通过修改CR0寄存器绕过SSDT驱动保护

最新推荐文章于 2022-12-18 21:17:43 发布
最新推荐文章于 2022-12-18 21:17:43 发布
阅读量1.7k 收藏 3
点赞数

为了安全起见,Windows XP及其以后的系统将一些重要的内存页设置为只读属性,这样就算有权力访问该表也不能随意对其修改,例如SSDT、IDT等。但这种方法很容易被绕过,我们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。

cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。

控制寄存器最初出现于低级的286处理器中,以前称之为机器状态字(machine status word),在386以后它们被重命名为控制寄存器(control register)。

cr0寄存器直到486的处理器版本才被加入了“写保护”(Write Protect,WP)位,WP位控制是否允许处理器向标记为只读属性的内存页写入数据。

WP位0:禁用写保护的功能

WP位1:开启写保护的功能

cr0的第16位是WP位,只要将这一位置0就可以禁用写保护,置1则可将其恢复。

禁用写保护的操作步骤:

1 shl 16(1左移16位)//结果:10000000000000000

对结果取反 not (1 shl 16)//结果:FFFEFFFF=01111111111111111

对cr0的值进行“逻辑与”运算:and cr0,  01111111111111111 //即将第17位置0,其余位不变

启用写保护的操作步骤:

直接对CR0的值进行“逻辑或”运算:or cr0,10000000000000000//即将第17位置1,其余位不变

禁用和启用写保护的内联汇编代码如下所示:

// 关闭写保护
__asm
{
    cli ;//将处理器标志寄存器的中断标志位清0,不允许中断
    mov eax, cr0
    and  eax, ~0x10000
    mov cr0, eax
}

// 恢复写保护
__asm
{
    mov  eax, cr0
    or     eax, 0x10000
    mov  cr0, eax
    sti ;//将处理器标志寄存器的中断标志置1,允许中断
}

注意:cli和sti都是特权指令,必须在ring0才能使用的。

核心代码如下:

PJMPCODE pCurAddr;//指向SSDT表中"当前地址"的指针
JMPCODE oleCode;//用来保存前5字节,以便恢复

//驱动程序的入口函数
#pragma INITCODE//将DriverEntry设在分页内存中,当驱动加载成功,此函数在内存中移除。
extern "C" NTSTATUS DriverEntry (IN PDRIVER_OBJECT pDriverObject,IN PUNICODE_STRING pRegistryPath)
{
    ULONG curAddr,oldAddr;
    JMPCODE jmpCode;

    // __asm int 3;//断点
    DbgPrint("驱动加载成功……\n");
    curAddr = Get_NTCurAddr();
    oldAddr = Get_NTOldAddr();
    if (curAddr!=oldAddr)
    {
        //保存前5字节
        pCurAddr=(PJMPCODE)curAddr;//初始化指针
        oleCode.jmpStyle=pCurAddr->jmpStyle;//跳转方式的机器码(1字节)
        oleCode.jmpAddr=pCurAddr->jmpAddr;//跳转的目的地址机器码(4字节)
        
        jmpCode.jmpStyle = 0xE9;//近跳转
        jmpCode.jmpAddr = oldAddr-curAddr-5;

        DbgPrint("要写入的地址:%X",jmpCode.jmpAddr);
        //写入JMP指令
        //关闭写保护
        _asm
        {
            cli ;//将处理器标志寄存器的中断标志位清0,不允许中断
            mov eax, cr0
            and  eax, ~0x10000
            mov cr0, eax
        }

        pCurAddr->jmpStyle=0xE9;//近跳转
        pCurAddr->jmpAddr=jmpCode.jmpAddr;//要跳转到的地址
        // 恢复写保护
        _asm
        {
            mov  eax, cr0
            or     eax, 0x10000
            mov  cr0, eax
            sti ;//将处理器标志寄存器的中断标志置1,允许中断
        }
        DbgPrint("NtOpenProcess被Hook了");
    }
    CreateMyDevice(pDriverObject);//创建设备
    pDriverObject->DriverUnload = DDK_UnLoad;    
    return STATUS_SUCCESS;
}
//卸载例程
void DDK_UnLoad(IN PDRIVER_OBJECT pDriverObject)
{    
    //关闭写保护
    _asm
    {
        cli ;//将处理器标志寄存器的中断标志位清0,不允许中断
        mov eax, cr0
        and  eax, ~0x10000
        mov cr0, eax
    }
    pCurAddr->jmpStyle=oleCode.jmpStyle;//近跳转
    pCurAddr->jmpAddr=oleCode.jmpAddr;//要跳转到的地址
    // 恢复写保护
    _asm
    {
        mov  eax, cr0
        or     eax,0x10000
        mov  cr0, eax
        sti ;//将处理器标志寄存器的中断标志置1,允许中断
    }
    DbgPrint("驱动卸载成功……\n");
}

