很多RootKit都是运行在Ring0层的,所以我们必须先了解Ring0是个什么东西。
其实Ring(环)就是x86平台进行访问控制的概念,Ring0层也叫作环0层,win平台下一共就有4个环,不用说肯定是Ring0,Ring1,Ring2,Ring3了,权限最高的就是Ring0层,也叫做内核层,权限最低的就是Ring3层了呀,也叫作用户层。Windows系统就仅仅使用了Ring0层和Ring3层,试想Windows系统用4个环来实现访问控制那么难度大大上升了。内核层权限运行系统内核和驱动程序,而用户层权限运行普通程序。当一个程序执行的时候系统会分配一个环编号,环编号高的程序不能直接访问环编号低的程序,就是Ring3层的程序不能访问Ring0层的程序,当然除了程序外还有汇编语言,有的汇编指令也是需要Ring0权限的。
就比如读写硬件端口的in,out指令和控制CPU状态的cli,sti指令。
除了需要了解Ring0层概念,还需要了解关键表的概念。
CPU除了使用Ring分层机制进行访问限制外还需要对正在运行的代码进行管理控制。发出中断,程序崩溃,发出硬件信号都是有的CPU处理的而不是系统,所以CPU要实现这些功能就必须维护管理很多数据,而这些数据一般都是以表的形式存放的,这些表如下:
1.全局描述符表,英文全称Global Descriptor Table,简称GDT,有且仅有一个,用于映射内存地址。
2.本地描述符表,英文全称Local Descriptor Table,简称LDT,也是用于映射内存地址。
3.页目录,英文全称Page Directory,也是用于映射内存。
4.中断描述符表,英文全称Int