Windows NT/2000下不用驅動的Ring0程式碼實現
Windows NT/2000下不用驅動的Ring0程式碼實現
WebCrazy(http://webcrazy.yeah.net/)
大家知道,Windows NT/2000為實現其可靠性,嚴格將系統劃分為核心模式與使用者模式,在i386系統中分別對應CPU的Ring0與Ring3級別。Ring0下,可以執行特權級指令,對任何I/O裝置都有訪問權等等。要實現從使用者態進入核心態,即從Ring 3進入Ring 0必須藉助CPU的某種門機制,如中斷門、呼叫門等。而Windows NT/2000提供使用者態執行系統服務(Ring 0例程)的此類機制即System Service的int 2eh中斷服務等,嚴格的引數檢查,只能嚴格的執行Windows NT/2000提供的服務,而如果想執行使用者提供的Ring 0程式碼(指執行在Ring 0許可權的程式碼),常規方法似乎只有編寫裝置驅動程式。本文將介紹一種在使用者態不借助任何驅動程式執行Ring0程式碼的方法。
Windows NT/2000將裝置驅動程式調入核心區域(常見的位於地址0x80000000上),由DPL為0的GDT項8,即cs為8時實現Ring 0許可權。本文透過在系統中構造一個指向我們的程式碼的呼叫門(CallGate),實現Ring0程式碼。基於這個思路,為實現這個目的主要是構造自己的CallGate。CallGate由系統中叫Global Descriptor Table(GDT)的全域性表指定。GDT地址可由i386指令sgdt獲得(sgdt不是特權級指令,普通Ring
3程式均可執行)。GDT地址在Windows NT/2000儲存於KPCR(Processor Control Region)結構中(見《再談Windows NT/2000環境切換》)。GDT中的CallGate是如下的格式:
typedef struct
{
unsigned short offset_0_15;
unsigned short selector;
unsigned char param_count : 4;
unsigned char some_bits : 4;
unsigned char type : 4;
unsigned char app_system : 1;
unsigned char dpl : 2;
unsigned char present : 1;
unsigned short offset_16_31;
} CALLGATE_DESCRIPTOR;
GDT位於核心區域,一般使用者態的程式是不可能對這段記憶體區域有直接的訪問權。幸運的是Windows NT/2000提供了一個叫PhysicalMemory的Section核心物件位於\Device的路徑下。顧名思義,透過這個Section物件可以對實體記憶體進行操作。用objdir.exe對這個物件分析如下:
C:\NTDDK\bin>objdir /D \Device
PhysicalMemory
Section
DACL -
Ace[ 0] - Grant - 0xf001f - NT AUTHORITY\SYSTEM
Inherit:
Access: 0x001F and ( D RCtl WOwn WDacl )
Ace[ 1] - Grant - 0x2000d - BUILTIN\Administrators
Inherit:
Access: 0x000D and ( RCtl )
從dump出的這個物件DACL的Ace可以看出預設情況下只有SYSTEM使用者才有對這個物件的讀寫許可權,即對實體記憶體有讀寫能力,而Administrator只有讀許可權,普通使用者根本就沒有許可權。不過如果我們有Administrator許可權就可以透過GetSecurityInfo、SetEntriesInAcl與SetSecurityInfo這些API來修改這個物件的ACE。這也是我提供的程式碼需要Administrator的原因。實現的程式碼如下:
VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)
{
PACL pDacl=NULL;
PACL pNewDacl=NULL;
PSECURITY_DESCRIPTOR pSD=NULL;
DWORD dwRes;
EXPLICIT_ACCESS ea;
if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,
NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS)
{
printf( "GetSecurityInfo Error %u\n", dwRes );
goto CleanUp;
}
ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
ea.grfAccessPermissions = SECTION_MAP_WRITE;
ea.grfAccessMode = GRANT_ACCESS;
ea.grfInheritance= NO_INHERITANCE;
ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;
ea.Trustee.TrusteeType = TRUSTEE_IS_USER;
ea.Trustee.ptstrName = "CURRENT_USER";
if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS)
{
printf( "SetEntriesInAcl %u\n", dwRes );
goto CleanUp;
}
if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS)
{
printf("SetSecurityInfo %u\n",dwRes);
goto CleanUp;
}
CleanUp:
if(pSD)
LocalFree(pSD);
if(pNewDacl)
LocalFree(pSD);
}
這段程式碼對給定HANDLE的物件增加了如下的ACE:
PhysicalMemory
Section
DACL -
Ace[ 0] - Grant - 0x2 - WEBCRAZY\Administrator
Inherit:
Access: 0x0002 //SECTION_MAP_WRITE
這樣我們在有Administrator許可權的條件下就有了對實體記憶體的讀寫能力。但若要修改GDT表實現Ring 0程式碼。我們將面臨著另一個難題,因為sgdt指令獲得的GDT地址是虛擬地址(線性地址),我們只有知道GDT表的實體地址後才能透過\Device\PhysicalMemory物件修改GDT表,這就牽涉到了線性地址轉化成實體地址的問題。我們先來看一看Windows NT/2000是如何實現這個的:
