通過修改物理內存實現跨進程內存讀寫

習一下利用修改物理內存來跨進程內存讀寫

系統：win10 21h1 x64

編譯環境: vs2022 詳情見附錄

基礎

虛擬地址轉物理地址

虛擬地址也稱線性地址，一個線性地址+進程的DirBase地址可以轉換成物理地址。先來看線性地址的含義

在x64體系中只實現了48位的virtual address，高16位被用作符號擴展，這高16位要么全是0，要么全是1。
不同于x86體系結構，每級頁表尋址長度變成9位，由于在x64體系結構中，普通頁大小仍為4KB,然而數據卻表示64位長，因此一個4KB頁在x64體系結構下只能包含512項內容，所以為了保證頁對齊和以頁為單位的頁表內容換入換出，在x64下每級頁表尋址部分長度定位9位。

從Page Map Level 4(PML4)開始到最后的物理地址，每一個都可以理解成一層頁表的索引，索引值就是線性地址上不同的部分，分別縮寫是PML4, PDPE, PDE,PTE。?

使用windbg可以先查看進程對應的DirBase地址，然后再使用!vtop Dirbase地址虛擬地址查看虛擬地址對應的物理地址，如下。

3: kd> !process 258c 0

Searching for Process with Cid == 258c

PROCESS ffffc40d2ab48340

????SessionId: 1? Cid: 258c??? Peb: a6e35cd000? ParentCid: 1250

????DirBase: 235ae6000? ObjectTable: ffff998138d4ee00? HandleCount:? 38.

????Image: test.exe

3: kd> !vtop 235ae6000 0000A6E334FB00

Amd64VtoP: Virt 000000a6e334fb00, pagedir 0000000235ae6000

Amd64VtoP: PML4E 0000000235ae6008

Amd64VtoP: PDPE 00000001087fb4d8

Amd64VtoP: PDE 000000010f7fc8c8

Amd64VtoP: PTE 00000000ad207a78

Amd64VtoP: Mapped phys 000000011b10cb00

Virtual address a6e334fb00 translates to physical address 11b10cb00.

上面得到DirBase的值是235ae6000，然后需要查看物理地址的虛擬地址是0x0000A6E334FB00，就使用命令

1	`!vtop 235ae6000 0000A6E334FB00`

得到最后對應的物理地址是0x11b10cb00。

簡單例子代碼如下：

#include <stdio.h>

#include <stdlib.h>

int main() {

????char flag[] = {"flag{b7285d748dd042a4929d3dbec778e637}"};

????printf("value addr: %p", flag);

????getchar();

????return 0;

}

運行后可以打印出來字符串的虛擬地址0000A6E334FB00，然后通過上述步驟得到物理地址。

我們嘗試看看物理內存中的字符串，現在已經確定物理內存的地址是0xD0000147，使用!db 0xD0000147來查看物理內存，記住要!,沒有感嘆號的是查看虛擬內存的

3: kd> !db 0x11b10cb00

#11b10cb00 66 6c 61 67 7b 62 37 32-38 35 64 37 34 38 64 64 flag{b7285d748dd

#11b10cb10 30 34 32 61 34 39 32 39-64 33 64 62 65 63 37 37 042a4929d3dbec77

#11b10cb20 38 65 36 33 37 7d 00 00-f8 82 20 82 f7 7f 00 00 8e637}.... .....

#11b10cb30 00 00 00 00 00 00 00 00-20 13 1f 82 f7 7f 00 00 ........ .......

#11b10cb40 00 00 00 00 00 00 00 00-99 13 1f 82 f7 7f 00 00 ................

#11b10cb50 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

#11b10cb60 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

#11b10cb70 00 00 00 00 00 00 00 00-44 73 d3 08 fe 7f 00 00 ........Ds......

可以看到物理內存上的字符串內容。

DirBase地址獲取

DirBase地址除了通過上述windbg直接得到這個值以外，還可以通過EPROCESS來得到，這個是代碼比較需要的

3: kd> dt _eprocess ffffc40d2ab48340

nt!_EPROCESS

???+0x000 Pcb????????????? : _KPROCESS

???+0x438 ProcessLock????? : _EX_PUSH_LOCK

???+0x440 UniqueProcessId? : 0x00000000`0000258c Void

???+0x448 ActiveProcessLinks : _LIST_ENTRY [ 0xffffc40d`2cb43788 - 0xffffc40d`2cd444c8 ]

???+0x458 RundownProtect?? : _EX_RUNDOWN_REF

???.....

