[转载]Windows NT/2000/XP下不用驱动的Ring0代码实现

Windows NT/2000/XP下不用驱动的Ring0代码实现      
            WebCrazy(http://webcrazy.yeah.net/

    大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中断服务等,严格的参数检查,只能严格的执行Windows NT/2000提供的服务,而如果想执行用户提供的Ring 0代码(指运行在Ring 0权限的代码),常规方法似乎只有编写设备驱动程序。本文将介绍一种在用户态不借助任何驱动程序执行Ring0代码的方法。

    Windows NT/2000将设备驱动程序调入内核区域(常见的位于地址0x80000000上),由DPL为0的GDT项8,即cs为8时实现Ring 0权限。本文通过在系统中构造一个指向我们的代码的调用门(CallGate),实现Ring0代码。基于这个思路,为实现这个目的主要是构造自己的CallGate。CallGate由系统中叫Global Descriptor Table(GDT)的全局表指定。GDT地址可由i386指令sgdt获得(sgdt不是特权级指令,普通Ring 3程序均可执行)。GDT地址在Windows NT/2000保存于KPCR(Processor Control Region)结构中(见《再谈Windows NT/2000环境切换》)。GDT中的CallGate是如下的格式:

    typedef struct
    { 
        unsigned short  offset_0_15;
        unsigned short  selector;

        unsigned char    param_count : 4;
        unsigned char    some_bits   : 4;

        unsigned char    type        : 4;
        unsigned char    app_system  : 1;
        unsigned char    dpl         : 2;
        unsigned char    present     : 1;
    
        unsigned short  offset_16_31;
     } CALLGATE_DESCRIPTOR;
    GDT位于内核区域,一般用户态的程序是不可能对这段内存区域有直接的访问权。幸运的是Windows NT/2000提供了一个叫PhysicalMemory的Section内核对象位于\Device的路径下。顾名思义,通过这个Section对象可以对物理内存进行操作。用objdir.exe对这个对象分析如下:

    C:\NTDDK\bin>objdir /D \Device

    PhysicalMemory                   
        Section
        DACL - 
           Ace[ 0] - Grant - 0xf001f - NT AUTHORITY\SYSTEM
                             Inherit: 
                             Access: 0x001F  and  ( D RCtl WOwn WDacl )

           Ace[ 1] - Grant - 0x2000d - BUILTIN\Administrators
                             Inherit: 
                             Access: 0x000D  and  ( RCtl )
   从dump出的这个对象DACL的Ace可以看出默认情况下只有SYSTEM用户才有对这个对象的读写权限,即对物理内存有读写能力,而Administrator只有读权限,普通用户根本就没有权限。不过如果我们有Administrator权限就可以通过GetSecurityInfo、SetEntriesInAcl与SetSecurityInfo这些API来修改这个对象的ACE。这也是我提供的代码需要Administrator的原因。实现的代码如下:

   VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)
    { 

       PACL pDacl=NULL;
       PACL pNewDacl=NULL;
       PSECURITY_DESCRIPTOR pSD=NULL;
       DWORD dwRes;
       EXPLICIT_ACCESS ea;

       if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,
                  NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS)
          { 
             printf( "GetSecurityInfo Error %u\n", dwRes );
             goto CleanUp;
           }

       ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
       ea.grfAccessPermissions = SECTION_MAP_WRITE;
       ea.grfAccessMode = GRANT_ACCESS;
       ea.grfInheritance= NO_INHERITANCE;
       ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;
       ea.Trustee.TrusteeType = TRUSTEE_IS_USER;
       ea.Trustee.ptstrName = "CURRENT_USER";


       if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS)
          { 
             printf( "SetEntriesInAcl %u\n", dwRes );
             goto CleanUp;
           }

       if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS)
          { 
             printf("SetSecurityInfo %u\n",dwRes);
             goto CleanUp;
           }

    CleanUp:

       if(pSD)
          LocalFree(pSD);
       if(pNewDacl)
          LocalFree(pSD);
     }

    这段代码对给定HANDLE的对象增加了如下的ACE: 