kd> u nt!MmGetPhysicalAddress l 30
ntoskrnl!MmGetPhysicalAddress:
801374e0 56 push esi
801374e1 8b742408 mov esi,[esp+0x8]
801374e5 33d2 xor edx,edx
801374e7 81fe00000080 cmp esi,0x80000000
801374ed 722c jb ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
801374ef 81fe000000a0 cmp esi,0xa0000000
801374f5 7324 jnb ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
801374f7 39153ce71780 cmp [ntoskrnl!MmKseg2Frame (8017e73c)],edx
801374fd 741c jz ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
801374ff 8bc6 mov eax,esi
80137501 c1e80c shr eax,0xc
80137504 25ffff0100 and eax,0x1ffff
80137509 6a0c push 0xc
8013750b 59 pop ecx
8013750c e8d3a7fcff call ntoskrnl!_allshl (80101ce4)
80137511 81e6ff0f0000 and esi,0xfff
80137517 03c6 add eax,esi
80137519 eb17 jmp ntoskrnl!MmGetPhysicalAddress+0x57 (80137532)
8013751b 8bc6 mov eax,esi
8013751d c1e80a shr eax,0xa
80137520 25fcff3f00 and eax,0x3ffffc
80137525 2d00000040 sub eax,0x40000000
8013752a 8b00 mov eax,[eax]
8013752c a801 test al,0x1
8013752e 7506 jnz ntoskrnl!MmGetPhysicalAddress+0x44 (80137536)
80137530 33c0 xor eax,eax
80137532 5e pop esi
80137533 c20400 ret 0x4
從這段彙編程式碼可看出如果線性地址在0x80000000與0xa0000000範圍內,只是簡單的進行移位操作(位於801374ff-80137519指令間),並未查頁表。我想Microsoft這樣安排肯定是出於執行效率的考慮。這也為我們指明瞭一線曙光,因為GDT表在Windows NT/2000中一般情況下均位於這個區域(我不知道/3GB開關的Windows NT/2000是不是這種情況)。
經過這樣的分析,我們就可以只透過使用者態程式修改GDT表了。而增加一個CallGate就不是我可以介紹的了,找本Intel手冊自己看一看了。具體實現程式碼如下:
typedef struct gdtr {
short Limit;
short BaseLow;
short BaseHigh;
} Gdtr_t, *PGdtr_t;
ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress)
{
if(virtualaddress<0x80000000||virtualaddress>=0xA0000000)
return 0;
return virtualaddress&0x1FFFF000;
}
BOOL ExecRing0Proc(ULONG Entry,ULONG seglen)
{
Gdtr_t gdt;
__asm sgdt gdt;
ULONG mapAddr=MiniMmGetPhysicalAddress(gdt.BaseHigh<<16U|gdt.BaseLow);
if(!mapAddr) return 0;
HANDLE hSection=NULL;
NTSTATUS status;
OBJECT_ATTRIBUTES objectAttributes;
UNICODE_STRING objName;
CALLGATE_DESCRIPTOR *cg;
status = STATUS_SUCCESS;
RtlInitUnicodeString(&objName,L"\\Device\\PhysicalMemory");
InitializeObjectAttributes(&objectAttributes,
&objName,
OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
NULL,
(PSECURITY_DESCRIPTOR) NULL);
status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttributes);
if(status == STATUS_ACCESS_DENIED){
status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&objectAttributes);
SetPhyscialMemorySectionCanBeWrited(hSection);
ZwClose(hSection);
status =ZwOpenSection(&hSection,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&objectAttributes);
}
if(status != STATUS_SUCCESS)
{
printf("Error Open PhysicalMemory Section Object,Status:%08X\n",status);
return 0;
}
PVOID BaseAddress;
BaseAddress=MapViewOfFile(hSection,
FILE_MAP_READ|FILE_MAP_WRITE,
0,
mapAddr, //low part
(gdt.Limit+1));
if(!BaseAddress)
{
printf("Error MapViewOfFile:");
