中断门&陷阱门

最新推荐文章于 2022-10-12 13:15:18 发布
最新推荐文章于 2022-10-12 13:15:18 发布
阅读量950 收藏 1
点赞数 2
分类专栏: # PE 保护模式 文章标签: 保护模式 陷阱门 中断门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/116141878
版权

中断门,就是通过中断提权的一种手段
下图为中断门的构造
在这里插入图片描述
陷阱门也和中断门类似调用什么都类似就是构造不一样
在这里插入图片描述

跟调用门类似,但是不能往里面传参,所以高32位的前4位一定为0,同时TYPE位也有细微的改动,其他的并没有太大的改动。

执行流程

直接int 然后根据编号查IDT表,然后IDT表再去查段选择符,然后找到处理的函数,每个编号对应的中断类型都能在官方文档中找到。
在这里插入图片描述在这里插入图片描述

构造过程

最基础的构造
在这里插入图片描述

#include "stdafx.h"
#include <WINDOWS.H>

void __declspec(naked) func()
{
        __asm{
                iretd;
        }
}

int main(void)
{      
        printf("%x\n",func);
        system("pause");
        __asm{
                push fs;
                int 0x20;//通过中断直接调用
                pop fs;
        }
        return 0;
}

可以再执行的前后对比下efl,会发现中断门会把其中的IF位置0,也就是屏蔽可屏蔽中断。
中断门和陷阱门唯一的不同也就是置0的不同,陷阱门不会将IF位置0。

通过中断门来劫持INT 3

#include "stdafx.h"
#include <Windows.h>

typedef int (__cdecl *DbgPrintProc)(_In_z_ _Printf_format_string_ const char * _Format, ...);

DbgPrintProc DbgPrint = (DbgPrintProc)0x83e5f41f;//uf nt!DbgPrint
char *output = "111111";

void __declspec(naked) test()
{
	__asm
	{
		sub esp,8;
		lea eax, change;
		mov [esp],eax;
		mov [esp+4],0x8;
		jmp fword ptr[esp];//修改CS标志位,不修改的话不会蓝屏,会直接崩系统,原地爆炸
change:
		add esp,8;
		push fs;
		push 0x30;
		pop fs;
		mov eax,[output];
		push eax;
		call DbgPrint;
		add esp, 4;
		pop fs;
		mov eax,0x83e8f5c0;//跳回原来的INT 3中
		jmp eax;
	}
}

void _tmain(int argc, _TCHAR* argv[])
{
	printf("%x\r\n",test);
	system("pause");

	__asm
	{
		int 3
	};
	system("pause");
}

kd> r gdtr
gdtr=80b95000
kd> dq 80b95000
80b95000  00000000`00000000 00cf9b00`0000ffff
80b95010  00cf9300`0000ffff 00cffb00`0000ffff
80b95020  00cff300`0000ffff 80008b1e`400020ab
80b95030  834093f7`bc003748 0040f300`00000fff
80b95040  0000f200`0400ffff 7ccf9b57`1a40ffff
80b95050  830089f7`90000068 830089f7`90680068
80b95060  00000000`00000000 00000000`00000000
80b95070  800092b9`500003ff 00000000`00000000
kd> r idtr
idtr=80b95400
kd> dq 80b95400
80b95400  83e88e00`0008efc0 83e88e00`008f150
80b95410  83e8ee00`0048f5c0 83e8ee00`0008f5c0
80b95420  83e8ee00`0008f748 83e88e00`0008f8a8
80b95430  83e88e00`0008fa1c 83e98e00`00080018
80b95440  00008500`00500000 83e98e00`00080478
80b95450  83e98e00`0008059c 83e98e00`000806dc
80b95460  83e98e00`0008093c 83e98e00`00080c2c
80b95470  83e98e00`000812fc 83e98e00`000816b0
kd> eq 80b95418 83e8ee00`0048f5c0

这里修改的是INT 3中的段选择子,而段选择子是决定代码开始地址的地方,因此我们修改段选择子指向GDT表中的第10项,再GDT表项中创建第10项,然后第10项大部分复制第2项,只修改其中的基地址,修改为test函数地址减去INT 3中断的代码起始地址,这样基地址根据偏移就会直接去执行我们的test函数,然后再去执行INT 3。

