学习BluePill源码笔记-2

最新推荐文章于 2024-09-13 07:10:24 发布
最新推荐文章于 2024-09-13 07:10:24 发布
阅读量1.2k 收藏
点赞数
分类专栏: 硬件虚拟化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xboxmicro/article/details/35795897
版权
这篇博客详细探讨了BluePill操作系统中私有页表的构建初始化过程,从MmCreateMapping到MmMapGuestKernelPages映射内核空间。博主深入分析了MmFindPageByPA函数的递归实现,以及不同内存分配函数如MmAllocatePages在系统中的应用。最后提到了BluePill内存系统的关闭函数MmShutdownManager。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.5 MmCreateMapping过程——私有页表构建初始化

NTSTATUS NTAPI MmCreateMapping (
  PHYSICAL_ADDRESS PhysicalAddress,
  PVOID VirtualAddress,
  BOOLEAN bLargePage
)
{
  PALLOCATED_PAGE Pml4Page;
  NTSTATUS Status;

  Status = MmFindPageByPA (g_PageMapBasePhysicalAddress, &Pml4Page);
  if (!NT_SUCCESS (Status)) {
    return STATUS_UNSUCCESSFUL;
  }

  PhysicalAddress.QuadPart = PhysicalAddress.QuadPart & 0x000ffffffffff000;
  VirtualAddress = (PVOID) ((ULONG64) VirtualAddress & 0xfffffffffffff000);

  return MmUpdatePageTable (Pml4Page->GuestAddress, 4, VirtualAddress, PhysicalAddress, bLargePage);
}


MmCreateMapping声明两个变量后,调用了MmFindPageByPA。


1.5.1 调用MmFindPageByPA ——获得PML4页表在OS中的线性地址

static NTSTATUS NTAPI MmFindPageByPA (
  PHYSICAL_ADDRESS PhysicalAddress,
  PALLOCATED_PAGE * pAllocatedPage
)
{
  PALLOCATED_PAGE AllocatedPage;
  KIRQL OldIrql;

  if (!pAllocatedPage)
    return STATUS_INVALID_PARAMETER;

  KeAcquireSpinLock (&g_PageTableListLock, &OldIrql);

  PhysicalAddress.QuadPart = PhysicalAddress.QuadPart & 0x000ffffffffff000;

  AllocatedPage = (PALLOCATED_PAGE) g_PageTableList.Flink;
  while (AllocatedPage != (PALLOCATED_PAGE) & g_PageTableList) {
    AllocatedPage = CONTAINING_RECORD (AllocatedPage, ALLOCATED_PAGE, le);

    if (AllocatedPage->PhysicalAddress.QuadPart == PhysicalAddress.QuadPart) {
      *pAllocatedPage = AllocatedPage;
      KeReleaseSpinLock (&g_PageTableListLock, OldIrql);
      return STATUS_SUCCESS;
    }

    AllocatedPage = (PALLOCATED_PAGE) AllocatedPage->le.Flink;
  }

  KeReleaseSpinLock (&g_PageTableListLock, OldIrql);
  return STATUS_UNSUCCESSFUL;
}

1.5.2 return MmUpdatePageTable (Pml4Page->GuestAddress, 4, VirtualAddress, PhysicalAddress, bLargePage);

这是一个递归函数。第二个参数取值1-4,分别代表PT PD PDP PML4。宏定义SET_PCD_BIT针对的是大页映射。


首先根据虚拟地址算出当前页表项的偏移

PageTableOffset = (((ULONG64) VirtualAddress & (((ULONG64) 1) << (12 + PageTableLevel * 9))
                      - 1) >> (12 + ((ULONG64) PageTableLevel - 1) * 9));

若参数为1(PTE)时,修改页表项,递归结束。

((PULONG64) PageTable)[PageTableOffset] = PhysicalAddress.QuadPart | /*P_GLOBAL | */ P_WRITABLE | P_PRESENT;