    PhysicalMemory                   
        Section
        DACL - 
           Ace[ 0] - Grant - 0x2 - WEBCRAZY\Administrator
                             Inherit: 
                             Access: 0x0002    //SECTION_MAP_WRITE

   这样我们在有Administrator权限的条件下就有了对物理内存的读写能力。但若要修改GDT表实现Ring 0代码。我们将面临着另一个难题,因为sgdt指令获得的GDT地址是虚拟地址(线性地址),我们只有知道GDT表的物理地址后才能通过\Device\PhysicalMemory对象修改GDT表,这就牵涉到了线性地址转化成物理地址的问题。我们先来看一看Windows NT/2000是如何实现这个的:

    kd> u nt!MmGetPhysicalAddress l 30
    ntoskrnl!MmGetPhysicalAddress:
    801374e0 56               push    esi
    801374e1 8b742408         mov     esi,[esp+0x8]
    801374e5 33d2             xor     edx,edx
    801374e7 81fe00000080     cmp     esi,0x80000000
    801374ed 722c             jb    ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
    801374ef 81fe000000a0     cmp     esi,0xa0000000
    801374f5 7324             jnb   ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
    801374f7 39153ce71780     cmp     [ntoskrnl!MmKseg2Frame (8017e73c)],edx
    801374fd 741c             jz    ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
    801374ff 8bc6             mov     eax,esi
    80137501 c1e80c           shr     eax,0xc
    80137504 25ffff0100       and     eax,0x1ffff
    80137509 6a0c             push    0xc
    8013750b 59               pop     ecx
    8013750c e8d3a7fcff       call    ntoskrnl!_allshl (80101ce4)
    80137511 81e6ff0f0000     and     esi,0xfff
    80137517 03c6             add     eax,esi
    80137519 eb17             jmp   ntoskrnl!MmGetPhysicalAddress+0x57 (80137532)
    8013751b 8bc6             mov     eax,esi
    8013751d c1e80a           shr     eax,0xa
    80137520 25fcff3f00       and     eax,0x3ffffc
    80137525 2d00000040       sub     eax,0x40000000
    8013752a 8b00             mov     eax,[eax]
    8013752c a801             test    al,0x1
    8013752e 7506             jnz   ntoskrnl!MmGetPhysicalAddress+0x44 (80137536)
    80137530 33c0             xor     eax,eax
    80137532 5e               pop     esi
    80137533 c20400           ret     0x4


    从这段汇编代码可看出如果线性地址在0x80000000与0xa0000000范围内,只是简单的进行移位操作(位于801374ff-80137519指令间),并未查页表。我想Microsoft这样安排肯定是出于执行效率的考虑。这也为我们指明了一线曙光,因为GDT表在Windows NT/2000中一般情况下均位于这个区域(我不知道/3GB开关的Windows NT/2000是不是这种情况)。

    经过这样的分析,我们就可以只通过用户态程序修改GDT表了。而增加一个CallGate就不是我可以介绍的了,找本Intel手册自己看一看了。具体实现代码如下:

    typedef struct gdtr { 
        short Limit;
        short BaseLow;
        short BaseHigh;
     } Gdtr_t, *PGdtr_t;

    ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress)
    { 
        if(virtualaddress<0x80000000||virtualaddress>=0xA0000000)
           return 0;
        return virtualaddress&0x1FFFF000;
     }

    BOOL ExecRing0Proc(ULONG Entry,ULONG seglen)
    { 
       Gdtr_t gdt;
       __asm sgdt gdt;
     
       ULONG mapAddr=MiniMmGetPhysicalAddress(gdt.BaseHigh<<16U|gdt.BaseLow);
       if(!mapAddr) return 0;

       HANDLE   hSection=NULL;
       NTSTATUS status;
       OBJECT_ATTRIBUTES        objectAttributes;
       UNICODE_STRING objName;
       CALLGATE_DESCRIPTOR *cg;

       status = STATUS_SUCCESS;
   
       RtlInitUnicodeString(&objName,L"\\Device\\PhysicalMemory");

