win2000下不用驱动进入ring0

最新推荐文章于 2013-01-06 11:32:00 发布
最新推荐文章于 2013-01-06 11:32:00 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Programm 文章标签: attributes descriptor null struct string object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XmagicX/article/details/121270
版权

#define _X86_

#include <windows.h>
#include <stdio.h>
#include <aclapi.h>
#include <conio.h>
#include <windef.h>

typedef long NTSTATUS;
typedef unsigned short USHORT;
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define OBJ_INHERIT 0x00000002L
#define OBJ_PERMANENT 0x00000010L
#define OBJ_EXCLUSIVE 0x00000020L
#define OBJ_CASE_INSENSITIVE 0x00000040L
#define OBJ_OPENIF 0x00000080L
#define OBJ_OPENLINK 0x00000100L
#define OBJ_KERNEL_HANDLE 0x00000200L
#define OBJ_VALID_ATTRIBUTES 0x000003F2L

typedef struct _UNICODE_STRING {
  USHORT Length;
  USHORT MaximumLength;

#ifdef MIDL_PASS
  [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer;
#else // MIDL_PASS
  PWSTR Buffer;
#endif // MIDL_PASS
} UNICODE_STRING;

typedef UNICODE_STRING *PUNICODE_STRING;
typedef const UNICODE_STRING *PCUNICODE_STRING;
#define UNICODE_NULL ((WCHAR)0) // winnt

typedef struct _OBJECT_ATTRIBUTES {
  ULONG Length;
  HANDLE RootDirectory;
  PUNICODE_STRING ObjectName;
  ULONG Attributes;
  PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR
  PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE
} OBJECT_ATTRIBUTES;

typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;

#define InitializeObjectAttributes( p, n, a, r, s ) {
  (p)->Length = sizeof( OBJECT_ATTRIBUTES );    
  (p)->RootDirectory = r;             
  (p)->Attributes = a;               
  (p)->ObjectName = n;               
  (p)->SecurityDescriptor = s;           
  (p)->SecurityQualityOfService = NULL;      
  }

extern "C"
NTSYSAPI
VOID
NTAPI
RtlInitUnicodeString(
           PUNICODE_STRING DestinationString,
           PCWSTR SourceString
           );
extern "C"
NTSYSAPI
NTSTATUS
NTAPI
ZwOpenSection(
       OUT PHANDLE SectionHandle,
       IN ACCESS_MASK DesiredAccess,
       IN POBJECT_ATTRIBUTES ObjectAttributes
       );
extern "C"
NTSYSAPI
NTSTATUS
NTAPI
ZwClose(
    IN HANDLE Handle
    );

#define STATUS_SUCCESS ((NTSTATUS)0x00000000L) // ntsubauth
#define STATUS_ACCESS_DENIED ((NTSTATUS)0xC0000022L)
#pragma comment(lib,"C:/NTDDK/libfre/i386/ntdll.lib")


#define ENTERRING0 _asm pushad
  _asm pushf
  _asm cli

#define LEAVERING0 _asm popf
  _asm popad
  _asm retf

typedef struct gdtr {
  unsigned short Limit;
  unsigned short BaseLow;
  unsigned short BaseHigh;
} Gdtr_t, *PGdtr_t;

typedef struct {
  unsigned short offset_0_15;
  unsigned short selector;
  
  unsigned char param_count : 4;
  unsigned char some_bits : 4;
  
  unsigned char type : 4;
  unsigned char app_system : 1;
  unsigned char dpl : 2;
  unsigned char present : 1;
  
  unsigned short offset_16_31;
} CALLGATE_DESCRIPTOR;


void PrintWin32Error( DWORD ErrorCode )
{
  LPVOID lpMsgBuf;
  
  FormatMessage(FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM, NULL, ErrorCode, MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), (LPTSTR) &lpMsgBuf, 0, NULL);
  printf("%sn", lpMsgBuf );
  LocalFree( lpMsgBuf );
}

ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress)
{
  if(virtualaddress<0x80000000||virtualaddress>=0xA0000000)
    return 0;
  return virtualaddress&0x1FFFF000;
}

VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)
{
  PACL pDacl=NULL;
  PACL pNewDacl=NULL;
  PSECURITY_DESCRIPTOR pSD=NULL;
  DWORD dwRes;
  EXPLICIT_ACCESS ea;
  
  if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT, DACL_SECURITY_INFORMATION, NULL,NULL,&pDacl,NULL,&pSD) != ERROR_SUCCESS)
  {
    printf( "GetSecurityInfo Error %un", dwRes );
    goto CleanUp;
  }
  
  ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
  ea.grfAccessPermissions = SECTION_MAP_WRITE;
  ea.grfAccessMode = GRANT_ACCESS;
  ea.grfInheritance= NO_INHERITANCE;
  ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;
  ea.Trustee.TrusteeType = TRUSTEE_IS_USER;
  ea.Trustee.ptstrName = "CURRENT_USER";
  
  if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS)
  {
    printf( "SetEntriesInAcl %un", dwRes );
    goto CleanUp;
  }
  
  if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS)
  {
    printf("SetSecurityInfo %un",dwRes);
    goto CleanUp;
  }

CleanUp:
  
  if(pSD)
    LocalFree(pSD);
  if(pNewDacl)
    LocalFree(pSD);
}

BOOL ExecRing0Proc(ULONG Entry,ULONG seglen)
{
  Gdtr_t gdt;
  __asm sgdt gdt;
  
  ULONG mapAddr=MiniMmGetPhysicalAddress(gdt.BaseHigh<<16U|gdt.BaseLow);
  if(!mapAddr) return 0;
  
  HANDLE hSection=NULL;
  NTSTATUS status;
  OBJECT_ATTRIBUTES objectAttributes;
  UNICODE_STRING objName;
  CALLGATE_DESCRIPTOR *cg;
  
  status = STATUS_SUCCESS;
  RtlInitUnicodeString(&objName,L"/Device/PhysicalMemory");
  
  InitializeObjectAttributes(&objectAttributes, &objName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, (PSECURITY_DESCRIPTOR) NULL);
  
  status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttributes);
  
  if(status == STATUS_ACCESS_DENIED){
    status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&objectAttributes);
    SetPhyscialMemorySectionCanBeWrited(hSection);
    ZwClose(hSection);
    status = ZwOpenSection(&hSection,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&objectAttributes);
  }
  
  if(status != STATUS_SUCCESS)
  {
    printf("Error Open PhysicalMemory Section Object,Status:%08Xn",status);
    return 0;
  }
  
  PVOID BaseAddress;
  BaseAddress=MapViewOfFile(hSection,
    FILE_MAP_READ|FILE_MAP_WRITE,
    0,
    mapAddr, //low part
    (gdt.Limit+1));
  if(!BaseAddress)
  {
    printf("Error MapViewOfFile:");
    PrintWin32Error(GetLastError());
    return 0;
  }
  
  BOOL setcg=FALSE;
  
  for(cg=(CALLGATE_DESCRIPTOR *)((ULONG)BaseAddress+(gdt.Limit&0xFFF8));(ULONG)cg>(ULONG)BaseAddress;cg--)
    if(cg->type == 0){
      cg->offset_0_15 = LOWORD(Entry);
      cg->selector = 8;
      cg->param_count = 0;
      cg->some_bits = 0;
      cg->type = 0xC; // 386 call gate
      cg->app_system = 0; // A system descriptor
      cg->dpl = 3; // Ring 3 code can call
      cg->present = 1;
      cg->offset_16_31 = HIWORD(Entry);
      
      setcg=TRUE;
      break;
    }
    
    if(!setcg){
      ZwClose(hSection);
      return 0;
    }
    
    short farcall[3];
    
    farcall[2]=((short)((ULONG)cg-(ULONG)BaseAddress))|3; //Ring 3 callgate;
    if(!VirtualLock((PVOID)Entry,seglen))
    {
      printf("Error VirtualLock:");
      PrintWin32Error(GetLastError());
      return 0;
    }
    
    SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_TIME_CRITICAL);
    Sleep(0);
    
    _asm call fword ptr [farcall]
      
    SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_NORMAL);
    
    VirtualUnlock((PVOID)Entry,seglen);
    
