Глобальные переменные.

Здрасте.
Задача следующая. Имеется мутирующий код(не содержащий данных), тоесть никакие переменные в нём находиться не могут. Код исполняется на всех процессорах. Необходима ссылка для адресации всех переменных. Где её можно хранить, при условии что код исполняется на любом IRQL ?
Обычно я использовал страницу с PCR, доставляя IPI и загружая линк в конец страницы.

 

Первым ткну пальцем в.. небо.
Именованные объекты можно создавать? Ну типа Mapping...

 

Можно подробнее...

 

TermoSINteZ
Для прогрузки мср нужно также IPI использовать. Хранить в модулях - нужен быстрый доступ к переменным, тогда где хранить смещение переменной в модуле.. можно конечно свободное пространство использовать, но его может и не быть.
google
Обьекты слишком медленно.

 

KUSER_SHARED_DATA?

 

fsd
Нет конечно, это ведь U-mode среда.

 

а чобы не хранить в самом конце после отмутированого кода я ж так понимаю результирующий размер известен

 

sl0n
Нельзя это сделать. Код не сосредоточен в виде процедуры в некотором регионе памяти. Более того, может применяться динамический морфинг, когда на лету в памяти код меняется, это делает не возможным использование переменных в коде.

 

ну а как чтобы двиг формировал псевдо инструкции ну для 32-х бит к примеру такую mov eax,adress_ ну и как нить её пометить и вшить в рандомное место морфируемого кода

 

ну и модификации при само изменении чтобы инструкция менялась и метки оставались

 

А да и оффтоп есть ли у кого семплы диких зверей один баянистый полиморф из текущего года и такой же пермутирующий

 

все пажертвывания будут отмечены в стотие

 

sl0n
Не. Модель должна быть стандартной, так как заранее двиг, который будет исполнять морфинг не известный.
Есть идея задать фиксированный адрес для блока, расположив его в конце пользовательского ап, или в начале системного. Так как лимиты дескрипторов ограничены MmHighestUserAddress, то выполнить доступ к этой странице из U-mode не удастся. Снизу она будет ограничена страницей NOACCESS, сверху тоже.

 

ну ещё как вариант хмм регистр попользовать но система сама их юзоет .. сброситься .. . хз кароче как по уму сделать - остается тока вариант ага в ядре де нить хронить .. ну не обязательно в ядре в какой нить памяти с спец характеристиками

 

sl0n
MSR, NPX и прочие блоки локальны для процессора. С таким же успехом можно использовать TSS. У меня текущее решение следующее(без IPI):

Код (Text):

1. ; +
2. ; Поиск переменной KiAbiosGdt.
3. ;
4. xQueryKiAbiosGdt proc uses ebx esi edi NtImageBase:PVOID, pKiAbiosGdt:PVOID, pKeNumberProcessors:PVOID
5. Local ImageHeader:PIMAGE_NT_HEADERS
6. Local Fn[3*4]:PVOID
7.     Call SEH_Epilog_Reference
8.     Call SEH_Prolog
9.     invoke LdrImageNtHeader, NtImageBase, addr ImageHeader
10.     test eax,eax
11.     mov Fn[0],0D259263FH    ; HASH("KeI386AllocateGdtSelectors")
12.     mov Fn[4],08B4DB3F5H    ; HASH("KeNumberProcessors")
13.     mov Fn[2*4],eax
14.     jnz Exit
15.     invoke LdrEncodeEntriesList, NtImageBase, 0, addr Fn
16.     test eax,eax
17.     mov esi,Fn[0]   ; KeI386AllocateGdtSelectors
18.     mov edi,pKiAbiosGdt
19.     jnz Exit
20.     lea ebx,[esi + 74H]
21. Step:
22.     movzx eax,word ptr [esi]
23. ; 2B15 XXXXXXXX sub edx,dword ptr ds:[_KiAbiosGdt]
24.     cmp al,2BH  ; 2B /r sub r32,r/m32
25.     jne Next
26.     mov al,ah   ; ModR/M
27.     test ah,MODRM_MOD_MASK
28.     jnz Next
29.     and al,MODRM_RM_MASK
30.     shr ah,3
31.     cmp al,101B
32.     jne Next
33.     cmp ah,2
34.     ja Next
35.     mov ecx,dword ptr [esi + 2] ; _KiAbiosGdt
36.     mov edx,Fn[4]   ; KeNumberProcessors
37.     mov ebx,pKeNumberProcessors
38.     xor eax,eax
39.     mov dword ptr [edi],ecx
40.     mov dword ptr [ebx],edx
41.     jmp Exit   
42. Next:
43.     Call VirXasm32
44.     add esi,eax
45.     cmp ebx,esi
46.     ja Step
47.     mov eax,STATUS_NOT_FOUND
48.     jmp Exit
49. SEH_Epilog_Reference:
50.     %GET_CURRENT_GRAPH_ENTRY
51. Exit:
52.     Call SEH_Epilog
53.     ret
54. xQueryKiAbiosGdt endp
55.  
56. ; +
57. ; Загрузка переменной в KPCR всех процессоров.
58. ; o Disp < X86_PAGE_SIZE
59. ; o Адресация переменной посредством FS:[Disp].
60. ;
61. xLoadVariableInPcrs proc uses ebx esi edi pKiAbiosGdt:PVOID, NumberProcessors:ULONG, Variable:PVOID, Disp:ULONG
62.     Call SEH_Epilog_Reference
63.     Call SEH_Prolog
64.     mov edi,pKiAbiosGdt
65.     cmp NumberProcessors,32
66.     mov eax,1
67.     ja Error
68.     cmp NumberProcessors,0
69.     jne @f
70.     cpuid
71.     shr ebx,16
72.     mov byte ptr [NumberProcessors],bl 
73. @@:
74.     mov esi,dword ptr [edi] ; PKGDT
75.     xor eax,eax
76.     xor ecx,ecx
77.     xor edx,edx
78.     xor ebx,ebx
79.     lock cmpxchg8b qword ptr [esi + KGDT_R0_PCR]    ; -> Edx:Eax
80.     mov ecx,edx
81.     btr edx,8   ; A
82.     mov ebx,Variable
83.     cmp dh,10010010B    ; P:1, DPL:0, S:1, Type:001(DATA, RW)
84.     jne Error
85.     cmp ax,1    ; Limit
86.     mov ecx,edx
87.     jne Error
88.     shr ecx,8
89.     and ch,11001111B
90.     mov al,dl   ; Base: 23%16
91.     cmp ch,11000000B    ; G:1, ; D:1
92.     jne Error
93.     and edx,0FF000000H  ; Base: 31%24
94.     ror eax,16
95.     mov ecx,Disp
96.     or eax,edx  ; PKPCR
97.     mov dword ptr [eax + ecx],ebx
98.     add edi,4
99.     dec NumberProcessors
100.     jnz @b
101.     xor eax,eax
102.     jmp Exit
103. Error:
104.     mov eax,STATUS_UNSUCCESSFUL
105.     jmp Exit
106. SEH_Epilog_Reference:
107.     %GET_CURRENT_GRAPH_ENTRY
108. Exit:
109.     Call SEH_Epilog
110.     ret
111. xLoadVariableInPcrs endp

 

sl0n

Базу ядра хранить тоже гдето нужно, чтобы к нему обращаться.

 

TermoSINteZ
Именно в этом и вопрос. Хранить в коде нельзя. Просто потому, что нет нормального способа это сделать.

 

ну а как дебильный вариант пронюхать место в ядре статик ... на разных осях и его по бычьи пробить .. ну с новым сп всё перепроверить придёцо