浅谈NT下Ring3无驱进入Ring0的方法-阿里云开发者社区

开发者社区> 大熊猫侯佩> 正文

浅谈NT下Ring3无驱进入Ring0的方法

简介:
+关注继续查看

[原创]浅谈NTRing3无驱进入Ring0的方法

关键字:NT,Ring0,无驱

 

(测试环境:Windows 2000 SP4,Windows XP SP2.

Windows 2003 未测试)

 

NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在

[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)

的帖子中自己没有实验成功(其实已经成功了,只是自己太马虎,竟然还不知道 -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。鉴于这些都是可以作为基本功来了解的知识点,所以对此已经熟悉的朋友就可以略过不看了,当然由于本人水平有限,各位前来“挑挑刺”也是非常欢迎的,呵呵。

      下面言归正传,我们知道在NT中进入Ring0的一般方法是通过驱动,我的Windows 核心编程研究系列 文章前两篇都使用了

这个方法进入Ring0 完成特定功能。现在我们还可以通过在Ring3下直接写物理内存的方法来进入Ring0,其主要步骤是:

 

0          以写权限打开物理内存对象;

1          取得 系统 GDT 地址,并转换成物理地址;

2          构造一个调用门;

3          寻找 GDT 中空闲的位置,将 CallGate 植入;

4          Call植入的调用门。

 

前面已打通主要关节,现在进一步看看细节问题:

[]     默认只有 System 用户有写物理内存的权限 administrators 组的用户 只有读的权限,但是通过修改用户

      安全对象中的DACL 可以增加写的权限:

 

_SetPhyMemDACLs      proc       uses ebx edi esi /

                                       _hPhymem:HANDLE,/

                                       _ptusrname:dword

    local  @dwret:dword

    local  @htoken:HANDLE

    local  @hprocess:HANDLE

    local  @

    local  @OldDACLs:PACL

    local  @SecurityDescriptor:PSECURITY_DESCRIPTOR

    local  @Access:EXPLICIT_ACCESS

 

    mov     @dwret,FALSE

      

    invoke RtlZeroMemory,addr @NewDACLs,sizeof @NewDACLs

           invoke RtlZeroMemory,addr @SecurityDescriptor,/

           sizeof @SecurityDescriptor

 

    invoke GetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,/

           DACL_SECURITY_INFORMATION,NULL,NULL,/

           addr @OldDACLs,NULL,/

           addr @SecurityDescriptor

 

    .if eax != ERROR_SUCCESS

           jmp SAFE_RET

    .endif

 

    invoke RtlZeroMemory,addr @Access,sizeof @Access

 

    mov     @Access.grfAccessPermissions,SECTION_ALL_ACCESS

    mov     @Access.grfAccessMode,GRANT_ACCESS

    mov     @Access.grfInheritance,NO_INHERITANCE

    mov     @Access.stTRUSTEE.MultipleTrusteeOperation,/

           NO_MULTIPLE_TRUSTEE

    mov     @Access.stTRUSTEE.TrusteeForm,TRUSTEE_IS_NAME

    mov     @Access.stTRUSTEE.TrusteeType,TRUSTEE_IS_USER

    push   _ptusrname

    pop     @Access.stTRUSTEE.ptstrName

 

    invoke GetCurrentProcess

    mov     @hprocess,eax

    invoke OpenProcessToken,@hprocess,TOKEN_ALL_ACCESS,/

           addr @htoken

 

    invoke SetEntriesInAcl,1,addr @Access,/

           @OldDACLs,addr @NewDACLs

   

    .if eax != ERROR_SUCCESS

           jmp SAFE_RET

    .endif

 

    invoke SetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,/

           DACL_SECURITY_INFORMATION,NULL,NULL,/

           @NewDACLs,NULL

   

    .if eax != ERROR_SUCCESS

           jmp SAFE_RET

    .endif

 

    mov     @dwret,TRUE

 