    //Clear callgate
    *(ULONG *)cg=0;
    *((ULONG *)cg+1)=0;
    ZwClose(hSection);
    return TRUE;
}

struct _RING0DATA
{
  DWORD mcr0,mcr2,mcr3;
  unsigned short BaseMemory;
  unsigned short ExtendedMemory;
}r0Data;

void __declspec (naked) Ring0Proc1()
{
  ENTERRING0;
  _asm {
    mov eax, cr0
    mov r0Data.mcr0, eax;
    mov eax, cr2
    mov r0Data.mcr2, eax;
    mov eax, cr3
      mov r0Data.mcr3, eax;
  }
  LEAVERING0;
}

void __declspec (naked) Ring0Proc2()
{
  ENTERRING0;
  _outp( 0x70, 0x15 );
  
  _asm
  {
    mov ax,0
    in al,71h
    mov r0Data.BaseMemory,ax
  }
  
  _outp( 0x70, 0x16 );
  r0Data.BaseMemory += _inp(0x71) << 8;
  _outp( 0x70, 0x17 );
  r0Data.ExtendedMemory = _inp( 0x71 );
  _outp( 0x70, 0x18 );
  r0Data.ExtendedMemory += _inp(0x71) << 8;
  LEAVERING0;
}

void main(void)
{
  ZeroMemory(&r0Data,sizeof(struct _RING0DATA));
  VirtualLock((PVOID)&r0Data,sizeof(struct _RING0DATA));
  ExecRing0Proc((ULONG)Ring0Proc1,0x100);
  ExecRing0Proc((ULONG)Ring0Proc2,0x100);
  VirtualUnlock((PVOID)&r0Data,sizeof(struct _RING0DATA));
  