然后实验成功。PS:后面跟了一串不知道啥。不用去管他。

TIPS

在中断门内部调用代码的时候,需要使用CLI/STI来屏蔽中断,不进行屏蔽的话,可能在切换进程的时候蓝屏。

0xwangliang
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中断&陷阱介绍
weixin_45678798的博客
07-07 362
IDT为每一个异常或中断向量对应的例程或任务分配了一个描述符。同GDT和LDT一样,IDT也是由一些列描述符组成;和GDT不同的是第一个索引不是NULL描述符,异常或中断向量号乘以8即可得到IDT中的索引。...
(5) [保护模式]中断
qq_50332504的博客
03-05 743
除了调用可以提权之外,中断也同样可以 中断描述符和调用描述符极其相似 如何手动构造一个中断进行提权操作
Windows保护模式学习笔记(四)—— 中断&陷阱
qq_41988448的博客
10-17 1501
Windows保护模式学习笔记(四)—— 中断/陷阱前言要点回顾中断描述符表(IDT)一、中断实验:构造一个中断第一步:初步构造参数第二步:确定 Offset in Segment第三步:将描述符写入IDT表第四步:继续执行第二步的代码二、陷阱实验:构造一个陷阱第一步:初步构造参数第二步~第四步:参考中断陷阱中断的区别: 前言 一、学习自滴水编程达人中级班课程,官网:htt...
(6) [保护模式]陷阱
qq_50332504的博客
03-09 447
陷阱中断唯一的却别就是EFLAG中的IF位,描述符的差别只有type位的最后一位 关键词: 陷阱 差别 IF位 实验
中断详解(二)——中断描述符、任务中断陷阱
热门推荐
Windeal
03-24 1万+
什么是中断描述符表     中断描述符IDT表示一个系统表,它与中断或异常向量相联系。每一个中断或异常向量在这个系统表中有对应的中断或异常处理程序入口地址。中断描述符的每一项对应一个中断或异常向量,每个向量由8个字节组成。因此,最多需要256*8=2048字节来存放IDT。     在运行中断之前,必须初始化IDT(中断描述符表)。 任务中断陷阱     IDT包
一个操作系统的实现–中断
01-20
 中断与其他三个(调用陷阱、任务)一起是操作系统里的四扇。它们之间的区别以后再补充,重点分析中断。  那么什么是呢?其实是一中描述符,直观来看这个描述符描述了由一个选择子和一个...
进入ring0、ring3
03-06
ring0下众生程序平等。程序转移分为两种: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。...
无驱动进入ring0-易语言
06-12
总结了一下,包括调用,任务中断陷阱等,这些方法都是直接利用 IA32的方法,所以和操作系统应该没有多大关系,当然由于NT内核对GDT,IDT,的保护所 以我们不能用这些方法,不过如果一旦突破了NT的保护,...
疯狂内核之——进程管理子系统
05-30
2.3.1 中断陷阱及系统 99 2.3.2 IDT的初步初始化 100 2.4 异常处理 101 2.5 中断处理 106 2.5.1 中断向量 107 2.5.2 IRQ数据结构 108 2.5.3 do_IRQ()函数 113 2.5.4 中断服务例程 115 2.5.5 IRQ线的动态分配...
滴水逆向培训高级班
11-22
│ 014 中断.mp4, B' i, r7 Y: B3 |! N( ^6 { l9 F │ 015 陷阱.mp4 │ 017 任务段_下.mp4, |/ M# A: K3 T7 i* Q/ ? I& o& D; p │ 018 任务.mp46 m. D+ f4 _/ V) ~9 S& B │ 019 10-10-12分页.mp4 │ 020 PDE...
11-中断
进击的小学生
09-24 5504
除了使用调用进行提权,本篇的中断显的更加重要。因为在 Windows 中,大量使用了中断中断的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
[windows内核]中断
r250414958的博客
07-12 610