       InitializeObjectAttributes(&objectAttributes,
                                  &objName,
                                  OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
                                  NULL,
                                 (PSECURITY_DESCRIPTOR) NULL);

       status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttributes);

       if(status == STATUS_ACCESS_DENIED){ 
          status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&objectAttributes);
          SetPhyscialMemorySectionCanBeWrited(hSection);
          ZwClose(hSection);
          status =ZwOpenSection(&hSection,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&objectAttributes);
        }

       if(status != STATUS_SUCCESS)
         { 
            printf("Error Open PhysicalMemory Section Object,Status:%08X\n",status);
            return 0;
          }
      
       PVOID BaseAddress;

       BaseAddress=MapViewOfFile(hSection,
                     FILE_MAP_READ|FILE_MAP_WRITE,
                     0,
                     mapAddr,    //low part
                     (gdt.Limit+1));

       if(!BaseAddress)
          { 
             printf("Error MapViewOfFile:");
             PrintWin32Error(GetLastError());
             return 0;
           }

       BOOL setcg=FALSE;

       for(cg=(CALLGATE_DESCRIPTOR *)((ULONG)BaseAddress+(gdt.Limit&0xFFF8));(ULONG)cg>(ULONG)BaseAddress;cg--)
           if(cg->type == 0){ 
             cg->offset_0_15 = LOWORD(Entry);
             cg->selector = 8;
             cg->param_count = 0;
             cg->some_bits = 0;
             cg->type = 0xC;          // 386 call gate
             cg->app_system = 0;      // A system descriptor
             cg->dpl = 3;             // Ring 3 code can call
             cg->present = 1;
             cg->offset_16_31 = HIWORD(Entry);
             setcg=TRUE;
             break;
           }

       if(!setcg){ 
            ZwClose(hSection);
            return 0;
        }

       short farcall[3];

       farcall[2]=((short)((ULONG)cg-(ULONG)BaseAddress))|3;  //Ring 3 callgate;

       if(!VirtualLock((PVOID)Entry,seglen))
          { 
             printf("Error VirtualLock:");
             PrintWin32Error(GetLastError());
             return 0;
           }

       SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_TIME_CRITICAL);

       Sleep(0);

       _asm call fword ptr [farcall]

       SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_NORMAL);

       VirtualUnlock((PVOID)Entry,seglen);

       //Clear callgate
       *(ULONG *)cg=0;
       *((ULONG *)cg+1)=0;

       ZwClose(hSection);
       return TRUE;

     }



    我在提供的代码中演示了对Control Register与I/O端口的操作。CIH病毒在Windows 9X中就是因为获得Ring 0权限才有了一定的危害,但Windows NT/2000毕竟不是Windows 9X,她已经有了比较多的安全审核机制,本文提供的代码也要求具有Administrator权限,但如果系统存在某种漏洞,如缓冲区溢出等等,还是有可能获得这种权限的,所以我不对本文提供的方法负有任何的责任,所有讨论只是一个技术热爱者在讨论技术而已。谢谢! 

    参考资料:
      1.Intel Corp<<Intel Architecture Software Developer's Manual,Volume 3>> 

时间: 2024-11-10 07:33:57

[转载]Windows NT/2000/XP下不用驱动的Ring0代码实现的相关文章

NT/2000下不用驱动的Ring0代码实现

大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别.Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等.要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门.调用门等.而Windows NT/2000提供用户态执行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中断服务等,严格的参数检查,只能严格的执行Wi

使用CreateFile, ReadFile, WriteFile在Windows NT/2000/XP下读写绝对扇区的方法

也就是在CreateFile的时候打开文件名指定: "\\.\Device"就可以了. 因为代码比较短, 所以我不做注释, 相信大家看代码就能明白意思了. 另外这里读写的都是软盘A盘第0扇区, 如果想读写其他的扇区, 那么可以使用API SetFilePointer. 读扇区的方法(下面的代码演示从A盘的第0扇区读出数据, 写入到文件BOOT.BIN中): #include <windows.h> #include <assert.h> #include <