  printf("CR0 = %xn", r0Data.mcr0);
  printf("CR2 = %xn", r0Data.mcr2);
  printf("CR3 = %xn", r0Data.mcr3);
  printf("Base memory = %dKn", r0Data.BaseMemory);
  printf("Extended memory = %dKn", r0Data.ExtendedMemory);
}
XmagicX
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win2000下安装配置bugzilla心得
02-04
决定将上星期安装BUGZILLA的经验告诉大家,希望能对那些正在为装BUGZILLA的朋友们有所帮助网上有很多关于bugzilla在windows环境下安装的资料,但是也有部分不适合自已,走到某一步总会出现一些错误提示,我整整花了...
【转】不使用驱动进入ring0
柴门的编程学习基地
08-08 4347
这里转载2篇,其实是同一个,只是第二篇对第一篇做了一点修改。1、Windows NT/2000/XP下不用驱动Ring0代码实现2、无驱动执行 Ring0 代码===============================================================================1、Windows NT/2000/XP下不用驱动Ring0
x64/vista/2003 sp1下使用ZwOpenSection直接读写物理内存
05-06 404
习惯于在应用程序用ZwOpenSection打开"Device"PhysicalMemory访问物理内存的朋友可能要郁闷了,微软出于安全考 虑的原因,在x64/vista/2003 sp1系统中所有用户模式的程序将不能访问"Device"PhysicalMemory对象。 经过测试,原来应用程序在2k/xp中使用ZwOpenSection,ZwMapView...
在NT中直接访问物理内存
11-13 3535
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
2000和xp下,隐藏进程,vc6.0测试通过
yanzheng1的专栏
01-14 1254
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////Hide Process#include#include#include#defin
基于WIN2000下的WDM驱动程序探究
04-14
Windows驱动程序模型WDM是microsoft推出的全新设备驱动程序模式,本文深入剖析了在windows2000环境下wdm驱动程序开发模型的基本机制以及实现的基本原理,详细说明windows2000环境下设备驱动程序的开发过程。
WinCE和Win2000/XP设备驱动开发的区别
08-31
本文将着重讨论这些区别,以使广大熟悉桌面Windows驱动程序开发的程序员能快速掌握嵌入式操作系统WindowsCE驱动程序的开发方法。
Adaptec ASR-3805/3405/5805 XP WIN2000驱动
最新发布
01-24
Adaptec ASR-3805/3405/5805 XP WIN2000驱动,需要用USB软驱加载,开机按F6,再按S加载即可。 Adaptec ASR-3805/3405/5805 XP WIN2000驱动,需要用USB软驱加载,开机按F6,再按S加载即可。 Adaptec ASR-3805/3405/...
惠普HP LaserJet 1020打印机驱动 for xp/win2000
07-05
惠普1020打印机驱动是同型号惠普打印机的官方驱动程序,惠普1020为您提供专业的打印服务,速度快且稳定,惠普1020驱动是使用前需要安装的,赶紧下载吧。HPLaserJet1020打驱动简介:惠普LaserJet1020是一款定位于个人...
WinIo,直接访问硬件,ring0驱动
03-01
WinIo,ring0级超级强大的驱动,直接访问硬件,端口读写。
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
(转)深入理解section之ZwCreateSection
weixin_30838873的博客
01-06 589
http://hi.baidu.com/charme000/item/23945ecdb49926d2964452a1 原型: NTSTATUS ZwCreateSection( OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTR...
揭秘Windows内核——如何利用自定义驱动程序在Ring3做Ring0的勾当!
LnTigerLn的专栏
05-30 4405
最近在做图像处理(其实是利用摄像机采回来的Image进行分析,从而得到目标的运动信息),既然是图像处理那就得有图像Source,没错那就是Camera,实验室的这个Camera还挺高级的,是千兆以太网接口的,呵呵,管他是什么接口——反正我们的任务就是将数据采集到指定的缓冲区内,然后再把缓冲区内的数据“显示出来”或者“分析分析”。按照常规的做法,你可能会这样申请一段缓冲区,估计编写过Windows程
VC入门宝典 by 何志丹
热门推荐
XmagicX的专栏
10-28 12万+
這陣子從頭開始學習:---------------------为了方便,也为了vb-->vc过渡成功!VC入门宝典 何志丹 『针对对象』想学VC,而不会VC的朋友.如果你刚学VC,可以看一下本系列的其他文章. 『摘要』1,建立最简单的VC程序2,Debug和release的区别及切换方式3,如何备份VC代码 『正文』万事开头来,首先我们编写一个最简单的VC程序.1,进入VC.2,主菜单File->
视频捕获软件开发完全教学
XmagicX的专栏
09-30 1万+
内容 目 录 一. 视频捕获快速入门 2二.基本的捕获设置 31.设置捕获速度: 32.设置终止捕获 43.捕获的时间限制 4三.关于捕获窗口 41.创建一个AVICAP捕获窗口 52.将一个捕获窗口连接至捕获设备 53. 父窗口与子窗口的交互 54.捕获窗口的状态 6四.视频捕获驱动和音频驱动 61.视频捕获驱动的性能: 62.视频对话框: 6
VC6与Office2007冲突解决方案之微软官方+实际解决by xmagicx
XmagicX的专栏
05-04 7625
如果你恋旧与方便还在用VC6,而且你贪新装了Office2007中的PowerPoint2007和Visio2007,那么恭喜你中奖了,你会VC6中添加文件的时候就会经常发现“在 0x5003eaed DEVSHL.DLL 中的访问冲突 (0 xC 0000005)。DevShl.dll 引用在扩展内存。 无法读取内存。”,程序崩溃,然后自动退出。    之前为了这不得不重装Visual St
JavaScript[对象.属性]集锦、事件查询综合
XmagicX的专栏
10-30 3525
标记  用于包含JavaScript代码.  语法  "JavaScript">    code here  //-->   属性  LANGUAGE 定义脚本语言  SRC 定义一个URL用以指定以.JS结尾的文件windows对象  每个HTML文档的顶层对象.  属性   frames[] 子桢数组.每个子桢数组按源文档中定义的顺序存放.  feames.length 子桢个数.  self
win2000虚拟机下载
01-21
Win2000虚拟机下载可以通过多种途径完成。首先可以在虚拟机软件官网上搜索到Win2000虚拟机的镜像文件,比如VMware、VirtualBox等,这些软件官网通常会提供最新的虚拟机镜像文件下载,也可以在一些知名的虚拟机镜像...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值