【笔记】RING0 与 RING3之间的简单交互

最新推荐文章于 2024-02-18 09:10:45 发布
最新推荐文章于 2024-02-18 09:10:45 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 内核研究 文章标签: object attributes hook access string windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7554421
版权
这篇博客介绍了如何在Windows系统中进行RING0和RING3之间的简单交互,通过一个实例展示了如何从ring3应用程序将PID传递给ring0驱动,并利用驱动Hook NtOpenProcess函数,使得应用程序无法被任务管理器结束。加载驱动采用了SCM和封装后的CDRIVER类,尽管存在一些小bug,如返回信息不准确,但可以通过数组传递多个PID来扩展该方法。
摘要由CSDN通过智能技术生成

RING0 与 RING3之间的简单交互

         叫简单交互的原因是,只从ring3传给ring0一个变量的值,不涉及到锁事件的问题(有点像多线程的那个东东...)。这里我使用了最简单的例子,就是SSDT HOOK NtOpenProcess. ring3的应用程序将自己的PID传给ring0的驱动,驱动hook NtOpenProcess之后就无法从任务管理器终止应用程序了。

         加载驱动的方式用的是SCM....而且是《windows程序设计里》封装之后的CDRIVER类...(我承认我有点懒了....以后在用ZWLoadDriver 或者别的什么 rootkit.com里面有篇文章讲了好多种...)


/
// SSDT NtOpenProcess,
//FIRSTDRIVER.C 
//2008年5月10日
#include <ntddk.h>
#include <stdlib.h>
#include "IoCTL.h"
// 自定义函数的声明
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp);
void DriverUnload(PDRIVER_OBJECT pDriverObj);
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp);

VOID Hook();
VOID UnHook();
// 驱动内部名称和符号连接名称
#define DEVICE_NAME L"\\Device\\devDriverDemo"
#define LINK_NAME L"\\??\\slDriverDemo"
ULONG    g_uRealServiceAddress;    //真实函数地址
ULONG    g_uPID;                        //把PID传进来

