[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10

发表于: 2020-4-11 20:51 23888

[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10

冰雄

2020-4-11 20:51

23888

X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10的使用，调用门是INTER的，只是系统限制不能用。我们学完内核完全可以无视系统的限制。后期会发更多干货。写个驱动安装调用门就留个大家了。网上都有X86，应该不难。。。。

打破网上一直说X64不能使用调用门，调用门的用处很隐蔽，可以无需使用系统API无视系统。R3直接可以与R0通信,当然还可以干任何事情。。只要程序有R0的权限。一切皆有可能。。。。。。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

X64调用门的使用提权到R0读取MSR演示和源代码.rar （503.48kb，647次下载）

收藏・64

免费・5

支持

最新回复 (46) 1 2 ▶
青丝梦雪币： 1423 活跃值： (2085) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 142 粉丝 19 关注私信	青丝梦 1 2 楼还是amd爽，我记得做当时做实验的话，查了资料，显示 intel x64调用门要比 amd x64复杂一点。 amd 的话如果我没记错的话，和x86调用没有太大区别， 2020-4-11 21:39 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 3 楼 X64调用门不算复杂。只是win7之后系统很多限制了，自己要处理。你懂原理就容易了 2020-4-11 21:51 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼有一个问题就是，频繁调用会导致三重故障，CPU直接重启这个三重故障可以在虚拟机里面看到日志，不知道楼主有没有遇到这个问题测试的时候，可以在代码调用call fword的地方加上for循环 2020-4-12 00:10 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 5 楼你代码截图看看。要注意处理gs问题 2020-4-12 09:05 0
wem 雪币： 515 活跃值： (3227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 6 楼收 2020-4-12 21:54 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 7 楼已收 2020-4-12 22:27 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 8 楼感谢分享期待后续帖子 2020-4-13 07:59 0
王cb 雪币： 11662 活跃值： (7139) 能力值： ( LV13，RANK：550 ) 在线值：发帖 38 回帖 136 粉丝 147 关注私信	王cb 11 9 楼我用vs2013编译,在win7运行进不了int3断点,直接appcrash,不知道什么原因 2020-4-13 08:59 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 10 楼切换了gs，并且确实是x64调用门而不是64位下的x86调用门，见代码：最后于 2020-4-13 16:29 被luskyc编辑，原因： 2020-4-13 10:02 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 11 楼王cb 我用vs2013编译,在win7运行进不了int3断点,直接appcrash,不知道什么原因直接用我的代码编译x64工程 2020-4-13 10:22 0
王cb 雪币： 11662 活跃值： (7139) 能力值： ( LV13，RANK：550 ) 在线值：发帖 38 回帖 136 粉丝 147 关注私信	王cb 11 12 楼代码里面里面InstallCallGate怎么调用的,通过什么触发 2020-4-14 09:52 0
fengyunabc 雪币： 3729 活跃值： (3852) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 13 楼感谢分享！ 2020-4-14 20:27 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 14 楼测试6次使用调用门并下断没问题。。虚拟机三重错。有可能是FS没处理好。。你截图调用前和调用后的堆栈、寄存器的变化。 2020-4-24 09:35 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 15 楼 @yy虫子yy 看到使用6次调用门没问题吗 2020-4-24 09:36 0
wowocock 雪币： 405 活跃值： (2210) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 16 楼首先要安装门，不管是任务门，调用门，中断门，陷进门，都必须要用驱动，然后现代CPU还要关闭SMEP，内核隔离下，更是各种坑到你怀疑人生。其次，都有驱动的，还要P的门。这玩意十几年前还有用，那时候至少R3 可以想办法操纵R0 内存，现在除了装B基本没用。OS自己都不用调用门了，效率太差。 2020-4-24 10:08 1
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 17 楼驱动安装调用门是要不走系统的api。不让系统监控阻拦。r3和r0直接通信。使用调用门效率是最高的。节省走系统各种调用流程。 2020-4-24 11:00 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 18 楼冰雄 @yy虫子yy 看到使用6次调用门没问题吗调用6次是没问题但调用次数多了，或偶尔6次就会触发三重错所以这就有点诡异，如果你一直没触发三重错，就增加调用次数，然后把代码放在R0 2020-4-24 12:16 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 19 楼其实实际也没有这种需求。有几次足够了。测多少次都不会问题的。关键是你有没有处理好各种寄存器和堆栈平衡 2020-4-24 12:23 0
脚本灬丨小子雪币： 207 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	脚本灬丨小子 20 楼 yy虫子yy 切换了gs， 并且确实是x64调用门而不是64位下的x86调用门，见代码：原来64位ring0内嵌汇编可以用这种方法，厉害，不过现在安装了intel的开发包，64位ring3可以__asm但ring0还得用你这种方法 2020-6-8 18:07 0
脚本灬丨小子雪币： 207 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	脚本灬丨小子 21 楼 @王cb 驱动安装最后于 2020-6-8 18:23 被脚本灬丨小子编辑，原因： 2020-6-8 18:22 0
脚本灬丨小子雪币： 207 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	脚本灬丨小子 22 楼 yy虫子yy 切换了gs， 并且确实是x64调用门而不是64位下的x86调用门，见代码：这个汇编代码里 db 48h是干嘛用的？调节栈吗？ 2020-6-8 18:33 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 23 楼脚本灬丨小子这个汇编代码里 db 48h是干嘛用的？调节栈吗？ 48h前缀表示64位操作数，66h代表16位不加前缀默认就是32位操作数 2020-7-3 02:07 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 24 楼 call fword和call far ptr 在x64环境下编译，都没法成功实现调用门 2020-10-12 10:17 0
~时光荏苒雪币： 5265 活跃值： (4743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 152 粉丝 5 关注私信	~时光荏苒 25 楼汇编代码编程这样运行后 r3程直接挂了,请问是什么情况 2020-12-13 14:12 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冰雄

