特权级--ring3到ring0

最新推荐文章于 2022-08-21 00:44:12 发布
最新推荐文章于 2022-08-21 00:44:12 发布
阅读量1.3k 收藏
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guocaigao/article/details/8506583
版权

还记得吗?我们用调用门和lcall指令实现特权级由低到高的转移.

假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、DPL_B(代码B的DPL)、DPL_G(调用门G的DPL)。

第一步,当A访问调用门G时,规则相当于访问一个数据段,要求CPL和RPL都小于或者等于DPL_G.也就是CPL和RPL需要在更高的特权级上。

第二步,除了上面系统还将比较CPL和DPL_B。如果是一致代码段的话,要求DPL_B<=CPL;如果是非一致代码段的话,call指令要求DPL_B<=CPL;jmp指令要求DPL_B==CPL.

 

当我们用call和调用门实现从ring3到ring0的转移时,会从TSS加载ring0的堆栈STACKR0,然后将调用者ring3的ss、esp压入新堆栈STACKR0,然后从调用者堆栈STACKR3中复制Param Count个参数并入栈,然后将当前ring3的cs和ip入栈,然后加载调用门中的新的cs和ip,开始执行被调用者的过程。

 

TSS结构如下:

LABEL_TSS:
	.4byte	0			# Back
	.4byte	TopOfStack		# 0 级堆栈
	.4byte	SelectorStack		 
	.4byte	0			# 1 级堆栈
	.4byte	0			# 
	.4byte	0			# 2 级堆栈
	.4byte	0			# 
	.4byte	0			# CR3
	.4byte	0			# EIP
	.4byte	0			# EFLAGS
	.4byte	0			# EAX
	.4byte	0			# ECX
	.4byte	0			# EDX
	.4byte	0			# EBX
	.4byte	0			# ESP
	.4byte	0			# EBP
	.4byte	0			# ESI
	.4byte	0			# EDI
	.4byte	0			# ES
	.4byte	0			# CS
	.4byte	0			# SS
	.4byte	0			# DS
	.4byte	0			# FS
	.4byte	0			# GS
	.4byte	0			# LDT
	.2byte	0			# 调试陷阱标志
	.2byte	. - LABEL_TSS + 2	# I/O位图基址
	.byte 	0xff							# I/O位图结束标志
.set     TSSLen,(. - LABEL_TSS)




不过我想在一个引导扇区内搞定,而我们只用到了0级堆栈,所有我写成了这样:

LABEL_TSS:
    .4byte  0           /* Back Link */
    .4byte  TopOfStackR0  /* ESP0 */
    .4byte  SelectorStackR0 /* SS0 */
.set    TSSLen, (. - LABEL_TSS)


添加ring0的堆栈:

LABEL_STACKR0:
.space  20, 0
.set    TopOfStackR0, (. - LABEL_STACKR0)


 

添加ring0堆栈的描述符和TSS的描述符以及对应的选择子,然后初始化
Descriptor_STACKR0:Descriptor(0,TopOfStackR0, (DA_DRWA + DA_32))
LABEL_DESC_TSS: Descriptor(0,       (TSSLen - 1), DA_386TSS)

.set  SelectorStackR0,  (Descriptor_STACKR0  - GDT_START)
.set    SelectorTSS,    (LABEL_DESC_TSS - GDT_START)

InitDescrptor(Descriptor_STACKR0,LABEL_STACKR0);
InitDescrptor(LABEL_DESC_TSS,LABEL_TSS);

将调用门描述符的DPL改为DA_DPL3,将其选择子的RPL改为SA_RPL3
Descriptor_Gate_Call:Gate(Selector_Code_Gate,0,0,(DA_386CGate+DA_DPL3)) 
.set  Selector_Code_Gate,(Descriptor_CODE_GATE-GDT_START+ SA_RPL3)

