》 TLB 是为了增加访问内存的效率
》 这个实验做起来很麻烦,因为:
内存访问的步骤:
》 注意 TLB 产生异常 3; 不会回到 2;而是产生 0x0E 异常。
1 简单实验查看 快表 带来的影响:
图解:
代码:
// 7_TLB_test.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include "pch.h"
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
#define PTE(x) ( (DWORD*)(0xc0000000 + ((x >> 12) << 3)))
#define PDE(X) ( (DWORD*)(0xc0600000 + ((x >> 21) << 3)))
DWORD g_out;
#pragma section("data seg", read, write)
_declspec(allocate("data seg"))DWORD pagel[1024]; //41d000
_declspec(allocate("data seg"))DWORD page2[1024]; //41c000
//0x401000
void _declspec(naked) IdtEntry()
{
__asm mov eax, ds: [0x405000]
//确保虚拟地址在TLB中
PTE(0x41c000)[0] = PTE(0x41d000)[0];
PTE(0x41c000)[1] = PTE(0x41d000)[1];
g_out = page2[0];
__asm {
iretd
}
}
void _declspec(naked) go() {
{
pagel[0] = 1; //确保物理页存在
page2[0] = 2;
}
__asm int 0x20
__asm ret
}
//eq 8003f500 0040ee00~ 00081000
void main()
{
if ((DWORD)IdtEntry != 0x401040)
{
printf("wrong addr: %p", IdtEntry);
exit(-1);
}
go();
printf("%d\n", g_out);
system("pause");
}
效果:
蓝屏:
太快了 。。。 截图不到。。。额
解决蓝屏:
由于 是对同一个物理页释放了两次造成了蓝屏;
所以 保存好 原来的pte值;
所以在 中断返回之前,将那个 虚拟页的 pte 修改回来即可
刷新TLB,解决 结果和我们预期差异
这个cr3 的切换 会导致 没有 g 属性的tlb 失效。即清除;
改后的代码:
// 7_TLB_test.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include "pch.h"
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
#define PTE(x) ( (DWORD*)(0xc0000000 + ((x >> 12) << 3)))
#define PDE(X) ( (DWORD*)(0xc0600000 + ((x >> 21) << 3)))
DWORD g_out;
DWORD g_OldPte[2];
#pragma section("data seg", read, write)
_declspec(allocate("data seg"))DWORD pagel[1024]; //41d000
_declspec(allocate("data seg"))DWORD page2[1024]; //41c000
//0x401000
void _declspec(naked) IdtEntry()
{
// 确保虚拟地址在TLB中
__asm mov eax, ds: [0x405000];
// 保存旧的pte ,以用来恢复pte 解决不蓝屏
g_OldPte[0] = PTE(0x41c000)[0];
g_OldPte[1] = PTE(0x41c000)[1];
PTE(0x41c000)[0] = PTE(0x41d000)[0];
PTE(0x41c000)[1] = PTE(0x41d000)[1];
__asm{
mov eax,cr3
mov cr3,eax
}
g_out = page2[0];
// 恢复到原来的pte
PTE(0x41c000)[0]=g_OldPte[0];
PTE(0x41c000)[1]=g_OldPte[1];
__asm {
iretd
}
}
void _declspec(naked) go() {
{
pagel[0] = 1; //确保物理页存在
page2[0] = 2;
}
__asm int 0x20
__asm ret
}
//eq 8003f500 0040ee00~ 00081000
void main()
{
if ((DWORD)IdtEntry != 0x401040)
{
printf("wrong addr: %p", IdtEntry);
exit(-1);
}
go();
printf("%d\n", g_out);
system("pause");
}
之后的效果:
2 有G属性的TLB 项
查看 pte 有无G位:
设置我们3环的页G位有效--不被刷出TLB:
代码:
// 7_TLB_test.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include "pch.h"
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
#define PTE(x) ( (DWORD*)(0xc0000000 + ((x >> 12) << 3)))
#define PDE(X) ( (DWORD*)(0xc0600000 + ((x >> 21) << 3)))
DWORD g_out;
DWORD g_OldPte[2];
#pragma section("data seg", read, write)
_declspec(allocate("data seg"))DWORD pagel[1024]; //41d000
_declspec(allocate("data seg"))DWORD page2[1024]; //41c000
//0x401000
void _declspec(naked) IdtEntry()
{
// 确保虚拟地址在TLB中
__asm mov eax, ds: [0x405000];
// 保存旧的pte ,以用来恢复pte 解决不蓝屏
g_OldPte[0] = PTE(0x41c000)[0];
g_OldPte[1] = PTE(0x41c000)[1];
PTE(0x41c000)[0] = PTE(0x41d000)[0]|0x100;// 设置G位
PTE(0x41c000)[1] = PTE(0x41d000)[1];
__asm{
mov eax,cr3
mov cr3,eax
}
// 调用调用;确保在 TL B 中
__asm mov eax, ds:[0x41c000];
// 恢复到原来的pte
//---- 这样
// 按道理 后面一旦后面刷新 TLB 将 普通 TLB 刷新出去,
// 那么 g_out = page2[0] 的值就 应该是 正常 的原 pte 对应的数据 -- 2。
PTE(0x41c000)[0] = g_OldPte[0];
PTE(0x41c000)[1] = g_OldPte[1];
__asm
{
mov eax,cr3
mov cr3,eax
}
g_out = page2[0]; // 讲道理 在非G位下 应该是2(原PTE解析出的) -- 但是这里我们设置了PTE 的G位,
// so 这里应该是 TLB快表中 对应的 1;
__asm {
iretd
}
}
void _declspec(naked) go() {
{
pagel[0] = 1; //确保物理页存在
page2[0] = 2;
}
__asm int 0x20
__asm ret
}
//eq 8003f500 0040ee00~ 00081000
void main()
{
if ((DWORD)IdtEntry != 0x401040)
{
printf("wrong addr: %p", IdtEntry);
exit(-1);
}
go();
printf("%d\n", g_out);
system("pause");
}
测试结果:
当然 还可以强行更新 TLB 项,无视G位:
__asm invlpg ds: [0x41c000] //强行更新TLB项,无视G位
这时候 TLB 中就没有之前那个虚拟地址的TLB 虚拟项了。这时候就是正常的值了。
利用:inline Hook
现在我们可以使用 直接 修改 systemfastcallentry( ) 所在的pte;为 可写的状态;并且使用强行刷新TLB 将那个pte在TLB中的数据刷新
PTE(XXX)[0] =...;
PTE(XXX)[1] = ..;
__asm invlpg ds: [XXX] //强行更新TLB项,无视G位