3: kd> dx -id 0,0,ffffc40d23c95040 -r1 (*((ntkrnlmp!_KPROCESS *)0xffffc40d2ab48340))

(*((ntkrnlmp!_KPROCESS *)0xffffc40d2ab48340))???????????????? [Type: _KPROCESS]

????[+0x000] Header?????????? [Type: _DISPATCHER_HEADER]

????[+0x018] ProfileListHead? [Type: _LIST_ENTRY]

????[+0x028] DirectoryTableBase : 0x235ae6000 [Type: unsigned __int64]

DirectoryTableBase的值就是DirBase地址了，實際上就是EPROCESS + 0x28的偏移

還可以通過獲取CR3寄存器的值，CR3寄存器中的值就是頁目錄表的物理地址，也就是DirBase

思路

目的：進程B可以通過修改物理內存的內容來修改進程A內存中的數據

實驗設置：進程A泄露一個變量地址，然后等待進程B修改，修改后再回復執行，打印變量值看是否修改成功

內核部分思路：

將R3的虛擬地址轉換為物理地址
使用MmCopyMemory復制物理地址內容
修改內容
使用mmMapIoSpaceEx將修改后的內容映射回物理地址

代碼實現

被修改進程代碼

這里寫一個例子來充當被攻擊（修改內存）的進程。主要就是打印變量內容和地址，然后暫停程序等待一段時間（等待被驅動修改），然后再打印變量內容，看看是否被驅動修改內存成功。

#include <stdio.h>

#include <stdlib.h>

int main() {

????char flag[] = {"flag{b7285d748dd042a4929d3dbec778e637}"};

????printf("value addr: %p\r\n", flag);

????printf("flag data: %s\r\n", flag);

????getchar();

????printf("flag data Now: %s\r\n", flag);

????return 0;

}

驅動代碼

這里就是主要邏輯，通過驅動代碼取修改目標進程的內存內容，做到跨進程內存讀取，修改。

定義一個讀取物理內存函數

/// @brief 讀取物理地址的內存內容

/// @param address 物理地址

/// @param buffer 復制內存地址到buffer

/// @param size 復制大小

/// @param BytesTransferred 讀取的字節數

/// @return

NTSTATUS ReadPhysicalAddress(IN PVOID64 address, OUT PVOID64 buffer,

?????????????????????????????IN SIZE_T size, OUT SIZE_T* BytesTransferred)

{

????MM_COPY_ADDRESS Read????????? = {0};

????Read.PhysicalAddress.QuadPart = (LONG64)address;

????return MmCopyMemory(

????????buffer, Read, size, MM_COPY_MEMORY_PHYSICAL, BytesTransferred);

}

再定義一個寫入物理內存的函數

/// @brief 寫入指定內容到物理內存中

/// @param address 被寫入的物理地址

/// @param buffer 需要寫入的緩沖區指針

/// @param size 需要寫入的大小

/// @param BytesTransferred 寫入成功后的大小

/// @return

NTSTATUS WritePhysicalAddress(IN PVOID64 address, IN PVOID64 buffer,

??????????????????????????????IN SIZE_T size, OUT SIZE_T* BytesTransferred)

{

????PVOID??????????? map;

????PHYSICAL_ADDRESS Write = {0};

????if (!address) {

????????kprintf("Address value error. \r\n");

????????return STATUS_UNSUCCESSFUL;

????}

????Write.QuadPart = (LONG64)address;

????map??????????? = MmMapIoSpaceEx(Write, size, PAGE_READWRITE);

????if (!map) {

????????kprintf("Write Memory faild.\r\n");

????????return STATUS_UNSUCCESSFUL;

????}

????RtlCopyMemory(map, buffer, size);

????*BytesTransferred = size;

????MmUnmapIoSpace(map, size);

????return STATUS_SUCCESS;

}

我們需要將虛擬地址轉換成物理地址，那么首先需要線性地址+DirBase地址，DirBase地址獲取是通過PEPROCESS+0x28偏移讀取的

/// @brief 通過EPROCESS獲取DirBase值

/// @param pid 進程PID

/// @param pDirbase 一個UINT64指針，獲取成功后返回值

/// @return

NTSTATUS GetDirBaseByEprocess(IN UINT64 pid, OUT PUINT64 pDirbase)

{

????PEPROCESS pEprocess;

????NTSTATUS? status;

????status = PsLookupProcessByProcessId((HANDLE)pid, &pEprocess);

????if (!NT_SUCCESS(status)) {

????????kprintf("[!] Get Pid=%d _EPROCESS failed!", pid);

????????return STATUS_UNSUCCESSFUL;

????}

????*pDirbase =

????????*(PUINT64)((PUCHAR)pEprocess + WIN10_21H1_EPROCESS2DIRBASE_OFFSET);