发帖

224

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) 1 2 ▶
青丝梦雪币： 1423 活跃值： (2085) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 142 粉丝 19 关注私信	青丝梦 1 2 楼还是amd爽，我记得做当时做实验的话，查了资料，显示 intel x64调用门要比 amd x64复杂一点。 amd 的话如果我没记错的话，和x86调用没有太大区别， 2020-4-11 21:39 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 3 楼 X64调用门不算复杂。只是win7之后系统很多限制了，自己要处理。你懂原理就容易了 2020-4-11 21:51 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼有一个问题就是，频繁调用会导致三重故障，CPU直接重启这个三重故障可以在虚拟机里面看到日志，不知道楼主有没有遇到这个问题测试的时候，可以在代码调用call fword的地方加上for循环 2020-4-12 00:10 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 5 楼你代码截图看看。要注意处理gs问题 2020-4-12 09:05 0
wem 雪币： 515 活跃值： (3227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 6 楼收 2020-4-12 21:54 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 7 楼已收 2020-4-12 22:27 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 8 楼感谢分享期待后续帖子 2020-4-13 07:59 0
王cb 雪币： 11662 活跃值： (7139) 能力值： ( LV13，RANK：550 ) 在线值：发帖 38 回帖 136 粉丝 147 关注私信	王cb 11 9 楼我用vs2013编译,在win7运行进不了int3断点,直接appcrash,不知道什么原因 2020-4-13 08:59 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 10 楼切换了gs，并且确实是x64调用门而不是64位下的x86调用门，见代码：最后于 2020-4-13 16:29 被luskyc编辑，原因： 2020-4-13 10:02 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 11 楼王cb 我用vs2013编译,在win7运行进不了int3断点,直接appcrash,不知道什么原因直接用我的代码编译x64工程 2020-4-13 10:22 0
王cb 雪币： 11662 活跃值： (7139) 能力值： ( LV13，RANK：550 ) 在线值：发帖 38 回帖 136 粉丝 147 关注私信	王cb 11 12 楼代码里面里面InstallCallGate怎么调用的,通过什么触发 2020-4-14 09:52 0
fengyunabc 雪币： 3729 活跃值： (3852) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 13 楼感谢分享！ 2020-4-14 20:27 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 14 楼测试6次使用调用门并下断没问题。。虚拟机三重错。有可能是FS没处理好。。你截图调用前和调用后的堆栈、寄存器的变化。 2020-4-24 09:35 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 15 楼 @yy虫子yy 看到使用6次调用门没问题吗 2020-4-24 09:36 0
wowocock 雪币： 405 活跃值： (2210) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 16 楼首先要安装门，不管是任务门，调用门，中断门，陷进门，都必须要用驱动，然后现代CPU还要关闭SMEP，内核隔离下，更是各种坑到你怀疑人生。其次，都有驱动的，还要P的门。这玩意十几年前还有用，那时候至少R3 可以想办法操纵R0 内存，现在除了装B基本没用。OS自己都不用调用门了，效率太差。 2020-4-24 10:08 1
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 17 楼驱动安装调用门是要不走系统的api。不让系统监控阻拦。r3和r0直接通信。使用调用门效率是最高的。节省走系统各种调用流程。 2020-4-24 11:00 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 18 楼冰雄 @yy虫子yy 看到使用6次调用门没问题吗调用6次是没问题但调用次数多了，或偶尔6次就会触发三重错所以这就有点诡异，如果你一直没触发三重错，就增加调用次数，然后把代码放在R0 2020-4-24 12:16 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 19 楼其实实际也没有这种需求。有几次足够了。测多少次都不会问题的。关键是你有没有处理好各种寄存器和堆栈平衡 2020-4-24 12:23 0
脚本灬丨小子雪币： 207 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	脚本灬丨小子 20 楼 yy虫子yy 切换了gs， 并且确实是x64调用门而不是64位下的x86调用门，见代码：原来64位ring0内嵌汇编可以用这种方法，厉害，不过现在安装了intel的开发包，64位ring3可以__asm但ring0还得用你这种方法 2020-6-8 18:07 0
脚本灬丨小子雪币： 207 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	脚本灬丨小子 21 楼 @王cb 驱动安装最后于 2020-6-8 18:23 被脚本灬丨小子编辑，原因： 2020-6-8 18:22 0
脚本灬丨小子雪币： 207 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	脚本灬丨小子 22 楼 yy虫子yy 切换了gs， 并且确实是x64调用门而不是64位下的x86调用门，见代码：这个汇编代码里 db 48h是干嘛用的？调节栈吗？ 2020-6-8 18:33 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 23 楼脚本灬丨小子这个汇编代码里 db 48h是干嘛用的？调节栈吗？ 48h前缀表示64位操作数，66h代表16位不加前缀默认就是32位操作数 2020-7-3 02:07 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 24 楼 call fword和call far ptr 在x64环境下编译，都没法成功实现调用门 2020-10-12 10:17 0
~时光荏苒雪币： 5265 活跃值： (4743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 152 粉丝 5 关注私信	~时光荏苒 25 楼汇编代码编程这样运行后 r3程直接挂了,请问是什么情况 2020-12-13 14:12 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复