typedef struct _SystemServiceDescriptorTable
最低0.47元/天 解锁文章
Shevacoming
关注
专栏目录
Ring3Ring0之间的通信方式(Windows内核学习笔记)
KOOKNUT的博客
04-01 1314
我们写一个Ring0的代码,有时候需要和Ring3进行交互,比如我们做一个进程防杀的驱动保护,那我们可以通过Ring3进程,发送请求告诉驱动层,究竟哪些进程属于白名单,哪些属于黑名单,而在通信过程中,涉及到了应用层与内核层之间通信的一些数据传输方法,我在这里简单做一个学习笔记: 如果一个驱动要和应用程序通信,首先需要生成一个设备对象(DeviceObject),设备对象可以通过某种方式在内核中暴...
进入ring0ring3
03-06
ring0下众生程序平等。程序转移分为两种: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。例如:windows ring3下cs是0x1b , ring0下cs通常是0x08.。 对于近转移,我们不需要进行特权级检查。由于windows是保护模式的操作系统,对于远转移如果跨层则需要进行特权级检查,看是否允许其调用。
ring0ring3的区别
爱码农爱生活
03-16 578
 现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。      Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0Ring3(后面简称R0、R1、R2、R3)。R0层拥有最高的权限,R3层拥有最低的权限。按照Intel原有的构想,应...
Ring0Ring3
weixin_43742894的博客
05-13 2838
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3Windows只使用RING0RING3RING0只给操作系统用,RING3谁都能用。 如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。因为有CPU的特权级别作保护。 ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之…… 以Li...
什么是ring0-ring3
黄腾霄的博客
03-01 6310
大家可能听说过某个代码需要运行在ring 0的说法。但是ring 0究竟是什么,今天就给大家介绍下。 权限控制 我们都知道计算机中运行着许多的软件,有些软件是和硬件打交道的,比如驱动软件,操作系统软件,有些软件只是运行在操作系统之上的,比如浏览器,文本编辑软件等。 为什么要这样设计? 这是为了控制运行软件的权限,让一些特定的软件才能执行某些“危险”的行为,比如读写特定的内存等。 这里就引申出了我...
ring0ring3(vc++编程扫盲)
sennyrong的专栏
11-29 1245
学过计算机操作系统的朋友都知道指令管态和算态的区别,但理论归理论,到了实际应用中就抓瞎了,说道这里,你应该明白了, ring0就是管态层,ring3就是算态层。so easy的窗户纸。 备注: 在CPU指令系统中,有一些指令是非常危险的,如果错用,将导致整个系统崩溃。比如:清内存、设置时钟等。如果所有的程序都 能使用这些指令,那么你的系统一天死机n回就不足为奇了。所以,CPU将指令
PF_RING_学习笔记
09-28
PF_RING被设计为可以通过用户态程序来使用,用户态程序通过PF_RING提供的API接口与内核模块进行交互。使用PF_RING主要涉及以下几个方面: - 配置PF_RING以达到预期的网络捕获性能,这可能包括调整缓冲区大小、启动/...
SSDT.rar_ring0_ssdt
09-22
标题“SSDT.rar_ring0_ssdt”暗示了我们正在探讨SSDT在Ring0(内核模式)和Ring3(用户模式)之间交互。 **一、SSDT简介** SSDT是一个数据结构,它存储了所有系统服务的入口点,这些服务由Windows内核提供,供...
H3CSE完全笔记-构建H3C高性能园区网络
04-23
### H3CSE完全笔记-构建H3C高性能园区网络 #### 层级化网络模型 在构建高性能园区网络的过程中,层级化网络模型是至关重要的基础。这种模型将网络分为三个主要层次:接入层、汇聚层和核心层。 1. **接入层**:...
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
Ring0 Ring3 通信
qq_42021840的博客
05-20 377
Ring0: #define DEVICE_OBJECT_NAME L"\\Device\\MaDeviceObjectName" //驱动之间通信 #define DEVICE_LINK_NAME L"\\DosDevices\\MaDeviceLinkName" //Ring0Ring3 之间通信 #define IOCTL_NEITHER_NORMAL(i) \ CTL_CODE \ (
Ring3Ring0通信方法若干
03-10 2101
本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。               Ring3Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。          1 同步的策略          初写驱动的朋友都知道,通过Dev
RING0RING3之间简单交互
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-20 894
简单交互的原因是,只从ring3传给ring0一个变量的值,不涉及到锁事件的问题(有点像多线程的那个东东...)。这里我使用了最简单的例子,就是SSDT HOOK NtOpenProcess. ring3的应用程序将自己的PID传给ring0的驱动,驱动hook NtOpenProcess之后就无法从任务管理器终止应用程序了。          加载驱动的方式用的是SCM....而且是《w
CPU 的 ring0,ring1,ring2,ring3
最新发布
dy1996的博客
02-18 717
举个RING权限的最简单的例子:一个停止响应的应用程式,它运行在比RING0更低的指令环上,你不必大费周章的想着如何使系统回复运作,这期间,只需要启动任务管理器便能轻松终止它,因为它运行在比程式更低的RING0指令环中,拥有更高的权限,可以直接影响到RING0以上运行的程序,当然有利就有弊,RING保证了系统稳定运行的同时,也产生了一些十分麻烦的问题。,在处理RING指令环时便遇到了麻烦,系统是运行在RING0指令环上的,但是虚拟的OS毕竟也是一个系统,也需要与系统相匹配的权限。
Ring3Ring0的通信
tatorey的博客
04-10 1338
浅谈三环与零环的通信机制,深入了解驱动底层的通信原理
关于ring3ring0的代码实现
chla的专栏
05-19 894
<br />http://www.zeroplace.cn/article.asp?id=159<br />☆ 利用调用门从Ring 3进入Ring 0<br /><br /> 观察用户空间程序memdump.exe执行时CS、DS、FS所对应的段描述符:<br />> memdump -l 8<br /> GDTR.base             = 0x8003F000<br /> GDTR.limit            = 0x03FF<br /> CURRENT_CS         
SSDT Hook的妙用-对抗ring0 inline hook
liujiayu2的专栏
06-30 1542
******************************************************* *标题:【原创】SSDT Hook的妙用-对抗ring0 inline hook  * *作者:堕落天才                                        * *日期:2007年3月10号                                 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值