原文发表于百度空间,2010-01-02
==========================================================================

玩过Shadow SSDT Hook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个GUI进程。
问题一:为什么System进程里无法访问win32k.sys呢?
某同学的说法,"在System进程和非GUI进程里,win32k.sys被页换出了,所以无法访问"
win32k.sys作为GUI服务例程的载体,NtGdiXxxx,NtUserXxxx等GUI服务例程调用极其频繁。
所以,不管使用何种页置换算法,win32k几乎都不可能被页换出,因为它的使用频率太高了
真正的原因是因为win32k所占用的地址范围在System进程的页目录中没有相应的描述,也就是对应的PTE是无效的
下面来观察之:
先取得win32k.sys的地址:

可以知道模块地址为bf800000
下面切换到System进程空间:
kd> dt _EPROCESS 823a7660 ImageFileName
ntdll!_EPROCESS
   +0x174 ImageFileName : [16] "System"
kd> .process /i 823a7660 
kd> g
Break instruction exception - code 80000003 (first chance)
nt!RtlpBreakWithStatusInstruction:
80527da8 cc              int     3
kd> db bf800000
bf800000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
kd> !pte bf800000
               VA bf800000
PDE at 00000000C0602FE0    PTE at 00000000C05FC000
contains 0000000000000000
可以看到win32k无法访问,而且PTE是无效的。
切换到csrss.exe看看:
kd> dt _EPROCESS 8235ada0 ImageFileName
ntdll!_EPROCESS
   +0x174 ImageFileName : [16] "csrss.exe"
kd> .process /i 8235ada0 
kd> g
Break instruction exception - code 80000003 (first chance)
nt!RtlpBreakWithStatusInstruction:
80527da8 cc              int     3
kd> db bf800000
bf800000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ..............
bf800010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......
bf800020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
bf800030 00 00 00 00 00 00 00 00-00 00 00 00 e0 00 00 00 ................
bf800040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th
bf800050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno
bf800060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS 
bf800070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$.......
kd> !pte bf800000
               VA bf800000
PDE at 00000000C0602FE0    PTE at 00000000C05FC000
contains 00000000047BB063 contains 0000000005AA8221
pfn 47bb ---DA--KWEV    pfn 5aa8 C---A--KREV
清清楚楚,就是PTE的问题。由于System进程中该地址的PTE无效,使得我们明明知道这个地址,但就是无法访问。
问题二:为什么一定要切换到一个GUI进程空间?
我们可能都是这样认为的:GUI进程要调用GUI服务例程,而这些服务例程都在win32k.sys中,就必然会访问win32k.sys,所以win32k.sys的地址范围在GUI进程中必然是可以访问的。这个逻辑没有错误。按照这个逻辑来推断,一个没有任何GUI的进程空间里,是无法访问win32k.sys的。事实当真如此吗?
来切换到lsass.exe进程看看,这个进程负责本地安全认证,并没有任何GUI。
kd> dt _EPROCESS 821e6348 ImageFileName
ntdll!_EPROCESS
   +0x174 ImageFileName : [16] "lsass.exe"
kd> .process /i 821e6348 
kd> g
Break instruction exception - code 80000003 (first chance)
nt!RtlpBreakWithStatusInstruction:
80527da8 cc              int     3
kd> db bf800000
bf800000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ..............
bf800010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......
bf800020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
bf800030 00 00 00 00 00 00 00 00-00 00 00 00 e0 00 00 00 ................
bf800040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th
bf800050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno
bf800060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS 
bf800070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$.......
kd> !pte bf800000
               VA bf800000
PDE at 00000000C0602FE0    PTE at 00000000C05FC000
contains 00000000047BB063 contains 0000000005AA8221