添加加载TSS的代码:
movw     $(SelectorTSS), %ax    /* Load TSS to TR register */
ltr     %ax

在ring3代码中打印完字符‘3’后添加
lcall $Selector_Gate_Call,$0
回到ring0

代码如下:

#define Descriptor(base,lim,attr)\
.word lim&0xffff;\
.word base&0xffff;\
.byte (base>>16)&0xff;\
.word ((lim>>8)&0xf00)|(attr&0x0f0ff);\
.byte ((base>>24)&0xff)  
  
/*  
*InitDescrptor(Descriptor,SegBase)初始化描述符函数  
*Descriptor:要初始化的描述符  
*SegBase:段基址  
*/  
#define InitDescrptor(Descriptor,SegBase)\
xor     %eax,%eax; \
mov     %cs,%ax  ; \
shl     $4,%eax  ; \
addl    $(SegBase), %eax ;\
movw    %ax, (Descriptor + 2);\
shr     $16, %eax;\
movb    %al, (Descriptor + 4);\
movb    %ah, (Descriptor + 7)  

#define Gate(Selector,Offset,PCount,Attr)\
.2byte (Offset&0xffff);\
.2byte (Selector);\
.2byte (PCount&0x1f)|((Attr<<8)&0xff00);\
.2byte ((Offset>>16)&0xffff)  

DA_386CGate = 0x8c
DA_C   = 0x98  
DA_32  = 0x4000  
DA_DRW = 0x92 
DA_DRWA=0x93 
SA_TIL = 0x4  
DA_LDT = 0x82 

SA_RPL3 = 3
DA_DPL0=0x00
DA_DPL1=0x20
DA_DPL2=0x40
DA_DPL3=0x60 
 
DA_386TSS=0x89  
.text  
.globl start  
.code16  
start:  
 jmpl $0x0, $code   
   
/**-----------------------------------------------------------------  
 * 全局描述符表: GDT  
 *-------------------------------*/       
GDT_START:    
Descriptor_DUMMY: Descriptor(0x0,0x0,0x0)  
Descriptor_CODE32:Descriptor(0x0,0xffffffff,DA_C+DA_32) 
Descriptor_STACKR0:Descriptor(0,TopOfStackR0, (DA_DRWA + DA_32))
Descriptor_VIDEO: Descriptor(0xb8000,0x0ffff,DA_DRW + DA_DPL3)  
Descriptor_CODE_GATE:Descriptor(0x0,CodeGLen,DA_C+DA_32)
Descriptor_CODE3:Descriptor(0x0,0xffffffff,DA_C+DA_32+DA_DPL3)
Descriptor_STACKR3:Descriptor(0,TopOfStackR3, (DA_DRWA + DA_32 + DA_DPL3))
LABEL_DESC_TSS: Descriptor(0,       (TSSLen - 1), DA_386TSS)

/*门描述符*/ 
Descriptor_Gate_Call:Gate(Selector_Code_Gate,0,0,(DA_386CGate+DA_DPL3))  
GDT_END:  
  
GdtPtr:  
    .word (GDT_END-GDT_START)-1 # so does gdt   
    .long GDT_START     # This will be rewrite by code.  

/**-----------------------------------------------------------------  
 * GDT中的选择子
 *-------------------------------*/ 
.set	selector_Code32,(Descriptor_CODE32-GDT_START)
.set  SelectorStackR0,  (Descriptor_STACKR0  - GDT_START)
.set	Selector_Video,(Descriptor_VIDEO-GDT_START)     
.set  Selector_Code_Gate,(Descriptor_CODE_GATE-GDT_START+ SA_RPL3)
.set	selector_CodeR3,(Descriptor_CODE3-GDT_START+SA_RPL3)
.set    SelectorStackR3,(Descriptor_STACKR3- GDT_START + SA_RPL3)
.set    SelectorTSS,    (LABEL_DESC_TSS - GDT_START)
/*调用门选择子*/
.set	Selector_Gate_Call,(Descriptor_Gate_Call-GDT_START)


