Windows内核：虚拟内存分页系统与自我引用技术<\/h1>

1. 虚拟内存与分页机制概述<\/h2>

虚拟地址是现代计算机操作系统中非常重要的概念，尤其是在x86_64架构中。操作系统通过分页机制实现虚拟内存，具有以下关键特性：<\/p>

将内存分解为固定大小的块（页面，通常4KB）<\/li>
通过页表进行地址映射<\/li>
提供内存隔离与保护<\/li>
允许多个进程共享物理内存同时保持隔离<\/li>

提供比物理内存更大的地址空间<\/li> <\/ul>

2. x86_64架构下的虚拟地址结构<\/h2>

x86_64架构使用四级分页机制，虚拟地址结构如下：<\/p>

typedef<\/span> union<\/span> _virt_addr_t {
<\/span><\/span>    void<\/span>*<\/span> value;
<\/span><\/span>    struct<\/span> {
<\/span><\/span>        std::<\/span>uint64_t<\/span> offset : 12<\/span>;    \/\/ 页面内偏移
<\/span><\/span><\/span><\/span>        std::<\/span>uint64_t<\/span> pt_index : 9<\/span>;    \/\/ 页表索引
<\/span><\/span><\/span><\/span>        std::<\/span>uint64_t<\/span> pd_index : 9<\/span>;    \/\/ 页目录索引
<\/span><\/span><\/span><\/span>        std::<\/span>uint64_t<\/span> pdpt_index : 9<\/span>;  \/\/ 页目录指针表索引
<\/span><\/span><\/span><\/span>        std::<\/span>uint64_t<\/span> pml4_index : 9<\/span>;  \/\/ PML4表索引
<\/span><\/span><\/span><\/span>        std::<\/span>uint64_t<\/span> reserved : 16<\/span>;  \/\/ 保留位
<\/span><\/span><\/span><\/span>    };
<\/span><\/span>} virt_addr_t, *<\/span>pvirt_addr_t;
<\/span><\/span><\/code><\/pre>地址转换过程：<\/p>

从CR3寄存器获取PML4表基地址<\/li>
使用PML4索引在PML4表中找到PDPT表项<\/li>
使用PDPT索引在PDPT表中找到PD表项<\/li>
使用PD索引在PD表中找到PT表项<\/li>
使用PT索引在PT表中找到物理页框号(PFN)<\/li>
将PFN与offset组合得到物理地址<\/li>
<\/ol>
3. 大页面机制<\/h2>
x86_64支持两种大页面：<\/p>
2MB大页面<\/h3>

跳过PT级别的查找<\/li>
Offset占21位（2^21=2MB）<\/li>
虚拟地址直接通过PD索引指向物理内存块<\/li>
<\/ul>
1GB大页面<\/h3>

跳过PT和PD级别的查找<\/li>
Offset占30位（2^30=1GB）<\/li>
虚拟地址直接通过PDPT索引指向物理内存块<\/li>
<\/ul>
4. 页表访问与KPTI机制<\/h2>
由于Spectre\/Meltdown漏洞的影响，操作系统引入了KPTI(Kernel Page Table Isolation)机制：<\/p>

每个进程有两个不同的PML4表：

用户模式和内核模式映射表（传统映射）<\/li>
仅用户模式映射表（用于用户模式执行时隔离内核空间）<\/li>
<\/ul>
<\/li>
<\/ul>
在Windows中，进程内存管理由KPROCESS<\/code>结构体管理，其中包含指向PML4表的页框号(PFN)。<\/p>
5. PFN与物理地址转换<\/h2>
PFN(Page Frame Number)是物理页面的编号：<\/p>

物理地址 = PFN << 12（或PFN * 4096）<\/li>
通过CR3寄存器获取PML4物理地址的代码示例：<\/li>
<\/ul>
typedef<\/span> union<\/span> _cr3 {
<\/span><\/span>    std::<\/span>uint64_t<\/span> flags;
<\/span><\/span>    struct<\/span> {
<\/span><\/span>        std::<\/span>uint64_t<\/span> reserved1 : 3<\/span>;
<\/span><\/span>        std::<\/span>uint64_t<\/span> page_level_write_through : 1<\/span>;
<\/span><\/span>        std::<\/span>uint64_t<\/span> page_level_cache_disable : 1<\/span>;
<\/span><\/span>        std::<\/span>uint64_t<\/span> reserved2 : 7<\/span>;
<\/span><\/span>        std::<\/span>uint64_t<\/span> dirbase : 36<\/span>;  \/\/ PML4基地址
<\/span><\/span><\/span><\/span>        std::<\/span>uint64_t<\/span> reserved3 : 16<\/span>;
<\/span><\/span>    };
<\/span><\/span>} cr3;
<\/span><\/span>
<\/span><\/span>const<\/span> auto<\/span> cr3_value =<\/span> CR3{ __readcr3() };  \/\/ 读取CR3寄存器
<\/span><\/span><\/span><\/span>const<\/span> auto<\/span> pml4_physical_address =<\/span> cr3_value.dirbase <<<\/span> 12<\/span>;  \/\/ 获取PML4物理地址
<\/span><\/span><\/span><\/code><\/pre>6. 自我引用技术<\/h2>
自我引用技术允许通过虚拟地址直接访问分页表结构，原理是在分页表的某一层创建一个指向自身的条目。<\/p>
实现原理<\/h3>

