码迷,mamicode.com
首页 > 其他好文 > 详细

17_页面异常接管

时间:2019-10-22 14:46:26      阅读:72      评论:0      收藏:0      [点我收藏+]

标签:meta   policy   过滤   标志寄存器   参数   保护   import   href   init   

页面异常捕获过滤:

原理:

在 IDT 表中的e 号 处理 是 页面异常处理; 如果 我们 hook 掉 这个回调函数;那么就能获得全部的页面异常;再通过 cr3 对比 捕获指定的 cr3 (进程)的信息;最后再共享的区域将数据输出;然后测试程序获取该自己的页面异常信息;

实验中 容易出现的错误:

在 c 的时候注意将使用的寄存器(这里是eax)先保存起来;注意 通过栈保存 eax的话注意 相关进入中断后和栈相关的数据,就会和esp 的相对偏移产生变化。

测试程序代码.c:

此程序 主要是 中断进入 内核;然后读取数据;看时候有新的和自己有关的异常页面信息;这样

// 9_页面异常.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
?
#include "pch.h"
#include <stdio.h>
#include<stdlib.h>
#include<Windows.h>
// 定义一些内核地址宏;用来保存当前程序相关数据(cr3)
#define K_BOOL_READY   0x8003f3f0 // * 当前是否已经提交 cr3,变为准备接收异常状态
#define K_ESP 0x8003f3f4 // esp * 异常代码
#defineK_ESP_NEG4 0x8003f3f8 // esp - 4   * 异常地址 eip(产生异常的代码地址)
#define K_TARGET_CR30x8003f3ec // cr3       * 异常程序cr3
#define K_CR2 0x8003f3e8 // cr2       * 异常地址(产生页面异常页中的虚拟地址)
#define K_BOOL_NEW_EXPT 0x8003f3e4 // * 是否有新的异常
?
?
DWORD g_bReady = FALSE;
DWORD g_bNewExpt = FALSE;
?
DWORD g_pEIP = 0;
DWORD g_pExceptPvn = 0;
DWORD g_iCr3 = 0;
DWORD g_iErrCode = -1;
?
// 0x401040
void __declspec(naked) IdtEntry()
{
__asm mov eax, ds:[K_BOOL_READY];
__asm mov g_bReady, eax;
__asm
{
mov eax, cr3;
mov cr3, eax;
}
if (g_bReady != 1)
{

// 第一次运行还没有提交CR3数据:
__asm
{
mov eax, cr3;
mov ds : [K_TARGET_CR3], eax;
// 提交完成的标识。
mov eax, 0x1;
mov ds : [K_BOOL_READY], eax;
// 重置新异常信号;
mov eax, 0x0;
mov ds : [K_BOOL_NEW_EXPT], eax;
iretd;
}
}
else
{
// 已经提交 cr3 开始接收异常数据:
?
// ----* 检测是否有新的异常需要接收;
__asm mov eax, dword ptr ds : [K_BOOL_NEW_EXPT];
__asm mov g_bNewExpt, eax;
if (g_bNewExpt == 0x1)
{
// 如果 有新的异常
__asm
{
// 获取异常信息 --》 到本地全局,以便输出
mov eax, dword ptr ds : [K_ESP_NEG4];
mov g_pEIP, eax;
mov eax, dword ptr ds : [K_CR2];
mov g_pExceptPvn, eax;
mov eax, dword ptr ds : [K_TARGET_CR3];
mov g_iCr3, eax;
mov eax, dword ptr ds : [K_ESP];
mov g_iErrCode, eax;
// 接收之后 重置新异常信号;
mov eax, 0x0;
mov ds : [K_BOOL_NEW_EXPT], eax;
}

}
?
__asm
{
mov eax, cr3;
mov cr3, eax;
iretd;
}
}
}
?
?
void _declspec(naked) go()
{
__asm
{
int 0x20;
ret;
}
}
?
?
int main()
{
if ((DWORD)IdtEntry != 0x401040)
{
printf("Func addres is wrong !!");
Sleep(5000);
system("pause");
exit(-1);
}
while (1)
{
go();
//printf("%d\n", g_bNewExpt);
if (g_bNewExpt == 0x1)
{
printf("new error ***cr3: %p -- eip: %p -- errorcode:%p -- pfvn:%p\n", g_iCr3, g_pEIP, g_iErrCode, g_pExceptPvn);
g_bNewExpt = 0;
}
?
}
?
   
}
?

