Windows x64内核学习笔记(三)—— SMEP & SMAP

已于 2022-03-02 15:01:00 修改
阅读量2.9k 收藏 8
点赞数 1
分类专栏: x64内核 文章标签: windows SMEP SMAP
于 2022-02-28 18:30:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/123176096
版权

Windows x64内核学习笔记(三)—— SMEP & SMAP

SMEP & SMAP

SMEP:位于Cr4的第20位,作用是让处于内核权限的CPU无法执行用户代码。
SMAP:位于Cr4的第21位,作用是让处于内核权限的CPU无法读写用户代码。

关于控制寄存器各个标志位的具体含义可参考Intel开发手册卷3第2.5节。
在这里插入图片描述

实验:构造IDT后门

描述:尝试在x64系统中构造IDT后门

第一步:编译以下代码

//x64asm.asm
option casemap:none

EXTERN x:qword

.DATA

.CODE

IntEntry	PROC
		iretq
IntEntry	ENDP

go	PROC
		int 21h
		ret
go	ENDP

END

//test.c
#include <windows.h>
#include <stdio.h>

extern "C" void IntEntry();
extern "C" void go();
extern "C" ULONG64 x;

ULONG64 x;

void main()
{
	if ((ULONG64)IntEntry != 0x0000000100001000)
	{
		printf("wrong IntEntry at %p \n", IntEntry);
		system("pause");
		exit(-1);
	}

	go();
	printf("%p \n", x);
	system("pause");
}

x64asm.asm属性
在这里插入图片描述
在这里插入图片描述
项目属性
在这里插入图片描述
在这里插入图片描述

第二步:构造IDT后门

IntEntry函数表示手动构造IDT后门的入口地址,笔者环境下的地址为0x100001002

这里选择将后门写到IDT[0x21]的位置,Win10系统没有占用这个位置,里面保存的是IDT的基地址,可以看一下。
在这里插入图片描述

那么,只要构造好中断门描述符,并写到IDT[0x21]就可以了。

构造好的中断门描述符(可以从IDT[3]的位置拷贝一份进行修改):

低四字节:0000ee00`00101000 高四字节:00000000`00000001

将构造好中断门描述符写入IDT[0x21]
在这里插入图片描述

查看写入的IDT后门解析情况,目标地址已经成功指向后门函数的地址。
在这里插入图片描述

第三步:运行程序

注意:运行程序前可以先给虚拟机打个快照。

运行结果:系统卡死,且WinDbg无法中断。
在这里插入图片描述
其实这个时候产生了三重错误(三重错误的概念在VT系列笔记中提到过),因此WinDbg也无法接管。

正常来说,在x86系统中构造IDT后门,只要权限和地址正确,就能够正常调用。

而从Windows 8的某一版本开始,开始引入了一些保护机制,即在Cr4中加入SMEP和SMAP这两个标志位,用于防止内核权限的CPU读写或执行用户代码。

回滚快照,看一下程序运行前Cr4的值:
在这里插入图片描述
可以看到,此时SMEP和SMAP两个标志位都为1。

第四步:验证SMEP

在WinDbg中将SMEP位改为0。
在这里插入图片描述
然后再次运行程序,运行结果:
在这里插入图片描述

可以看到,此时已经可以正常运行了,程序成功走到了后门函数并返回。

由于我们目前还未加入修改变量x的代码,因此读出来的值是0,是正常的。

第五步:修改代码,再次运行

将后门函数的代码修改为如下,重新编译

IntEntry	PROC
		mov rax, qword ptr [0fffff8034b290fd0h]		// gdt[4]
		mov x, rax
		iretq
IntEntry	ENDP

0fffff8034b290fd0h这个值是通过windbg读取的,指向gdt表的第4项
在这里插入图片描述
目的是尝试让程序通过后门函数读取0环的内存。

运行结果
在这里插入图片描述
系统再次卡死,这次是由于触发了SMAP保护。

第六步:验证SMAP

回滚快照,下面来验证下SMAP位,记得先将IDT设置好。
在这里插入图片描述

然后把SMAP和SMEP都置为0:
在这里插入图片描述
再次运行程序,运行结果:
在这里插入图片描述

此时,由于又解除了SMAP保护,程序已经能成功从0环读取数据了。

第七步:使用STAC指令

描述:STAC指令相当于Set AC,用于设置AC标志位,能暂时解除系统的一些保护,包括SMAP保护。
在这里插入图片描述
再次回滚快照,这次我们只清除Cr4的SMEP位,保留SMAP位,注意构造IDT后门。
在这里插入图片描述
将后门函数的代码修改为如下,重新编译:

IntEntry	PROC
		mov rax, qword ptr [0fffff8034b290fd0h]
		stac	;如果找不到这条指令,可以emit对应的字节码
		mov x, rax
		iretq
IntEntry	ENDP

运行结果:
在这里插入图片描述

可以看到,在不解除SMAP位的情况下,使用STAC指令后依然能够读到0环内存。

结语

那么通过以上内容,我们了解并验证了SMEP/SMAP这两个标志位的作用。

事实上,就算解除了SMEP和SMAP保护,目前也只能访问和执行一部分0环内存,这是因为还存在「内核页表隔离」机制,这是后话了。

关于SMAP保护的具体实现可参考Intel开发手册卷3第4.6节。

参考资料

lzyddf
关注
专栏目录
WIndows内核学习笔记:分页机制——PAE分页模式
weixin_38526180的博客
07-21 3226
Chapter 4 Paging 4.1 分页模式和控制位 分页控制有关的寄存器 CR0 标志位:WP(bit 16)、PG(bit 31) CR4 标志位:PSE(bit 4)、PAE(bit 5)、PGE(bit 7)、PCIDE(bit 17)、SMEP(bit 20)、SMAP(bit 21)、PKE(bit 22)、CET(bit 23)、PKS(bit 24) IA32_EFER MSR 标志位:LEM(bit 8)、NXE(bit 11) EFLAGS 标志位:AC(
X86 SMAP(Supervisor Mode Access Prevention)机制引入的内核态访问用户态地址空间的问题分析
tugouxp的专栏
10-28 645
所以,内核直接访问用户态指针导致报告page fault错误的原因是直接访问用户态内存触发了SMAP保护,内核提供了配置和API接口关闭这种保护,而本文开头提到的几个宏定义能够安全将访问用户态内存的原因,也是由于在访问器件,关闭了SMAP保护。从普遍意义的角度来讲,内核态访问用户态地址空间是没有任何问题的,只是需要注意不同的架构下实现上会有微小差别,至少目前,没有看到其它架构有类似SMAP机制的实现。
Linux内核ROP学习
07-11 275
0x00 前言 1.SMEP(Supervisor Mode Execution Protection):一种减缓内核利用的cpu策略,禁止内核态到用户态内存页的代码执行(32位的addresses < 0x80000000),每一页都有smep标识来标明是否允许ring0的代码执行。有时为了方便实验,可以本地关闭smep功能,方法如下: sudo vim /boo...
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll。
Windows x64内核学习笔记(一)—— 环境与配置
qq_41988448的博客
02-24 2263
Windows x64内核学习笔记(一)—— 环境与配置 前言 之前,跟着海哥学习windows内核的一些机制,包括保护模式,异常处理,消息机制等等,使用的环境是XP系统。 但是,在实际工作中,面对需要用到x64内核相关的内容时,依旧会感到茫然无措,毕竟脑中的知识只局限在32位内核。 随着时代发展,64位系统未来必将成为主流,但苦于市面上关于x64的教程非常少,因此一直没有机会系统化学习。 前段时间才发现周壑老师出了一套名为「x64内核研究」的教程,不得不说周壑老师真是太牛了。
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
qq_41988448的博客
03-02 4016
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址转物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料 前言 在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。 9-9-9-9-12分页 描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式
Windows x64内核学习笔记(五)—— KPTI(未完待续)
qq_41988448的博客
03-04 1742
Windows x64内核学习笔记(五)—— KPTIKPTI实验一:构造IDT后门并读取Cr3实验二:访问KVASCODE区段实验:访问TEXT区段参考资料 KPTI 描述:KPTI(Kernel page-table isolation)即内核页表隔离机制。 在学习SMEP&SMAP两个标志位时,我们成功通过将这两个标志位的值置0以达到让处于内核权限的CPU拥有读写和执行用户代码的权限,但实际上,只有内核模块的KVASCODE区段范围的地址是可读的,正是因为x64模式拥有内核页表隔离机制。
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
