windows驱动读取gdtr_[转载]Windows NT/2000/XP下不用驱动的Ring0代码实现-阿里云开发者社区...

最新推荐文章于 2022-09-09 22:46:00 发布
最新推荐文章于 2022-09-09 22:46:00 发布
阅读量91 收藏
点赞数
文章标签: windows驱动读取gdtr
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39655993/article/details/112054429
版权

Windows NT/2000/XP下不用驱动的Ring0代码实现

WebCrazy(http://webcrazy.yeah.net/)

大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中断服务等,严格的参数检查,只能严格的执行Windows NT/2000提供的服务,而如果想执行用户提供的Ring 0代码(指运行在Ring 0权限的代码),常规方法似乎只有编写设备驱动程序。本文将介绍一种在用户态不借助任何驱动程序执行Ring0代码的方法。

Windows NT/2000将设备驱动程序调入内核区域(常见的位于地址0x80000000上),由DPL为0的GDT项8,即cs为8时实现Ring 0权限。本文通过在系统中构造一个指向我们的代码的调用门(CallGate),实现Ring0代码。基于这个思路,为实现这个目的主要是构造自己的CallGate。CallGate由系统中叫Global Descriptor Table(GDT)的全局表指定。GDT地址可由i386指令sgdt获得(sgdt不是特权级指令,普通Ring 3程序均可执行)。GDT地址在Windows NT/2000保存于KPCR(Processor Control Region)结构中(见《再谈Windows NT/2000环境切换》)。GDT中的CallGate是如下的格式:

    typedef struct

    { 

        unsigned short  offset_0_15;

        unsigned short  selector;

        unsigned char    param_count : 4;

        unsigned char    some_bits   : 4;

        unsigned char    type        : 4;

        unsigned char    app_system  : 1;

        unsigned char    dpl         : 2;

        unsigned char    present     : 1;

    

        unsigned short  offset_16_31;

     } CALLGATE_DESCRIPTOR;

GDT位于内核区域,一般用户态的程序是不可能对这段内存区域有直接的访问权。幸运的是Windows NT/2000提供了一个叫PhysicalMemory的Section内核对象位于\Device的路径下。顾名思义,通过这个Section对象可以对物理内存进行操作。用objdir.exe对这个对象分析如下:

    C:\NTDDK\bin>objdir /D \Device

    PhysicalMemory                   

        Section

        DACL - 

           Ace[ 0] - Grant - 0xf001f - NT AUTHORITY\SYSTEM

                             Inherit: 

                             Access: 0x001F  and  ( D RCtl WOwn WDacl )

           Ace[ 1] - Grant - 0x2000d - BUILTIN\Administrators

                             Inherit: 

                             Access: 0x000D  and  ( RCtl )

从dump出的这个对象DACL的Ace可以看出默认情况下只有SYSTEM用户才有对这个对象的读写权限,即对物理内存有读写能力,而Administrator只有读权限,普通用户根本就没有权限。不过如果我们有Administrator权限就可以通过GetSecurityInfo、SetEntriesInAcl与SetSecurityInfo这些API来修改这个对象的ACE。这也是我提供的代码需要Administrator的原因。实现的代码如下:

   VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)

    { 

       PACL pDacl=NULL;

       PACL pNewDacl=NULL;

       PSECURITY_DESCRIPTOR pSD=NULL;

       DWORD dwRes;

       EXPLICIT_ACCESS ea;

       if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,

                  NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS)

          { 

             printf( "GetSecurityInfo Error %u\n", dwRes );

             goto CleanUp;

           }

       ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));

       ea.grfAccessPermissions = SECTION_MAP_WRITE;

       ea.grfAccessMode = GRANT_ACCESS;

       ea.grfInheritance= NO_INHERITANCE;

       ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;

       ea.Trustee.TrusteeType = TRUSTEE_IS_USER;

       ea.Trustee.ptstrName = "CURRENT_USER";

       if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS)

          { 

             printf( "SetEntriesInAcl %u\n", dwRes );

             goto CleanUp;

           }

       if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS)

          { 

             printf("SetSecurityInfo %u\n",dwRes);

             goto CleanUp;

           }

    CleanUp:

       if(pSD)

          LocalFree(pSD);

       if(pNewDacl)

          LocalFree(pSD);

     }

    这段代码对给定HANDLE的对象增加了如下的ACE: 

    PhysicalMemory                   

        Section

        DACL - 

           Ace[ 0] - Grant - 0x2 - WEBCRAZY\Administrator

                             Inherit: 