PrintWin32Error(GetLastError());
return 0;
}
BOOL setcg=FALSE;
for(cg=(CALLGATE_DESCRIPTOR *)((ULONG)BaseAddress+(gdt.Limit&0xFFF8));(ULONG)cg>(ULONG)BaseAddress;cg--)
if(cg->type == 0){
cg->offset_0_15 = LOWORD(Entry);
cg->selector = 8;
cg->param_count = 0;
cg->some_bits = 0;
cg->type = 0xC; // 386 call gate
cg->app_system = 0; // A system descriptor
cg->dpl = 3; // Ring 3 code can call
cg->present = 1;
cg->offset_16_31 = HIWORD(Entry);
setcg=TRUE;
break;
}
if(!setcg){
ZwClose(hSection);
return 0;
}
short farcall[3];
farcall[2]=((short)((ULONG)cg-(ULONG)BaseAddress))|3; //Ring 3 callgate;
if(!VirtualLock((PVOID)Entry,seglen))
{
printf("Error VirtualLock:");
PrintWin32Error(GetLastError());
return 0;
}
SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_TIME_CRITICAL);
Sleep(0);
_asm call fword ptr [farcall]
SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_NORMAL);
VirtualUnlock((PVOID)Entry,seglen);
//Clear callgate
*(ULONG *)cg=0;
*((ULONG *)cg+1)=0;
ZwClose(hSection);
return TRUE;
}
我在提供的程式碼中演示了對Control Register與I/O埠的操作。CIH病毒在Windows 9X中就是因為獲得Ring 0許可權才有了一定的危害,但Windows NT/2000畢竟不是Windows 9X,她已經有了比較多的安全稽核機制,本文提供的程式碼也要求具有Administrator許可權,但如果系統存在某種漏洞,如緩衝區溢位等等,還是有可能獲得這種許可權的,所以我不對本文提供的方法負有任何的責任,所有討論只是一個技術熱愛者在討論技術而已。謝謝!
參考資料:
1.Intel Corp<<Intel Architecture Software
Developer's Manual,Volume 3>>
相關文章
- 在Windows NT/2000下實現"軟"RAID的方法(轉)2007-08-11WindowsAI
- 在NT/2000下實現關機! (轉)2007-12-04
- DeviceDriver Windows NT 驅動程式型別 (轉載) (轉)2007-12-29devWindows型別
- Windows NT 裝置驅動程式開發基礎(1) (轉)2007-12-12Windows
- Windows NT 裝置驅動程式開發基礎(3) (轉)2007-12-12Windows
- Windows NT 裝置驅動程式開發基礎(2) (轉)2007-12-12Windows
- Windows NT 裝置驅動程式開發基礎(4) (轉)2007-12-12Windows
- Windows NT 裝置驅動程式開發基礎(5) (轉)2007-12-12Windows
- Windows NT 裝置驅動程式開發基礎(7) (轉)2007-12-12Windows
- Windows NT 裝置驅動程式開發基礎(6) (轉)2007-12-12Windows
- Windows NT 裝置驅動程式開發基礎(8) (轉)2007-12-12Windows
- Cloning An Oracle Database on Windows NT/20002009-03-05OracleDatabaseWindows
- 編寫驅動攔截NT的API實現隱藏檔案目錄 (轉)2007-08-17API
- 載入NT驅動的類 C++2020-04-05C++
- Windows驅動程式框架2013-08-09Windows框架
- 【系統安全003】NT驅動框架2020-12-13框架
- Windows 7 安裝 N卡驅動,出現錯誤程式碼 522024-09-02Windows
- WINDOWS NT2011-08-08Windows
- Windows如何實現登陸系統不用輸入密碼2017-08-23Windows密碼
- 用低程式碼驅動IT現代化2022-08-11
- Windows NT 核心2015-01-07Windows
- 編寫軟體動態載入NT式驅動2013-07-24
- Windows2000原始碼下載 (轉)2007-12-03Windows原始碼
- Windows 2000下的Raw Socket程式設計 (轉)2007-12-12Windows程式設計
- 以下為Windows NT 下的32 位C++程式,請計算sizeof 的值2020-10-02WindowsC++
- 你現在不用寫程式碼了吧?2019-08-03
- 有容雲:容器驅動的PaaS平臺實現方案(下)2016-07-01
- PostgreSQL中利用驅動程式實現故障轉移2024-07-03SQL
- Windows核心驅動學習(六)程式碼注入與核心掛鉤2020-11-17Windows
- 終於可以一行程式碼也不用改了!ShardingSphere 原生驅動問世2022-07-06行程
- raid驅動不用插軟盤的方法(轉)2007-08-11AI
- 關於windows下安裝mysql的驅動,及安裝完驅動找不到ODBC驅動的解決辦法2017-07-16WindowsMySql
- Windows NT 是什麼?2015-06-18Windows
- :after實現的清除浮動程式碼2017-04-09
- 巧用NT Loader實現多作業系統啟動 (轉)2007-12-03作業系統
- Windows NT安全性理論與實踐 (轉)2007-12-07Windows
- 虛擬裝置驅動程式的設計與實現 (轉)2008-05-19
- 使用WebDriverManager實現自動獲取瀏覽器驅動程式2022-05-11Web瀏覽器