-
-
[原创][有码]键盘过滤中关于IOAPIC重定位表的学习笔记
-
发表于: 2011-6-10 18:09
-
技术原理:
IOAPIC是可以用于多个核心CPU的新型中断控制器,可以通过编程来对其控制,可以理解为可编程硬件。根据《寒江独钓》的说明,目前不管是单核还是双核都拥有IOAPIC机制。
对于IOAPIC的简单处理过程,我的理解如下(如果有错误,请路过的大牛一定要指正啊!!):
其中,上面用黄色笔做了标记的就是这个技术的核心。
因为硬中断IRQ最终都会交给中断处理程序进行,而Windows会根据中断向量号来转移到相应的中断处理程序。因此,就必然存在IRQ与中断向量号的映射关系。其实,Windows在初始化系统服务的时候就在IOAPIC中描述好这种映射关系了,注意我在上面画的图中,橙色标注的部分。
所以,整个技术的核心就修改在IOAPIC中,已经填写好的中断向量号。这样也就要求我们事先应该在IDT中插入一个中断门。
如何访问IOAPIC:
IOAPIC是通过读写其一系列的寄存器来实现编程控制的。根据《寒江独钓》提供的关于IOAPIC的Intel手册资料来看,要访问IOAPIC,不能直接使用它的内部寄存器,而是要通过2个内存映射寄存器来访问一个是IOREGSEL,一个是IOWIN。其中Intel手册的说明如下:
这两个内存映射寄存器的描述如下:
按照手册的说明是寄存器,但实际上是两个物理内存地址,而且是制定了格式的了,就是FEC0XY00H和FEC0XY10H,其中X,Y是自定义值,也指定了取值范围,就是X = 0-FH,Y = 0,4,8,CH。根据《寒江独钓》里的说明,Windows已经规定了,IOREGSEL:FEC00000H;IOWIN:FEC00010H。
因为这里谈的都是真正的物理地址,是不能够直接访问的,在Windows下访问则需要对物理地址进行一个映射(实际上就是添加一个页表项来描述这个映射关系),在wdk中提供了一个这样的映射函数:
PVOID
MmMapIoSpace(
IN PHYSICAL_ADDRESS PhysicalAddress,
IN SIZE_T NumberOfBytes,
IN MEMORY_CACHING_TYPE CacheType
);
经过映射后,我们就可以对其进行操作了。
首先是IOREGSEL映射寄存器。这个寄存器的作用是:让你指定要访问哪一个IOAPIC的内部寄存器。可以指定的内部寄存器有:
IOREGSEL映射寄存器的描述符如下:
可以看出只有低8位是有效位(在编程时候要注意的)。这里根据Intel手册的说明是,指定的是内部寄存器对应的地址偏移,为了方便理解,我们可以理解为编号,就是指定每个寄存器对应的编号。
第二个是IOWIN映射寄存器。这个寄存器的作用的作用是:显示IOREGSEL指定的内部寄存器的内容,你可以读取或修改IOWIN这个映射寄存器的值,然后映射机制会修改真正的IOAPIC内部寄存器的值。
IOAPIC的各内部寄存器对应的描述如下(一下资料均来自intel手册):
IOAPICVER—IOAPIC VERSION REGISTER:
IOAPICVER—IOAPIC VERSION REGISTER:
IOAPICARB—IOAPIC ARBITRATION REGISTER:
IOREDTBL[23:0]—I/O REDIRECTION TABLE REGISTERS:
这就是重定向表,每个IRQ与中断向量号的映射关系就记录在里面的0~7这个位段,这个表是一个数组,24项,也就说明了为什么在《寒江独钓》中说是有24个可编程的IRQ。
每个IRQ描述项都是8个字节,64位,描述如下(其实无必要,只是作为资料):
所以,我们要做的就是将0~7这个位段修改成我们的预先插入的中断处理的向量号。
参考了上面资料后就开始编程:
一些数据结构的定义:
首先在IDT中插入一个中断处理(插入一个中断门),并返回一个所在的中断向量号:
然后就是修改IOAPIC的重定位表:
编写一个总的调用函数:
编写一个动态卸载时候的UNHOOK函数:
写一点东西不容易啊,筋疲力尽了,希望对大家有那么一丁点的帮助!!
