探索ring0之核心概述

broadviewbj發表於2011-07-11

探索ring0之核心概述

核心概述

Intel x86系列處理器使用“環”的概念來實施訪問控制,共有4個許可權級別,由高到低分別為Ring0Ring1Ring2Ring3,其中Ring0許可權最高,Ring3許可權最低。Windows(從NT開始)和Linux等多數作業系統在Intel x86處理器上只使用了Ring0Ring3,其中核心態對應著Ring0,使用者態對應著Ring3。兩個特權級足以實現作業系統的訪問控制,況且之前支援的有些硬體體系結構(比如Compaq AlphaSilicon Graphics MIPS)只實現了兩個特權級。本篇所討論的核心程式漏洞特指Ring0程式中的能被利用的bug或缺陷。

一般地,作業系統的核心程式、驅動程式等都是在Ring0級別上執行的。此外,很多安全軟體、遊戲軟體、工具軟體等第三方驅動程式,也會透過系統服務的方式在Ring0級別上執行。越來越多的病毒、木馬、後門、惡意軟體也有自己的驅動程式,想方設法的進入Ring0,以求提高自身的執行許可權,與安全軟體進行對抗。

時至今日,Ring0上執行的程式已經不再是單純的系統核心,核心漏洞也不再是作業系統專屬的問題,而是很多安全軟體、遊戲軟體、工具軟體等軟體廠商共同需要面對的問題。

隨著作業系統和安全軟體的日益完善,在普通溢位漏洞難以奏效的情況下,容易被人忽略的核心漏洞往往可以作為突破安全防線的切入點。如果病毒木馬載入了驅動或進入了Ring0,是否還能夠實施有效的防禦呢?這是一個很有趣的問題,因為對抗的雙方都處在系統最高許可權,我們稱之為“核心PK”,也許這種PK能成為今後的一個研究熱點。

研究核心漏洞,需要首先掌握一些核心基礎知識,例如核心驅動程式的開發、編譯和執行,核心中重要的資料結構等,後面幾節將對這些內容做簡單的介紹。

 

 探索ring0之核心概述

本文節選自《0day安全:軟體漏洞分析技術(第2版)》一書。

圖書詳細資訊: http://space.itpub.net/?uid-13164110-action-viewspace-itemid-701890

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/13164110/viewspace-701891/,如需轉載,請註明出處,否則將追究法律責任。

相關文章