原文链接:浅谈NT下Ring3无驱进入Ring0的方法

(测试环境:Windows 2000 SP4,Windows XP SP2.Windows 2003 未测试)

  在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)的帖子中自己没有实验成功(其实已经成功了,只是自己太马虎,竟然还不知道 -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。鉴于这些都是可以作为基本功来了解的知识点,所以对此已经熟悉的朋友就可以略过不看了,当然由于本人水平有限,各位前来“挑挑刺”也是非常欢迎的,呵呵。

  下面言归正传,我们知道在NT中进入Ring0的一般方法是通过驱动,我的Windows 核心编程研究系列 文章前两篇都使用了这个方法进入Ring0 完成特定功能。现在我们还可以通过在Ring3下直接写物理内存的方法来进入Ring0,其主要步骤是:

  • 0  以写权限打开物理内存对象;
  • 取得 系统 GDT 地址,并转换成物理地址;
  • 构造一个调用门;
  • 寻找 GDT 中空闲的位置,将 CallGate 植入;
  • Call植入的调用门。

  前面已打通主要关节,现在进一步看看细节问题:

[0]  默认只有 System 用户有写物理内存的权限 administrators 组的用户 只有读的权限,但是通过修改用户安全对象中的DACL 可以增加写的权限:

 _SetPhyMemDACLs      proc       uses ebx edi esi /

                                        _hPhymem:HANDLE,/

                                        _ptusrname:dword

     local  @dwret:dword

     local  @htoken:HANDLE

     local  @hprocess:HANDLE

     local  @个

     local  @OldDACLs:PACL

     local  @SecurityDescriptor:PSECURITY_DESCRIPTOR

     local  @Access:EXPLICIT_ACCESS

     mov     @dwret,FALSE

     invoke RtlZeroMemory,addr @NewDACLs,sizeof @NewDACLs

            invoke RtlZeroMemory,addr @SecurityDescriptor,/

            sizeof @SecurityDescriptor

     invoke GetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,/

            DACL_SECURITY_INFORMATION,NULL,NULL,/

            addr @OldDACLs,NULL,/

            addr @SecurityDescriptor

     .if eax != ERROR_SUCCESS

            jmp SAFE_RET

     .endif

     invoke RtlZeroMemory,addr @Access,sizeof @Access

     mov     @Access.grfAccessPermissions,SECTION_ALL_ACCESS

     mov     @Access.grfAccessMode,GRANT_ACCESS

     mov     @Access.grfInheritance,NO_INHERITANCE

     mov     @Access.stTRUSTEE.MultipleTrusteeOperation,/

            NO_MULTIPLE_TRUSTEE

     mov     @Access.stTRUSTEE.TrusteeForm,TRUSTEE_IS_NAME

     mov     @Access.stTRUSTEE.TrusteeType,TRUSTEE_IS_USER

     push   _ptusrname

     pop     @Access.stTRUSTEE.ptstrName

     invoke GetCurrentProcess

     mov     @hprocess,eax

     invoke OpenProcessToken,@hprocess,TOKEN_ALL_ACCESS,/

            addr @htoken

     invoke SetEntriesInAcl,,addr @Access,/

            @OldDACLs,addr @NewDACLs

     .if eax != ERROR_SUCCESS

            jmp SAFE_RET

     .endif

     invoke SetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,/

            DACL_SECURITY_INFORMATION,NULL,NULL,/

            @NewDACLs,NULL

     .if eax != ERROR_SUCCESS

            jmp SAFE_RET

     .endif

     mov     @dwret,TRUE

 SAFE_RET:

     .if @NewDACLs != NULL

            invoke LocalFree,@NewDACLs

            mov @NewDACLs,NULL

     .endif

     .if @SecurityDescriptor != NULL

            invoke LocalFree,@SecurityDescriptor

            mov @SecurityDescriptor,NULL

     .endif

     mov     eax,@dwret

     ret

 _SetPhyMemDACLs      endp

[0] 可以在Ring3下使用SGDT指令取得系统GDT表的虚拟地址,这条指令没有被Intel设计成特权0级的指令。据我的观察,在 Windows 2000 SP4 中 GDT 表的基址都是相同的,而且在 虚拟机VMware 5.5 虚拟的 Windows 2000 SP4中执行 SGDT 指令后返回的是错误的结果,在虚拟的 Windows XP 中也有同样情况,可能是虚拟机的问题,大家如果有条件可以试一下:

 local  @stGE:GDT_ENTRY

     mov     @dwret,FALSE

     lea     esi,@stGE

     sgdt   fword ptr [esi]

     assume esi:ptr GDT_ENTRY

     ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

     ;在 VMware 虚拟环境下用以下两条指令替代

    ;只用于 Windows 2000 SP4

     ;mov   [esi].Base,80036000h

     ;mov   [esi].Limit,03ffh

     ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

     mov     eax,[esi].Base

     invoke @GetPhymemLite,eax

     .if eax == FALSE

            jmp quit

     .endif

下面就是虚拟地址转换物理地址了,这在Ring0中很简单,直接调用MmGetPhysicalAddress 即可,但在Ring3中要另想办法,还好系统直接将 0x80000000 – 0xa0000000 影射到物理0地址开始的位置,所以可以写一个轻量级的GetPhysicalAddress来替代 :)

@GetPhymemLite    proc   uses esi edi ebx         _vaddr

    local  @dwret:dword

    mov     @dwret,FALSE

    .if _vaddr < 80000000h

           jmp quit

    .endif

    .if _vaddr >= 0a0000000h

           jmp quit

    .endif

    mov     eax,_vaddr

    and     eax,01ffff000h       ;or sub eax,80000000h

    mov     @dwret,eax

quit:

    mov     eax,@dwret

    ret

@GetPhymemLite    endp

[2] 调用门在保护模式中可以看成是低特权级代码向高特权级代码转换的一种实现机制,如图1所示(由于本人较懒,所以借用李彦昌先生所著的80x86保护模式系列教程 中的部分截图,希望李先生看到后不要见怪 ^-^):

图1(已失效哦,找不到鸟)

要说明的是调用门也可以完成相同特权级的转换。一般门的结构如图2所示:

门描述符

m+7

m+6

m+5

m+4

m+3

m+2

m+1

m+0

Offset(31...16)

Attributes

Selector

Offset(15...0)

门描述
符属性

Byte m+5

Byte m+4

BIT7

BIT6

BIT5

BIT4

BIT3

BIT2

BIT1

BIT0

BIT7

BIT6

BIT5

BIT4

BIT3

BIT2

BIT1

BIT0

P

DPL

DT0

TYPE

000

Dword Count
                                 

图2

  简单的介绍一下各个主要位置的含义:Offset 和 Selector 共同组成目的地址的48位全指针,这意味着,如果远CALL指令指向一个调用门,则CALL指令中的偏移被丢弃;P位置位代表门有效,DPL是门描述符的特权级,后面要设置成3,以便在Ring3中可以访问。TYPE 是门的类型,386调用门是 0xC ,Dword Count 是系统要拷贝的双字参数的个数,后面也将用到。下面是设置CallGate的代码:

 mov     eax,_FucAddr

     mov     @CallGate.OffsetL,ax     ;Low Part Addr Of FucAddr

     mov     @CallGate.Selector,8h    ;Ring0 Code Segment

     mov     @CallGate.DCount,       ;1 Dword

     mov     @CallGate.GType,AT386CGate  ;Must A CallGate

     shr     eax,

     mov     @CallGate.OffsetH,ax     ;Low Part Addr Of FucAddr

[3]  既然可以读些物理内存了,也知道了GDT的物理基地址和长度,所以可以通过将GDT整个读出,然后寻找一块空闲的区域来植入前面设置好的CallGate:

 ;申请一片空间,以便存放读出的GDT

  Invoke   VirtualAlloc,NULL,@tmpGDTLimit,MEM_COMMIT,/

 PAGE_READWRITE   

     .if eax == NULL

            jmp quit

     .endif

     mov     @pmem,eax

     invoke @ReadPhymem,@tmpGDTPhyBase,@pmem,@tmpGDTLimit,/

            _hmem

     .if eax == FALSE

            jmp quit

     .endif

     mov     esi,@pmem

     mov     ebx,@tmpGDTLimit

     shr     ebx,

     ;找到第一个GDT描述符中P位没有置位的地址。

 mov     ecx,

     .while ecx < ebx

            mov al,byte ptr [esi+ecx*+]

            bt  ax,

        .if CARRY?

