分享
 
 
 

转帖:Windows NT/2000/XP下不用驱动的Ring0代码实现

王朝system·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中断服务等,严格的参数检查,只能严格的执行Windows NT/2000提供的服务,而如果想执行用户提供的Ring 0代码(指运行在Ring 0权限的代码),常规方法似乎只有编写设备驱动程序。本文将介绍一种在用户态不借助任何驱动程序执行Ring0代码的方法。

Windows NT/2000将设备驱动程序调入内核区域(常见的位于地址0x80000000上),由DPL为0的GDT项8,即cs为8时实现Ring 0权限。本文通过在系统中构造一个指向我们的代码的调用门(CallGate),实现Ring0代码。基于这个思路,为实现这个目的主要是构造自己的CallGate。CallGate由系统中叫Global Descriptor Table(GDT)的全局表指定。GDT地址可由i386指令sgdt获得(sgdt不是特权级指令,普通Ring 3程序均可执行)。GDT地址在Windows NT/2000保存于KPCR(Processor Control Region)结构中(见《再谈Windows NT/2000环境切换》)。GDT中的CallGate是如下的格式:

typedef struct

{

unsigned short offset_0_15;

unsigned short selector;

unsigned char param_count : 4;

unsigned char some_bits : 4;

unsigned char type : 4;

unsigned char app_system : 1;

unsigned char dpl : 2;

unsigned char present : 1;

unsigned short offset_16_31;

} CALLGATE_DESCRIPTOR;

GDT位于内核区域,一般用户态的程序是不可能对这段内存区域有直接的访问权。幸运的是Windows NT/2000提供了一个叫PhysicalMemory的Section内核对象位于\Device的路径下。顾名思义,通过这个Section对象可以对物理内存进行操作。用objdir.exe对这个对象分析如下:

C:\NTDDK\bin>objdir /D \Device

PhysicalMemory

Section

DACL -

Ace[ 0] - Grant - 0xf001f - NT AUTHORITY\SYSTEM

Inherit:

Access: 0x001F and ( D RCtl WOwn WDacl )

Ace[ 1] - Grant - 0x2000d - BUILTIN\Administrators

Inherit:

Access: 0x000D and ( RCtl )

从dump出的这个对象DACL的Ace可以看出默认情况下只有SYSTEM用户才有对这个对象的读写权限,即对物理内存有读写能力,而Administrator只有读权限,普通用户根本就没有权限。不过如果我们有Administrator权限就可以通过GetSecurityInfo、SetEntriesInAcl与SetSecurityInfo这些API来修改这个对象的ACE。这也是我提供的代码需要Administrator的原因。实现的代码如下:

VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)

{

PACL pDacl=NULL;

PACL pNewDacl=NULL;

PSECURITY_DESCRIPTOR pSD=NULL;

DWORD dwRes;

EXPLICIT_ACCESS ea;

if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,

NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS)

{

printf( "GetSecurityInfo Error %u\n", dwRes );

goto CleanUp;

}

ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));

ea.grfAccessPermissions = SECTION_MAP_WRITE;

ea.grfAccessMode = GRANT_ACCESS;

ea.grfInheritance= NO_INHERITANCE;

ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;

ea.Trustee.TrusteeType = TRUSTEE_IS_USER;

ea.Trustee.ptstrName = "CURRENT_USER";

if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS)

{

printf( "SetEntriesInAcl %u\n", dwRes );

goto CleanUp;

}

if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS)

{

printf("SetSecurityInfo %u\n",dwRes);

goto CleanUp;

}

CleanUp:

if(pSD)

LocalFree(pSD);

if(pNewDacl)

LocalFree(pSD);

}

这段代码对给定HANDLE的对象增加了如下的ACE:

PhysicalMemory

Section

DACL -

Ace[ 0] - Grant - 0x2 - WEBCRAZY\Administrator

Inherit:

Access: 0x0002 //SECTION_MAP_WRITE

这样我们在有Administrator权限的条件下就有了对物理内存的读写能力。但若要修改GDT表实现Ring 0代码。我们将面临着另一个难题,因为sgdt指令获得的GDT地址是虚拟地址(线性地址),我们只有知道GDT表的物理地址后才能通过\Device\PhysicalMemory对象修改GDT表,这就牵涉到了线性地址转化成物理地址的问题。我们先来看一看Windows NT/2000是如何实现这个的:

kd> u nt!MmGetPhysicalAddress l 30

ntoskrnl!MmGetPhysicalAddress:

801374e0 56 push esi

801374e1 8b742408 mov esi,[esp+0x8]

801374e5 33d2 xor edx,edx

801374e7 81fe00000080 cmp esi,0x80000000

801374ed 722c jb ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)

801374ef 81fe000000a0 cmp esi,0xa0000000

801374f5 7324 jnb ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)

801374f7 39153ce71780 cmp [ntoskrnl!MmKseg2Frame (8017e73c)],edx

801374fd 741c jz ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)

801374ff 8bc6 mov eax,esi

80137501 c1e80c shr eax,0xc

80137504 25ffff0100 and eax,0x1ffff

80137509 6a0c push 0xc

8013750b 59 pop ecx

8013750c e8d3a7fcff call ntoskrnl!_allshl (80101ce4)