????kprintf("[+] uDirBase ==> %llx\r\n", *pDirbase);

????return STATUS_SUCCESS;

}

得到DirBase后，就可以虛擬地址轉換物理地址。

傳入虛擬地址后，取后48bit，然后將這48bit分成4個9bit和最后12bit，分別是PML4，PDPE，PDE，PTE和頁內偏移offset。需要注意的是DirBase就已經是物理內存了，所以讀取DirBase內容并且一層一層讀取都要用自定義函數ReadPhysicalAddress。

每一層都是基地址+8*偏移，讀取的內容，取12-35bit就是下一層的基地址

/// @brief 傳入DirBase值和虛擬地址后，回轉化成一個物理地址返回

/// @param DirBase DirBase地址，傳入一個UINT64值

/// @param addr 傳入一個指向虛擬地址的指針，轉化成物理地址后會修改這個指針的值

/// @return

NTSTATUS TranslateAddress(IN UINT64 DirBase, _Inout_ PUINT64 addr)

{

????UINT16?? PML4, PDPE, PDE, PTE, offset;

????UINT64?? mask = 0x7fffff000;

????UINT64?? uTmp;

????SIZE_T?? BytesTransferred;

????NTSTATUS status;

????offset = *addr & 0xfff;

????PTE??? = (*addr >> 12) & 0x1ff;

????PDE??? = (*addr >> (12 + 9)) & 0x1ff;

????PDPE?? = (*addr >> (9 * 2 + 12)) & 0x1ff;

????PML4?? = (*addr >> (9 * 3 + 12)) & 0x1ff;

????status = ReadPhysicalAddress(

????????(PVOID64)(DirBase + PML4 * 8), &uTmp, sizeof(uTmp), &BytesTransferred);

????uTmp &= mask;

????kprintf("[+] PML4(%x) ==> %llx\r\n", PML4, uTmp);

????status = ReadPhysicalAddress(

????????(PVOID64)(uTmp + PDPE * 8), &uTmp, sizeof(uTmp), &BytesTransferred);

????uTmp &= mask;

????kprintf("[+] PDPE(%x) ==> %llx\r\n", PDPE, uTmp);

????status = ReadPhysicalAddress(

????????(PVOID64)(uTmp + PDE * 8), &uTmp, sizeof(uTmp), &BytesTransferred);

????uTmp &= mask;

????kprintf("[+] PDE(%x) ==> %llx\r\n", PDE, uTmp);

????status = ReadPhysicalAddress(

????????(PVOID64)(uTmp + PTE * 8), &uTmp, sizeof(uTmp), &BytesTransferred);

????uTmp &= mask;

????kprintf("[+] PTE(%x) ==> %llx\r\n", PTE, uTmp);

????*addr = uTmp + offset;

????kprintf("[+] physical address: %llx\r\n", *addr);

????return STATUS_SUCCESS;

}

最后再主函數中定義一下邏輯。這里直接手動指定進程號和目標進程打印出來的變量地址，然后將虛擬地址轉化成物理地址，讀取物理地址上的內容并打印出來看看是否正確。再修改物理地址上的內容。

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING path)

{

????NTSTATUS status;

????UINT64?? pid, uAddr, uDirBase;

????SIZE_T?? BytesTransferred;

????UCHAR??? charArry[40] = {0};

????UCHAR??? example[40] = {"Yes I change memory by physical"};

????pid?? = 10276;

????uAddr = 0x3629FAFB80;

????pDriver->DriverUnload = DriverUnload;

????// 手動指定進程號

????status = GetDirBaseByEprocess(pid, &uDirBase);

????if (!NT_SUCCESS(status)) {

????????kprintf("[!] Get DirBase address failed!\r\n");

????????return STATUS_UNSUCCESSFUL;

????}

????// 將虛擬地址轉化成物理地址

????status = TranslateAddress(uDirBase, &uAddr);

????if (!NT_SUCCESS(status)) {

????????kprintf("[!] Translate address failed!\r\n");

????????return STATUS_UNSUCCESSFUL;

????}

????// 讀取物理地址內容, 然后修改內容

????ReadPhysicalAddress((PVOID64)uAddr, charArry, 40, &BytesTransferred);

????kprintf("[+] data is %s\r\n", charArry);

????// 將example字符串寫入物理內存

????WritePhysicalAddress((PVOID64)uAddr, example, 40, &BytesTransferred);

????kprintf("[+] Write end\r\n");

????return STATUS_SUCCESS;

}

結果

目標進程

可以看到目標進程的指定內存被修改，同時驅動也跨進程讀取，修改內存成功?