                             Access: 0x0002    //SECTION_MAP_WRITE

这样我们在有Administrator权限的条件下就有了对物理内存的读写能力。但若要修改GDT表实现Ring 0代码。我们将面临着另一个难题,因为sgdt指令获得的GDT地址是虚拟地址(线性地址),我们只有知道GDT表的物理地址后才能通过\Device\PhysicalMemory对象修改GDT表,这就牵涉到了线性地址转化成物理地址的问题。我们先来看一看Windows NT/2000是如何实现这个的:

    kd> u nt!MmGetPhysicalAddress l 30

    ntoskrnl!MmGetPhysicalAddress:

    801374e0 56               push    esi

    801374e1 8b742408         mov     esi,[esp+0x8]

    801374e5 33d2             xor     edx,edx

    801374e7 81fe00000080     cmp     esi,0x80000000

    801374ed 722c             jb    ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)

    801374ef 81fe000000a0     cmp     esi,0xa0000000

    801374f5 7324             jnb   ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)

    801374f7 39153ce71780     cmp     [ntoskrnl!MmKseg2Frame (8017e73c)],edx

    801374fd 741c             jz    ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)

    801374ff 8bc6             mov     eax,esi

    80137501 c1e80c           shr     eax,0xc

    80137504 25ffff0100       and     eax,0x1ffff

    80137509 6a0c             push    0xc

    8013750b 59               pop     ecx

    8013750c e8d3a7fcff       call    ntoskrnl!_allshl (80101ce4)

    80137511 81e6ff0f0000     and     esi,0xfff

    80137517 03c6             add     eax,esi

    80137519 eb17             jmp   ntoskrnl!MmGetPhysicalAddress+0x57 (80137532)

    8013751b 8bc6             mov     eax,esi

    8013751d c1e80a           shr     eax,0xa

    80137520 25fcff3f00       and     eax,0x3ffffc

    80137525 2d00000040       sub     eax,0x40000000

    8013752a 8b00             mov     eax,[eax]

    8013752c a801             test    al,0x1

    8013752e 7506             jnz   ntoskrnl!MmGetPhysicalAddress+0x44 (80137536)

    80137530 33c0             xor     eax,eax

    80137532 5e               pop     esi

    80137533 c20400           ret     0x4

从这段汇编代码可看出如果线性地址在0x80000000与0xa0000000范围内,只是简单的进行移位操作(位于801374ff-80137519指令间),并未查页表。我想Microsoft这样安排肯定是出于执行效率的考虑。这也为我们指明了一线曙光,因为GDT表在Windows NT/2000中一般情况下均位于这个区域(我不知道/3GB开关的Windows NT/2000是不是这种情况)。经过这样的分析,我们就可以只通过用户态程序修改GDT表了。而增加一个CallGate就不是我可以介绍的了,找本Intel手册自己看一看了。具体实现代码如下:

    typedef struct gdtr { 

        short Limit;

        short BaseLow;

        short BaseHigh;

     } Gdtr_t, *PGdtr_t;

    ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress)

    { 

        if(virtualaddress<0x80000000||virtualaddress>=0xA0000000)

           return 0;

        return virtualaddress&0x1FFFF000;

     }

    BOOL ExecRing0Proc(ULONG Entry,ULONG seglen)

    { 

       Gdtr_t gdt;

       __asm sgdt gdt;

     

       ULONG mapAddr=MiniMmGetPhysicalAddress(gdt.BaseHigh<<16U|gdt.BaseLow);

       if(!mapAddr) return 0;

       HANDLE   hSection=NULL;

       NTSTATUS status;

       OBJECT_ATTRIBUTES        objectAttributes;

       UNICODE_STRING objName;

       CALLGATE_DESCRIPTOR *cg;

       status = STATUS_SUCCESS;

   

       RtlInitUnicodeString(&objName,L"\\Device\\PhysicalMemory");

       InitializeObjectAttributes(&objectAttributes,

                                  &objName,

                                  OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,

                                  NULL,

                                 (PSECURITY_DESCRIPTOR) NULL);

       status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttributes);

       if(status == STATUS_ACCESS_DENIED){ 

          status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&objectAttributes);

          SetPhyscialMemorySectionCanBeWrited(hSection);

          ZwClose(hSection);

          status =ZwOpenSection(&hSection,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&objectAttributes);

        }

       if(status != STATUS_SUCCESS)

