ring0下cr0的作用

最新推荐文章于 2023-06-10 20:12:01 发布
最新推荐文章于 2023-06-10 20:12:01 发布
阅读量2.6k 收藏
点赞数
文章标签: 存储 汇编 windows 文档 xp

对于不可写的内存,如果在没打开内存保护模式下会BSOD,肯定会死的很惨,哈哈。下面就讲解下如何解决改问题:

为了安全起见,Windows XP及其以后的系统将一些重要的内存页设置为只读属性,这样就算有权力访问该表也不能随意对其修改,例如SSDT、IDT等。但这种方法很容易被绕过,我们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。

cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。

控制寄存器最初出现于低级的286处理器中,以前称之为机器状态字(machine status word),在386以后它们被重命名为控制寄存器(control register)。cr0寄存器直到486的处理器版本才被加入了“写保护”(Write Protect,WP)位,WP位控制是否允许处理器向标记为只读属性的内存页写入数据,如果我们将WP位设置为0,就可以禁用写保护的功能。

cr0的第16位是WP位,只要将这一位置0就可以禁用写保护,置1则可将其恢复。

禁用和启用写保护的内联汇编代码如下所示:
// 关闭写保护
__asm
{
    cli ;
    mov eax, cr0
    and  eax, ~0x10000  //and eax,0xfffeffff
    mov cr0, eax
}

// 恢复写保护
__asm
{
    mov  eax, cr0
    or     eax, 0x10000
    mov  cr0, eax
    sti ;
}

需要注意的是,这里的cli和sti都是特权指令,必须在ring0才能使用的。

除了cr0之外,还有4个控制寄存器。cr1未被使用(或者被偷偷使用了,但没有在文档中说明),cr2在处理器处于保护模式时存储上一个导致页故障的地址,cr3存储页目录的地址,cr4在Pentium系列(包括486的后期版本)处理器中才实现,它处理的事务包括诸如何时启用虚拟8086模式等。

