• 当前位置:首页>>C++语言>>C++硬件底层驱动>>NT/2000下不用驱动的Ring0代码实现
  • NT/2000下不用驱动的Ring0代码实现
  • 大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中断服务等,严格的参数检查,只能严格的执行Windows NT/2000提供的服务,而如果想执行用户提供的Ring 0代码(指运行在Ring 0权限的代码),常规方法似乎只有编写设备驱动程序。本文将介绍一种在用户态不借助任何驱动程序执行Ring0代码的方法。

    Windows NT/2000将设备驱动程序调入内核区域(常见的位于地址0x80000000上),由DPL为0的GDT项8,即cs为8时实现Ring 0权限。本文通过在系统中构造一个指向我们的代码的调用门(CallGate),实现Ring0代码。基于这个思路,为实现这个目的主要是构造自己的CallGate。CallGate由系统中叫Global Descriptor Table(GDT)的全局表指定。GDT地址可由i386指令sgdt获得(sgdt不是特权级指令,普通Ring 3程序均可执行)。GDT地址在Windows NT/2000保存于KPCR(Processor Control Region)结构中(见《再谈Windows NT/2000环境切换》)。GDT中的CallGate是如下的格式:

    typedef struct
    {
    unsigned short offset_0_15;
    unsigned short selector;

    unsigned char param_count : 4;
    unsigned char some_bits : 4;

    unsigned char type : 4;
    unsigned char app_system : 1;
    unsigned char dpl : 2;
    unsigned char present : 1;

    unsigned short offset_16_31;
    } CALLGATE_DESCRIPTOR;

    GDT位于内核区域,一般用户态的程序是不可能对这段内存区域有直接的访问权。幸运的是Windows NT/2000提供了一个叫PhysicalMemory的Section内核对象位于\Device的路径下。顾名思义,通过这个Section对象可以对物理内存进行操作。用objdir.exe对这个对象分析如下:

    C:\NTDDK\bin>objdir /D \Device

    PhysicalMemory
    Section
    DACL -
    Ace[ 0] - Grant - 0xf001f - NT AUTHOR99vY\SYSTEM
    Inherit:
    Access: 0x001F and ( D RCtl WOwn WDacl )

    Ace[ 1] - Grant - 0x2000d - BUILTIN\Administrators
    Inherit:
    Access: 0x000D and ( RCtl )

    从dump出的这个对象DACL的Ace可以看出默认情况下只有SYSTEM用户才有对这个对象的读写权限,即对物理内存有读写能力,而Administrator只有读权限,普通用户根本就没有权限。不过如果我们有Administrator权限就可以通过GetSecurityInfo、SetEntriesInAcl与SetSecurityInfo这些API来修改这个对象的ACE。这也是我提供的代码需要Administrator的原因。实现的代码如下:

    VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)
    {

    PACL pDacl=NULL;
    PACL pNewDacl=NULL;
    PSECUR99vY_DESCRIPTOR pSD=NULL;
    DWORD dwRes;
    EXPLIC99v_ACCESS ea;

    if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECUR99vY_INFORMATION,
    NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS)
    {
    printf( "GetSecurityInfo Error %u\n", dwRes );
    goto CleanUp;
    }

    ZeroMemory(&ea, sizeof(EXPLIC99v_ACCESS));
    ea.grfAccessPermissions = SECTION_MAP_WR99vE;
    ea.grfAccessMode = GRANT_ACCESS;
    ea.grfInheritance= NO_INHER99vANCE;
    ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;
    ea.Trustee.TrusteeType = TRUSTEE_IS_USER;
    ea.Trustee.ptstrName = "CURRENT_USER";


    if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS)
    {
    printf( "SetEntriesInAcl %u\n", dwRes );
    goto CleanUp;
    }

    if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECUR99vY_INFORMATION,
    NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS)
    {
    printf("SetSecurityInfo %u\n",dwRes);
    goto CleanUp;
    }

    CleanUp:

    if(pSD)
    LocalFree(pSD);
    if(pNewDacl)
    LocalFree(pSD);
    }

    这段代码对给定HANDLE的对象增加了如下的ACE:

    PhysicalMemory
    Section
    DACL -
    Ace[ 0] - Grant - 0x2 - WEBCRAZY\Administrator
    Inherit:
    Access: 0x0002 //SECTION_MAP_WR99vE

    这样我们在有Administrator权限的条件下就有了对物理内存的读写能力。但若要修改GDT表实现Ring 0代码。我们将面临着另一个难题,因为sgdt指令获得的GDT地址是虚拟地址(线性地址),我们只有知道GDT表的物理地址后才能通过\Device\PhysicalMemory对象修改GDT表,这就牵涉到了线性地址转化成物理地址的问题。我们先来看一看Windows NT/2000是如何实现这个的:

    kd> u nt!MmGetPhysicalAddress l 30
    ntoskrnl!MmGetPhysicalAddress:
    801374e0 56 push esi
    801374e1 8b742408 mov esi,[esp+0x8

    [1] [2] [3] 下一页  

  • 上一篇:C++语言的VxD与外界通信的所有接口
    下一篇:罗云彬VxD教程--虚拟8086模式的内存管理