/* 32-bit ring 3 stack segment. */
.align  4
LABEL_STACKR0:
.space  20, 0
.set    TopOfStackR0, (. - LABEL_STACKR0)


LABEL_STACKR3:
.space  20, 0
.set    TopOfStackR3, (. - LABEL_STACKR3)

LABEL_TSS:
    .4byte  0           /* Back Link */
    .4byte  TopOfStackR0  /* ESP0 */
    .4byte  SelectorStackR0 /* SS0 */
.set    TSSLen, (. - LABEL_TSS)

/******************************************
*程序从这里开始
*/
code:  
    mov     %cs,%ax     
    mov     %ax,%ds   
    mov     %ax,%es      
    mov     %ax,%ss    
    mov  $0x8000,%sp    
     
/*初始全局描述符Descriptor_CODE32*/  
InitDescrptor(Descriptor_CODE32,LABEL_SEG_CODE32); 
 
/*初始全局描述符Descriptor_CODE_GATE*/  
InitDescrptor(Descriptor_CODE_GATE,LABEL_CODE_G);  

/*初始全局描述符LABEL_STACKR0  ring0堆栈*/
InitDescrptor(Descriptor_STACKR0,LABEL_STACKR0);

/*初始全局描述符LABEL_STACKR3  ring3堆栈*/
InitDescrptor(Descriptor_STACKR3,LABEL_STACKR3);



/*初始全局描述符Descriptor_CODE3*/  
InitDescrptor(Descriptor_CODE3,LABEL_CODE_3);

InitDescrptor(LABEL_DESC_TSS,LABEL_TSS);


/*加载gdtr即将全局描述符表gdt的首地址和gdt的界限赋给gdtr寄存器*/         
    lgdt GdtPtr  
  
/*关中断*/  
    cli  
  
/*打开地址线A20*/  
    inb $0x92,%al  
    or  $0x02,%al  
    outb %al,$0x92  
  
/*设置cr0寄存器,切换到保护模式*/  
    movl %cr0,%eax  
    or   $1,%eax  
    movl %eax,%cr0  
  
  
/*真正进入保护模式,执行此命令后CS=0x8,IP=0*/  
    ljmp $selector_Code32,$0  
  


LABEL_SEG_CODE32:  
.align  32  
.code32 
		movw     $(SelectorStackR0), %ax
    movw     %ax, %ss 
    movl     $(TopOfStackR0), %esp 
    
    movw $Selector_Video,%ax  
    movw %ax,%gs/* 视频段选择子(目的)*/ 
    
     
    movl $((80*11+79)*2),%edi/*第11行,79列*/  
    movb $0x0c,%ah/*高四位表示黑底,低四位表示红字*/  
    movb $'P',%al/*显示的字符*/  
    movw %ax,%gs:(%edi)  
    
    #ljmp $selector_CodeR3,$0
    movw     $(SelectorTSS), %ax    /* Load TSS to TR register */
    ltr     %ax 
    #lcall $Selector_Gate_Call,$0
    pushl $SelectorStackR3
    pushl $TopOfStackR3
    pushl $selector_CodeR3
    pushl $0
    lret  
    
    lcall $Selector_Gate_Call,$0  
  
    
 
      
jmp .  
      