将PML4表中的某个条目指向PML4表本身的物理地址<\/li>
当CPU解析这个条目时，会反复使用该条目，形成自我引用循环<\/li>
通过特定虚拟地址可以直接访问分页表结构<\/li>
<\/ol>
示例实现<\/h3>
低端虚拟地址示例<\/h4>
PML4[0<\/span>] =<\/span> CR3;  \/\/ 第0个条目指向自身
<\/span><\/span><\/span><\/code><\/pre>访问虚拟地址0x0000000000000000<\/code>到0x0000000000000FFF<\/code>实际上访问的是PML4表的前4KB。<\/p>
高端虚拟地址示例<\/h4>
PML4[0x1FF<\/span>] =<\/span> CR3;  \/\/ 最高条目指向自身
<\/span><\/span><\/span><\/code><\/pre>访问虚拟地址0xFFFFF80000000000<\/code>开始的地址范围实际上访问的是PML4表。<\/p>
弱点<\/h3>

自我引用条目缺乏随机性<\/li>
攻击者可以通过计算找到其他条目的地址<\/li>
条目间的偏移量固定（如0x100和0x101条目间相差512GB）<\/li>
<\/ul>
7. PTE后门技术<\/h2>
PTE(Page Table Entry)后门技术通过修改PTE来实现对物理内存的间接访问和控制。<\/p>
实现步骤<\/h3>

找到目标虚拟地址的PTE条目（使用WinDbg的!pte<\/code>命令）<\/li>
修改PTE内容：

修改权限位（如设置为读写）<\/li>
修改指向的物理地址<\/li>
<\/ul>
<\/li>
刷新TLB（通过触发页错误、上下文切换或invlpg<\/code>指令）<\/li>
<\/ol>
WinDbg操作示例<\/h3>
!pte 0x7FF000123000  \/\/ 查看PTE条目
ed 0xFFFFF6FB7DBED000 0x0000000000000003  \/\/ 修改为读写权限
ed 0xFFFFF6FB7DBED000 0x12345003  \/\/ 修改指向的物理地址
<\/code><\/pre>
应用场景<\/h3>

访问内核空间（通过修改PTE指向内核物理页面）<\/li>
遍历物理内存<\/li>
绕过正常地址映射机制<\/li>
<\/ul>
8. 页表条目结构<\/h2>
x86_64系统中，每个页表条目为64位(8字节)，结构如下：<\/p>

位0-11：标志位（存在位、读写位、用户\/内核位等）<\/li>
位12-51：物理页框号(PFN)<\/li>
位52-63：保留位<\/li>
<\/ul>
9. 地址转换示例<\/h2>
以虚拟地址0x71000000000<\/code>为例：<\/p>


分解地址：<\/p>

PML4_index=0x0E<\/li>
PDPT_index=0x40<\/li>
PD_index=0<\/li>
PT_index=0<\/li>
Offset=0<\/li>
<\/ul>
<\/li>

查找PML4条目：0x38a0000040653867<\/code><\/p>

低12位：0x867（标志位）<\/li>
PFN：0x40653<\/li>
物理地址：0x40653000（PDPT表基地址）<\/li>
<\/ul>
<\/li>

查找PDPT条目（索引0x40）<\/p>

获取PFN：0x41cd7<\/li>
物理地址：0x41cd7000（PD表基地址）<\/li>
<\/ul>
<\/li>

查找PD条目（索引0x00）<\/p>

获取PFN：0x3d7d9<\/li>
物理地址：0x3d7d9000（最终物理地址）<\/li>
<\/ul>
<\/li>
<\/ol>
因此，虚拟地址0x71000000000<\/code>映射到物理地址0x3d7d9000<\/code>。<\/p>

Windows内核：虚拟内存分页系统与自我引用技术<\/h1>

3. 大页面机制<\/h2> x86_64支持两种大页面：<\/p>

6. 自我引用技术<\/h2> 自我引用技术允许通过虚拟地址直接访问分页表结构，原理是在分页表的某一层创建一个指向自身的条目。<\/p>

示例实现<\/h3>

7. PTE后门技术<\/h2> PTE(Page Table Entry)后门技术通过修改PTE来实现对物理内存的间接访问和控制。<\/p>

3. 大页面机制<\/h2>
x86_64支持两种大页面：<\/p>

6. 自我引用技术<\/h2>
自我引用技术允许通过虚拟地址直接访问分页表结构，原理是在分页表的某一层创建一个指向自身的条目。<\/p>

7. PTE后门技术<\/h2>
PTE(Page Table Entry)后门技术通过修改PTE来实现对物理内存的间接访问和控制。<\/p>