若参数不为1时,计算下一级页表偏移 

 GlobalOffset =
    (((ULONG64) VirtualAddress & (((ULONG64) 1) << (12 + 4 * 9)) - 1) >> (12 + ((ULONG64) PageTableLevel - 2) * 9));
  LowerPageTablePA.QuadPart = ((PULONG64) PageTable)[PageTableOffset] & 0x000ffffffffff000;
  LowerPageTableHostVA = GlobalOffset * 8 + g_PageTableBases[PageTableLevel - 2];


最后检查LowerPageTablePA项(本级页表项所存储的物理页号)。如果是空,则说明本级页表对应的下一级页表尚未创建。先试图调用MmFindPageByHostVA函数进行查找,若找不到,则开辟内存创建下一级页表。 

  if (!LowerPageTablePA.QuadPart) {
<span style="white-space:pre">	</span>...
  }

之后,调用MmCreateMapping函数,创建映射关系。

Status = MmCreateMapping (LowerPageTablePA, LowerPageTableHostVA, FALSE);

1.6 此时回头一看,MmInitManager()已经运行完毕了。接下来DriverEntry运行至:

Status = MmInitIdentityPageTable ();
Identity Page Table是用于对将来某时刻虚拟机环境禁用分页模式的支持。Identity Page Table是用于模拟Guest中未开启分页模式的效果。CPU发出的地址直接视为PA。


1.7 构建Identity Page Table之后,BluePill要调用MmMapGuestKernelPages()函数映射操作系统整个内核空间到私有页表上。
具体流程如下:遍历PML4高256项(系统内核空间),若发现某个PML4项正被使用,则调用MmWalkGuestPageTable()函数对其所指向的PDP页表进行进一步的遍历。该函数挂载Windows内核空间各页到BluePill私有页表。

细节:以后有空吧


1.8 私有页表的分配内存

MmAllocatePages() 分配池类型内存

MmAllocateContiguousPages() 分配物理地址连续的内存区域~要求处理器缓存该内存区域

MmAllocateCojntiguousPaegesSpecifyCache() 分配物理地址连续的内存区域~要求处理器使用指定的缓存策略


1.9 BluePill内存系统的关闭

MmShutdownManager()






