[原创]浅谈NT下Ring3无驱进入Ring0的方法,该如何处理

[原创]浅谈NT下Ring3无驱进入Ring0的方法
[原创]浅谈NT下Ring3无驱进入Ring0的方法
关键字:NT,Ring0,无驱

(测试环境:Windows   2000   SP4,Windows   XP   SP2.
Windows   2003   未测试)

在NT下无驱进入Ring0是一个老生常谈的方法了，网上也有一些C代码
的例子，我之所以用汇编重写是因为上次在

[原创/探讨]Windows   核心编程研究系列之一(改变进程   PTE)

的帖子中自己没有实验成功(其实已经成功了，只是自己太马虎，
竟然还不知道   -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。
鉴于这些都是可以作为基本功来了解的知识点,所以对此已经熟悉的朋友
就可以略过不看了，当然由于本人水平有限，各位前来“挑挑刺”也是非
常欢迎的，呵呵。

        下面言归正传，我们知道在NT中进入Ring0的一般方法是通过
驱动，我的Windows   核心编程研究系列   文章前两篇都使用了
这个方法进入Ring0   完成特定功能。现在我们还可以通过在Ring3
下直接写物理内存的方法来进入Ring0，其主要步骤是:


0以写权限打开物理内存对象；
1取得   系统   GDT   地址，并转换成物理地址；
2构造一个调用门；
3寻找   GDT   中空闲的位置，将   CallGate   植入；
4Call植入的调用门。


前面已打通主要关节，现在进一步看看细节问题:

      [零]默认只有   System   用户有写物理内存的权限  
              administrators   组的用户只有读的权限，但
              是通过修改用户安全对象中的DACL   可以增加写的权限:

_SetPhyMemDACLsprocuses   ebx   edi   esi   \
_hPhymem:HANDLE,\
_ptusrname:dword
local@dwret:dword
local@htoken:HANDLE
local@hprocess:HANDLE
local@个
local@OldDACLs:PACL
local@SecurityDescriptor:PSECURITY_DESCRIPTOR
local@Access:EXPLICIT_ACCESS

mov@dwret,FALSE

invokeRtlZeroMemory,addr   @NewDACLs,sizeof   @NewDACLs
invokeRtlZeroMemory,addr   @SecurityDescriptor,\
sizeof@SecurityDescriptor

invokeGetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
DACL_SECURITY_INFORMATION,NULL,NULL,\
addr   @OldDACLs,NULL,\
addr   @SecurityDescriptor

.ifeax   !=   ERROR_SUCCESS
jmpSAFE_RET
.endif

invokeRtlZeroMemory,addr   @Access,sizeof   @Access

mov@Access.grfAccessPermissions,SECTION_ALL_ACCESS
mov@Access.grfAccessMode,GRANT_ACCESS
mov@Access.grfInheritance,NO_INHERITANCE
mov@Access.stTRUSTEE.MultipleTrusteeOperation,\
NO_MULTIPLE_TRUSTEE
mov@Access.stTRUSTEE.TrusteeForm,TRUSTEE_IS_NAME
mov@Access.stTRUSTEE.TrusteeType,TRUSTEE_IS_USER
push_ptusrname
pop@Access.stTRUSTEE.ptstrName

invokeGetCurrentProcess
mov@hprocess,eax
invokeOpenProcessToken,@hprocess,TOKEN_ALL_ACCESS,\
addr   @htoken

invokeSetEntriesInAcl,1,addr   @Access,\
@OldDACLs,addr   @NewDACLs

.ifeax   !=   ERROR_SUCCESS
jmpSAFE_RET
.endif

invokeSetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
DACL_SECURITY_INFORMATION,NULL,NULL,\
@NewDACLs,NULL

.ifeax   !=   ERROR_SUCCESS
jmpSAFE_RET
.endif

mov@dwret,TRUE

SAFE_RET:

.if@NewDACLs   !=   NULL
invokeLocalFree,@NewDACLs
mov@NewDACLs,NULL
.endif

.if@SecurityDescriptor   !=   NULL
invokeLocalFree,@SecurityDescriptor
mov@SecurityDescriptor,NULL
.endif

moveax,@dwret
ret

_SetPhyMemDACLsendp

[一]   可以在Ring3下使用SGDT指令取得系统GDT表的虚拟地址，
这条指令没有被Intel设计成特权0级的指令。据我的
观察，在   Windows   2000   SP4   中   GDT   表的基址都是相同的，
而且在   虚拟机VMware   5.5   虚拟的   Windows   2000   SP4中
执行   SGDT   指令后返回的是错误的结果，在虚拟的   Windows   XP  
中也有同样情况，可能是虚拟机的问题，大家如果有条件可以试一下:

local@stGE:GDT_ENTRY

mov@dwret,FALSE

leaesi,@stGE
sgdtfword   ptr   [esi]

assumeesi:ptr   GDT_ENTRY

;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
;在   VMware   虚拟环境下用以下两条指令替代
;只用于   Windows   2000   SP4
;mov[esi].Base,80036000h
;mov[esi].Limit,03ffh
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

moveax,[esi].Base
invoke@GetPhymemLite,eax
.ifeax   ==   FALSE
jmpquit
.endif

下面就是虚拟地址转换物理地址了，这在Ring0中很简单，
直接调用MmGetPhysicalAddress   即可，但在Ring3中要
另想办法，还好系统直接将   0x80000000   –   0xa0000000   影射
到物理0地址开始的位置，所以可以写一个轻量级的
GetPhysicalAddress来替代   :)