        .else

            jmp lop0

        .endif

        Inc     ecx

     .endw

     invoke VirtualFree,@pmem,,MEM_RELEASE

     jmp     quit

 lop0:

     lea     eax,[ecx*]

     mov     @OffsetGatePos,eax

     add     @PhyGatePos,eax

     mov     esi,@pmem

     add     esi,eax

     invoke RtlMoveMemory,addr oldgatebuf,esi,

     ;释放内存空间

     invoke VirtualFree,@pmem,,MEM_RELEASE

[4] 现在主要工作基本完成了,剩下的就是设计一个运行在Ring0中的子函数,在这个子函数中我将调用Ring0里面真正的MmGetPhysicalAddress来取得实际的物理地址,所以这个函数要有一个输入参数用来传递要转换的虚拟地址,并且还要考虑到如何获取返回的物理地址(EDX:EAX)。在网络上的C版本代码中,这是通过定义几个全局变量来传递的,因为没有发生进程切换,所以可以使用原进程中的一些变量。然而我在传递虚拟地址上采用了另一种做法,就是通过实际形参来传递的:

 Ring0Fuc proc          ;_vaddr

        ;手动保存

        push   ebp

        mov     ebp,esp

        sub     esp,

        mov     eax,[ebp+0ch]

        mov     [ebp-],eax       ;first local val

        pushad

        pushfd

        cli

        mov     eax,[ebp-]

        ;调用真正的 MmGetPhysicalAddress.

        invoke MmGetPhysicalAddress,eax

        mov     phymem_L,eax

        mov     phymem_H,edx

        popfd

        popad

        ;手动还原

        mov     esp,ebp

       pop ebp

        retf   

 Ring0Fuc   endp

最后,通过一个远CALL来调用这个调用门:

 lea     edi,FarAddr

 push   _vaddr

 call   fword ptr [edi]

通过亲手编码,可以对调用门、远调用等一些80386+保护模式中的概念在windows的实现中有了进一步的了解,不再像以前那样模棱两可了。看似全部写完了,其实中间还有很多可以挖掘出来扩展说的细节,但我现在已没有精力写了…( :( ),还要准备其他东西,结尾就用这个不是结尾的结尾,结尾吧(绕口令?)。:)

          大熊猫侯佩

2006.01.14 17:09 (机场)办公室

[原创]浅谈NT下Ring3无驱进入Ring0的方法的更多相关文章

  1. [原创]浅谈如何使用gcc开发NT核心驱动程序

    原文链接:[原创]浅谈如何使用gcc开发NT核心驱动程序 一谈到在 Win NT 下开发核心驱动程序,可能不少人首先都会想到微软“正统”的VC来.诚然,用VC 配合 WINDDK 的确工作的不错,但或 ...

  2. [原创]浅谈H5页面性能测试

    [原创]浅谈H5页面性能测试 H5页面我想各位都不陌生,随着移动互联网兴起,不管是App,还是H5都火起来了,最突出的2个表现是ios/android/前端等工程师薪水大涨,尤其是资深前端工程师40W ...

  3. [原创]浅谈移动互联网App兼容性测试

    [原创]浅谈移动互联网App兼容性测试 今天要谈的话题,估计各位测试都有感受,移动互联网App兼容性测试,我们到底测试覆盖如何去挑选机型?具体移动App兼容性测试如何开展?是不是应引进像testin这 ...

  4. [原创]浅谈IT人如何做理财规划

    [原创]浅谈IT人如何做理财规划 鱼哥博客上多数写的是技术和管理相关,但很少有理财等话题,今天抽空来谈谈IT人如何做理财规划,如果要想学习理财,我想很有名的“标准普尔家庭资产象限图”上值得每个学习和理 ...

  5. [原创]浅谈Web UI自动化测试

    [原创]浅谈Web UI自动化测试 Web UI自动化测试相信大家都不陌生,今天来谈谈这个,我最早接触自动化测试时大约是在2004年,2006年当时在腾讯财付通算是开始正式接触自动化测试,之所以是正式 ...

