浅谈NT下Ring3无驱进入Ring0的方法

转载 2007年09月26日 08:44:00

(测试环境:Windows 2000 SP4,Windows XP SP2.

Windows 2003 未测试)

 

NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在

[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)

的帖子中自己没有实验成功(其实已经成功了,只是自己太马虎,竟然还不知道 -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。鉴于这些都是可以作为基本功来了解的知识点,所以对此已经熟悉的朋友就可以略过不看了,当然由于本人水平有限,各位前来“挑挑刺”也是非常欢迎的,呵呵。

      下面言归正传,我们知道在NT中进入Ring0的一般方法是通过驱动,我的Windows 核心编程研究系列 文章前两篇都使用了

这个方法进入Ring0 完成特定功能。现在我们还可以通过在Ring3下直接写物理内存的方法来进入Ring0,其主要步骤是:

 

0          以写权限打开物理内存对象;

1          取得 系统 GDT 地址,并转换成物理地址;

2          构造一个调用门;

3          寻找 GDT 中空闲的位置,将 CallGate 植入;

4          Call植入的调用门。

 

前面已打通主要关节,现在进一步看看细节问题:

[]     默认只有 System 用户有写物理内存的权限 administrators 组的用户 只有读的权限,但是通过修改用户

      安全对象中的DACL 可以增加写的权限:

 

_SetPhyMemDACLs      proc       uses ebx edi esi /

                                       _hPhymem:HANDLE,/

                                       _ptusrname:dword

    local  @dwret:dword

    local  @htoken:HANDLE

    local  @hprocess:HANDLE

    local  @

    local  @OldDACLs:PACL

    local  @SecurityDescriptor:PSECURITY_DESCRIPTOR

    local  @Access:EXPLICIT_ACCESS

 

    mov     @dwret,FALSE

      

    invoke RtlZeroMemory,addr @NewDACLs,sizeof @NewDACLs

           invoke RtlZeroMemory,addr @SecurityDescriptor,/

           sizeof @SecurityDescriptor

 

    invoke GetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,/

           DACL_SECURITY_INFORMATION,NULL,NULL,/

           addr @OldDACLs,NULL,/

           addr @SecurityDescriptor

 

    .if eax != ERROR_SUCCESS

           jmp SAFE_RET

    .endif

 

    invoke RtlZeroMemory,addr @Access,sizeof @Access

 

    mov     @Access.grfAccessPermissions,SECTION_ALL_ACCESS

    mov     @Access.grfAccessMode,GRANT_ACCESS

    mov     @Access.grfInheritance,NO_INHERITANCE

    mov     @Access.stTRUSTEE.MultipleTrusteeOperation,/

           NO_MULTIPLE_TRUSTEE

    mov     @Access.stTRUSTEE.TrusteeForm,TRUSTEE_IS_NAME

    mov     @Access.stTRUSTEE.TrusteeType,TRUSTEE_IS_USER

    push   _ptusrname

    pop     @Access.stTRUSTEE.ptstrName

 

    invoke GetCurrentProcess

    mov     @hprocess,eax

    invoke OpenProcessToken,@hprocess,TOKEN_ALL_ACCESS,/

           addr @htoken

 

    invoke SetEntriesInAcl,1,addr @Access,/

           @OldDACLs,addr @NewDACLs

   

    .if eax != ERROR_SUCCESS

           jmp SAFE_RET

    .endif

 

    invoke SetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,/

           DACL_SECURITY_INFORMATION,NULL,NULL,/

           @NewDACLs,NULL

   

    .if eax != ERROR_SUCCESS

           jmp SAFE_RET

    .endif

 

    mov     @dwret,TRUE

 

SAFE_RET:

 

    .if @NewDACLs != NULL

           invoke LocalFree,@NewDACLs

           mov @NewDACLs,NULL

    .endif

 

    .if @SecurityDescriptor != NULL

           invoke LocalFree,@SecurityDescriptor

           mov @SecurityDescriptor,NULL

    .endif

 

    mov     eax,@dwret

    ret

 

_SetPhyMemDACLs      endp

 

[] 可以在Ring3下使用SGDT指令取得系统GDT表的虚拟地址,这条指令没有被Intel设计成特权0级的指令。据我的

观察,在 Windows 2000 SP4 GDT 表的基址都是相同的,

而且在 虚拟机VMware 5.5 虚拟的 Windows 2000 SP4

执行 SGDT 指令后返回的是错误的结果,在虚拟的 Windows XP 中也有同样情况,可能是虚拟机的问题,大家如果有条件可以试一下:

  

local  @stGE:GDT_ENTRY

   

    mov     @dwret,FALSE

   

    lea     esi,@stGE

    sgdt   fword ptr [esi]

