感觉挺有意义的,细节问题
http://www.kernelmode.info/forum/viewtopic.php?f=14&t=4318
这个人代码到底犯了什么错误
I want to place a jumper in Win 10 x64 win32k .text (PatchGuard disabled). However it seems this no longer works (on Windows 8 x64 and before it did):
PMDL Mdl = NULL;
__try
{
// Create a descriptor
Mdl = IoAllocateMdl(Address,Length,FALSE,FALSE,NULL);
// Lock pages for io modification access
MmProbeAndLockPages(Mdl,KernelMode,IoModifyAccess);
// Map physical locked page
AddrMapped = MmMapLockedPagesSpecifyCache(Mdl,KernelMode,MmNonCached,NULL,FALSE,HighPagePriority);
RtlCopyMemory(AddrMapped, Data, Length);
}
// Cleanup
__finally
{
if(AddrMapped)
MmUnmapLockedPages(AddrMapped, Mdl);
if(Mdl != NULL)
{
MmUnlockPages(Mdl);
IoFreeMdl(Mdl);
}
}
It fails with: ATTEMPTED_WRITE_TO_READONLY_MEMORY (be) at MmMapLockedPagesSpecifyCache.
I am calling the code from the context of csrss.exe (GUI process) and before get win32k via ZwQuerySystemInformation SystemModuleInfo.
这是vxk的回答
IoAllocateMdl+MmProbeAndLockPages后Map的话,有一个问题就是如果是内核地址的话,会分分钟教你重新做人。
可以2次映射内核地址
只是丫忘了 一个东西
你想让内核地址再次映射内核抵制,需要MmBuildMdlForNonPagedPool一下,当然如果是usermode地址映射内核地址,内核地址映射usermode地址,都不用。but 这里 MmBuildMdlForNonPagedPool 其实是不是卵用,并不是很清晰。
另外就是MapXX的这个API直接使用有极大概率爆炸,如果不是要双份内核地址的话,直接用MmGetSystemAddressForMdl(Safe会不支持低版本的windows)比较和谐(这样的话,连Build也不用了)。
usermode到usermode是没问题的
因为 ZwProtectVirtualMemory有时候会映射一份新的base出来
老外这段代码里:
再仔细看发现丫出问题的其实是ATTEMPTED_WRITE_TO_READONLY_MEMORY 这个错误是在RtlCopyMemory时发生的——后面老外都在研究MmMap这个API,API不会出错啊不会出错啊。
MmMapLockedPagesSpecifyCache 是成功的,但是PTE的W位没有变化——MmNonCache和MmCache并不影响W位,只有MmWriteCombined啊。
一般来说,W位会被MmMap的NonCache改写为1,但是有个前提,就是这个IoMapping = 0
那么问题来了 既然api没错 地址也刷了 但是pte不改变是谁的错呢。