首页
社区
课程
招聘
2000/XP下怎样进ring0?
发表于: 2004-8-30 19:36 7272

2000/XP下怎样进ring0?

2004-8-30 19:36
7272
收藏
免费 1
支持
分享
最新回复 (15)
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
通过驱动进行访问
2004-8-30 19:55
0
雪    币: 519
活跃值: (1223)
能力值: ( LV12,RANK:650 )
在线值:
发帖
回帖
粉丝
3
2K/XP下应该只能写WDM了,98就简单多了,SEH、加个中断门、调用门、任务门什么的都能进,进了不知道干什么,除了破坏能不能干别的?:D
2004-8-30 21:32
0
雪    币: 279
活跃值: (375)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
4
最初由 RoBa 发布
2K/XP下应该只能写WDM了,98就简单多了,SEH、加个中断门、调用门、任务门什么的都能进,进了不知道干什么,除了破坏能不能干别的?:D


2K/xp进入ring0有很多方法
2004-8-30 22:06
0
雪    币: 5
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
都是深藏不露的说
2004-8-30 22:12
0
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
似乎进入ring0级别比较正规点的方法是写驱动程序把!?
2004-8-31 00:42
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
不好意思,我是一只菜鸟。请问WDM是什么意思啊:D
2004-10-31 13:48
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
8
有权限的话用sys做个callgate就行
2004-10-31 14:24
0
雪    币: 343
活跃值: (611)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
9
好像一本delphi的书里有提到的。你找找看,铁道出版社的。
2004-10-31 18:12
0
雪    币: 7
活跃值: (30)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
10
:D :D
直接读写物理内存也可以
2004-10-31 19:14
0
雪    币: 7
活跃值: (30)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
11
#include <stdio.h>
#include <windows.h>
#include<Accctrl.h>
#include<Aclapi.h>

#define    NTSTATUS unsigned int
#define NT_SUCCESS(status) ((NTSTATUS)(status)>=0)
#define    Ring0_Code_Sel    ((unsigned short int)0x0008)
#define STATUS_INFO_LENGTH_MISMATCH        ((NTSTATUS)0xC0000004L)
#define STATUS_ACCESS_DENIED ((NTSTATUS)0xC0000022L)
/*
#define LOWORD(l)    ((unsigned short)(unsigned int)(l))
#define HIWORD(l)    ((unsigned short)((((unsigned int)(l)) >> 16) & 0xFFFF))
*/
#define OBJ_INHERIT             0x00000002L
#define OBJ_PERMANENT           0x00000010L
#define OBJ_EXCLUSIVE           0x00000020L
#define OBJ_CASE_INSENSITIVE    0x00000040L
#define OBJ_OPENIF              0x00000080L
#define OBJ_OPENLINK            0x00000100L
#define OBJ_KERNEL_HANDLE       0x00000200L
#define OBJ_VALID_ATTRIBUTES    0x000003F2L


typedef struct _UNICODE_STRING
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR  Buffer;
}UNICODE_STRING, *PUNICODE_STRING;

typedef struct _OBJECT_ATTRIBUTES
{
    ULONG           Length;
    HANDLE          RootDirectory;
    PUNICODE_STRING ObjectName;
    ULONG           Attributes;
    PVOID           SecurityDescriptor;
    PVOID           SecurityQualityOfService;
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

typedef LARGE_INTEGER PHYSICAL_ADDRESS, *PPHYSICAL_ADDRESS;


typedef struct _GDTR
{
    WORD    wLimit;    //界限
    WORD    dwBaseLow;    //基址
    WORD    dwBaseHigh;
}GDTR,*PGDTR;    //48位的GDTR

typedef struct tagGDT_DESCRIPTOR
{
    unsigned limit         : 16;
    unsigned baselo         : 16;
    unsigned basemid     : 8;
    unsigned type        : 4;
    unsigned system      : 1;
    unsigned dpl         : 2;
    unsigned present     : 1;
    unsigned limithi     : 4;
    unsigned available   : 1;
    unsigned zero        : 1;
    unsigned size        : 1;
    unsigned granularity : 1;
    unsigned basehi : 8;
}GDT_DESCRIPTOR, *PGDT_DESCRIPTOR;


typedef struct tagCALLGATE_DESCRIPTOR
{
    unsigned short   offset_0_15;
    unsigned short   selector;
    unsigned char    param_count : 4;
    unsigned char    some_bits   : 4;
    unsigned char    type        : 4;
    unsigned char    app_system  : 1;
    unsigned char    dpl         : 2;
    unsigned char    present     : 1;
    unsigned short   offset_16_31;
} CALLGATE_DESCRIPTOR, *PCALLGATE_DESCRIPTOR;

typedef NTSTATUS (CALLBACK* ZWOPENSECTION)(
                       OUT PHANDLE  SectionHandle,
                       IN  ACCESS_MASK  DesiredAccess,
                       IN  POBJECT_ATTRIBUTES  ObjectAttributes
                       );

typedef VOID (CALLBACK* RTLINITUNICODESTRING)(                
                          IN OUT PUNICODE_STRING  DestinationString,
                          IN PCWSTR  SourceString
                          );