ljfth
关注
页写保护
jltxgcy的专栏
02-10 2206
1、进程A和进程B共享页面,代码如下:if (!(pid=fork())) { 压栈操作;//子进程B } if (pid>0){ 压栈操作;//父进程A }        2、我们假设现在系统有一个用户进程A,他自己对应的程序代码已经载入内存中,此时该进程内存中所占用的页面
Linux获取ring0权限,Ring0和Ring3权限级
weixin_33967069的博客
04-29 716
本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R...
控制寄存器(CR0,CR1,CR2,CR3,CR4)
晓阳 的专栏
03-30 3078
CR0 是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。      0位是保护允许位PE(Protedted Enable),用于启动保护模式,如果PE位置1,则保护模式启动,如果PE=0,则在实模式下运行。      1 位是监控协处理位MP(Moniter coprocessor),它与第3位一起决定:当TS=1时操作码WAIT是否产生一个“协处理
Cr0内核打开关闭写保护
haodawei123的博客
02-12 3607
////////////////////////////////////////////下面是32位编程实现///////////////////////////////////////////////////////////////////// // 关闭写保护 #pragma PAGEDCODE void OpenGate() { __asm { cli;//将处理器标志寄存器的中断标志位清0...
通过修改CR0取消内存写保护
qq_33215865的博客
10-14 3833
在x86_64进行补丁系统的原地址指令更改时,会因为x86的内存保护,使得对原地址的写操作引起内核panic,报oops。可以通过修改CR0寄存器的第16位暂时关闭写保护。 1、CR0     CR0 是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。     CR0的第16位是写保护未即WP位(486系列之后),只要将这一位置0就可以禁用写保护,置1...
内核模式下关闭/开启写保护(WriteProtect)
輚至消亡
07-12 3370
在内核态下,数据段受到写保护,并非可以直接修改,控制写保护的就是一个比特位,其位于CR0寄存器的第17位(即索引为16)。 在x86下可以通过内联汇编来修改该位。但是在64位下无法使用内联汇编了。还是有办法可以实现对WP位的控制。 // 关闭CR0控制寄存器内的WP位 KIRQL WriteProtectOff() { KIRQL OldIrql = 0; ULONG_PTR cr0 = 0; // 提升IRQL等级到Dispatch Level OldIrql = KeRaiseIr.
易语言无驱动进入ring0
08-21
易语言无驱动进入ring0源码系统结构:读取cr0,操作数据,写物理内存,读物理内存,查看字节集,提升进程权限,查看字节集2,到十六进制文本,RtlAdjustPrivilege,NtSystemDebugControl,SetProcessAffinityMask,
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1350
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
理解控制寄存器cr0:写保护与汇编操作
"本文主要介绍了CR0寄存器在计算机系统中的作用,它是CPU的控制寄存器之一,用于控制处理器的重要特性。CR0寄存器的写保护(WP)位是一个关键功能,用于控制是否允许对只读内存页进行写操作。文中还提供了禁用和启用...
x86体系结构控制寄存器--CR0
最新发布
qq_30528603的博客
06-10 3310
这个特性对于实现写时复制(copy-on-write)方法非常有用,该方法用于创建新进程时,将进程的内存映射到相同的物理页面,直到需要修改页面内容时才进行实际的拷贝。当NW和CD标志都被清除时,对于命中缓存的写操作,启用写回(对于Pentium 4、Intel Xeon、P6家族和Pentium处理器)或写穿(对于Intel486处理器)。当AM标志被设置时,处理器会在特定的条件下执行对齐检查,而当AM标志被清除时,对齐检查将被禁用。需要注意的是,CD标志的设置会限制缓存的使用,进而影响系统的性能。
关闭和开启写保护
qq_41490873的博客
08-22 1697
KIRQL WPOFF() { KIRQL OldIrql = KeRaiseIrqlToDpcLevel(); //ULONG_PTR 这个类型在x86上是32位 x64就是64位 ULONG_PTR cr0 = __readcr0(); #ifdef _X86_ cr0 &= 0xfffeffff; #else cr0 &= 0xfffffffffffeffff; #endif _disable(); //关闭中断 __writecr0(cr0); //关闭写保
linux系统调用拦截Centos7.6(三)の内核调用拦截
新火燎塬的博客
11-07 625
执行rmmod hello 卸载模块。cd /opt/hello 目录。
linux文件读保护,Linux Rootkit实现文件保护
weixin_29623481的博客
04-29 322
一个非常基础的rootkit,禁止读取指定文件编译系统:CentOS 7uname -r3.10.0-957.21.3-el7.x86_64#include #include #include asmlinkage long(*real_open)(const char __user *filename, int flags, unsigned short mode);unsigned long ...
Windows X64关闭内存写保护和打开内存写保护的代码
wing的专栏
03-20 5284
 关闭内存写保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存写保护的
Windows控制寄存器CR0/1/2/3/4(Windows内核学习笔记)
KOOKNUT的博客
04-14 1299
1.概述 控制寄存器用于控制和确定CPU的操作模式。主要有:CR0\CR1\CR2\CR3\CR4 2.CR0寄存器 PE:启用保护模式标志,1是保护模式,0是实模式,这个位只是开始或关闭段机制,并没有启用分页机制 PG:分页机制开关,在启用之前需要确保PE是开启的,否则会出现异常 WP:写保护标志,禁止0环程序向3环只读页面执行写操作,也就是说当CPL<3的时候,如果WP=0,可以读写任...
CR0-4寄存器介绍
┌LiHoo┐
07-06 5434
控制寄存器(CR0~CR3)用于控制和确定处理器的操作模式以及当前执行任务的特性,如图4-3所示。 CR0中含有控制处理器操作模式和状态的系统控制标志; CR1保留不用; CR2含有导致页错误的线性地址; CR3中含有页目录表物理内存基地址,因此该寄存器也被称为页目录基地址寄存器PDBR(Page-Directory Base addressRegister)。     CR0
驱动开发:内核CR3切换读写内存
热门推荐
CSDN
09-25 2万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
cr0
wowbell的专栏
02-23 1642
<br />为了安全起见,Windows XP及其以后的系统将一些重要的内存页设置为只读属性,这样就算有权力访问该表也不能随意对其修改,例如SSDT、IDT等。但这种方法很容易被绕过,我 们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。<br /> <br />cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。<br />控制寄存器最初出现于低级的286处理器中,以前称之为机器状态字(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值