其原理是使用开源的 Microsoft Detours 库对 Windows NT 内核的文件和注册表相关的系统调用进行 Inline Hook 以传入选项让开发者基本不用修改自己的实现也能充分的利用管理员权限所提供的特权,这也使得开发者只需要把 NSudo 恶魔模式的动态链接库加载入自己的以管理员身份运行的应用进程的地址空间内即可启用 NSudo 恶魔模式。
首先说明一点,那就是 Windows 内核当发现调用者上下文为 SYSTEM 令牌的时候,据 Microsoft 文档描述是为了提升 Windows 的性能会自动忽略掉大部分访问检查,毕竟很多 Windows 系统关键组件运行在 SYSTEM 令牌上下文下面,对于 Windows 用户模式而言,SYSTEM 令牌是至高无上的,所以访问检查没必要做,做了也提升不了安全性反而降低效率。所以这也是为什么除了 SYSTEM 令牌上下文外的其他令牌都需要启用相关特权 + 创建文件和注册表句柄的 API 传入对应选项才能忽略掉相关访问检查。
我用一个最简单的例子来说明减少不需要的内核级访问检查的好处,那就是在 Windows AppContainer 下运行的代码,由于会多出一个额外的内核级访问检查(用 IDA 分析 ntoskrnl.exe,然后用 F5 查看相关函数可以发现,其实就是多出了一个分支和寥寥数行实现),大概会比在 AppContainer 外运行会损失 15% 的性能 (这也可以说明越底层的实现越需要重视性能问题)。Windows AppContainer 是 Windows 8 开始提供的用户模式沙盒,主要用在商店应用和浏览器的沙盒上面。
Windows 的大部分内部使用了创建文件和注册表句柄的 API 并没有传入对应的选项,于是就出现了普通管理员下即使开启了这两个特权有些目录照样还是无法进行增删查改。而 NSudo 恶魔模式通过 Inline Hook 对 Windows 用户模式的系统调用层进行挂钩以智能传入相关选项,这也是 NSudo 恶魔模式能在非 SYSTEM 的但拥有这两个特权的令牌上下文下绕过文件和注册表访问判断的缘由。
Windows 用户模式系统调用层指的是 ntdll.dll 导出的前缀为 Nt 或 Zw 的 API,Windows 用户模式下的 API 最终全会调用这部分以通过软中断陷阱门或者系统调用指令进入内核模式完成最终操作。
智能,指的是只有当前进程令牌上下文能够启用
SeBackupPrivilege 和 SeRestorePrivilege 的时候,才会传入对应选项。毕竟如果这两个特权没有开启的话,传入了相关选项是会返回错误的,这也是为什么 Windows 相关实现并没有传入的原因。
当然 NSudo 恶魔模式为了对调用者更加透明和符合最小权限原则,在初始化的时候首先会创建一份当前进程令牌的模拟令牌副本,然后对该副本开启这两个特权。在 Hook 中,会先备份当前线程上下文的令牌,接着替换成模拟令牌副本(或者用 Microsoft 文档的称法是模拟令牌上下文),传入相关选项调用原 API 后再恢复为原来线程上下文的令牌。(实现细节请参考在 NSudo 代码仓库的 NSudo 恶魔模式的源代码)