win7 64位内核安全_X64内核SMAP,SMEP浅析

最新推荐文章于 2023-04-26 09:17:51 发布

weixin_39548805

最新推荐文章于 2023-04-26 09:17:51 发布

阅读量1k

点赞数

文章标签： win7 64位内核安全内核入口地址在哪修改

本文链接：https://blog.csdn.net/weixin_39548805/article/details/111291594

版权

本文深入探讨了Windows 10中的SMAP（管理模式访问保护）和SMEP（管理模式执行保护）安全特性，通过实验解释了它们如何防止内核访问用户空间数据和执行用户代码。文章还介绍了如何在最新版Win10中绕过这些保护机制，包括修改CR4寄存器和利用stac指令关闭SMAP。实验环境为Win10+VS2015+WDK10。

摘要由CSDN通过智能技术生成

本文为看雪论坛优秀文章

看雪论坛作者ID：amzilun

前言

实验环境：Win10+VS2015+WDK10

SMAP(Supervisor Mode Access Prevention，管理模式访问保护)和SMEP(Supervisor Mode Execution Prevention，管理模式执行保护)的作用分别是禁止内核CPU访问用户空间的数据和执行用户空间的代码，并不会因为你权限高就能访问/执行低权限的资源，你的就是你的，我的就是我的，而之前零环权限就很牛逼了，你的就是我的，我的还是我的。

如何区分内核态和用户态虚拟空间呢，32位OS用00000000-ffffffff寻址整个4GB虚拟空间，其中0000000-7ffffffff是用户态的虚拟地址空间，80000000-ffffffff是内核态的虚拟地址空间。

到了X64，虽然CPU的寻址从32位变成64位，因为虚拟地址的高16位在用户模式下总是被设置为0000，而在内核模式下总是被置为FFFF。所以实际上只支持48位的虚拟地址空间供软件使用。

用户态的虚拟地址空间范围为0000 0000 00000000 ~ 0000 ffff ffffffff，内核模式的地址空间范围为ffff 0000 00000000 ~ ffff ffff ffffffff，所以用户态和内核态之间隔了非常远，对操作系统可见的内核虚拟地址空间的大小为256TB。

注意我没有提内核页表隔离(KPTI)等安全机制，所以这只是个大概的划分。

SMEP和SMAP导致我们不能像从前那样，利用恶意进程提权到0环权限后，扭头去执行布置在用户态的恶意shellcode，三环shellcode注入也不好使了(如果把shellcode布置在内核空间，又会遇到PatchGuard的强力阻击)。

本文将通过实验一步一步来感知SMEP，SMAP如何起作用，并找出如何在最新Win10安全防护体系中绕过他们的具体方法。

1. 构造X64下的IDT后门

首先新建一个 Visual C++ 空项目，选择Debug和X64后，还需要配置一下项目的工程属性，先把警告等级调成3：

把增量链接改成否：

把随机基址改成否，把固定基址改成是：

下一步就是如何在VS2015里写汇编，64位VS编译器因为不再支持内联汇编，所以我们再也不能像32位的那样，首先写一个裸函数，在里面放置我们提权到0环后要执行的汇编代码，然后等着提权后执行了。也不知道微软为什么把如此优秀的机制取消了。

那怎么才能把汇编代编译进我们的代码呢，答案是把汇编函数写到一个汇编文件，然后和c文件一起编译。

汇编函数在主函数里作为外部符号去使用，我每次都参照这个帖子操作：https://www.cnblogs.com/talenth/p/9135626.html 。

如果您使用的是其他版本的VS步骤和方法可能会有所不同。文件如下，下面的汇编文件包含了三个函数IntEntry，go和int3，如下所示：

semap : noneEXTERN x : qword.data; ttt qword ?.codeIntEntry    Proc    iretqIntEntry    Endpgo Proc    int 21h    retgo Endpint3 Proc    int 3h    retint3 EndpEND

main函数如下所示：

#include #include #include extern "C" void IntEntry();extern "C" void go();extern "C" void int3();extern "C" ULONG64 x;ULONG64 x;void main(){    if ((ULONG64)IntEntry != 0x0000000140001000)    {        printf("wrong IntEntery at %p", IntEntry);        system("pause");        exit(-1);    }    go();    printf("%p\n", x);    system("pause");}