Hook IDT_E 回调函数 且 通过识别cr3 将相关信息过滤到 共识的共享数据区域 .c :

// 9_页面异常_过滤获取目标异常信息.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
?
#include "pch.h"
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
?
// 定义一些内核地址宏;用来保存当前程序相关数据(cr3)
#define K_BOOL_READY   0x8003f3f0 // * 当前是否已经提交 cr3,变为准备接收异常状态
#define K_ESP 0x8003f3f4 // esp * 异常代码
#defineK_ESP_NEG4 0x8003f3f8 // esp - 4   * 异常地址 eip(产生异常的代码地址)
#define K_TARGET_CR30x8003f3ec // cr3       * 异常程序cr3
#define K_CR2 0x8003f3e8 // cr2       * 异常地址(产生页面异常页中的虚拟地址)
#define K_BOOL_NEW_EXPT 0x8003f3e4 // * 是否有新的异常
?
#define K_HOOK_IDT_E_CODE 0x8003F120      // * Hook 代码所在
#define K_HOOK_IDT_E_SRCCODE 0x80541450   // * Hook目标 所在
?
DWORD g_bReady = FALSE;
DWORD g_bNewExpt = FALSE;
?
DWORD g_pEIP = 0;
DWORD g_pExceptPvn = 0;
DWORD g_iCr3 = 0;
DWORD g_iErrCode = -1;
DWORD g_iCurCr3 = 0;
?
?
int  g_i = 0;
DWORD g_p = 0;
void  checkAndCap();
// -- int0x20 -- 0x401040
void __declspec(naked) HookIdt_0xe()
{
// hook
__asm
{
// 修改写保护 WP
//cli;//将处理器标志寄存器的中断标志位清0 ,不允许中断
mov eax, cr0
and eax, not 0x10000
mov cr0, eax
?
mov eax, 0x0;
mov ds : [K_BOOL_READY], eax;
?
// 原来的第一句 有7个字节;而我们push ret 只有6个字节 ;扩充到 7个字节 68 20 f1 03 80 C3 90;
// push 0x8003f120;
// ret
// nop
mov al, 0x68;
mov byte ptr ds : [K_HOOK_IDT_E_SRCCODE], al;
mov eax, 0x8003f120;
mov dword ptr ds : [K_HOOK_IDT_E_SRCCODE + 1], eax;
mov ax, 0x90c3;
mov word ptr ds : [K_HOOK_IDT_E_SRCCODE + 5], ax;
?

mov eax, cr0
or eax, 0x10000
mov cr0, eax
//sti;//将中断恢复
?
}
?
g_i = 0;
g_p = K_HOOK_IDT_E_CODE;
?
// 拷贝hook 代码带内核区
for (; g_i < 128; g_i++)
{
*(BYTE*)(g_p + g_i) = *(byte*)((DWORD)checkAndCap + g_i);
}
?
__asm
{
iretd;
}
}
?
?
// 0x401040 --
void _declspec(naked) checkAndCap()
{
__asm
{
push eax;
// 判断程序是否已经就位
mov eax, ds:[K_BOOL_READY];
cmp eax, 0x1;
jnz END;

// 如果 目标程序 已经提交cr3 那么 就可以开始捕获异常了;
mov eax,cr3;   // cr3不能用于比较的 参数
cmp eax, ds:[K_TARGET_CR3];
jnz END;
?
// 来到这一步,表明是目标的异常
?
mov eax, [esp + 8]; // 前面push 了一个 eax 我去 浪费时间··· esp + 0x4 --> esp+ 0x8;
mov ds : [K_ESP_NEG4], eax; // eip 异常地址
mov eax, cr2;
mov ds : [K_CR2], eax; // 异常读/写/访 的目标分页地址
mov eax, [esp+4];// esp-->esp +4 因为前面压入了 eax
mov ds : [K_ESP], eax; // 异常代码
// 给新的异常信号
mov eax, 0x1;
mov ds : [K_BOOL_NEW_EXPT], eax;

END:
pop eax;
mov  word ptr[esp + 2], 0 // 恢复 原来的执行
push 0x80541457;          // 返回之前hook 的下一句
ret
}
}
?
void _declspec(naked) go()
{
__asm
{
int 0x20;
ret;
}
}
int main()
{
if ((DWORD)HookIdt_0xe != 0x401040)
{
printf("HOOK出错了:%p", HookIdt_0xe);
Sleep(10000);
exit(-1);
}
if ((DWORD)checkAndCap != 0x4010c0)
{
printf("CHEC出错了:%p", checkAndCap);
Sleep(10000);
exit(-1);
}
go();
system("pause");
?
?
?
}
?

效果展示:

技术图片


17_页面异常接管

标签:meta   policy   过滤   标志寄存器   参数   保护   import   href   init   

原文地址:https://www.cnblogs.com/leibso-cy/p/11719276.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!