SAFE_RET:

 

    .if @NewDACLs != NULL

           invoke LocalFree,@NewDACLs

           mov @NewDACLs,NULL

    .endif

 

    .if @SecurityDescriptor != NULL

           invoke LocalFree,@SecurityDescriptor

           mov @SecurityDescriptor,NULL

    .endif

 

    mov     eax,@dwret

    ret

 

_SetPhyMemDACLs      endp

 

[] 可以在Ring3下使用SGDT指令取得系统GDT表的虚拟地址,这条指令没有被Intel设计成特权0级的指令。据我的

观察,在 Windows 2000 SP4 GDT 表的基址都是相同的,

而且在 虚拟机VMware 5.5 虚拟的 Windows 2000 SP4

执行 SGDT 指令后返回的是错误的结果,在虚拟的 Windows XP 中也有同样情况,可能是虚拟机的问题,大家如果有条件可以试一下:

  

local  @stGE:GDT_ENTRY

   

    mov     @dwret,FALSE

   

    lea     esi,@stGE

    sgdt   fword ptr [esi]

   

    assume esi:ptr GDT_ENTRY

   

    ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    ; VMware 虚拟环境下用以下两条指令替代

   ;只用于 Windows 2000 SP4

    ;mov   [esi].Base,80036000h

    ;mov   [esi].Limit,03ffh

    ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

   

    mov     eax,[esi].Base

    invoke @GetPhymemLite,eax

    .if eax == FALSE

           jmp quit

    .endif

   

下面就是虚拟地址转换物理地址了,这在Ring0中很简单,

直接调用MmGetPhysicalAddress 即可,但在Ring3中要

另想办法,还好系统直接将 0x80000000 – 0xa0000000 影射到物理0地址开始的位置,所以可以写一个轻量级的GetPhysicalAddress来替代 :)

 

@GetPhymemLite    proc   uses esi edi ebx         _vaddr

    local  @dwret:dword

   

    mov     @dwret,FALSE

 

    .if _vaddr < 80000000h

           jmp quit

    .endif

 

    .if _vaddr >= 0a0000000h

           jmp quit

    .endif

 

    mov     eax,_vaddr

    and     eax,01ffff000h       ;or sub eax,80000000h

    mov     @dwret,eax

quit:

    mov     eax,@dwret

    ret

 

@GetPhymemLite    endp

 

[]调用门在保护模式中可以看成是低特权级代码向高特权级代码转换的一种实现机制,如图1所示(由于本人较懒,所以借用李彦昌先生所著的80x86保护模式系列教程 中的部分截图,希望李先生看到后不要见怪 ^-^:

           

              1

要说明的是调用门也可以完成相同特权级的转换。一般门的结构如图2所示:

     

门描述符

m+7

m+6

m+5

m+4

m+3

m+2

m+1

m+0

Offset(31...16)

Attributes

Selector

Offset(15...0)



门描述
符属性

Byte m+5

Byte m+4

BIT7

BIT6

BIT5

BIT4

BIT3

BIT2

BIT1

BIT0

BIT7

BIT6

BIT5

BIT4

BIT3

BIT2

BIT1

BIT0

P

DPL

DT0

TYPE

000

Dword Count

                                 

 

                            2

  

   简单的介绍一下各个主要位置的含义:

Offset Selector 共同组成目的地址的48位全指针,这意味着,如果远CALL指令指向一个调用门,则CALL指令中的偏移被丢弃;

P位置位代表门有效,DPL是门描述符的特权级,后面要设置成3,以便在Ring3中可以访问。TYPE 是门的类型,386调用门是 0xC ,Dword Count 是系统要拷贝的双字参数的个数,后面也将

用到。下面是设置CallGate的代码:

 

mov     eax,_FucAddr

    mov     @CallGate.OffsetL,ax     ;Low Part Addr Of FucAddr

    mov     @CallGate.Selector,8h    ;Ring0 Code Segment

    mov     @CallGate.DCount,1       ;1 Dword

    mov     @CallGate.GType,AT386CGate  ;Must A CallGate

 

    shr     eax,16

    mov     @CallGate.OffsetH,ax     ;Low Part Addr Of FucAddr

 

 

[]  既然可以读些物理内存了,也知道了GDT的物理基地址和长度,所以可以通过将GDT整个读出,然后寻找一块空闲的区域来植入前面设置好的CallGate

  

;申请一片空间,以便存放读出的GDT

 Invoke   VirtualAlloc,NULL,@tmpGDTLimit,MEM_COMMIT,/

PAGE_READWRITE   

    .if eax == NULL

           jmp quit

    .endif

   

    mov     @pmem,eax

    invoke @ReadPhymem,@tmpGDTPhyBase,@pmem,@tmpGDTLimit,/

           _hmem

 

    .if eax == FALSE

           jmp quit

    .endif

   

    mov     esi,@pmem

    mov     ebx,@tmpGDTLimit

    shr     ebx,3

    ;找到第一个GDT描述符中P位没有置位的地址。

mov     ecx,1

    .while ecx < ebx

           mov al,byte ptr [esi+ecx*8+5]

           bt  ax,7

       .if CARRY?

 

       .else

           jmp lop0

       .endif

       Inc     ecx

    .endw

   

    invoke VirtualFree,@pmem,0,MEM_RELEASE

    jmp     quit

 

lop0:

    lea     eax,[ecx*8]

    mov     @OffsetGatePos,eax

    add     @PhyGatePos,eax

 

    mov     esi,@pmem

    add     esi,eax

 

    invoke RtlMoveMemory,addr oldgatebuf,esi,8

   

    ;释放内存空间

    invoke VirtualFree,@pmem,0,MEM_RELEASE

 

[] 现在主要工作基本完成了,剩下的就是设计一个运行在Ring0中的子函数,在这个子函数中我将调用Ring0里面真正的MmGetPhysicalAddress来取得实际的物理地址,所以这个函数要有一个输入参数用来传递要转换的虚拟地址,并且还要考虑到如何获取返回的物理地址(EDX:EAX)。在网络上的C版本代码中,这是通过定义几个全局变量来传递的,因为没有发生进程切换,所以可以使用原进程中的一些变量。然而我在传递虚拟地址上采用了另一种做法,就是通过实际形参来传递的:

   

    Ring0Fuc proc          ;_vaddr

   

       ;手动保存

       push   ebp

       mov     ebp,esp

       sub     esp,4

       mov     eax,[ebp+0ch]

       mov     [ebp-4],eax       ;first local val

       pushad

       pushfd

       cli

   

       mov     eax,[ebp-4]

       ;调用真正的 MmGetPhysicalAddress.

       invoke MmGetPhysicalAddress,eax

       mov     phymem_L,eax

       mov     phymem_H,edx

 

       popfd

       popad

       ;手动还原

       mov     esp,ebp

      pop ebp

       retf   4

 

Ring0Fuc   endp

 

   最后,通过一个远CALL来调用这个调用门:

  

      lea     edi,FarAddr

        push   _vaddr

        call   fword ptr [edi]

 

 

通过亲手编码,可以对调用门、远调用等一些80386+保护模式中的概念在windows的实现中有了进一步的了解,不再像以前那样模棱两可了。看似全部写完了,其实中间还有很多可以挖掘出来扩展说的细节,但我现在已没有精力写了:( ,还要准备其他东西,结尾就用这个不是结尾的结尾,结尾吧(绕口令?)。:)

 

                                       

 

 

侯佩|hopy

                            2006.01.14 17:09 (机场)办公室

  

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
4055 0
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6853 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4419 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5416 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
410 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3198 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
1092 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16750 0
+关注
大熊猫侯佩
贪吃贪睡的大熊猫侯佩
689
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载