个是正常现象，因为它在所谓的常量区。

  先让它跑起来，看到常量所在的线性地址，如下图所示：

  然后我们拆分线性地址，为了图省事，可以用计算器或者自己写个工具。如下图所示：

  然后转到WinDbg中，找到它的进程结构体，找到CR3：

  根据10-10-12分页结构进行查看，最终看到如下图所示结果：

  最后发现是因PTE属性限制导致数据无法修改，故用!ed 41795088 410e4027修改它，使它具有可写属性。

  然后我们就能成功的访问常量只读地址了：

---

 

点击查看代码

#include "stdafx.h"

const int test = 5;

int main(int argc, char* argv[])
{
    int* tmp=(int*)&test;
    printf("%p\n",tmp);
    *tmp=8;
    printf("%d\n",*tmp);
    return 0;
}

3️⃣ 分析0x8043F00C线性地址的PDE属性。

点击查看答案

---

  在虚拟机打开一个notepad进程，然后转到Windbg暂停虚拟机找到它的CR3（我的是0x1b262000）。然后输入!dd 1b262000+0x201*4找到该线性地址对应的PDE，值为004001e3，故该PDE为一个大页，有效可写，并为仅超级用户可用，是全局的，且被访问过和写过。

---

4️⃣ 修改一个高2G线性地址的PDE/PTE属性，实现Ring3可读。

点击查看答案

---

  既然是做了第三题了，那我们直接拿第三题给的线性地址开刀好了。首先必须在合适的地方下断点，运行我们的代码，获取的CR3是4a818000，故!dd 4a818000+0x201*4得到PDE后值为004001e3，但为了更好的实验，故把它指向的物理页的偏移的值改为0x1234。那么如何改呢？这个是个大页，故后22位直接是物理页的偏移。故!ed 0043F00C 1234即可。

  然后我们继续进行检验，如下图所示：

  4660就是16进制的0x1234，故实验成功。

---

 

点击查看代码

#include "stdafx.h"
#include <iostream>

int main(int argc, char* argv[])
{

    int* test=(int*)0x8043F00C;

    printf("读取到值了：%d",*test);
    system("pause");
    return 0;
}

5️⃣在0线性地址挂上物理页并执行shellcode调用MessageBox。

点击查看答案

---

  这道题还是有一点坑，不过坑不太深，自己能跳出来。代码我提供了且有注释，自己打开看看。

  通过查看0 地址不能访问是因为没有正确的PTE，如果挂上正确的PTE，那么这个地址就可以访问了。那我们开始用代码进行试验。首先在合适的地方下断点，运行我们的代码，获取的CR3是3daa3000，且申请的一个物理页的地址是0x3D0000。故按照分页模式找到物理页的PTE，值为3db54067。然后把它填到0 地址的地方。

  然后我们继续进行检验，如下图所示：

  我们成功弹出了一个信息框，故实验成功。

---

 

点击查看代码

#include "stdafx.h"
#include <iostream>
#include <windows.h>

char shellcode[]={
    0x6A,0x00,        //PUSH 0
    0x6A,0x00,        //PUSH 0
    0x6A, 0x00 ,      //PUSH 0
    0x6A ,0x00 ,      //PUSH 0
    0xB8, 0x00 ,0x00 ,0x00, 0x00 ,    //MOV EAX,0000
    0xFF, 0xD0 ,        //CALL EAX
    0xC3    //RET
};

int main(int argc, char* argv[])
{

    int msgbox=(int)MessageBoxW;
    *(int*)&shellcode[9]=msgbox;

    //我们并不能直接把 shellcode 的 PTE 挂到 0 地址上。
    //因为还有偏移，需要单独申请一个独立的物理页。
    LPVOID scaddr = VirtualAlloc(NULL,1024,MEM_COMMIT,PAGE_READWRITE);
    memcpy(scaddr,shellcode,sizeof(shellcode));

    printf("Shellcode物理页：%p\n",scaddr);

    //下断点，挂物理页
    _asm
    {
        mov eax,0;
        call eax;
    }

    system("pause");
    return 0;
}

6️⃣ 逆向分析MmIsAddressValid函数。

点击查看答案

---

  本题目主要目的是为了如何查询PDE和PTE。逆向参考结果如下：

---

PAE 分页

  PAE分页是啥，其实他就是2-9-9-12分页的英文缩写。为什么要有2-9-9-12分页，其实还是物理页不够用了，需要扩展。但想要足够的物理页，位数在那里，你想大也大不了。那么我就需要扩展物理页地址的位数，于是乎2-9-9-12分页诞生了，它整体分页的结构如下：

  与10-10-12分页不同的地方就是，多了一层名为页目录指针表的东西，英文缩写为PDPTT。每个PDE和PTE被扩展为8个字节，物理地址描述的位数扩展为24位，故可以描述更多的物理页，下面详细查看它们的结构。

  首先看PDPTT的结构。由2-9-9-12的2可知第一部分由两位二进制组成，那么最多有4种结果。也就是为什么有五个成员，它的结构如下图所示：

  然后是`PDE`，既然学过了`10-10-12`分页，直接看下面的结构示意图吧：

非大页

大页

  然后是PTE，同理不多说了：

  我们之前做一道作业题目知道，我写的shellcode写到一个页上，它并没有执行权限，但它不是代码，仍然可以被我执行。为了弥补这个漏洞，Intel给我们补了一个硬件层面上的漏洞，它是一个位，处于PDE和PTE的最高位，如下图所示：

  如果最高位是1，说明被保护。如果这个是数据，且这个X位被置为1，则会被报出异常不能执行。反之，和正常的10-10-12分页没什么两样。

  一个进程的线性地址仍是4GB的线性空间，有再多的物理页有啥用呢？在10-10-12分页下，假设进程一启动，就把所有的物理页都挂上，且没有任何交换。那么只能启动一个；如果在2-9-9-12分页下，同样的情况，它可以启动4个进程。这个就是2-9-9-12分页的意义。

  Windows也提供了基于硬件层面X位的保护，如下图所示：

  可以看出你自己写的普通程序压根和这个位无缘，但是还以启用的。但是有些打开之后发现提出不支持基于硬件的保护，那是因为虚拟机没开这个选项，如下图所示，转中如下图选项即可：

练习

由于本节内容和10-10-12分页相似，答案不会提供，自己实现，务必把本节练习做完后看下一个讲解内容。不要偷懒，实验是学习本教程的捷径。

  俗话说得好，光说不练假把式，如下是本节相关的练习。如果练习没做好，就不要看下一节教程了，越到后面，不做练习的话容易夹生了，开始还明白，后来就真的一点都不明白了。本节练习比较多，请保质保量的完成。

1️⃣ 定义一个只读类型的变量，再另一个线性地址指向相同的物理页，通过修改PDE/PTE属性，实现可写。

2️⃣ 自己实验有和没有DEP保护的程序，看看效果。（本题将在下一篇提供参考）

3️⃣ 修改一个高2G线性地址的PDE/PTE属性，实现Ring3可读。

4️⃣ 在0线性地址挂上物理页并执行shellcode调用MessageBox。

5️⃣ 逆向分析MmIsAddressValid函数。

下一篇

  保护模式篇——TLB与CPU缓存