         { 

            printf("Error Open PhysicalMemory Section Object,Status:%08X\n",status);

            return 0;

          }

      

       PVOID BaseAddress;

       BaseAddress=MapViewOfFile(hSection,

                     FILE_MAP_READ|FILE_MAP_WRITE,

                     0,

                     mapAddr,    //low part                     (gdt.Limit+1));

       if(!BaseAddress)

          { 

             printf("Error MapViewOfFile:");

             PrintWin32Error(GetLastError());

             return 0;

           }

       BOOL setcg=FALSE;

       for(cg=(CALLGATE_DESCRIPTOR *)((ULONG)BaseAddress+(gdt.Limit&0xFFF8));(ULONG)cg>(ULONG)BaseAddress;cg--)

           if(cg->type == 0){ 

             cg->offset_0_15 = LOWORD(Entry);

             cg->selector = 8;

             cg->param_count = 0;

             cg->some_bits = 0;

             cg->type = 0xC;          //386 call gate             cg->app_system = 0;      //A system descriptor             cg->dpl = 3;             //Ring 3 code can call             cg->present = 1;

             cg->offset_16_31 = HIWORD(Entry);

             setcg=TRUE;

             break;

           }

       if(!setcg){ 

            ZwClose(hSection);

            return 0;

        }

       short farcall[3];

       farcall[2]=((short)((ULONG)cg-(ULONG)BaseAddress))|3;  //Ring 3 callgate;

       if(!VirtualLock((PVOID)Entry,seglen))

          { 

             printf("Error VirtualLock:");

             PrintWin32Error(GetLastError());

             return 0;

           }

       SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_TIME_CRITICAL);

       Sleep(0);

       _asm call fword ptr [farcall]

       SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_NORMAL);

       VirtualUnlock((PVOID)Entry,seglen);

       //Clear callgate       *(ULONG *)cg=0;

       *((ULONG *)cg+1)=0;

       ZwClose(hSection);

       return TRUE;

     }

我在提供的代码中演示了对Control Register与I/O端口的操作。CIH病毒在Windows 9X中就是因为获得Ring 0权限才有了一定的危害,但Windows NT/2000毕竟不是Windows 9X,她已经有了比较多的安全审核机制,本文提供的代码也要求具有Administrator权限,但如果系统存在某种漏洞,如缓冲区溢出等等,还是有可能获得这种权限的,所以我不对本文提供的方法负有任何的责任,所有讨论只是一个技术热爱者在讨论技术而已。谢谢!参考资料:1.Intel Corp<>