要说中断,不得不先说一个概念就是IDT表(中断描述符表),用来存放中断描述符的地方,IDT也用来存放任务,以及陷阱描述符,具体在手册中第三卷:6.11 IDT DESCRIPTORS 我们在windbg中可以使用如下指令查看idt表地址以及表的大小 下图是中断描述符的格式 字段的具体含义如下 现在我们了大概了解了中断描述符,我们再来了解一下异常和中断处理 大概意思是说 处理器对异常和中断调用的处理方式与用 CALL 指令调用例程和任务的处理十分相近。响应异常和中断时,处理器将异常或中断
c语言裸函数对应Delphi,C语言中的裸函数
weixin_39666550的博客
05-20 243
C语言裸函数记住一点,编译器不会为它生成任何代码。我们在平常调用函数时哪怕是调用一个没有任何代码的空函数,编译器最少都会生成一个基本的框架。但调用裸函数的话不会,在反汇编中除了看到正常的call xxxx外,进入里面后如果我们本身也没对裸函数做任何操作,那程序就会出错。语法返回类型__declspec(naked)函数名(){}例//下面__declspec(naked)是固定的void__...
中断陷阱、任务段、任务
qq_18811919的博客
02-13 4808
中断描述符 中断概述 1.系统调用 Windows没有使用调用,但是使用了中断。 Windows很多3环API最终都要使用0环的代码,是使用中断实现的这种功能。 注意:老的CPU是用的中断而最新的CPU是使用的快速调用。 2.调试 在像OD这种调试工具中按F12下的断点就是将BYTE内容变为0xCC指令位int3这是中断效果。 中断和调用的区别 中断和调用很相似他们最大的区别是查表的不同, 调用是使用的GDT表而中断使用的是IDT表。 IDT表概述 IDT全名中断描述符表,
Windows保护模式(四)中断&陷阱
sky123博客
10-12 562
继续运行代码,成功在 test 函数断下来,并且完成提权,栈结构也与前面描述的相符。中断和调用堆栈变化的不同点是多压了一个 EFLAGS 标志寄存器,因此返回使用的是 iretd 而不是 retf。指令会平衡堆栈,而中断没有参数,因此会造成堆栈不平衡。在 IDT 表 0x100 偏移处构造一个中断,对应中断号为 0x20。在 IDT 表 0x100 偏移处构造一个陷阱,对应中断号为 0x20。Windows 系统没有使用调用,但使用了中断中断执行时,会将IF标志位清零,但陷阱不会。
1.4 windows内核——中断陷阱,任务
kmic1的博客
10-13 537
TSS任务状态段 一个内核一个,存在于内存中,不存在与cpu;可以让cpu同时执行多个任务。 进程A申请堆栈时要向TSS申请,申请时会有两个一个0环,一个3环的, 1.TSS结构 本质: 不要把TSS与“任务切换”联系到一起 TSS的意义就在于可以同时换掉”一堆”寄存器 段寄存器有es,cs,ds,gs,idtr,tr 那么如何找到TSS,答案是tr 从GDT表中找到tr段寄存器,selector记录着TSS段描述符,base记录TSS表位置,limit记录TSS大小 2.tr段寄存器 3. TSS
[windows内核]陷阱
r250414958的博客
07-19 468
陷阱中断差不多,都是存在于IDT表中的 下面是陷阱的段描述符构造 虽然陷阱中断差不多,但是具体还是有区别的,区别如下 6.12.1.2 Flag Usage By Exception- or Interrupt-Handler Procedure When accessing an exception or interrupt handler through either an interrupt gate or a trap gate, the processor clears the
【C/C++】劫持技术
linchaolong的专栏
02-28 7904
劫持 劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。 函数是放在内存中的代码区,所以劫持与代码区密切相关。 实现劫持需要使用detours。 detours detours是微软亚洲研究院出口的信息安全产品,主要用于劫持。这个工具使用C语言实现,所以是跨平台的。 detours根据函数指针改变函数的行为,可以拦截任何函数,即使操作系
linux 追踪与中断陷阱
最新发布
05-14
Linux 追踪和中断陷阱都是调试工具,用于帮助程序员诊断和解决代码中的问题。 Linux 追踪是一种基于事件的调试工具,它可以帮助程序员追踪应用程序的行为和系统的性能。它可以帮助程序员了解哪些函数正在执行、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值