pfn 47bb ---DA--KWEV    pfn 5aa8 C---A--KREV
可以清楚地看到,在一个非GUI进程中也可以访问!
又有同学说了,本来非GUI进程是无法访问win32k.sys的,可能是因为某个线程调用了GUI服务,导致产生了某种转换,使得win32k在一个非GUI进程里可以访问。
实际上,完成这个转换的函数就是PsConvertToGuiThread
但是PsConvertToGuiThread实际上只做了两件事,一是给当前线程使用新的更大的内核栈空间,另外就是把KTHREAD->ServiceTable由KeServiceDescriptorTable切换为KeServiceDescriptorTableShadow。PsConvertToGuiThread完成这个切换之后,就可以正常调用Shadow SSDT中的GUI服务了,也就说,这当中并没有一个过程来完成向当前进程页目录中添加win32k.sys的地址对应的PTE这个过程,由此推断,当一个进程刚出生的时候,win32k.sys的地址就已经在页目录中有描述了,此时就已经可以访问。
空口无凭,实验观察之:
下一个PspCreateProcess断点,当此函数成功返回时,进程已经创建并插入PsActiveProcessLink中,来看一下
PROCESS 82161030 SessionId: 0 Cid: 0344    Peb: 7ffd5000 ParentCid: 02b0
    DirBase: 044402a0 ObjectTable: e20ae7b8 HandleCount:   1.
    Image: 
此时进程已经创建,但是还未创建第一个线程,我们在第一个线程运行时断下来。
可以看一下调用栈,此时这个线程刚刚出生,还未调用任何SSDT服务或Shadow SSDT服务.
kd> kvn
# ChildEBP RetAddr Args to Child              
00 f8acbd20 80660017 00000007 8055b140 8055b1fc nt!RtlpBreakWithStatusInstruction (FPO: [1,0,0])
01 f8acbd74 80534dd0 00000000 00000000 823a4030 nt!ExpDebuggerWorker+0x91 (FPO: [Non-Fpo])
02 f8acbdac 805c5a28 00000000 00000000 00000000 nt!ExpWorkerThread+0x100 (FPO: [Non-Fpo])
03 f8acbddc 80541fa2 80534cd0 00000001 00000000 nt!PspSystemThreadStartup+0x34 (FPO: [Non-Fpo])
04 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16
来访问下win32k.sys看看:
kd> db bf800000
bf800000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ..............
bf800010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......
bf800020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
bf800030 00 00 00 00 00 00 00 00-00 00 00 00 e0 00 00 00 ................
bf800040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th
bf800050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno
bf800060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS 
bf800070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$.......
kd> !pte bf800000
               VA bf800000
PDE at 00000000C0602FE0    PTE at 00000000C05FC000
contains 00000000047BB063 contains 0000000005AA8221
pfn 47bb ---DA--KWEV    pfn 5aa8 C---A--KREV
完全可以正常访问!也就是说,在进程刚创建完成的时候,win32k.sys的地址就已经可以访问了,并不存在某种切换。而这个进程是系统自带的,一个标准的CUI程序。
MJ说win32k.sys和Session有关,也就是说,win32k.sys在Session Leader(Csrss.exe)及属于该Session的任何一个进程空间中都可以访问。
WindowsXP下系统服务和第一个登录用户共享同一个Session,即Session 0,Vista/Win7中采用了Session隔离,系统服务使用Session 0,第一个用户使用Session 1,其它依次类推。
在这两种系统中,都是遵守这个规则的。但是有一个特殊的不属于任何Session的进程,就是Session Manager(Smss.exe)。
切换到Smss.exe进程空间看一看:
kd> dt _EPROCESS 822474e0 ImageFileName
ntdll!_EPROCESS
   +0x174 ImageFileName : [16] "smss.exe"
kd> .process /i 822474e0 
kd> g
Break instruction exception - code 80000003 (first chance)
nt!RtlpBreakWithStatusInstruction:
80527da8 cc              int     3
kd> db bf800000
bf800000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
kd> !pte bf800000
               VA bf800000
PDE at 00000000C0602FE0    PTE at 00000000C05FC000
contains 0000000000000000
在Session Manager的进程空间中,win32k.sys也是无法访问的,因为它不属于任何一个Session.
观察一下进程可以看到了:

也就是说,除了System进程和Smss进程,在其它任何一个属于某个Session进程内都可以访问win32k.sys,并非只有GUI进程才能访问。

PS:感谢某同学打破砂锅问到底的精神,才使我没有继续错下去。

【旧文章搬运】为什么win32k.sys在System进程空间无法访问的更多相关文章

  1. 【旧文章搬运】Windows内核常见数据结构(进程相关)

    原文发表于百度空间,2008-7-24========================================================================== 进程的相关结 ...