weixin_39655993
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Winfrom获取电脑硬件信息
Cui856243的博客
09-26 263
获取电脑硬件信息
TestOS - 带简单GUI的DOS扩展OS__ 源代码__ ASM__ 英文.rar
12-08
TestOS 是一个具有基本图形用户界面(GUI)的DOS扩展操作系统,它的设计目标是提供一个教学和实验平台,让开发者能够深入理解操作系统的工作原理,尤其是底层的汇编语言编程和中断处理机制。这个项目提供了完整的源...
转:Windows NT/2000/XP不用驱动Ring0代码实现
编程手札
08-30 1909
    大家知道,Windows NT/2000实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系统服务(Ring 0
Windows NT引导过程源代码分析(一)
hnzwx888的专栏
06-20 1626
转载自:https://blog.csdn.net/cosmoslife/article/details/7855425 Windows引导过程 Windows内核中的各个组件和各种机制在起作用以前,必须首先被初始化。此初始化工作是在系统引导时完成的。当用户打开计算机的电源开关时,计算机便开始运行,但操作系统并不立即获得控制权,而是BIOS代码首先获得控制,它执行必要的硬件检测工作,并允...
活久见,Windows系统源码竟然真的泄露了!
墨鱼菜鸡
09-09 1565
公众号关注“五分钟学算法” 设为 “星标”,带你了解技术圈内新鲜事! 来自扩展迷Extfans 今年1月,微软终于宣布将Windows 7的延长支持彻底终止,不知不觉间,Windows 10今年也5岁了。 但肉眼可见的,尽管微软通过各种方法向大家推广Win 10系统,却仍有相当一部分用户坚守在Win 7甚至是更早的系统版本中。 其中...
Linux下实现设备驱动程序的物理内存静态分配.pdf
09-07
用户进程的虚拟地址与线性地址相同,而核心代码和数据段描述符包含在全局描述符中,它们的段基地址为0xC0000000,因此核心态下的内存地址是实际物理地址加上0xC0000000。 在系统初始化时,从trampoline文件中的...
ucore-lab1实验报告.pdf
最新发布
10-27
7. **跳转到保护模式**:使用代码段选择子0x8跳转到protcseg的起始位置,然后继续执行保护模式下的代码。 8. **设置数据段寄存器**:在保护模式下初始化数据段。 9. **设置堆栈**:设定堆栈寄存器,并调用main函数,...
GDT.rar_Table_gdt
09-19
全局描述表(Global Descriptor Table,GDT)是Intel 80386及后续处理器架构中的核心组件,用于实现多级内存管理和任务切换的保护机制。这个概念在现代操作系统设计中至关重要,尤其是在需要进行硬件级别的安全性与...
Linux复习大汇总-8页.pdf
11-26
而IDTR、GDTR、LDTR、TaskRegisters、DebugRegister、ControlRegister和Model-SpecificRegisters等特殊寄存器通常由操作系统直接控制,以实现系统级的任务,如中断处理和系统安全。 5. **段描述符表**:在C语言中,...
WInRing0中的需要用到的
04-20
WinRing0中需要用到的文件
Windows NT
02-11
Windows NT
windows_nt_4_source_code
09-23
从俄罗斯网站搜到的windows NT4的微软的源代码,贡献出来!提取出windows Nt4 boot启动的核心源码。
Windows Server 2003 (NT 5.2.3790.0) 操作系统源代码编译构建指南版本 10b,上次更新 2021/10/21
yanghouhan的博客
11-20 4167
Windows Server 2003 (NT 5.2.3790.0) 构建指南 版本 10b,上次更新 2021/10/21 XP-Tan 指令在 XP SP3 x86、Win7 SP1 x86/x64 & Win10 x64 下测试,其他操作系统下结果可能有所不同。 由无名匿名维护的指南,与任何从事代码工作的小组没有任何关系。 不要相信任何声称作者身份的人! 内容 一个小小的要求 常问问题 搭建准备 构建 一个。故障排除 调试 附加信息 代码添加 变更日志 文件哈希 一个小小的要求 大家好,有一
用Delphi在2000XP/2003下从Ring3进入Ring0的无驱动解决方法by LYSoft LiuYang
LYSoft
11-20 3773
这段代码很有意义的父亲纪念版,它是在我一生人中最痛苦的时期所开发的。唉,一切都成为永恒的怀念...... 注意:需要JEDI Win32 API(JWA)库支持另外,该方法不适用于PAE模式(WinXP SP2配备AMD64或EMT64处理器的系统),而且还不能支持Win2003 SP1 uses  Windows, Dialogs, SysUtils, NTDDK,  JwaWinNT, Jwa
Windows NT/2000不用驱动Ring0代码实现
nature
03-06 479
    发表日期:2007-02-07 作者:[转贴] 出处:    
【转】不使用驱动进入ring0
柴门的编程学习基地
08-08 4398
这里转载2篇,其实是同一个,只是第二篇对第一篇做了一点修改。1、Windows NT/2000/XP不用驱动Ring0代码实现2、无驱动执行 Ring0 代码===============================================================================1、Windows NT/2000/XP不用驱动Ring0
急!"标准调制解调器"中的"计算机间的通讯电缆"无法选择端口,调制解调器错误代码一览...
weixin_29133959的博客
07-08 4294
600 An operation is pending. 一项未定的操作。601 The port handle is invalid. 该端口控制器不可用。602 The port is already open. 该端口已经打开。603 Caller's buffer is too small. 呼叫缓冲器太小。604 Wrong information specified. 错误的定义内容。...
关于“特权解除、陷入模拟”的理解
sdulibh的专栏
09-16 8062
一直想不通这两句话的含义,今天查了点资料、对着源码分析了一下,不一定对,写下来,分享: x86 CPU支持ring0-3 共4种不同的特权级别,下面分正常和虚拟化两种情况叙述、分析: 1.正常情况下: 特权级别是针对段来讲的,段描述符的最后两位标识了该段所位于的特权级别,比如,中断处理程序运行于ring0(),此时的内核程序是具有特权的,即ring0. 位于ring3用户程序可以通过系统调
Windows环境下32位汇编语言编程入门
"Windows环境下32位汇编语言" 在Windows环境下32位汇编语言的学习中,主要涉及以下几个核心知识点: 1. **保护模式下的内存管理**:在32位的Windows系统中,程序运行在保护模式下。保护模式下,段寄存器的用途发生...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值