IOAPIC是可以用于多个核心CPU的新型中断控制器,可以通过编程来对其控制,可以理解为可编程硬件。根据《寒江独钓》的说明,目前不管是单核还是双核都拥有IOAPIC机制。
对于IOAPIC的简单处理过程,我的理解如下(如果有错误,请路过的大牛一定要指正啊!!):
其中,上面用黄色笔做了标记的就是这个技术的核心。
因为硬中断IRQ最终都会交给中断处理程序进行,而Windows会根据中断向量号来转移到相应的中断处理程序。因此,就必然存在IRQ与中断向量号的映射关系。其实,Windows在初始化系统服务的时候就在IOAPIC中描述好这种映射关系了,注意我在上面画的图中,橙色标注的部分。
所以,整个技术的核心就修改在IOAPIC中,已经填写好的中断向量号。这样也就要求我们事先应该在IDT中插入一个中断门。
如何访问IOAPIC:
IOAPIC是通过读写其一系列的寄存器来实现编程控制的。根据《寒江独钓》提供的关于IOAPIC的Intel手册资料来看,要访问IOAPIC,不能直接使用它的内部寄存器,而是要通过2个内存映射寄存器来访问一个是IOREGSEL,一个是IOWIN。其中Intel手册的说明如下:
这两个内存映射寄存器的描述如下:
按照手册的说明是寄存器,但实际上是两个物理内存地址,而且是制定了格式的了,就是FEC0XY00H和FEC0XY10H,其中X,Y是自定义值,也指定了取值范围,就是X = 0-FH,Y = 0,4,8,CH。根据《寒江独钓》里的说明,Windows已经规定了,IOREGSEL:FEC00000H;IOWIN:FEC00010H。
因为这里谈的都是真正的物理地址,是不能够直接访问的,在Windows下访问则需要对物理地址进行一个映射(实际上就是添加一个页表项来描述这个映射关系),在wdk中提供了一个这样的映射函数:
PVOID
MmMapIoSpace(
IN PHYSICAL_ADDRESS PhysicalAddress,
IN SIZE_T NumberOfBytes,
IN MEMORY_CACHING_TYPE CacheType
);
经过映射后,我们就可以对其进行操作了。
首先是IOREGSEL映射寄存器。这个寄存器的作用是:让你指定要访问哪一个IOAPIC的内部寄存器。可以指定的内部寄存器有:
IOREGSEL映射寄存器的描述符如下:
可以看出只有低8位是有效位(在编程时候要注意的)。这里根据Intel手册的说明是,指定的是内部寄存器对应的地址偏移,为了方便理解,我们可以理解为编号,就是指定每个寄存器对应的编号。
第二个是IOWIN映射寄存器。这个寄存器的作用的作用是:显示IOREGSEL指定的内部寄存器的内容,你可以读取或修改IOWIN这个映射寄存器的值,然后映射机制会修改真正的IOAPIC内部寄存器的值。
IOAPIC的各内部寄存器对应的描述如下(一下资料均来自intel手册):
IOAPICVER—IOAPIC VERSION REGISTER:
IOAPICVER—IOAPIC VERSION REGISTER:
IOAPICARB—IOAPIC ARBITRATION REGISTER:
IOREDTBL[23:0]—I/O REDIRECTION TABLE REGISTERS:
这就是重定向表,每个IRQ与中断向量号的映射关系就记录在里面的0~7这个位段,这个表是一个数组,24项,也就说明了为什么在《寒江独钓》中说是有24个可编程的IRQ。
每个IRQ描述项都是8个字节,64位,描述如下(其实无必要,只是作为资料):
所以,我们要做的就是将0~7这个位段修改成我们的预先插入的中断处理的向量号。
参考了上面资料后就开始编程:
一些数据结构的定义:
#define IOAPIC_REGSEL_PHYSICAL_ADDRESS 0xfec00000
#define IOAPIC_WIN_PHYSICAL_ADDRESS \
IOAPIC_REGSEL_PHYSICAL_ADDRESS + 0x10
[COLOR="SeaGreen"]//根据中断描述表来定义个中断门的结构[/COLOR]
typedef struct _INTGATE
{
USHORT OffsetLow;
USHORT Selector;
UCHAR Reserved; [COLOR="SeaGreen"]//这个与是保留值,需要设置成NULL[/COLOR]
UCHAR Attributes;
USHORT OffsetHigh;
}INTGATE,*PINTGATE;首先在IDT中插入一个中断处理(插入一个中断门),并返回一个所在的中断向量号:
NTSTATUS
InsertNewInterruptRoutine(PVOID pNewRoutine,PULONG pulInterruptVectorNumber)
{
NTSTATUS ReturnStatus;
ULONG ulInterruptVectorNumber;
PVOID pInterruptTableAddress;
PINTGATE pstNewIntGate;
[COLOR="SeaGreen"]//检测参数的合法性[/COLOR]
if(!MmIsAddressValid(pNewRoutine))
return STATUS_INVALID_PARAMETER;
[COLOR="SeaGreen"]//获取idt表的地址[/COLOR]
ReturnStatus = GetIdtServiceTableAddress(&pInterruptTableAddress);
if(!NT_SUCCESS(ReturnStatus))
