[悬赏]如何在64位系统下检验内核地址有效性？【已解决】

Tesla.Angela

MmIsAddressValid有时不管用，是人人皆知的事情。
不少高手都说：基本没有绝对有效的方法。
那么，大家有没有比较有效的办法呢？

需求：
一个校验地址有效性的函数，能像WINDBG一样，访问任何地址都不会蓝屏。

奖励：
终身核心会员 + 10000水晶币。

Tesla.Angela

已经自己解决了：

1. BOOLEAN IsAddressSafe(UINT_PTR StartAddress)
   
2. {
   
3. #ifdef AMD64
   
4.         //cannonical check. Bits 48 to 63 must match bit 47
   
5.         UINT_PTR toppart=(StartAddress >> 47);
   
6.         if (toppart & 1)
   
7.         {
   
8.                 //toppart must be 0x1ffff
   
9.                 if (toppart != 0x1ffff)
   
10.                         return FALSE;
    
11.         }
    
12.         else
    
13.         {
    
14.                 //toppart must be 0
    
15.                 if (toppart != 0)
    
16.                         return FALSE;
    
17. 
    
18.         }
    
19. #endif
    
20.         {
    
21. #ifdef AMD64
    
22.                 UINT_PTR kernelbase=0x7fffffffffffffffULL;
    
23.                 if (StartAddress<kernelbase)
    
24.                         return TRUE;
    
25.                 else
    
26.                 {
    
27.                         PHYSICAL_ADDRESS physical;
    
28.                         physical.QuadPart=0;
    
29.                         physical=MmGetPhysicalAddress((PVOID)StartAddress);
    
30.                         return (physical.QuadPart!=0);
    
31.                 }
    
32.                 return TRUE; //for now untill I ave figure out the win 4 paging scheme
    
33. #else
    
34.                 /*        MDL x;
    
35. 
    
36. 
    
37.                         MmProbeAndLockPages(&x,KernelMode,IoModifyAccess);
    
38. 
    
39. 
    
40.                         MmUnlockPages(&x);
    
41.                         */
    
42.                 ULONG kernelbase=0x7ffe0000;
    
43.                 if ((!HiddenDriver) && (StartAddress<kernelbase))
    
44.                         return TRUE;
    
45.                 {
    
46.                         UINT_PTR PTE,PDE;
    
47.                         struct PTEStruct *x;
    
48.                         /*
    
49.                         PHYSICAL_ADDRESS physical;
    
50.                         physical=MmGetPhysicalAddress((PVOID)StartAddress);
    
51.                         return (physical.QuadPart!=0);*/
    
52.                         PTE=(UINT_PTR)StartAddress;
    
53.                         PTE=PTE/0x1000*PTESize+0xc0000000;
    
54.                         //now check if the address in PTE is valid by checking the page table directory at 0xc0300000 (same location as CR3 btw)
    
55.                         PDE=PTE/0x1000*PTESize+0xc0000000; //same formula
    
56.                         x=(PVOID)PDE;
    
57.                         if ((x->P==0) && (x->A2==0))
    
58.                         {
    
59.                                 //Not present or paged, and since paging in this area isn't such a smart thing to do just skip it
    
60.                                 //perhaps this is only for the 4 mb pages, but those should never be paged out, so it should be 1
    
61.                                 //bah, I've got no idea what this is used for
    
62.                                 return FALSE;
    
63.                         }
    
64.                         if (x->PS==1)
    
65.                         {
    
66.                                 //This is a 4 MB page (no pte list)
    
67.                                 //so, (startaddress/0x400000*0x400000) till ((startaddress/0x400000*0x400000)+(0x400000-1) ) ) is specified by this page
    
68.                         }
    
69.                         else //if it's not a 4 MB page then check the PTE
    
70.                         {
    
71.                                 //still here so the page table directory agreed that it is a usable page table entry
    
72.                                 x=(PVOID)PTE;
    
73.                                 if ((x->P==0) && (x->A2==0))
    
74.                                         return FALSE; //see for explenation the part of the PDE
    
75.                         }
    
76.                         return TRUE;
    
77.                 }
    
78. #endif
    
79.         }
    
80. }

复制代码

代码来自CheatEngine。

---

利用此函数和MmIsAddressValid进行两次判断，在正常模式下暂时未发现误判断。

---

最后，感谢ithurricane大牛提供线索。

msmvp

win64下这么麻烦？

ghost2002910

可惜了来晚了，不然就可以是终身会员了。。。

kk1025

支持!!

stylezhou1

好东西