  2. 【旧文章搬运】关于NtUserBuildHwndList的一点记录~

    原文发表于百度空间,2011-04-07========================================================================== 该函数与r ...

  3. 【旧文章搬运】Idle进程相关的一些东西

    原文发表于百度空间,2009-05-13========================================================================== Idle进 ...

  4. 【旧文章搬运】Windows句柄表格式

    原文发表于百度空间,2009-02-28========================================================================== 句柄是Wi ...

  5. 【旧文章搬运】360安全卫士HookPort.sys完美逆向

    原文发表于百度空间,2009-11-08 这是第一次逆向一个企业级安全产品的核心代码,并完美替换原驱动正常工作============================================= ...

  6. 【旧文章搬运】深入分析Win7的对象引用跟踪机制

    原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm============================ ...

  7. 【旧文章搬运】KeUserModeCallback用法详解

    原文发表于百度空间及看雪论坛,2010-01-10 看雪论坛地址:https://bbs.pediy.com/thread-104918.htm  代码及附件可到这里下载=============== ...

  8. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  9. 【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具

    原文发表于百度空间,2009-01-09========================================================================== 今天又想起 ...

随机推荐

  1. C++错误——”无法启动程序”…\xxx.exe” 系统找不到指定的文件”

    背景 在VS2010环境下,升级了一个用C++编写的程序,编译生成成功,但是,不能在VS中直接运行(可以通过打开debug文件目录的exe应用程序运行),提示以下错误:”无法启动程序”…\xxx.ex ...

  2. 实例讲解SVN分支和合并问题(转)

    本节向大家简单描述一下SVN分支和合并方面的知识,在学习SVN的过程中SVN分支和合并时经常遇到的问题,在这里和大家分享一下,希望本文对大家有用. 关于主线同SVN分支合并的概念及如何使用的误区此问题 ...

  3. 浅析嵌入式C优化技巧

    嵌入式C语言优化小技巧 1 概述 嵌入式系统是指完毕一种或几种特定功能的计算机系统,具有自己主动化程度高,响应速度快等长处,眼下已广泛应用于消费电子,工业控制等领域.嵌入式系统受其使用的硬件以及运行环 ...

  4. iOS开发教程:Storyboard全解析-第一部分

    本文转载至http://blog.csdn.net/chang6520/article/details/7945845 感谢原文作者分享     故事版(Storyboard)是一个能够节省你很多设计 ...

  5. [Phoenix] 一、快速入门

    Phoenix是一个开源的HBASE SQL层.Phoeinx可以用标准的JDBC API替代HBASE client API来创建表,插入和查询HBASE中的数据. Phoenix作为应用层和HBA ...

  6. mac下使用gnu gcc

    1 mac下安装gnu gcc brew search gcc brew install gcc@6 2 mac下编写c/c++代码所需的标准库和头文件 2.1 标准c++的库的头文件都是标准化了的, ...

  7. port_443

    GRC | Port Authority, for Internet Port 443 https://www.grc.com/port_443.htm

  8. Performance Tuning Using Linux Process Management Commands

    [root@bigdata-server-02 /]# ps --help all Usage: ps [options] Basic options: -A, -e all processes -a ...

  9. [自动化平台系列] - 初次使用 Macaca-前端自动化测试(1)

    1. 所先看一下官方地址,了解一下这个是不是你想要的测试工具 https://macacajs.github.io/macaca/environment-setup.html 2. 去掉sudo -- ...

  10. 剑指Offer:树的子结构【26】

    剑指Offer:树的子结构[26] 题目描述 输入两棵二叉树A,B,判断B是不是A的子结构.(ps:我们约定空树不是任意一个树的子结构) 解题思路 分为两步: 第一步:在树A中找到和树B的根节点的值一 ...