return ReturnStatus;
[COLOR="SeaGreen"]//枚举idt表[/COLOR]
for(ulInterruptVectorNumber=1;ulInterruptVectorNumber<INT_VECTOR_MAX_COUNT+1;ulInterruptVectorNumber++)
{
[COLOR="SeaGreen"]//判断中断门是否已经存在[/COLOR]
if(!IsInterruptVectorExisted(pInterruptTableAddress,ulInterruptVectorNumber))
break;
}
if(ulInterruptVectorNumber > INT_VECTOR_MAX_COUNT)
return STATUS_UNSUCCESSFUL;
[COLOR="SeaGreen"]//保存中断向量号[/COLOR]
*pulInterruptVectorNumber = ulInterruptVectorNumber;
[COLOR="SeaGreen"]//填写中断门结构[/COLOR]
pstNewIntGate = &((PINTGATE)pInterruptTableAddress)[ulInterruptVectorNumber];
pstNewIntGate->Reserved = NULL;
pstNewIntGate->Selector = 8; [COLOR="SeaGreen"]//在内核中的段选择子[/COLOR]
pstNewIntGate->Attributes = 0x80 | 0x08 | 0x06;
pstNewIntGate->OffsetLow = (USHORT)pNewRoutine;
pstNewIntGate->OffsetHigh = (USHORT)((ULONG)pNewRoutine >> sizeof(USHORT)*8);
return STATUS_SUCCESS;
}
BOOLEAN [COLOR="SeaGreen"]//判断中断门是否存在[/COLOR]
IsInterruptVectorExisted(PVOID pIdtAddress,ULONG ulInterruptVectorNumber)
{
PINTGATE pstIntGate;
[COLOR="YellowGreen"][COLOR="SeaGreen"]//检测idt地址是否有效[/COLOR][/COLOR]
if(!MmIsAddressValid(pIdtAddress))
return STATUS_INVALID_PARAMETER;
pstIntGate = &((PINTGATE)pIdtAddress)[ulInterruptVectorNumber];
[COLOR="SeaGreen"]//判断中断门的P位,也就是判断该调用们是否有效[/COLOR]
if(pstIntGate->Attributes & 0x80)
return TRUE;
return FALSE;
}
[COLOR="SeaGreen"]//获取IDT表的地址[/COLOR]
NTSTATUS
GetIdtServiceTableAddress(PVOID pIdtServiceTableAddressPointer)
{
USHORT wSelectorAndOffset[3];
ULONG ulUshortSize;
ulUshortSize = sizeof(USHORT);
__asm
{
pushad;
pushfd;
sidt [wSelectorAndOffset];
lea esi,dword ptr [wSelectorAndOffset];
add esi,[ulUshortSize]; [COLOR="SeaGreen"]//将指针移到段内偏移值上[/COLOR]
mov ebx,[pIdtServiceTableAddressPointer];
mov eax,dword ptr [esi];
mov dword ptr [ebx],eax;
popfd;
popad;
}
if(!(*(PULONG)pIdtServiceTableAddressPointer)) [COLOR="SeaGreen"]//如果获取失败的话,就返回不成功[/COLOR]
return STATUS_UNSUCCESSFUL;
return STATUS_SUCCESS;
}然后就是修改IOAPIC的重定位表:
NTSTATUS
ChangeInterruptVectorNumber(ULONG ulIrqVectorNumber,ULONG ulNewNumber,PULONG pulPerviousNumber)
{
PHYSICAL_ADDRESS TempPhysicalAddress;
PUCHAR pIoRegSelAddress;
PULONG pIoWinAddress;
[COLOR="SeaGreen"]//检查指针地址是否合法[/COLOR]
if(!MmIsAddressValid(pulPerviousNumber))
return STATUS_INVALID_PARAMETER;
RtlZeroMemory(&TempPhysicalAddress,sizeof(TempPhysicalAddress));
TempPhysicalAddress.LowPart = IOAPIC_REGSEL_PHYSICAL_ADDRESS;