   

    assume esi:ptr GDT_ENTRY

   

    ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    ;VMware 虚拟环境下用以下两条指令替代

   ;只用于 Windows 2000 SP4

    ;mov   [esi].Base,80036000h

    ;mov   [esi].Limit,03ffh

    ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

   

    mov     eax,[esi].Base

    invoke @GetPhymemLite,eax

    .if eax == FALSE

           jmp quit

    .endif

   

下面就是虚拟地址转换物理地址了,这在Ring0中很简单,

直接调用MmGetPhysicalAddress 即可,但在Ring3中要

另想办法,还好系统直接将 0x80000000 – 0xa0000000 影射到物理0地址开始的位置,所以可以写一个轻量级的GetPhysicalAddress来替代 :)

 

@GetPhymemLite    proc   uses esi edi ebx         _vaddr

    local  @dwret:dword

   

    mov     @dwret,FALSE

 

    .if _vaddr < 80000000h

           jmp quit

    .endif

 

    .if _vaddr >= 0a0000000h

           jmp quit

    .endif

 

    mov     eax,_vaddr

    and     eax,01ffff000h       ;or sub eax,80000000h

    mov     @dwret,eax

quit:

    mov     eax,@dwret

    ret

 

@GetPhymemLite    endp

 

[]调用门在保护模式中可以看成是低特权级代码向高特权级代码转换的一种实现机制,如图1所示(由于本人较懒,所以借用李彦昌先生所著的80x86保护模式系列教程 中的部分截图,希望李先生看到后不要见怪 ^-^:

           

              1

要说明的是调用门也可以完成相同特权级的转换。一般门的结构如图2所示:

     

门描述符

m+7

m+6

m+5

m+4

m+3

m+2

m+1

m+0

Offset(31...16)

Attributes

Selector

Offset(15...0)



门描述
符属性

Byte m+5

Byte m+4

BIT7

BIT6

BIT5

BIT4

BIT3

BIT2

BIT1

BIT0

BIT7

BIT6

BIT5

BIT4

BIT3

BIT2

BIT1

BIT0

P

DPL

DT0

TYPE

000

Dword Count

                                 

 

                            2

  

   简单的介绍一下各个主要位置的含义:

Offset Selector 共同组成目的地址的48位全指针,这意味着,如果远CALL指令指向一个调用门,则CALL指令中的偏移被丢弃;

P位置位代表门有效,DPL是门描述符的特权级,后面要设置成3,以便在Ring3中可以访问。TYPE 是门的类型,386调用门是 0xC ,Dword Count 是系统要拷贝的双字参数的个数,后面也将

用到。下面是设置CallGate的代码:

 

mov     eax,_FucAddr

    mov     @CallGate.OffsetL,ax     ;Low Part Addr Of FucAddr

    mov     @CallGate.Selector,8h    ;Ring0 Code Segment

    mov     @CallGate.DCount,1       ;1 Dword

    mov     @CallGate.GType,AT386CGate  ;Must A CallGate

 

    shr     eax,16

    mov     @CallGate.OffsetH,ax     ;Low Part Addr Of FucAddr

 

 

[]  既然可以读些物理内存了,也知道了GDT的物理基地址和长度,所以可以通过将GDT整个读出,然后寻找一块空闲的区域来植入前面设置好的CallGate

  

;申请一片空间,以便存放读出的GDT

 Invoke   VirtualAlloc,NULL,@tmpGDTLimit,MEM_COMMIT,/

PAGE_READWRITE   

    .if eax == NULL

           jmp quit

    .endif

   

    mov     @pmem,eax

    invoke @ReadPhymem,@tmpGDTPhyBase,@pmem,@tmpGDTLimit,/

           _hmem

 

    .if eax == FALSE

           jmp quit

    .endif

   

    mov     esi,@pmem

    mov     ebx,@tmpGDTLimit

    shr     ebx,3

    ;找到第一个GDT描述符中P位没有置位的地址。

mov     ecx,1

    .while ecx < ebx

           mov al,byte ptr [esi+ecx*8+5]

           bt  ax,7

       .if CARRY?

