内核变量引用

1. 如何调用linux内核源码中的全局变量

不会首先全局变量是不占堆栈空间的全局全量编译的时侯是放在.data段的只有没有static修饰的局部变量在程序运行的时侯临时分配在栈上，new，或malloc等定义的变量分配在堆上如果想让栈溢出也很容易，栈也有其极限的，只要定义一个无限递归函数，让它没完没了的递归就行了，一会就崩了。建议学一下编译原理

2. 元格中的一个引用地址的一部分需要作为变量被赋值

offset函数，可以改变区域位置、大小。应该是最合适这个场景的函数了。
另外用indirect+address也能实现，比较别扭一些。

3. 如何获取windows内核全局变量的办法

1、ImageBase = LoadLibraryA("ntoskrnl.exe")
2、GetProcAddress(ImageBase,"MmGetSystemRoutineAddress")
3、搜索特征代码：
*(WORD *)(MmGetSystemRoutineAddress + i) = 0x358b && *(WORD *)(MmGetSystemRoutineAddress + i + 6) = 0xfe81
&&
*(DWORD *)(MmGetSystemRoutineAddress + i + 2) == *(DWORD *)(MmGetSystemRoutineAddress + i + 8)
4、定位内核中的地址：
PsLoadedMoleList = *(DWORD *)(MmGetSystemRoutineAddress + i + 2) + (KernelBase - ImageBase)

4. 安卓hardwa层可以引用内核中的变量吗

对于对象类型的数据，引用就相当如对象指针，保存的那个对象的地址，使用的时候根据地址找对象。 对于普通类型的数据，这个引用就是直接存放那个数据了。使用就不用像对象那样去找了。 对象引用是中介，普通数据引用真正的客户。 int a = 1;int b;b=a此时是直接把a的值也就是地址赋给b（而不是“1”）。。 b =a ,是传值不是地址，对象是传地址。怎么证明这点很简单，你改变a的值，如果b变了就是传地址，否则就是值了。

5. 为什么内核中的程序变量或函数 都用static修饰呢

static 修饰函数 表示函数只能在本文件中使用
static 修饰全局变量 表示该全局变量只能在本文件中使用
static 修饰局部变量 表示该变量只在第一次用到的时候被初始化，以后用到该变量时都是用的上次的值

6. 如何获取Windows 系统的内核变量

PsLoadedMoleList等重要内核变量并未被ntoskrnl.exe导出，也没有公开的函
数可以获取。而这些内核变量对于Rootkit、Anti-Rootkit 以及内核溢出的利用等都
是至关重要的。

下面我们以PsLoadedMoleList、PsActiveProcessHead 等为例，介绍得到这些
变量的方法。

对于Windows NT 4.0和Windows 2000，尚没有“温柔”的办法可以获取这些变量，
比较理想的办法也就是特征代码搜索，这种方法虽然暴力，但通常都很有效，一般也
不会出问题；对于Windows XP和Windows 2003，我们找到了一些更加优雅的选择。

下面首先介绍特征代码搜索的方法。

[DWORD KernelBase]

要进行特征代码搜索，首先要定位ntoskrnl.exe在内核的加载地址KernelBase。
这个地址可以通过ZwQuerySystemInformation Class 10的SystemMoleInformation
来得到。参考资源[1]中给出了相关代码。事实上，KernelBase 这个值对同一操作系
统来说非常固定，可以作为常量来用：

Windows NT： 0x80100000
Windows 2000：0x80400000
Windows XP： 0x804d1000
Windows 2003: 0x804e0000

Windows NT 4.0 ntoskrnl.exe 的OptionalHeader->ImageBase = 0x80100000，
ntldr 也会按照这个值来加载内核，但是从Windows 2000开始就不是这样了。可能基
于这个历史原因，各系统的*(DWORD *)PsNtosImageBase始终初始化为0x80100000。

另外，内核变量PsNtosImageBase、KdpNtosImageBase等也指向KernelBase：

KernelBase = *(DWORD *)PsNtosImageBase
KernelBase = *(DWORD *)KdpNtosImageBase

[LIST_ENTRY PsLoadedMoleList]