@GetPhymemLiteprocuses   esi   edi   ebx_vaddr
local@dwret:dword

mov@dwret,FALSE

.if_vaddr   <   80000000h
jmpquit
.endif

.if_vaddr   > =   0a0000000h
jmpquit
.endif

moveax,_vaddr
andeax,01ffff000h;or   sub   eax,80000000h
mov@dwret,eax
quit:
moveax,@dwret
ret

@GetPhymemLiteendp

[二]调用门在保护模式中可以看成是低特权级代码向高特权级代
码转换的一种实现机制，如图1所示（由于本人较懒,所以借用李
彦昌先生所著的80x86保护模式系列教程   中的部分截图，希望李
先生看到后不要见怪   ^-^）:
 
图1
要说明的是调用门也可以完成相同特权级的转换。一般门的结构如
图2所示:

门描述符m+7m+6m+5m+4m+3m+2m+1m+0
Offset(31...16)AttributesSelectorOffset(15...0)


门描述
符属性Byte   m+5Byte   m+4
BIT7BIT6BIT5BIT4BIT3BIT2BIT1BIT0BIT7BIT6BIT5BIT4BIT3BIT2BIT1BIT0
PDPLDT0TYPE000Dword   Count

图2
简单的介绍一下各个主要位置的含义：
Offset   和   Selector   共同组成目的地址的48位全指针，这意味
着，如果远CALL指令指向一个调用门，则CALL指令中的偏移被丢弃；
P位置位代表门有效，DPL是门描述符的特权级，后面要设置成3，
以便在Ring3中可以访问。TYPE   是门的类型，386调用门是   0xC   ,
Dword   Count   是系统要拷贝的双字参数的个数，后面也将
用到。下面是设置CallGate的代码:

moveax,_FucAddr
mov@CallGate.OffsetL,ax;Low   Part   Addr   Of   FucAddr
mov@CallGate.Selector,8h;Ring0   Code   Segment
mov@CallGate.DCount,1;1   Dword
mov@CallGate.GType,AT386CGate;Must   A   CallGate

shreax,16
mov@CallGate.OffsetH,ax;Low   Part   Addr   Of   FucAddr


[三]既然可以读些物理内存了，也知道了GDT的物理基地址和
长度，所以可以通过将GDT整个读出，然后寻找一块空闲的区域来
植入前面设置好的CallGate：

;申请一片空间，以便存放读出的GDT
  InvokeVirtualAlloc,NULL,@tmpGDTLimit,MEM_COMMIT,\
PAGE_READWRITE
.ifeax   ==   NULL
jmpquit
.endif

mov@pmem,eax
invoke@ReadPhymem,@tmpGDTPhyBase,@pmem,@tmpGDTLimit,\
_hmem

.ifeax   ==   FALSE
jmpquit
.endif

movesi,@pmem
movebx,@tmpGDTLimit
shrebx,3
;找到第一个GDT描述符中P位没有置位的地址。
movecx,1
.whileecx   <   ebx
moval,byte   ptr   [esi+ecx*8+5]
btax,7
.ifCARRY?

.else
jmplop0
.endif
Incecx
.endw

invokeVirtualFree,@pmem,0,MEM_RELEASE
jmpquit

lop0:
leaeax,[ecx*8]
mov@OffsetGatePos,eax
add@PhyGatePos,eax

movesi,@pmem
addesi,eax

invokeRtlMoveMemory,addr   oldgatebuf,esi,8

;释放内存空间
invokeVirtualFree,@pmem,0,MEM_RELEASE

[四]   现在主要工作基本完成了，剩下的就是设计一个运行在
Ring0中的子函数，在这个子函数中我将调用Ring0里面真正的MmGetPhysicalAddress来取得实际的物理地址，所以这个函数
要有一个输入参数用来传递要转换的虚拟地址，并且还要考虑

到如何获取返回的物理地址(EDX:EAX)。在网络上的C版本代码
中，这是通过定义几个全局变量来传递的，因为没有发生进程
切换，所以可以使用原进程中的一些变量。然而我在传递虚拟
地址上采用了另一种做法，就是通过实际形参来传递的:

Ring0Fucproc;_vaddr

;手动保存
pushebp
movebp,esp
subesp,4
moveax,[ebp+0ch]
mov[ebp-4],eax;first   local   val
pushad
pushfd
cli

moveax,[ebp-4]
;调用真正的   MmGetPhysicalAddress.
invokeMmGetPhysicalAddress,eax
movphymem_L,eax
movphymem_H,edx

popfd
popad
;手动还原
movesp,ebp
popebp
retf4

Ring0Fucendp

最后，通过一个远CALL来调用这个调用门：

leaedi,FarAddr
push_vaddr
callfword   ptr   [edi]


通过亲手编码，可以对调用门、远调用等一些80386+保护模式
中的概念在windows的实现中有了进一步的了解，不再像以前那
样模棱两可了。看似全部写完了，其实中间还有很多可以挖掘出
来扩展说的细节，但我现在已没有精力写了…（   :(   ）,还要准备
其他东西，结尾就用这个不是结尾的结尾,结尾吧（绕口令?）。:)

(完整的带图版本请到我的blog:
          http://blog.csdn.net/mydo/   观赏，谢谢）


                                                                              侯佩|hopy
2006.01.14   17:09   (机场)办公室



[解决办法]
忘了说我的邮箱是 softbiao@163.com ,谢谢哈
[解决办法]
佩服
不过提一句：GDT/IDT中的base可能是虚拟地址