学习BluePill源码笔记-4
XboxMicro
07-08 1451
2.2 Hvm NTSTATUS NTAPI HvmSwallowBluepill ( ) { CCHAR cProcessorNumber; NTSTATUS Status, CallbackStatus; _KdPrint (("HvmSwallowBluepill(): Going to subvert %d processor%s\n", KeNu
学习BluePill源码笔记-3
XboxMicro
06-29 3725
二、Hvm过程 2.1 newbp.c (116)
NewBluePill深入理解硬件虚拟机(PDF+配套源码
03-24
这是本人在实际项目中 借鉴的资料,电子书都是随书以前购买而来,请放心使用
Bluepill 开源项目教程
gitblog_00597的博客
09-13 570
Bluepill 开源项目教程 bluepill Bluepill is a reliable iOS testing tool that runs UI tests using multiple simulators on a single machine ...
blue-pill代码解读
inquisiter
09-21 1134
一、虚拟机启动 整个过程比较清晰,2.7的过程会对vmcs的状态域进行设置,也就是会接管中断过程,VMxLaunch启动硬件虚拟化。 再往上,一段汇编。调用HvmSubvertCpu CmSubvert (PVOID GuestRsp); CmSubvert PROC StdCall _GuestRsp CM_SAVE_ALL_NOSEGREGS mov eax,esp push eax ;setup esp to argv[0] call HvmSubvertCpu
学习BluePill源码笔记-1
XboxMicro
06-29 3238
VT-X太高端霸气上档次了,实在是看不懂...
前端BootStrap框架笔记总结
weixin_43145539的博客
05-27 670
Boot Strap 笔记整理自b站up主:编程不良人 1.Boot Strap 的引言 Bootstrap是美国Twitter公司的设计师Mark Otto和Jacob Thornton合作基于HTML、CSS、JavaScript 开发的简洁、直观、强悍的前端开发框架,使得 Web 开发更加快捷 Bootstrap一经推出后颇受欢迎,一直是GitHub上的热门开源项目,包括NASA的MSNBC(微软全国广播公司)的Breaking News都使用了该项目 Bootstrap 是最受欢迎的 HTM
各种link资源
leonzheng的博客
09-27 1139
stlink jlink
stm32f103c8t6的板级支持包
最新发布
02-20
如果没有找到特定于Bluepill板子的支持包,可以考虑使用通用型STM32F1xx系列的基础驱动程序[^1]。 #### 方法二:直接从官网下载 另一种方式是从ST公司官网上搜索对应的产品资料页,在那里通常会提供一系列的技术...
new-blue-pill源码带注释
09-09
New Blue Pill源代码。 基于硬件虚拟化技术的windows下Rootkit。 2006 年 Black Hat上发表。
从Blue Pill、硬件虚拟化谈安全防护完备性上的一个小原则
XboxMicro
02-28 1553
原文地址http://blogs.360.cn/360safe/2013/09/30/from-bluepill-vmx-to-a-simple-defence-principle/ 多年没写博客了,就先捡点剩菜剩饭炒炒,没啥营养,同学们可以随便看看。另外就是文笔真心烂,阅读的同学们需要点耐心。 这篇博客说说一个安全防护系统完备性上所需的一个小原则:防护系统与被防护对象所用资源的完全隔
PHYSICAL_ADDRESS
hutao1101175783的专栏
04-27 538
这是我查找DDK的 ntdef.h 文件找到PHYSICAL_ADDRESS的定义: ....................... ....................... typedef union _LARGE_INTEGER { struct { ULONG LowPart; LONG HighPart; }; struct { ULONG LowPart; LONG HighPart; } ...
Blue Pill源代码分析(3)
lzz14的专栏
03-31 3701
首先看一下IA32页表映射关系如图函数MmSavePage分配如下结构体保存物理地址、宿主机虚拟地址和客户机虚拟地址的对应关系typedef struct _ALLOCATED_PAGE{  LIST_ENTRY le;  //链表头 链接到g_PageTableList  ULONG Flags;  //标志  PAGE_ALLOCATION_TYPE AllocationType; /
NewBluePill源码学习 <一>
weixin_30875157的博客
09-01 215
NewBluePill源码也看的差不多了,一直说等有时间了再写学习的一些心得,拖来拖去弄到现在了,时间不是等来的,慢慢开始吧。 0x00 初识硬件虚拟化 硬件虚拟化对大数人来讲还是比较陌生。什么是硬件虚拟化?因为早期的虚拟机都是进程级虚拟机,也就是作为已有操作系统的一个进程,完全通过软件的手段来模拟硬件,软件再翻译内存地址的方法实现物理机器的模拟,这样虚拟效率较低,资源利用率低。之后...
Blue Pill源代码分析(1)
lzz14的专栏
03-29 7918
一直都有写blog的想法,但是每次总觉得写东西很浪费时间,还不如利用这些时间多学点东西。不过每次学到东西之后,总是很容易遗忘,学到方法不假,一些零碎细节忘的很快,于是决定还是应该写点东西出来作备忘。去年末,对Blue Pill有稍微了解一下,但终究是没有完整阅读过源代码,今天花了一天的时间把Blue Pill的源代码看了一下,总算对其中的奥妙之处有所了解。原先对VT技术不是特别了解的地方今天看了代
在用户态进行虚拟空间地址向物理空间地址的转换
Flier's Sky
04-05 1820
http://flier_lu.blogone.net/?id=1428057    在《自动获取 NT 系统服务描述表与函数名映射表》一文中,我给出了一个从虚地址向物理地址转换的经验函数。以下为引用: PHYSICAL_ADDRESS TPhysicalMemoryMapping::LinearAddressToPhysicalAddress(LPCVOID lpVi
程序访问物理地址之MmMapIoSpace 与 OALPAtoVA
zhandoushi的专栏
09-22 9069
(1)MmMapIoSpace 用法     在程序中使用的都是虚拟地址,如果要对物理地址进行操作,需要用到MmMapIoSpace把物理地址映射到虚拟地址,如:pBaseAddress = (PUCHAR)MmMapIoSpace(ioPhysicalBase, Size, FALSE);访问pBaseAddress的指向地址,就是访问被映射后ioPhysicalBase定义的物理地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值