【原创】RING3过主防读物理内存、读写IO端口

最新推荐文章于 2023-06-30 07:30:50 发布
最新推荐文章于 2023-06-30 07:30:50 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 系统知识 文章标签: io buffer 汇编 360 null c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OSReact/article/details/7738595
版权
最近拜读了王爽老师的《汇编语言》,学到了不少东西,终于能勉强逆点简单的小程序了。于是想到了 Extreme神犇很早以前提出的这个点子:调用带正规签名的驱动来干坏事- -

鲁大师有正规数字签名,所以它的驱动加载时不会被主防报警,而鲁大师驱动里也没有验证调用者,所以可以利用~

灵感来自 Extreme神犇~以前ASM完全不懂,用IDA只会F5,一看IoDispatchControl就苦逼了,所以一直搞不定(F5的话,SystemBuffer显示成一个什么.Type,完全驴唇不对马嘴,可怕- -||)

 

于是逆了ComputerZ.sys

一开始我直接拿安装的旧版逆,结果基本接口搞得差不多了之后发现新版的360硬件大师驱动更新了= =旧的没用了。。而内部实现也有变化然后苦逼了,又下了个新的360硬件大师

果然360还是考虑得周到些,加入了SeTokenIsAdmin权限验证,调用Function时对参数的检查也严格了些,不过还是没有验证调用者XD

最后鼓捣鼓捣还是成功了

下面是我逆出的伪码(为啥说是伪码呢?因为我就是边看反汇编边翻译。。只逆了一些关键的接口,没除错,编译不能,所以只能用来看看思路,说是C代码有点对不起观众- -||   逆得很挫,大牛见笑了。。):
代码: 
#include <ntddk.h>

BOOLEAN read_port_uchar(USHORT usPort, PULONG buffer)
{
    if (!is_port_legal(usPort)) {
        return FALSE;
    }
    _asm {    
        in buffer,usPort
    }
    return TRUE;
}

BOOLEAN read_physical_address_by_uchar(PHYSICAL_ADDRESS PhyAddr)
{
    PUCHAR Register = MmMapIoSpace(PhyAddr.LowPart, 0, 4, 0);
    if (Register == NULL) {
        return FALSE;
    }
    READ_REGISTER_BUFFER_UCHAR(Register, &PhyAddr.HighPart, 4);
    MmUnmapIoSpace(Register, 4);
    return TRUE;
}

BOOLEAN read_physical_address_by_ulong(PHYSICAL_ADDRESS PhyAddr, ULONG NumberOfBytes)
{
    PULONG Register = MmMapIoSpace(PhyAddr.LowPart, 0, NumberOfBytes, 0);
    if (Register == NULL) {
        return FALSE;
    }
    READ_REGISTER_BUFFER_ULONG(Register, &PhyAddr.HighPart, NumberOfBytes / 4);
    MmUnmapIoSpace(Register, NumberOfBytes);
    return TRUE;
}