编译出来后在1903运行。然后我们在操作系统中人为构造一个IDT后门，我构造自定义的中断int21，之所以用int 21h 因为系统没占用21号中断。

并把中断处理函数的地址设为0x0000000140001000，由于之前指定了工程属性为“随机基址否，固定基址是”使得IntEntery函数的入口地址始终是0x0000000140001000而不是随机数。

由于64位中断门已经从8字节变成16字节，1号中断门描述符正在fffff80545a5b010，2号在这基础上+10h变成fffff80545a5b020，以此类推21号在fffff80545a5b210。用Windbg构造21号中断如下：

eq fffff8010845b210 4000ee0000101000

eq fffff801 0845b218 1

我们用!idt指令来查看一下，发现21号的中断处理函数的确已经改成了我们自己的0x0000000140001000函数，即IntEntry的基址。

2. 触发SMEP

编译并运行这个程序，虚拟机立即崩溃，一个典型的三重错误。

目前我们的中断处理函数里就只有iretq，如果是在32位的XP系统甚至64位的Win7系统，程序应该会顺利的退出，但在Win10-1903下运行结果是三重错误，原因就是Win10引入了最新的安全机制：SMAP(Supervisor Mode Access Prevention)和SMEP(Supervisor Mode Execution Prevention)

SMEP就是内核权限的CPU不能执行用户权限的代码页，本次实验中，21中断的处理函数地址是0x0000000140001000，显然是位于用户态的代码页，因此提权到内核权限的CPU执行该函数时就会崩溃。

可能有人会怀疑崩溃并不是SMEP导致，而是由于修改IDT表触发PG，这里我说明下，这个错误绝对不可能是PG导致的，原因是：

1. 该错误是运行代码后立即触发的，而PG是延迟触发的，也就是修改的那一刻也许不会立即触发，经过一段时间PG扫描到这段代码被修改就会触发。所以PG蓝屏的时间是不确定的，也许几分钟，几小时都有可能，实际攻击中可以改完后再短时间内恢复现场，以躲避PG的检测。

2. 这是一个非常严重的三重错误，而PG导致的错误一般仅仅只是蓝屏，错误代码109。附加调试器时可以用!analsys v 来分析崩溃现场的，而三重错误比蓝屏要严重的多，性质完全不同。

那么如何绕过SMEP，让提权后的CPU能执行三环代码呢？

3. 绕过SMEP

从上图可知CR4寄存器的20和21分别是SMEP和SMAP标志位，置一代表功能开启，置零就代表功能关闭，定位到这两个位问题就好解决了。

我们用r cr4得知cr4是0x370678，再用.formats 0000000000370678把它解析成二进制，结果是: 00000000 00000000 00000000 00000000 00000000 00110111 00000110 01111000。

注意20，21不是第20,21位，而是21,22位，是从0开始的。我把这两位标记出来了，这两个位都是1，说明SMEP和SMAP都默认开启。

只要用Windbg把21位置零就可以了,我们只需手动把CR4从370678改成270678就绕过了SMAP。

4. 触发SMAP

我们在中断处理函数IntEntry再加入这样两行代码 mov rax, [0fffff8010845dfb0h] 和mov x, rax，fffff8010845dfb0是我这台机器GDT表第二项的地址。我们试图把一个内核地址的数值通过rax转存到一个位于三环的全局变量x中：

semap : none EXTERN x : qword .data; ttt qword ?.code IntEntry    Proc    mov rax, [0fffff8010845dfb0h]    mov x, rax    iretqIntEntry    Endp go Proc    int 21h    retgo Endp int3 Proc    int 3h    retint3 EndpEND

编译执行后还是会产生一个三重错误。

那问题出在哪呢？其实第一句没问题，使用0环权限访问零环内存地址，但第二句就有问题了，全局变量x是一个三环的全局变量，写入x时发生0环访问了三环数据，从而触发SMAP，系统崩溃。我们刚才只绕过了SMEP，现在来处理SMAP。

5. 绕过SMAP

方法1：借鉴之前绕过SMEP的方法，故伎重演用Windbg把CR4的22位置零，21,22同时置零时的CR4是70678。