PsLoadedMoleList这个全局变量指向一个保存着所加载驱动信息的双向链表。
通过它可以枚举系统中所有的驱动模块。

虽然很多内核函数都用到了PsLoadedMoleList，但是大部分并没有被导出，而
从基址开始搜会很花时间。对于Windows 2000来说，从下面这个地方入手是个好主意：

nt!MmGetSystemRoutineAddress+0x66:
804f0ed0 8b35f0e84680 mov esi,[nt!PsLoadedMoleList (8046e8f0)]
804f0ed6 81fef0e84680 cmp esi,0x8046e8f0

流程如下：
1、ImageBase = LoadLibraryA("ntoskrnl.exe")
2、GetProcAddress(ImageBase,"MmGetSystemRoutineAddress")
3、搜索特征代码：
*(WORD *)(MmGetSystemRoutineAddress + i) = 0x358b && \
*(WORD *)(MmGetSystemRoutineAddress + i + 6) = 0xfe81
&&
*(DWORD *)(MmGetSystemRoutineAddress + i + 2) == \
*(DWORD *)(MmGetSystemRoutineAddress + i + 8)
4、定位内核中的地址：
PsLoadedMoleList = \
*(DWORD *)(MmGetSystemRoutineAddress + i + 2) + (KernelBase - ImageBase)

从SP0到SP4，i值并不相同，但是肯定不大于0x100。

对Windows NT来说，就没这么好运气了，没有理想的可用于定位的API，只能从头
开始搜索。下面这段代码至少对SP1~SP6a的来说都具有很好的稳定性和唯一性：
801CEB1C: 8B 4D 08 mov ecx,dword ptr [ebp+8]
801CEB1F: 89 01 mov dword ptr [ecx],eax
801CEB21: 8B 45 0C mov eax,dword ptr [ebp+0Ch]
801CEB24: 89 10 mov dword ptr [eax],edx
801CEB26: 8B 36 mov esi,dword ptr [esi]
801CEB28: 81 FE 70 0B 15 80 cmp esi,80150B70h //PsLoadedMoleList

如果是用驱动做这件事情，就不必暴力搜索了，fuzen_op（[email protected])
在FU_Rootkit2.0（参考资源[2]）中使用了一段比较巧妙的代码：

DWORD FindPsLoadedMoleList (IN PDRIVER_OBJECT DriverObject)
{
PMODULE_ENTRY pm_current;
if (DriverObject == NULL)
return 0;

pm_current = *((PMODULE_ENTRY*)((DWORD)DriverObject + 0x14));
if (pm_current == NULL)
return 0;

gul_PsLoadedMoleList = pm_current;

while ((PMODULE_ENTRY)pm_current->le_mod.Flink != gul_PsLoadedMoleList)
{
if ((pm_current->unk1 == 0x00000000) && \
(pm_current->driver_Path.Length == 0))
{
return (DWORD) pm_current;
}
pm_current = (MODULE_ENTRY*)pm_current->le_mod.Flink;
}

return 0;
}

[LIST_ENTRY PsActiveProcessHead]

理论上PsActiveProcessHead 也可以用搜索代码的方法来取，但是还有更简单的
方法。

ntoskrnl.exe导出的PsInitialSystemProcess 是一个PEPROCESS，指向system进
程的EPROCESS。这个EPROCESS的结构成员EPROCESS.ActiveProcessLinks.Blink 就是
PsActiveProcessHead：

kd> dt _EPROCESS ActiveProcessLinks.Blink poi(PsInitialSystemProcess)
+0x0a0 ActiveProcessLinks : [ 0x81356900 - 0x8046e728 ]
+0x004 Blink : 0x8046e728 [ 0x81a2fb00 - 0xff5a4ce0 ]
kd> ? PsActiveProcessHead
Evaluate expression: -2142836952 = 8046e728

EPROCESS这个结构在不同的操作系统上各不相同，需要分别对待。

[struct _KDDEBUGGER_DATA64 KdDebuggerDataBlock]

Windows 2000 开始，系统引入了变量KdDebuggerDataBlock。其中包含了大量的
内核变量。如果能够获取到的话，可以解决许多问题。遗憾的是，Windows NT上没有
这个变量。WinDBG SDK的wdbgexts.h中包含了它的结构：
typedef struct _KDDEBUGGER_DATA64
因为比较长，这里就不引用了。

从对5.0.2195.6902版本ntoskrnl.exe 的逆向工程结果来看，只有两个函数使用
了该变量，并且，两个函数都未导出，且代码前后没有明显特征，无法靠直接搜索代
码来获取。

