_kernelrpc_mach_vm_allocate_trap

Point d'entrée trap qui implémente mach_vm_allocate — réserve une région d'espace d'adressage virtuel dans un task cible.

Prototype

kern_return_t _kernelrpc_mach_vm_allocate_trap(/* 4 args */);

Retour: kern_return_t

Historique des versions

XNU tag	macOS	#
xnu-2050.18.24	macOS 10.8 Mountain Lion	-10
xnu-2422.115.4	macOS 10.9 Mavericks	-10
xnu-2782.40.9	macOS 10.10 Yosemite	-10
xnu-3247.1.106	macOS 10.11 El Capitan	-10
xnu-3789.1.32	macOS 10.12 Sierra	-10
xnu-4570.1.46	macOS 10.13 High Sierra	-10
xnu-4903.221.2	macOS 10.14 Mojave	-10
xnu-6153.11.26	macOS 10.15 Catalina	-10
xnu-7195.50.7.100.1	macOS 11.0 Big Sur	-10
xnu-8019.41.5	macOS 12.0 Monterey	-10
xnu-8792.41.9	macOS 13.0 Ventura	-10
xnu-10002.1.13	macOS 14.0 Sonoma	-10
xnu-11215.1.10	macOS 15.0 Sequoia	-10
xnu-11417.101.15	macOS 15.4 Sequoia	-10
xnu-12377.1.9	macOS 26.0 Tahoe	-10
xnu-10002.41.9	—	-10
xnu-10002.61.3	—	-10
xnu-10002.81.5	—	-10
xnu-10063.101.15	—	-10
xnu-10063.121.3	—	-10
xnu-10063.141.1	—	-10
xnu-11215.41.3	—	-10
xnu-11215.61.5	—	-10
xnu-11215.81.4	—	-10
xnu-11417.121.6	—	-10
xnu-11417.140.69	—	-10
xnu-12377.101.15	—	-10
xnu-12377.41.6	—	-10
xnu-12377.61.12	—	-10
xnu-12377.81.4	—	-10
xnu-2050.22.13	—	-10
xnu-2050.24.15	—	-10
xnu-2050.48.11	—	-10
xnu-2050.7.9	—	-10
xnu-2050.9.2	—	-10
xnu-2422.1.72	—	-10
xnu-2422.100.13	—	-10
xnu-2422.110.17	—	-10
xnu-2422.90.20	—	-10
xnu-2782.1.97	—	-10
xnu-2782.10.72	—	-10
xnu-2782.20.48	—	-10
xnu-2782.30.5	—	-10
xnu-3247.10.11	—	-10
xnu-3248.20.55	—	-10
xnu-3248.30.4	—	-10
xnu-3248.40.184	—	-10
xnu-3248.50.21	—	-10
xnu-3248.60.10	—	-10
xnu-3789.21.4	—	-10
xnu-3789.31.2	—	-10
xnu-3789.41.3	—	-10
xnu-3789.51.2	—	-10
xnu-3789.60.24	—	-10
xnu-3789.70.16	—	-10
xnu-4570.20.62	—	-10
xnu-4570.31.3	—	-10
xnu-4570.41.2	—	-10
xnu-4570.51.1	—	-10
xnu-4570.61.1	—	-10
xnu-4570.71.2	—	-10
xnu-4903.231.4	—	-10
xnu-4903.241.1	—	-10
xnu-4903.270.47	—	-10
xnu-6153.101.6	—	-10
xnu-6153.121.1	—	-10
xnu-6153.141.1	—	-10
xnu-6153.41.3	—	-10
xnu-6153.61.1	—	-10
xnu-6153.81.5	—	-10
xnu-7195.101.1	—	-10
xnu-7195.121.3	—	-10
xnu-7195.141.2	—	-10
xnu-7195.60.75	—	-10
xnu-7195.81.3	—	-10
xnu-8019.61.5	—	-10
xnu-8019.80.24	—	-10
xnu-8020.101.4	—	-10
xnu-8020.121.3	—	-10
xnu-8020.140.41	—	-10
xnu-8792.61.2	—	-10
xnu-8792.81.2	—	-10
xnu-8796.101.5	—	-10
xnu-8796.121.2	—	-10
xnu-8796.141.3	—	-10

Exemples

C — allocate then make executable in a remote task

mach_vm_address_t addr = 0;
mach_vm_allocate(target_task, &addr, 0x4000, VM_FLAGS_ANYWHERE);
mach_vm_write(target_task, addr, (vm_offset_t)code, sizeof(code));
mach_vm_protect(target_task, addr, 0x4000, FALSE,
                VM_PROT_READ | VM_PROT_EXECUTE);

Notes

mach_vm_allocate est l'équivalent Mach de mmap(MAP_ANON | MAP_PRIVATE) mais adressé par port task : l'appelant peut allouer de la mémoire dans tout task dont il détient le port de contrôle. Le flag VM_FLAGS_ANYWHERE laisse au noyau le choix de l'adresse ; sinon l'argument adresse sert d'indice fixe. Combiné à task_for_pid et mach_vm_write, c'est la moitié de la primitive canonique d'injection de code macOS : allouer de la mémoire RWX dans un task cible, y écrire du shellcode, puis appeler thread_create_running dessus. Les pages allouées sont read/write par défaut ; l'exécution requiert un mach_vm_protect ultérieur.

Détection

Les opérations Mach VM sur le task appelant sont invisibles pour Endpoint Security. Les opérations sur un task étranger impliquent un task_for_pid préalable (observable via ES_EVENT_TYPE_NOTIFY_GET_TASK). La sonde DTrace mach_trap est la surface directe ; la coupler à une action de capture de stack permet de signer les allocations issues de dylibs injectées.

API associées

_kernelrpc_mach_vm_deallocate_trap_kernelrpc_mach_vm_protect_trap_kernelrpc_mach_vm_map_trapmach_vm_writetask_for_pid