qq_41988448的博客
06-02 2178
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
nosmep:用于禁用 SMEP 的 linux 内核模块
06-15
标题 "nosmep:用于禁用 SMEP 的 Linux 内核模块" 提及的核心知识点是 SMEP(Supervisor Mode Execution Prevention)以及如何通过一个特定的内核模块来控制这一功能。SMEP 是一项硬件安全特性,由 Intel CPU 引入,...
x86 x64体系探索及编程part1
04-18
11 1.2.4 unsupported 编码值 14 1.2.5 浮点数精度的转换 15 1.2.6 浮点数的溢出 17 1.2.7 BCD 码 20 1.2.8 SIMD 数据 21 第2 章 x86/x64 编程基础 23 2.1 选择编译器 23 2.2 机器语言 24 2.3 Hello world 25 2.3.1...
kevos:从头开始使用奇怪的x64内核
02-04
凯沃斯 它是用于学习的x86-64内核。 总有一天它可能是工业级内核。 谁知道? 欢迎交流并共同完成! ## TODO清单: 1.在保护模式下加载64位GDT。 //完成。 2.在保护模式下设置并启用4级分页,然后跳转到64位代码。 //完成! 3.内核虚拟内存管理。 //立即开始! 与我联系: 什么是Kevos? Kevos是基于x64架构的sratch内核,具有高可读性,高灵活性和高效率的设计思想。 :grinning_face_with_smiling_eyes:
windows SMEP
最新发布
12-06
Windows SMEP(Supervisor Mode Execution Prevention)是一种安全机制,用于防止攻击者在内核模式下执行代码。它通过禁止内核模式下的代码执行用户模式下的代码来实现。这种技术可以有效地防止内核模式下的缓冲区...
Windows x64内核学习笔记(二)—— IA-32e模式
qq_41988448的博客
02-24 3353
Windows x64内核学习笔记(二)—— IA-32e模式IA-32e模式模式检测特性强制平坦段任务切换中断门描述符FS / GS参考资料 IA-32e模式 描述:IA-32e是IA-32模式的扩展,它是一种状态,其内核为64位,用户可以是32位,也可以是64位。 当在64位CPU中安装32位操作系统时,内核和用户都是32位的,这种状态叫做Legacy模式。 模式检测 描述:如果IA32_EFER MSR(下标为0xC0000080)寄存器的值第八位为1,说明当前系统处于IA-32e模式。 特性 强
win7 64位 内核安全_X64内核SMAP,SMEP浅析
weixin_39548805的博客
12-05 1020
本文为看雪论坛优秀文章看雪论坛作者ID:amzilun前言实验环境:Win10+VS2015+WDK10SMAP(Supervisor Mode Access Prevention,管理模式访问保护)和SMEP(Supervisor Mode Execution Prevention,管理模式执行保护)的作用分别是禁止内核CPU访问用户空间的数据和执行用户空间的代码,并不会因为你权限高就...
《逆向工程核心原理》学习笔记(五):64位 & Windows 内核6
闵行小鱼塘
05-24 1610
继续学习《逆向工程核心原理》,本篇笔记是第五部分:64位 & Windows 内核6
x64内核hook
liuhaidon1992的博客
01-07 1515
x64中系统提供了api帮助我们进行hook,主要是如下个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
c语言内联int 21h,[X64内核]SMAP,SMEP
weixin_42509105的博客
05-21 421
前言实验环境:win10+VS2015+WDK10SMAP(Supervisor Mode Access Prevention,管理模式访问保护)和SMEP(Supervisor Mode Execution Prevention,管理模式执行保护)的作用分别是禁止内核CPU访问用户空间的数据和执行用户空间的代码,并不会因为你权限高就能访问/执行低权限的资源,你的就是你的,我的就是我的,而之前零环...
例如ASLR和KASLR。还有CPU特性,例如SMAPSMEP、NX和PXN。
weixin_43171033的博客
05-07 422
查查这些都是什么功能
关于Win7 x64下过TP保护(内核层)(转)
weixin_30819085的博客
07-21 635
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X64...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值