但是，我们发现，ntoskrnl.exe导出了KdEnableDebugger，KdEnableDebugger会
调用KdInitSystem，而KdInitSystem 中引用了KdDebuggerDataBlock：

n < 100

Windows 2000：

KdEnableDebugger + n:
6A 00 push 0
6A 00 push 0
C6 05 28 41 48 00 01 mov _PoHiberInProgress, 1
E8 1C DC 10 00 call _KdInitSystem@8 ; KdInitSystem(x,x)

KdInitSystem + n:
68 70 02 00 00 push 270h // sizeof(KdDebuggerDataBlock)
B9 50 D1 54 00 mov ecx, offset _KdpDebuggerDataListHead
68 D8 FA 46 00 push offset KdDebuggerDataBlock
8B 40 18 mov eax, [eax+18h]
68 4B 44 42 47 push 4742444Bh // "KDBG"，可以用作搜索的定位标志
A3 3C D1 54 00 mov ds:_KdpNtosImageBase, eax
89 0D 54 D1 54 00 mov ds:dword_54D154, ecx
89 0D 50 D1 54 00 mov ds:_KdpDebuggerDataListHead, ecx

Windows XP

KdEnableDebugger + n:
6A 00 push 0
6A 00 push 0
C6 05 8C 98 47 00 01 mov _PoHiberInProgress, 1
E8 2B 17 13 00 call _KdInitSystem@8 ; KdInitSystem(x,x)

KdInitSystem + n:
68 90 02 00 00 push 290h
68 E0 9D 46 00 push offset KdDebuggerDataBlock
BE 74 96 59 00 mov esi, offset _KdpDebuggerDataListHead
68 4B 44 42 47 push 4742444Bh
89 35 78 96 59 00 mov ds:dword_599678, esi
89 35 74 96 59 00 mov ds:_KdpDebuggerDataListHead, esi

Windows 2003

KdEnableDebugger + n:
56 push esi
56 push esi
C6 05 0C 08 49 00 01 mov PoHiberInProgres, 1
E8 CB AD 15 00 call _KdInitSystem@8 ; KdInitSystem(x,x)

KdInitSystem + n:
68 18 03 00 00 push 318h
68 D0 A3 47 00 push offset KdDebuggerDataBlock
BE 18 10 5D 00 mov esi, offset _KdpDebuggerDataListHead
68 4B 44 42 47 push 4742444Bh
89 35 1C 10 5D 00 mov ds:dword_5D101C, esi
89 35 18 10 5D 00 mov ds:_KdpDebuggerDataListHead, esi

可以看出，上面代码特征的唯一性很好。用于搜索是没有问题的。我在上面同时
列出了三个系统的代码，仅仅只是为了比较，事实上，对Windows XP和Windows 2003
是完全没有必要采取如此暴力手段的。

7. php中的可变变量和引用赋值有什么区别

从PHP内核的角度跟你解释下吧，你可以深入理解下，就完全明白了；
PHP的变量在内核中都是通过C语言的结构zval来存储的（你没学过C，你可以理解为是个对象，里面的成员变量都是类的属性，暂时先这样理解），zval结构如下：
struct _zval_struct {
zvalue_value value; // 存储变量的值
zend_uint refcount__gc; //表示引用计数 默认为：1
zend_uchar type; // 变量具体的类型
zend_uchar is_ref__gc; //表示是否为引用
};
举个例子，php代码如下：
$a = 10;
$b = $a;
这时$b没有引用，只是将$a的值赋给了$a，那么zval这个结构中的refcount__gc就变为2了，而is_ref__gc还是false,表示未引用，因为内核$a已经开辟了一块内存空间，当$a赋值给$b时，$b的值只指向了$a，这样就省去了重新开辟一块内存，但是当$b值被改变时($a的值不会变)，$b又将会开辟一块新的内存空间，这就是所以的写时复制，到这里，楼主已经明白了，PHP变量在内核中的如何存储了，下面就讲下引用：
$a = 10;
$b = &$a;
这个时候，内核中存储$a的结构is_ref__gc标记为true，代表是引用，那么$a和$b都指向了同一个内存地址，当$b=20的时候，$a也会变成20，说到这里，楼主应该明白区别了吧？