pIoRegSelAddress = (PUCHAR)MmMapIoSpace(TempPhysicalAddress,0x10+sizeof(ULONG),MmNonCached);
[COLOR="SeaGreen"]//如果映射失败的话,就返回[/COLOR]
if(!MmIsAddressValid(pIoRegSelAddress))
return STATUS_UNSUCCESSFUL
pIoWinAddress = (PULONG)(pIoRegSelAddress + 0x10); [COLOR="SeaGreen"]//IOWIN的映射地址[/COLOR]
[COLOR="SeaGreen"]//指定获取IRQ1的项,参考intel手册[/COLOR]
*pIoRegSelAddress = 0x10 + (UCHAR)ulIrqVectorNumber * sizeof(UCHAR)*2;
[COLOR="SeaGreen"]//保存原来的向量号[/COLOR]
__asm
{
mov eax,[pIoWinAddress];
movzx eax,byte ptr [eax];
push eax;
mov eax,[pulPerviousNumber];
pop dword ptr [eax];
}
[COLOR="SeaGreen"]//设置新的中断向量号[/COLOR]
__asm
{
mov eax,[pIoWinAddress];
mov ecx,[ulNewNumber];
mov byte ptr [eax],cl;
}
[COLOR="SeaGreen"]//解除地址映射[/COLOR]
MmUnmapIoSpace(pIoRegSelAddress,0x10+sizeof(ULONG));
return STATUS_SUCCESS;
}编写一个总的调用函数:
NTSTATUS
HookIOAPIC(
ULONG ulIrqVectorNumber,
PVOID pNewRoutine,
PULONG pulNewInterruptVectorNumber,
PULONG pulPerviousVectorNumber
)
{
NTSTATUS ReturnStatus;
ReturnStatus = InsertNewInterruptRoutine(pNewRoutine,pulNewInterruptVectorNumber);
if(NT_SUCCESS(ReturnStatus))
{
ReturnStatus = ChangeInterruptVectorNumber(ulIrqVectorNumber,*pulNewInterruptVectorNumber,pulPerviousVectorNumber);
if(!NT_SUCCESS(ReturnStatus)) DeleteInterruptRoutine(*pulNewInterruptVectorNumber);
}
return ReturnStatus;
}编写一个动态卸载时候的UNHOOK函数:
NTSTATUS
UnHookIOAPIC(ULONG ulIrqVectorNumber,ULONG ulCurrentInterruptVectorNumber,ULONG ulOldInterruptVectorNumber)
{
NTSTATUS ReturnStatus;
ULONG ulTempNumber;
ReturnStatus = ChangeInterruptVectorNumber(ulIrqVectorNumber,ulOldInterruptVectorNumber,&ulTempNumber);
if(NT_SUCCESS(ReturnStatus))
{
ReturnStatus = DeleteInterruptRoutine(ulCurrentInterruptVectorNumber);
}
return ReturnStatus;
}
NTSTATUS [COLOR="SeaGreen"]//删除中断门[/COLOR]
DeleteInterruptRoutine(ULONG ulInterruptVectorNumber)
{
NTSTATUS ReturnStatus;
PVOID pInterruptTableAddress;
PINTGATE pstIntGate;
[COLOR="SeaGreen"]//获取idt表的地址[/COLOR]
ReturnStatus = GetIdtServiceTableAddress(&pInterruptTableAddress);
if(!NT_SUCCESS(ReturnStatus))
return ReturnStatus;
pstIntGate = & ((PINTGATE)pInterruptTableAddress)[ulInterruptVectorNumber];
if(!MmIsAddressValid(pstIntGate))
return STATUS_INVALID_PARAMETER;
RtlZeroMemory(pstIntGate,sizeof(INTGATE));
pstIntGate->Selector = 8;
return STATUS_SUCCESS;
}写一点东西不容易啊,筋疲力尽了,希望对大家有那么一丁点的帮助!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
虽然现在还没接触,但以后就说不定啦,谢谢楼主啦,收藏个
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