LABEL_CODE_G:

    movl $((80*12+0)*2),%edi/*第10行,0列*/  
    movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/  
    movb $'G',%al/*要显示的字符*/  
    movw %ax,%gs:(%edi)  
		
		lret
.set CodeGLen,(. - LABEL_CODE_G)  

LABEL_CODE_3:
	movw $Selector_Video,%ax
	movw %ax,%gs/* 视频段选择子(目的)*/
	movl $((80*12+10)*2),%edi/*第10行,0列*/
	movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/
	movb $'3',%al/*要显示的字符*/
	movw %ax,%gs:(%edi)
	
	lcall $Selector_Gate_Call,$0

jmp .
.set Code3Len,(. - LABEL_CODE_3)
  
.org 0x1fe, 0x90   
.word 0xaa55


 

 

 

guocaigao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ring3转入Ring0跟踪
曾是土木人
06-26 3000
通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。 我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码: CALL DWORD PTR DS:[>; ntdll.ZwCreateFile 也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtC
ring3进入ring0跟踪调试
04-11
首先,理解Ring3Ring0的转换原理。在x86架构的CPU中,通过改变CPU的特权寄存器(如CS段寄存器)可以实现这种转换。在Ring3中执行的代码不能直接调用Ring0别的函数或指令,必须通过中断或系统调用来触发。系统...
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
RING3RING0的函数跟踪
weixin_33951761的博客
05-27 262
前两天面试,一位面试官老师提到了RING3RING0的跟踪,自己以前是windbg跟踪过一次,想着再用OD跟踪一下 就在当复习一下,当时答面试官哥哥进R0是哪个函数的时候,竟然想不起来,只知道说是Ki开头的那个函数,真是汗颜,不珍惜机会啊 好好记住吧 OD加载咱们的notepad 下断点到CreateFileW,迷惑于是CreateFileW还是CreateFileA可以用PEID看一下,...
红蓝对抗----Ring3Ring0系统调用过程上(Ring3篇)
SHELLCODE_8BIT的博客
09-25 951
这篇文章我们将研究CreateFile是如何从Ring3Ring0,其中经过了哪些模块,而这些模块又是通过什么技术关联起来的。通过这一篇文章的学习,我们可以更好的了解操作系统内部的调用原理,更能帮助我们深入理解操作系统的各组件的相互调用关系。 为什么学? 如果你想在操作系统上达成以下事情,那么学习这篇文章就是你最好的选择。或者你有下列想法,那么通过举一反三,也是可以做到的。 1.做Hook。Hook可以做的事情非常多,账密拦截,HTTPS拦截。 2.研究和挖掘系统别漏洞。 3.Rootkit研究
从进程到内核---ring3ring0
guocaigao的专栏
10-10 7112
这次我们用中断来实现ring3ring0跳转,当我们用中断门实现ring3ring0的转移时,会从TSS加载ring0的堆栈STACKR0,然后将调用者ring3的ss、esp压入新堆栈STACKR0,然后EFLAGS压入堆栈,然后将当前ring3的cs和ip入栈,然后加载调用门中的新的cs和ip,使IF=0,开始执行中断服务函数。 那么首先我们要准备TSS,其结构如下: typed
ring0驱动调用ring3应用程序 从RING0下启动RING3的应用程序源代码
01-22
在操作系统的世界里,Ring0Ring3是处理器的特权别,它们定义了代码执行时的权限等Ring0通常代表最高别的权限,是操作系统内核的所在地,而Ring3则是用户模式应用程序运行的地方,拥有相对较低的权限。这篇...
ring3用户应用程序与ring0内核驱动程序之间的调用,通信.zip
01-25
在计算机系统中,Ring3Ring0是处理器的特权别,它们代表了不同的权限等Ring3是用户,而Ring0则是内核。在Windows操作系统中,大部分应用程序运行在Ring3,享受较低别的权限,以防止它们破坏系统的稳定...
无驱动进入ring0易语言源码-易语言
06-13
1. **Ring0Ring3**:Ring0是操作系统核心所在的特权别,拥有对硬件的直接访问权限;Ring3是用户模式,应用程序通常在此运行,权限受到限制。 2. **用户模式与内核模式**:用户模式下的程序不能直接访问硬件,...
