[原创]浅谈NT下Ring3无驱进入Ring0的方法
关键字:NT,Ring0,无驱

(测试环境:Windows 2000 SP4,Windows XP SP2.
Windows 2003 未测试)

在NT下无驱进入Ring0是一个老生常谈的方法了，网上也有一些C代码的例
子，我之所以用汇编重写是因为上次在

[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)

的帖子中自己没有实验成功(其实已经成功了，只是自己太马虎，竟然还不
知道 -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。鉴于这些都是
可以作为基本功来了解的知识点,所以对此已经熟悉的朋友就可以略过不看
了，当然由于本人水平有限，各位前来“挑挑刺”也是非常欢迎的，呵呵。

        下面言归正传，我们知道在NT中进入Ring0的一般方法是通过
驱动，我的Windows 核心编程研究系列 文章前两篇都使用了
这个方法进入Ring0 完成特定功能。现在我们还可以通过在Ring3下直接写
物理内存的方法来进入Ring0，其主要步骤是:

0        以写权限打开物理内存对象；
1        取得 系统 GDT 地址，并转换成物理地址；
2        构造一个调用门；
3        寻找 GDT 中空闲的位置，将 CallGate 植入；
4        Call植入的调用门。

前面已打通主要关节，现在进一步看看细节问题:
[零]        默认只有 System 用户有写物理内存的权限
administrators 组的用户只有读的权限，但是通过修改用户
安全对象中的DACL 可以增加写的权限:

_SetPhyMemDACLs        proc        uses ebx edi esi \
                                _hPhymem:HANDLE,\
                                _ptusrname:dword
       
           local        @dwret:dword
        local        @htoken:HANDLE
        local        @hprocess:HANDLE
        local        @个
        local        @OldDACLs:PACL
        local        @SecurityDescriptor:PSECURITY_DESCRIPTOR
        local        @Access:EXPLICIT_ACCESS

        mov                @dwret,FALSE
               
        invoke        RtlZeroMemory,addr @NewDACLs,sizeof @NewDACLs
                        invoke        RtlZeroMemory,addr @SecurityDescriptor,\
                        sizeof        @SecurityDescriptor

        invoke        GetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
                        DACL_SECURITY_INFORMATION,NULL,NULL,\
                        addr @OldDACLs,NULL,\
                        addr @SecurityDescriptor

        .if        eax != ERROR_SUCCESS
                        jmp        SAFE_RET
        .endif

        invoke        RtlZeroMemory,addr @Access,sizeof @Access

        mov                @Access.grfAccessPermissions,SECTION_ALL_ACCESS
        mov                @Access.grfAccessMode,GRANT_ACCESS
        mov                @Access.grfInheritance,NO_INHERITANCE
        mov                @Access.stTRUSTEE.MultipleTrusteeOperation,\
                        NO_MULTIPLE_TRUSTEE
        mov                @Access.stTRUSTEE.TrusteeForm,TRUSTEE_IS_NAME
        mov                @Access.stTRUSTEE.TrusteeType,TRUSTEE_IS_USER
        push        _ptusrname
        pop                @Access.stTRUSTEE.ptstrName

        invoke        GetCurrentProcess
        mov                @hprocess,eax
        invoke        OpenProcessToken,@hprocess,TOKEN_ALL_ACCESS,\
                        addr @htoken

        invoke        SetEntriesInAcl,1,addr @Access,\
                        @OldDACLs,addr @NewDACLs
       
        .if        eax != ERROR_SUCCESS
                        jmp        SAFE_RET
        .endif

        invoke        SetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
                        DACL_SECURITY_INFORMATION,NULL,NULL,\
                        @NewDACLs,NULL
       
        .if        eax != ERROR_SUCCESS
                        jmp        SAFE_RET
        .endif

        mov                @dwret,TRUE

SAFE_RET:

        .if        @NewDACLs != NULL
                        invoke        LocalFree,@NewDACLs
                        mov        @NewDACLs,NULL
        .endif

        .if        @SecurityDescriptor != NULL
                        invoke        LocalFree,@SecurityDescriptor
                        mov        @SecurityDescriptor,NULL
        .endif

        mov                eax,@dwret
        ret

_SetPhyMemDACLs                endp

[一] 可以在Ring3下使用SGDT指令取得系统GDT表的虚拟地址，
这条指令没有被Intel设计成特权0级的指令。据我的
观察，在 Windows 2000 SP4 中 GDT 表的基址都是相同的，
而且在 虚拟机VMware 5.5 虚拟的 Windows 2000 SP4中
执行 SGDT 指令后返回的是错误的结果，在虚拟的 Windows XP
中也有同样情况，可能是虚拟机的问题，大家如果有条件可以试一下:
       
local        @stGE:GDT_ENTRY
       
        mov                @dwret,FALSE
       
        lea                esi,@stGE
        sgdt        fword ptr [esi]
       
        assume        esi:ptr GDT_ENTRY
       
        ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        ;在 VMware 虚拟环境下用以下两条指令替代
        ;只用于 Windows 2000 SP4
        ;mov        [esi].Base,80036000h
        ;mov        [esi].Limit,03ffh
        ;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
       
        mov                eax,[esi].Base
        invoke        @GetPhymemLite,eax
        .if        eax == FALSE
                        jmp        quit
        .endif
       
下面就是虚拟地址转换物理地址了，这在Ring0中很简单，
直接调用MmGetPhysicalAddress 即可，但在Ring3中要
另想办法，还好系统直接将 0x80000000 ? 0xa0000000 影射到物
理0地址开始的位置，所以可以写一个轻量级的GetPhysicalAddress
来替代 :)

@GetPhymemLite        proc        uses esi edi ebx                        _vaddr
        local        @dwret:dword
       
        mov                @dwret,FALSE

        .if        _vaddr < 80000000h
                        jmp        quit
        .endif

        .if        _vaddr >= 0a0000000h
                        jmp        quit
        .endif

        mov                eax,_vaddr
        and                eax,01ffff000h                ;or sub eax,80000000h
        mov                @dwret,eax
quit:
        mov                eax,@dwret
        ret

@GetPhymemLite        endp

[二]调用门在保护模式中可以看成是低特权级代码向高特权级代
码转换的一种实现机制，如图1所示（由于本人较懒,所以借用李
彦昌先生所著的80x86保护模式系列教程 中的部分截图，希望李先
生看到后不要见怪 ^-^）:



                                        图1
要说明的是调用门也可以完成相同特权级的转换。一般门的结构如图2所示:
               
门描述符        m+7        m+6        m+5        m+4        m+3        m+2        m+1        m+0
        Offset(31...16)        Attributes        Selector        Offset(15...0)

门描述
符属性        Byte m+5        Byte m+4
        BIT7        BIT6        BIT5        BIT4        BIT3        BIT2        BIT1        BIT0        BIT7        BIT6        BIT5        BIT4        BIT3        BIT2        BIT1        BIT0
        P        DPL        DT0        TYPE        000        Dword Count

                                                                                图2
        简单的介绍一下各个主要位置的含义：

Offset 和 Selector 共同组成目的地址的48位全指针，这意味着，
如果远CALL指令指向一个调用门，则CALL指令中的偏移被丢弃；
P位置位代表门有效，DPL是门描述符的特权级，后面要设置成3，以
便在Ring3中可以访问。TYPE 是门的类型，386调用门是 0xC ,
Dword Count 是系统要拷贝的双字参数的个数，后面也将
用到。下面是设置CallGate的代码:

mov                eax,_FucAddr
        mov                @CallGate.OffsetL,ax                ;Low Part Addr Of FucAddr
        mov                @CallGate.Selector,8h        ;Ring0 Code Segment
        mov                @CallGate.DCount,1                ;1 Dword
        mov                @CallGate.GType,AT386CGate        ;Must A CallGate

        shr                eax,16
        mov                @CallGate.OffsetH,ax                ;High Part Addr Of FucAddr