  6. [原创] 浅谈ETL系统架构如何测试?

    [原创] 浅谈ETL系统架构如何测试? 来新公司已入职3个月时间,由于公司所处于互联网基金行业,基金天然固有特点,基金业务复杂,基金数据信息众多,基金经理众多等,所以大家可想一下,基民要想赚钱真不容易 ...

  7. [原创]浅谈移动App安全测试

    [原创]浅谈移动App安全测试 移动互联网很火,就像当年互联网兴起一样,这几天和朋友在沟通交流,谈到一个话题,你们做金融App钱放在你们哪边安全不?会不会你们做的移动App不安全,让人盗了里面的资金, ...

  8. [原创]浅谈在创业公司对MVP的理解

    [原创]浅谈在创业公司对MVP的理解 目前自已所处的公司类似一个创业平台,我们内部会不断的去孵化不同方向的产品,产品经理经常谈到的一个词就是MVP,所以有必需要去了解下什么是MVP? 1 什么是MVP ...

  9. [原创]浅谈对任务分解法WBS应用

    [原创]浅谈对任务分解法WBS应用 1.WBS是什么? 即Work Breakdown Structure如何进行WBS分解:目标→任务→工作→活动 2.WBS分解的原则:将主体目标逐步细化分解,最底 ...

随机推荐

  1. C++ vector 实现二维数组时, 在类的头文件中定义时遇到"应输入类型符"的问题?

    见下,当我在类的声明文件中定义二维vector时,提示我应输入类型说明符; 但是相同的格式定义,在类中将二维vector修改为在源文件中定义就可以顺利通过,并顺利执行打印 打印结果如下: 望大神来解惑 ...

  2. Java log4j的环境搭建

    一.Log4j是什么? Log4j是Apache的一个开源代码项目,通过使用Log4j,我们可以控制日志信息输出的目的地.最常见的就是输出到控制台或者日志文件.同时,它强大的一点是可以在C.C++等其 ...

  3. smarty 判断变量是否为空

    {if $val.title!=""} 这里填写想要输出的内容即可 {/if}

  4. html5新增结构元素

    1.article元素代表文档.页面或应用程序中独立的.完整的.可以独自被外部引用的内容.除了内容外,一个article元素还有它自己的标题(一般放在header里),有时还有自己的脚注. 2.sec ...

  5. hdu 5442 Favorite Donut 最大表示法+kmp

    题目链接 给你一个字符串, 然后把他想象成一个环. 从某一个地方断开,然后逆时针或顺时针, 都可以形成一个字符串, 求字典序最大的那种. 输出断开位置以及是顺时针还是逆时针. 如果两个一样, 输出位置 ...

  6. centos无法载入 mcrypt 扩展,<br />请检查 PHP 配置,经过各种尝试,终于找到了解决办法

    百度了无数个方法都没有解决问题,也是折腾死我了,最终解决了问题 解决办法:安装php-mcrypt libmcrypt libmcrypt-devel这三个库文件 1.安装第三方yum源(默认yum源 ...

  7. Spring摘记

    spring工作机制及为什么要用? 1.spring mvc请所有的请求都提交给DispatcherServlet,它会委托应用系统的其他模块负责负责对请求进行真正的处理工作.2.Dispatcher ...

  8. Oracle EBS-SQL (INV-1):检查物料成本为0并且物料状态不是'NEW'的物料.sql

    select --msi.inventory_item_id        --,msi.organization_id     msi.segment1                        ...

  9. ajax缺点以及解决办法

    1.缺少一个没有标准之争.没有back和history的浏览器    Ajax取消了back按钮,即对浏览器后退机制的破坏.后退按钮是一个标准的web站点的重要功能,但是它没法和js进行很好的合作,这 ...

  10. UVA 674 Coin Change 换硬币 经典dp入门题

    题意:有1,5,10,25,50五种硬币,给出一个数字,问又几种凑钱的方式能凑出这个数. 经典的dp题...可以递推也可以记忆化搜索... 我个人比较喜欢记忆化搜索,递推不是很熟练. 记忆化搜索:很白 ...