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 2418
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权别分为4个别:RING0,RING1,RING2,RING3ring0是指CPU的运行别,ring0是最高别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行别上ring3上,不能做受控操作。如果要做,比...
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
老V2016内核过驱动保护课件.rar
05-10
老V2016游戏驱动过保护课件..我是通过课件的内容,一个一个对着去学习知识.. 通过这些必须要的知识..一个一个去接解决遇见的问题.. 按照课件内内容一步一步完善自己的技能...
CPU的两种工作状态——系统态和用户态
weixin_43557723的博客
01-19 2万+
谈到CPU的这两个工作状态,也就是处理器的这两个工作状态,那我们有必要说一下为什么搞出这两个鬼玩意出来。 用过电脑的娃娃们肯定知道在一个系统中既有操作系统的程序,也由普通用户的程序。但那么多指令,可不是随便乱用的,有些指令只能由系统来使用,禁止用户程序去直接访问。为了保证操作系统和各个应用程序能够顺利运行,就必须对他们进行限制,否则的话就根本没有办法保证系统的安全性和稳定。 所以呢,根据运行程序对资源和机器指令的使用权限,把处理器设置为不同的状态。多数系统把处理器的工作状态分为管态和目态两种。也就是我们今天
专注于操作系统18之完整的特权转换
大道至简的专栏
03-08 954
在上一篇文章中,我们已经能从ring0进入到ring3,在这里我们将再加上从ring3ring0。从ring3ring0这需要使用在第十四篇文章中提到的调用门来实现。即在进入ring3后,在使用调用门来调用ring0代码(注意当发生特权转换时,堆栈是发生了变化的,上一篇文章已说明从ring0ring3堆栈所发生的变化。当从ring3ring0时,ring0堆栈信息
通过驱动保护进程方案 (Window )
houxian1103的博客
08-21 3508
当驱动发现打开的进程句柄是我们要保护的进程时,就去掉访问权限,使任何人都无法访问受保护的进程。这个文件定义了主要功能处理程序IRP_MJ_*。具体来说,IRP_MJ_CREATE和IRP_MJ_CLOSE被IRP_MJ_WRITE处理。该文件定义handle_buffer_message处理从IRP_MJ_WRITE. 根据收到的命令,驱动程序将调用enable_protection或disable_protection。- 勾住SSDT的函数,如果用卡巴,就有点麻烦,因为它也是用这招,就看谁先取得了。
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 3万+
TP 是国内腾讯游戏一款比较流行的驱动保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
编写自己的驱动过游戏保护-需要具备的理论知识
crkres9527
09-16 1万+
A、了解SSDT结构         B、由SSDT索引号获取当前函数地址                C、如何获取索引号         D、获取起源地址-判断SSDT是否被HOOK         E、如何向内核地址写入自己代码    A、了解SSDT结构 SSDT的全称是System Services Descriptor Table,系统服务描述符表 在ntoskrnl....
Intel的CPU将特权别分为4个别:RING0,RING1,RING2,RING3。Windows只使用其中的两个RING0RING3
autumn20080101的专栏
10-07 6321
Intel的CPU将特权别分为4个别:RING0,RING1,RING2,RING3。Windows只使用其中的两个RING0RING3RING0只给操作系统用,RING3谁都能用。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。尽管有CPU的特权别作保护,遗憾的是WINDOW98本身漏洞很多,使用Windows 98的系统一天死机n回也是正常
Linux获取ring0权限,Ring0Ring3权限
最新发布
06-11
获取Ring0权限通常需要使用特权指令或者系统调用,例如通过使用汇编语言编写内核模块,或者使用特殊的工具和技术来实现。 在操作系统中,Ring0Ring3是两种不同的权限别。Ring0是最高的权限别,也称为内核态,可以访问系统中所有的资源和硬件设备,包括CPU、内存和I/O端口等,可以执行所有的指令。Ring3是用户态,权限比Ring0要低,只能访问被操作系统允许的资源,例如进程的用户空间和系统调用等。Ring3无法直接操作硬件设备,必须通过操作系统提供的接口来实现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值