[三]        既然可以读些物理内存了，也知道了GDT的物理基地址
和长度，所以可以通过将GDT整个读出，然后寻找一块空闲的区域来
植入前面设置好的CallGate：
       
;申请一片空间，以便存放读出的GDT
Invoke        VirtualAlloc,NULL,@tmpGDTLimit,MEM_COMMIT,\
PAGE_READWRITE       
        .if        eax == NULL
                        jmp        quit
        .endif
       
        mov                @pmem,eax
        invoke        @ReadPhymem,@tmpGDTPhyBase,@pmem,@tmpGDTLimit,\
                        _hmem

        .if        eax == FALSE
                        jmp        quit
        .endif
       
        mov                esi,@pmem
        mov                ebx,@tmpGDTLimit
        shr                ebx,3
        ;找到第一个GDT描述符中P位没有置位的地址。
mov                ecx,1
        .while        ecx < ebx
                        mov        al,byte ptr [esi+ecx*8+5]
                        bt        ax,7
                .if        CARRY?

                .else
                        jmp        lop0
                .endif
                Inc                ecx
        .endw
       
        invoke        VirtualFree,@pmem,0,MEM_RELEASE
        jmp                quit

lop0:
        lea                eax,[ecx*8]
        mov                @OffsetGatePos,eax
        add                @PhyGatePos,eax

        mov                esi,@pmem
        add                esi,eax

        invoke        RtlMoveMemory,addr oldgatebuf,esi,8
       
        ;释放内存空间
        invoke        VirtualFree,@pmem,0,MEM_RELEASE

[四] 现在主要工作基本完成了，剩下的就是设计一个运行在Ring0
中的子函数，在这个子函数中我将调用Ring0里面真正的
MmGetPhysicalAddress来取得实际的物理地址，所以这个函数要
有一个输入参数用来传递要转换的虚拟地址，并且还要考虑到如何
获取返回的物理地址(EDX:EAX)。在网络上的C版本代码中，这是通
过定义几个全局变量来传递的，因为没有发生进程切换，所以可以
使用原进程中的一些变量。然而我在传递虚拟地址上采用了另一种
做法，就是通过实际形参来传递的:
       
        Ring0Fuc        proc                        ;_vaddr
       
                ;手动保存
                push        ebp
                mov                ebp,esp
                sub                esp,4
                mov                eax,[ebp+0ch]
                mov                [ebp-4],eax                ;first local val
                pushad
                pushfd
                cli
       
                mov                eax,[ebp-4]
                ;调用真正的 MmGetPhysicalAddress.
                invoke        MmGetPhysicalAddress,eax
                mov                phymem_L,eax
                mov                phymem_H,edx

                popfd
                popad
                ;手动还原
                mov                esp,ebp
                pop        ebp
                retf        4

Ring0Fuc        endp

        最后，通过一个远CALL来调用这个调用门：
       
                lea                edi,FarAddr
                push        _vaddr
                call        fword ptr [edi]

通过亲手编码，可以对调用门、远调用等一些80386+保护模式中
的概念在windows的实现中有了进一步的了解，不再像以前那样模棱
两可了。看似全部写完了，其实中间还有很多可以挖掘出来扩展说
的细节，但我现在已没有精力写了…（ :( ）,还要准备其他东西
，结尾就用这个不是结尾的结尾,结尾吧（绕口令?）。:)

比较好的排版请到我的blog中观赏:

http://blog.csdn.net/mydo/

如果斑竹不忙的话，请帮我重排一下这里的版面，乱七八糟的。
我排来排去总排不好:(                                                               

                                                    侯佩|hopy
                                                                        2006.01.14 17:09 (机场)办公室

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)