开发Windows 2000/XP下的防火墙

开发Windows 2000/XP下的防火墙-windowsxp防火墙">介绍 如果你决定开发LINUX下的防火墙,你会找到很多免费的信息与源代码.但如果开发WINDOWS平台下的防火墙会有点困难,找到相关信息与代码都简直是不可能的任务. 因此我决定写这篇文章介绍在WINDOWS 2000/XP下开发防火墙的简单方法. 背景 在WINDOWS 2000 DDK中,微软包含了称为Filter-Hook Driver的新型网络驱动.你可以使用它来过滤所有进出接口的数据. 因为关于此的文档很少并

在Windows NT/2000下实现软RAID的方法

RAID(Redundant Array of Inexpensive Disks)意思是廉价磁盘冗余阵列,它是一种容错方法,通过将大量磁盘在逻辑上串联起来提供高水平的可用性和冗余度.众所周知,硬件RAID解决方案是有效的方法,但其成本却非常高-- Windows NT/2000提供了内嵌的软件RAID,实现了RAID0.RAID1.RAID5.由于可以节省可观的资金,因而众多中小企业大多可以采用软件的方法来实现. NT Server支持RAID1(磁盘镜像)和RAID5(带校验的Stripe

WINDOWS NT/2000下如何屏蔽CTRL+ALT+DEL

本文配套源码 前言 在WINDOWS 9X环境中我们可以使用SystemParametersInfo (SPI_SCREENSAVERRUNNING, 1,NULL, 0);来屏蔽CTRL+ALT+DEL,但在NT/2000环境下却行不通,即使使用WH_KEYBOARD_LL这个低级的键盘hook也无法拦截!笔者通过替换GINA DLL的方式很好地实现了在NT/2000下屏蔽CTRL+ALT+DEL的功能. 一.原理 在NT/2000中交互式的登陆支持是由WinLogon调用GINA DLL实现

在Windows NT 4.0下安装ActivePerl

active|perl|window 版本:1.0作者:何志强(hhzqq@sina.com)时间:2000.03.16 本文只讨论如何在Windows NT 4.0下安装ActivePerl.本文使用的环境: Windows NT 4.0 Option Pack 4.0 SP5 ActivePerl 522(APi522e.exe)一.软件下载    http://www.activestate.com/ActivePerl/download.htm二.软件安装 1.双击APi522e.exe

为何Windows XP下卸载驱动重启后又恢复

近日,对一上网本进行了系统的安装,使用无线网络一直处于正在连接的状态,查看了官方的说法后,发现安装的无线网卡的驱动版本是有问题的,就想到要卸载现在的驱动,安装最新的驱动,在卸载后再次重启后,又被自动安装回了原来的驱动. 结果查询了一些资料,发现是因为这个目录(C:\Windows\System32\DRVSTORE)下有刚才卸载了的旧的网卡驱动存在,在重启后windows的驱动安装程序会自动到此目录中找到"自认为是对的"驱动进行安装,所以导致重启后还是安装的原驱动. 解决办法是:把C:

Windows 2000/XP 下巧拒强行关机的方法_其它相关

从去年8月到现在,冲击波和震荡波让无数人的爱机无数次重启,折腾得要命.当然现在有了补丁,有了专杀工具,它们的威力已大大减弱.但还是常有一些人遭受它们的毒害,由于重启不得不关闭看得正好的电影,中止运行处于关键阶段的程序,因而丢失重要的数据,让人痛恨不已!那么能不能阻止由冲击波和震荡波引起的强制重启,先做完重要的工作,然后再去收拾这两个家伙呢? 为找到答案,我们有必要先了解一下WINDOWS XP的关机.Windows XP系统通过一个名为Shutdown.exe的程序来完成关机操作(位置在Wind

在Windows NT 4.0下安装Apache+Servlet+JSP

apache|js|servlet|window 版本:1.0作者:何志强(hhzqq@sina.com)时间:2000.03.16 本文只讨论如何在Windows NT 4.0上安装Apache+Servlet+JSP.本文中的配置情况如下: Windows NT 4.0 jdk1_2_2-001-win.exe apache_1_3_12_win32.exe ApacheModuleJServ.dll tomcat.zip(3.0)一.软件下载 JDK http://java.sun.com