NTSTATUS __stdcall DispatchIoControl(int DeviceObject, PIRP Irp)
{
    NTSTATUS ulReturn = STATUS_SUCCESS;
    PIO_STACK_LOCATION IrpSp = Irp->Tail.Overlay.CurrentStackLocation;
    if (IrpSp->MajorFunction != IRP_MJ_CREATE && IrpSp->MajorFunction != IRP_MJ_CL
最低0.47元/天 解锁文章
OSReact
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存修改(Ring3)
KOOKNUT的博客
04-08 569
Ring3对目标进程的内存进行修改,说一下实现思路: (1)调用GetSystemInfo函数得到系统信息,将应用层程序最大地址和页面大小保存到全局变量中 (2)通过目标进程的进程名得到目标进程ID 拍摄进程快照CreateToolhelp32Snapshot 遍历ProcessEntry,进行字符串比较,匹配成功周,取出ID值,返出。 (3)提权,根据目标进程ID打开进程,得到进程ID。 (...
ZwSystemDebugControl函数
mergerly的专栏
01-25 3509
使用ZwSystemDebugControl,可以在ring3下内核空间虚拟内存 //取 MEMORY_CHUNKS QueryBuff; DWORD *address2=new DWORD[dwServices]; QueryBuff.Address = dwKernelBase+dwKiServiceTable; QueryBuff.Data = address2;
RING3″过物理内存IO端口
xxxl的专栏
08-01 1078
最近拜了王爽老师的《汇编语言》,学到了不少东西,终于能勉强逆点简单的小程序了。于是想到了Extreme神犇很早以前提出的这个点子:调用带正规签名的驱动来干坏事- - 鲁大师有正规数字签名,所以它的驱动加载时不会被报警,而鲁大师驱动里也没有验证调用者,所以可以利用~ 以前ASM完全不懂,用IDA只会F5,一看IoDispatchControl就苦逼了,所以一直搞不定(F5的话,System
"RING3"过物理内存IO端口
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-04 1161
貌似有半年没博文了...来一篇除草... Naylon  2012.3.4  http://hi.baidu.com/naylonslain  转载请注明出处   最近拜了王爽老师的《汇编语言》,学到了不少东西,终于能勉强逆点简单的小程序了。于是想到了Extreme神犇很早以前提出的这个点子:调用带正规签名的驱动来干坏事- - 鲁大师有正规数字签名,所以它的驱动加载时不会被报警
自己实现内存API和OpenProcess躲过Ring3层的HOOK(win10 1903)
吾无法无天的博客
03-01 2998
想躲过ring3层的某些API的HOOK,不想恢复钩子,自己,百度一搜半天都找不到,只能自己动手了... OpenProcess和ReadProcessMemory和WriteProcessMemory都在KernelBase.dll里 NtOpenProcess和NtReadVirtualMemory和NtWriteProcessMemory在ntdll.dll里 用IDA进行逆向即可得...
Drv_headed3me__驱动_驱动_一个简单的win7内存驱动_
09-29
标题中的“Drv_headed3me__驱动_驱动_一个简单的win7内存驱动”指的是一个专为Windows 7设计的简单内存驱动程序。这个驱动程序允许开发者或者系统在内核模式下直接对系统的物理内存进行取和...
ring3实现任务管理器的进程
11-27
"ring3实现任务管理器的进程杀"是指在用户模式下编程序来止其他进程被任务管理器或其他类似工具结束。这种方法要用于保护关键进程的安全,使其免受恶意软件或未经授权的操作影响。 C++是实现这一目标的常用...
X64驱动内存源码
11-20
- R3层指的是Ring3用户模式,这是大多数应用程序运行的层次。在这个层面,程序不能直接访问硬件,必须通过API调用来请求内核服务。`测试.e`可能是一个易语言(E Language)编的用户模式程序,用于测试驱动的...
Ring 3下实现MBR代码.rar
02-17
标题 "Ring 3下实现MBR代码" 指的是在操作系统的用户模式(Ring 3)下编程序来取和修改引导记录(Master Boot Record, MBR)。MBR是硬盘上的一个重要部分,它存储了系统启动信息,包括分区表和一个引导...
ring0内核程序和ring3程序的区别
最新发布
10-31
ring0 ring3程序的区别
Inline Hook(ring3)的简单C++实现方法
09-04
要介绍了Inline Hook(ring3)的简单C++实现方法,需要的朋友可以参考下
驱动物理地址
qq_41490873的博客
09-04 1217
#include<ntifs.h> HANDLE hPhysicalhandle=NULL; /* function 打开内核对象 argv NULL return 返回调用状态 */ NTSTATUS GetPhysicalHandle() { NTSTATUS status; UNICODE_STRING PhysicalMemoryString; OBJECT_ATTRIBUTES attributes; WCHAR PhysicalMemoryName[] = L"\\De
驱动开发:内核物理内存寻址
Gefangenes的博客
06-30 1076
这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。需要注意的是,该代码并没有进行有效性检查,如没有检查取的地址是否合法、取的数据是否在用户空间,因此存在潜在的风险。需要注意的是,该函数还会进行一些错误处理,例如在取页表项时,如果该项没有被设置为有效,函数将返回0,表示无法访问对应的物理地址。字段包含了进程的页表树的根节点的物理地址,通过它可以找到进程的页表树,从而实现虚拟内存的管理。
差异分析定位Ring 3保护模块
博文视点(北京)官方博客
04-10 3365
差异分析定位Ring 3保护模块 由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。 在分析的过程中,为了止被Ring 3保护模块发现,暂时可以先把除了自己线程外的其他线程暂停,如图8-14所示。 图8-14  悬挂除自己线程外的其他线程 从图8-14中可以看出,除自己线程外
驱动开发网上关于重启的网摘(3)
Iqian1314的专栏
05-31 973
<br />q:为什么在驱动中一运行READ_REGISTER_ULONG操作机器就重启<br />想对一块虚拟内存进行取,了一个小驱动,但是一调用WRITE_REGISTER_ULONG取指定的内核内存空间,机器就重启,急死了,在这个地方耽搁了一个星期了,有人能帮帮我吗?<br />代码如下:<br />NTSTATUS PortTalkCreateDispatch(<br />  IN PDEVICE_OBJECT DeviceObject,<br />  IN PIRP Irp<br />  )
驱动 ReadPhysicalMemory 物理内存 参考代码 win7 64
编程论坛
06-11 5732
#pragma warning( disable: 4100 4103 4146 4213)NTSTATUS ReadPhysicalMemory(char *startaddress, UINT_PTR bytestoread, void *output);UINT_PTR KnownPageTableBase = 0;void VirtualAddressToIndexes(QWORD add...
c语言的程序如何物理地址,物理地址驱动 - simpower的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_29232507的博客
05-18 1371
正文没有用MmMapIoSpace,用了映射的方式对物理地址数据进行,之前测试MmMapIoSpace在win10较高版本用不了,貌似是不支持了。然后利用映射的方式测试的时候可以在win10下运行。用法和效果如下,加载驱动后,Read.exe用来物理地址的数据,限制为0x100字节大小,当然可以通过修改驱动代码来取任意字节,我这里只是给了个demo;Write.exe则是对指定的物理地址...
【微软漏洞分析】一个未修复的问题 MSRC-20706 - Windows 7:NtPowerInformation 中的管理员检查绕过
重新启程
11-03 337
微软漏洞分析序列,未修复的问题分析
单片机里的IO RING是什么意思
04-06
IO RING是指单片机芯片上的一组IO端口,通常用于连接外部设备和传感器。它们可以通过编程控制来取和入数据,从而实现与外部设备的通信和控制。IO RING通常包括多个引脚,每个引脚都有不同的功能,如输入、输出、中断等。在编程中,需要根据具体的需求选择合适的IO RING引脚,并进行相应的配置和控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值