80137511 81e6ff0f0000 and esi,0xfff

80137517 03c6 add eax,esi

80137519 eb17 jmp ntoskrnl!MmGetPhysicalAddress+0x57 (80137532)

8013751b 8bc6 mov eax,esi

8013751d c1e80a shr eax,0xa

80137520 25fcff3f00 and eax,0x3ffffc

80137525 2d00000040 sub eax,0x40000000

8013752a 8b00 mov eax,[eax]

8013752c a801 test al,0x1

8013752e 7506 jnz ntoskrnl!MmGetPhysicalAddress+0x44 (80137536)

80137530 33c0 xor eax,eax

80137532 5e pop esi

80137533 c20400 ret 0x4

从这段汇编代码可看出如果线性地址在0x80000000与0xa0000000范围内,只是简单的进行移位操作(位于801374ff-80137519指令间),并未查页表。我想Microsoft这样安排肯定是出于执行效率的考虑。这也为我们指明了一线曙光,因为GDT表在Windows NT/2000中一般情况下均位于这个区域(我不知道/3GB开关的Windows NT/2000是不是这种情况)。

经过这样的分析,我们就可以只通过用户态程序修改GDT表了。而增加一个CallGate就不是我可以介绍的了,找本Intel手册自己看一看了。具体实现代码如下:

typedef struct gdtr {

short Limit;

short BaseLow;

short BaseHigh;

} Gdtr_t, *PGdtr_t;

ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress)

{

if(virtualaddress<0x80000000||virtualaddress>=0xA0000000)

return 0;

return virtualaddress&0x1FFFF000;

}

BOOL ExecRing0Proc(ULONG Entry,ULONG seglen)

{

Gdtr_t gdt;

__asm sgdt gdt;

ULONG mapAddr=MiniMmGetPhysicalAddress(gdt.BaseHigh<<16U|gdt.BaseLow);

if(!mapAddr) return 0;

HANDLE hSection=NULL;

NTSTATUS status;

OBJECT_ATTRIBUTES objectAttributes;

UNICODE_STRING objName;

CALLGATE_DESCRIPTOR *cg;

status = STATUS_SUCCESS;

RtlInitUnicodeString(&objName,L"\\Device\\PhysicalMemory");

InitializeObjectAttributes(&objectAttributes,

&objName,

OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,

NULL,

(PSECURITY_DESCRIPTOR) NULL);

status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttributes);

if(status == STATUS_ACCESS_DENIED){

status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&objectAttributes);

SetPhyscialMemorySectionCanBeWrited(hSection);

ZwClose(hSection);

status =ZwOpenSection(&hSection,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&objectAttributes);

}

if(status != STATUS_SUCCESS)

{

printf("Error Open PhysicalMemory Section Object,Status:%08X\n",status);

return 0;

}

PVOID BaseAddress;

BaseAddress=MapViewOfFile(hSection,

FILE_MAP_READ|FILE_MAP_WRITE,

0,

mapAddr, //low part

(gdt.Limit+1));

if(!BaseAddress)

{

printf("Error MapViewOfFile:");

PrintWin32Error(GetLastError());

return 0;

}

BOOL setcg=FALSE;

for(cg=(CALLGATE_DESCRIPTOR *)((ULONG)BaseAddress+(gdt.Limit&0xFFF8));(ULONG)cg>(ULONG)BaseAddress;cg--)

if(cg->type == 0){

cg->offset_0_15 = LOWORD(Entry);

cg->selector = 8;

cg->param_count = 0;

cg->some_bits = 0;

cg->type = 0xC; // 386 call gate

cg->app_system = 0; // A system descriptor

cg->dpl = 3; // Ring 3 code can call

cg->present = 1;

cg->offset_16_31 = HIWORD(Entry);

setcg=TRUE;

break;

}

if(!setcg){

ZwClose(hSection);

return 0;

}

short farcall[3];

farcall[2]=((short)((ULONG)cg-(ULONG)BaseAddress))|3; //Ring 3 callgate;

if(!VirtualLock((PVOID)Entry,seglen))

{

printf("Error VirtualLock:");

PrintWin32Error(GetLastError());

return 0;

}

SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_TIME_CRITICAL);

Sleep(0);

_asm call fword ptr [farcall]

SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_NORMAL);

VirtualUnlock((PVOID)Entry,seglen);

//Clear callgate

*(ULONG *)cg=0;

*((ULONG *)cg+1)=0;

ZwClose(hSection);

return TRUE;

}

我在提供的代码中演示了对Control Register与I/O端口的操作。CIH病毒在Windows 9X中就是因为获得Ring 0权限才有了一定的危害,但Windows NT/2000毕竟不是Windows 9X,她已经有了比较多的安全审核机制,本文提供的代码也要求具有Administrator权限,但如果系统存在某种漏洞,如缓冲区溢出等等,还是有可能获得这种权限的,所以我不对本文提供的方法负有任何的责任,所有讨论只是一个技术热爱者在讨论技术而已。谢谢!

参考资料:

1.Intel Corp<<Intel Architecture Software Developer's Manual,Volume 3>>

------------------------------------------------------------------------------------------------

文章来自:http://www.geocities.jp/webcrazyjp/ntring0.htm (这家伙竟用日本的域名)

作者:WebCrazy(http://webcrazy.yeah.net/)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有