 

       .else

           jmp lop0

       .endif

       Inc     ecx

    .endw

   

    invoke VirtualFree,@pmem,0,MEM_RELEASE

    jmp     quit

 

lop0:

    lea     eax,[ecx*8]

    mov     @OffsetGatePos,eax

    add     @PhyGatePos,eax

 

    mov     esi,@pmem

    add     esi,eax

 

    invoke RtlMoveMemory,addr oldgatebuf,esi,8

   

    ;释放内存空间

    invoke VirtualFree,@pmem,0,MEM_RELEASE

 

[] 现在主要工作基本完成了,剩下的就是设计一个运行在Ring0中的子函数,在这个子函数中我将调用Ring0里面真正的MmGetPhysicalAddress来取得实际的物理地址,所以这个函数要有一个输入参数用来传递要转换的虚拟地址,并且还要考虑到如何获取返回的物理地址(EDX:EAX)。在网络上的C版本代码中,这是通过定义几个全局变量来传递的,因为没有发生进程切换,所以可以使用原进程中的一些变量。然而我在传递虚拟地址上采用了另一种做法,就是通过实际形参来传递的:

   

    Ring0Fuc proc          ;_vaddr

   

       ;手动保存

       push   ebp

       mov     ebp,esp

       sub     esp,4

       mov     eax,[ebp+0ch]

       mov     [ebp-4],eax       ;first local val

       pushad

       pushfd

       cli

   

       mov     eax,[ebp-4]

       ;调用真正的 MmGetPhysicalAddress.

       invoke MmGetPhysicalAddress,eax

       mov     phymem_L,eax

       mov     phymem_H,edx

 

       popfd

       popad

       ;手动还原

       mov     esp,ebp

      pop ebp

       retf   4

 

Ring0Fuc   endp

 

   最后,通过一个远CALL来调用这个调用门:

  

      lea     edi,FarAddr

        push   _vaddr

        call   fword ptr [edi]

 

 

通过亲手编码,可以对调用门、远调用等一些80386+保护模式中的概念在windows的实现中有了进一步的了解,不再像以前那样模棱两可了。看似全部写完了,其实中间还有很多可以挖掘出来扩展说的细节,但我现在已没有精力写了:( ,还要准备其他东西,结尾就用这个不是结尾的结尾,结尾吧(绕口令?)。:) 

从进程到内核---ring3到ring0

这次我们用中断来实现从ring3到ring0的跳转,当我们用中断门实现从ring3到ring0的转移时,会从TSS加载ring0的堆栈STACKR0,然后将调用者ring3的ss、esp压入新堆栈ST...
  • guocaigao
  • guocaigao
  • 2013年10月10日 13:05
  • 3772

Ring3/Ring0的四种通信方式

21.1.5  DeviceIoControl函数与IoControlCode 打开驱动设备后,Ring3还要和驱动进行通讯或调用驱动的派遣例程,这需要用到一个非常重要的函数:DeviceIoCon...
  • Rodney443220
  • Rodney443220
  • 2014年06月11日 11:20
  • 5033

特权级--ring3到ring0

还记得吗?我们用调用门和lcall指令实现特权级由低到高的转移. 假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、...
  • bfboys
  • bfboys
  • 2016年09月03日 10:19
  • 542

高特权级代码段转向低特权级代码段(利用 ret(retf) 指令实现 jmp from ring0 to ring3)

【0】写在前面 0.1)本代码旨在演示 从 ring0 转移到 ring3(即,从高特权级 转移到 低特权级) 0.2)本文 只对 与 门相关的 代码进行简要注释,言简意赅; 0.3)文末的个人总结是...
  • PacosonSWJTU
  • PacosonSWJTU
  • 2015年08月31日 17:37
  • 690

(精华)Ring3与Ring0通信方法若干

本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。               R...
  • vbsourcecode
  • vbsourcecode
  • 2013年02月25日 13:40
  • 1312

WinDBG从Ring3到Ring0跟踪CreateFileW的执行流程

本次跟踪的系统版本: 调试机(宿主机):WIN7 64位旗舰版 目标机(虚拟机):WIN7 32位旗舰版 1、在虚拟机里打开一个记事本,然后Ctrl+Break中断操作系统 2...
  • sqzxwq
  • sqzxwq
  • 2015年09月03日 08:40
  • 964

Ring3与Ring0通信方法若干

本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。               R...
  • andylau00j
  • andylau00j
  • 2014年04月08日 10:36
  • 574

Ring0和Ring3权限级

现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。   I...
  • liujiayu2
  • liujiayu2
  • 2015年05月27日 16:37
  • 1043

跟踪 Ring3 - Ring0 的执行流程

理论知识SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“快速系统调用”功能的一部分被首次引用的。 SYSENTER 指令进行过专门的优化,能够以最佳性能由 Ring3...
  • u011513596
  • u011513596
  • 2015年08月22日 23:21
  • 1552

特权级--ring0到ring3

内核要和用户程序分开,内核一定要安全,不能被用户程序干涉,但是有时候用户程序也需要读取内核的某些数据,怎么办呢?x86就引入了访问特权等级(0-3)的机制,x86 cpu共有4个特权级 level0 ...
  • bfboys
  • bfboys
  • 2016年09月03日 10:19
  • 150
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:浅谈NT下Ring3无驱进入Ring0的方法
举报原因:
原因补充:

(最多只允许输入30个字)