原创文章,转载请注明出处:http://www.cnblogs.com/hongfei/


<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
Jlins
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CheatEngine绕过游戏软件驱动保护与检测(驱动CE)
04-23
CheatEngine的使用,游戏软件安全防御与破防原理分析实验,此课程代码全部由C/C++语言使用Visual Studio 2019完成,应用层到内核驱动项目开发,软件安全防护对抗原理与使用!逆向安全软件设计开发不可缺少的部分。 
关于CPU寄存器的那些事儿(7)——控制寄存器
哦,原来你也在这里。
10-27 1477
控制寄存器是CPU中一组相当重要的寄存器,我们知道eflags寄存器记录了当前运行线程的一系列关键信息。 那CPU运行过程中自身的一些关键信息保存在哪里呢?答案是控制寄存器! 32位CPU总共有cr0-cr4共5个控制寄存器,64位增加了cr8。他们各自有不同的功能,但都存储了CPU工作时的重要信息: cr0: 存储了CPU控制标记和工作状态 cr1: 保留未使用 cr2: 页错误出现时保存导致出错的地址 cr3: 存储了当前进程的虚拟地址空间的重要信息——页目录地址 cr4: 也.
x86的控制寄存器CR0,CR1,CR2,CR3
juce的专栏
03-19 9370
状态和控制寄存器组除了EFLAGS、EIP ,还有四个32位的控制寄存器,它们是CR0,CR1,CR2和CR3。 这几个寄存器中保存全局性和任务无关的机器状态。 CR0中包含了6个预定义标志,0位是保护允许位PE(Protedted Enable),用于启动保护模式,如果PE位置1,则保护模式启动,如果PE=0,则在实模式下运行。1位是监控协处理位MP(Moniter coproces
内存寻址(一)硬件寻址的基本原理:硬件中的分段和分页机制,控制寄存器CR0与CR3...
473687880
10-18 969
摘要:本文讲述8086怎样进行芯片级别的内存寻址,linux又是如何在这些硬件的基础上进行寻址的。本文主要讨论硬件和linux寻址的基本原理,后续将讨论分页机制的具体实现,内核如何给自己分配主存,怎样给进程分配线性地址。 一、寻址流程 逻辑地址经过分段单元形成线性地址,然后经过分页单元形成物理地址。 二、硬件中的分段 1.段选择符和段寄存器 32位的逻辑地址包含16位...
通过修改CR0取消内存写保护
qq_33215865的博客
10-14 3572
在x86_64进行补丁系统的原地址指令更改时,会因为x86的内存保护,使得对原地址的写操作引起内核panic,报oops。可以通过修改CR0寄存器的第16位暂时关闭写保护。 1、CR0     CR0 是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。     CR0的第16位是写保护未即WP位(486系列之后),只要将这一位置0就可以禁用写保护,置1...
内核驱动修改内存
不会写代码的丝丽
12-18 1360
本文会利用内核驱动进行读写取第三方应用内存。内核实现会使用内联汇编 所以对于内核数据结构每个windwos版本不一样需要判断,本文使用19041所写代码。winver即可查看你当前的版本,如下图19042.631就是构建版本号或者调用对应内核API.或者链接windbg的时候查看如下图所示。19041便是构建号。
x64驱动 关闭&开启 写时保护
LYSM
07-06 1549
背景 在内核里想要写入“别人的”内存(一般指 NTOS 等系统模块的内存空间),需要遵守一个规则 : IRQL和内存保护。 IRQL称为中断请求级别,从0~31 共32个级别 内存保护可以打开和关闭,如果在内存处于保护状态时写入,会导致蓝屏 一般来说,要写入“别人的”内核内存,必须关闭内存写保护,并把 IRQL提升到 2 才行(绝大多数候时候 IRQL 都为 0 ,当IRQL=2时,会阻断大部分线程执行,防止执行出错)。 内存是否处于写保护的状态记录在 CR0 寄存器上,因此直接修改CR0寄存器的值即可
实战过驱动保护
qq_43082315的博客
10-06 7221
以逆战为例,实战过游戏驱动保护
易语言编程之CE过驱动保护(ACE)调试教程
hzw320的博客
11-11 5855
一用CE,就提示开了程序要结束,你一搜到地址鼠标右键想看看访问和写入的代码地址,找基址时候,游戏就退出了,这个教程教你 可以随便调试,查看代码了。很多时候,驱动保护很让人头疼,
驱动使用 MDL 方式读写内存
LYSM
06-24 6402
背景 通常,我们在内核中修改内存的时候,都是通过修改 CR0 寄存器,关闭内存写保护属性,然后再写入内存的方式来修改内存。我个人不喜欢这种方式,因为总感觉我们使用没有线程接口函数的方法,总感觉不太稳定,而且,在 64 位程序下,CR0 方式不再适用了。 所以,我强烈推荐在内核下使用 MDL 方式来修改内存,在 32 位内核和 64 位内核下同样有效。 实现过程 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。MDL的全称是 Memory Descriptor List,即内存
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动层hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路...内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
ring0 ssdt hook sys驱动 得到进程全路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程全路径.zip
MDL绕过SSDT内存保护
05-06
在写驱动保护进程时,通过修改SSDT是一个很有效的方法,但是系统对SSDT都是只读的,不能写。如果试图去写,肯定会很现实的给你蓝脸,当然这种保护很容易被绕过,其中一种就是MDL 绕过
c语言涂格子游戏源码.rar
04-22
c语言涂格子游戏源码.rar
node-v18.14.2-linux-armv7l.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
C++ 实现全连接神经网络及矩阵头文件 及技术指导
04-22
矩阵头文件
node-v14.7.0-darwin-x64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
绕过CmpCallback
09-24
2. 实现自己的SSDT注册表函数,并通过KCBroutine hook回溯到Cm***Key函数的地址,绕过CmpCallback的监控。 3. 使用reghive注册表解析方法,通过内存爆搜找到CmpParseKey函数的地址,实现绕过CmpCallback的逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值