RTLINITUNICODESTRING        RtlInitUnicodeString;
ZWOPENSECTION            ZwOpenSection;

BOOL LoadNativeApi(void);
VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection);
ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress);

void __declspec(naked)Ring0Call(void)
{
    __asm {
        pushad
        pushfd
        cli
    }

     //这里我直接将CPU模式转换成实模式,导致win2K异常
    _asm    mov eax,cr0;
    _asm    and eax,0xfffffffe;
    _asm    mov cr0,eax;

    __asm {
       popfd
       popad
       retf
    }
}


int main(void)
{
    GDTR    Gdtr;
    DWORD    dwBase;
    NTSTATUS    status;
    UNICODE_STRING    physmemString;
    OBJECT_ATTRIBUTES    attributes;
    HANDLE    hSection=NULL;
    ULONG    PhyAddress;
    PVOID    GdtphyAddr=NULL;
    PCALLGATE_DESCRIPTOR    Callgatedes;
    PGDT_DESCRIPTOR    Gdtdes;
    //DWORD    *GdtStart;
    WORD    wGdtIndex=1;
    short farcall[3];

    _asm    sgdt Gdtr;
    _asm    mov  ax,Gdtr.dwBaseLow;
    _asm    mov  bx,Gdtr.dwBaseHigh;
    _asm    shl  ebx,16;
    _asm    mov  bx,ax;
    _asm    mov  dwBase,ebx;
    printf("Gdt BaseAddress:0x%08x,Limit:%d\n",dwBase,Gdtr.wLimit);
    PhyAddress = MiniMmGetPhysicalAddress(dwBase);
    //在这里得到了GDT的基地址和界限
/////////////////////////////////////////////////////////////////////////////////////
    if(!LoadNativeApi())
    {
        printf("Load Function Failed\n");
        return 0;
    }
    //加载需要NativeApi
/////////////////////////////////////////////////////////////////////////////////////
    RtlInitUnicodeString(&physmemString, L"\\Device\\PhysicalMemory");

    attributes.Length            = sizeof(OBJECT_ATTRIBUTES);
    attributes.RootDirectory        = NULL;
    attributes.ObjectName            = &physmemString;
    attributes.Attributes            = 0;
    attributes.SecurityDescriptor        = NULL;
    attributes.SecurityQualityOfService    = NULL;

    status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&attributes); 
    if(status == STATUS_ACCESS_DENIED)
    { 
        status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&attributes);
        SetPhyscialMemorySectionCanBeWrited(hSection);
        CloseHandle(hSection);
        status =ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&attributes); 
    }

    if(!NT_SUCCESS(status)) 
    {
        printf("Open Kernel Object Failed\n");
        return 0;
    }

    GdtphyAddr = MapViewOfFile(hSection,FILE_MAP_READ|FILE_MAP_WRITE,0,PhyAddress,Gdtr.wLimit);
    
    if(!GdtphyAddr)
    {
        printf("MapViewOfFile Error,Code:%d\n",GetLastError());
        return 0;
    }

    //在GDT中寻找空描述符,准备添加调用门
    Gdtdes = (PGDT_DESCRIPTOR)GdtphyAddr;
    Gdtdes++;

    while(wGdtIndex<Gdtr.wLimit)
    {
        if(Gdtdes->present==0)
        {
            Callgatedes = (PCALLGATE_DESCRIPTOR)Gdtdes;

            Callgatedes->offset_0_15             = LOWORD(Ring0Call);
            Callgatedes->selector         = 8;                     // 内核段选择子
            Callgatedes->param_count             = 0;               // 参数复制数量
            Callgatedes->some_bits         = 0;                    
            Callgatedes->type             = 0xC;              // 386调用门
            Callgatedes->app_system             = 0;                    // 系统描述符
            Callgatedes->dpl             = 3;                    // RING 3 可调用
            Callgatedes->present         = 1;                    // 设置存在位
            Callgatedes->offset_16_31   = HIWORD(Ring0Call);
            break;
       }
        wGdtIndex++;
        Gdtdes++;
    }
    UnmapViewOfFile(GdtphyAddr);
    CloseHandle(hSection);

    farcall[2] = ((short)((ULONG)Callgatedes - (ULONG)GdtphyAddr))|3;

    printf("callgate seletor:0x%x\nI will kill you,goodbye!!!",farcall[2]);
    Sleep(1000);

    _asm call fword ptr [farcall];

    return 1;
}


BOOL LoadNativeApi(void)
{
    HMODULE    hNtdll=NULL;

    hNtdll = LoadLibrary("ntdll.dll");
    if(hNtdll==NULL)
    {
        printf("Load ntdll.dll Failed,code:%d\n",GetLastError());
        return FALSE;
    }

    RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress(hNtdll,"RtlInitUnicodeString");
    if(RtlInitUnicodeString==NULL)
    {
        printf("Get RtlInitUnicodeString Error,Code:%d\n",GetLastError());
        return FALSE;
    }

    ZwOpenSection = (ZWOPENSECTION)GetProcAddress(hNtdll,"ZwOpenSection");
    if(ZwOpenSection==NULL)
    {
        printf("Get ZwOpenSection Error,Code:%d\n",GetLastError());
        return FALSE;
    }

    printf("Load Function .... Success!\n");
    return TRUE;
}

ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress)
{
    if(virtualaddress<0x80000000||virtualaddress>=0xa0000000)
        return 0;
    return virtualaddress&0x1FFFF000;
}

VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection) 
{ 
    
    PACL pDacl=NULL; 
    PACL pNewDacl=NULL; 
    PSECURITY_DESCRIPTOR pSD=NULL; 
    DWORD dwRes; 
    EXPLICIT_ACCESS ea; 
    
    if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION, 
        NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS) 
    { 
        goto CleanUp; 
    } 
    
    ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS)); 
    ea.grfAccessPermissions = SECTION_MAP_WRITE; 
    ea.grfAccessMode = GRANT_ACCESS; 
    ea.grfInheritance= NO_INHERITANCE; 
    ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME; 
    ea.Trustee.TrusteeType = TRUSTEE_IS_USER; 
    ea.Trustee.ptstrName = "CURRENT_USER"; 
    
    
    if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS) 
    { 
        goto CleanUp; 
    } 
    
    if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS) 
    { 
        goto CleanUp; 
    } 
    
CleanUp: 
    
    if(pSD) 
        LocalFree(pSD); 
    if(pNewDacl) 
        LocalFree(pNewDacl); 
} 
2004-10-31 19:28
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
我记得老罗的论坛上的有个人用MASM写了一个非驱动进RING 0级的。还有就是我的偶像HUME用FASM也写了一个,另WEBCRAZY的网站上有一个原创的C写的非驱动进RING 0级的。这三个用的都是WEBCRAZY的应用程序进RING 0的方法。在29A的杂志上好象也有一个类似的例子!但是我还是比较喜欢写驱动进RING 0级。
2004-10-31 23:02
0
雪    币: 241
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
最初由 采臣・宁 发布
我记得老罗的论坛上的有个人用MASM写了一个非驱动进RING 0级的。还有就是我的偶像HUME用FASM也写了一个,另WEBCRAZY的网站上有一个原创的C写的非驱动进RING 0级的。这三个用的都是WEBCRAZY的应用程序进RING 0的方法。在29A的杂志上好象也有一个类似的例子!但是我还是比较喜欢写驱动进RING 0级。

C 的能贴出来吗?
2004-11-1 12:51
0
雪    币: 7
活跃值: (30)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
14
:D :D
2004-11-1 16:39
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
15
最初由 Meteo 发布
:D :D


一起谢
2004-11-1 18:41
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
Windows NT/2000/XP下不用驱动的Ring0代码实现

作者:WebCrazy

    大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中断服务等,严格的参数检查,只能严格的执行Windows NT/2000提供的服务,而如果想执行用户提供的Ring 0代码(指运行在Ring 0权限的代码),常规方法似乎只有编写设备驱动程序。本文将介绍一种在用户态不借助任何驱动程序执行Ring0代码的方法。

    Windows NT/2000将设备驱动程序调入内核区域(常见的位于地址0x80000000上),由DPL为0的GDT项8,即cs为8时实现Ring 0权限。本文通过在系统中构造一个指向我们的代码的调用门(CallGate),实现Ring0代码。基于这个思路,为实现这个目的主要是构造自己的CallGate。CallGate由系统中叫Global Descriptor Table(GDT)的全局表指定。GDT地址可由i386指令sgdt获得(sgdt不是特权级指令,普通Ring 3程序均可执行)。GDT地址在Windows NT/2000保存于KPCR(Processor Control Region)结构中(见《再谈Windows NT/2000环境切换》)。GDT中的CallGate是如下的格式:

    typedef struct
    {
        unsigned short  offset_0_15;
        unsigned short  selector;

        unsigned char    param_count : 4;
        unsigned char    some_bits   : 4;

        unsigned char    type        : 4;
        unsigned char    app_system  : 1;
        unsigned char    dpl         : 2;
        unsigned char    present     : 1;
   
        unsigned short  offset_16_31;
    } CALLGATE_DESCRIPTOR;

    GDT位于内核区域,一般用户态的程序是不可能对这段内存区域有直接的访问权。幸运的是Windows NT/2000提供了一个叫PhysicalMemory的Section内核对象位于\Device的路径下。顾名思义,通过这个Section对象可以对物理内存进行操作。用objdir.exe对这个对象分析如下:

    C:\NTDDK\bin>objdir /D \Device

    PhysicalMemory                  
        Section
        DACL -
           Ace[ 0] - Grant - 0xf001f - NT AUTHORITY\SYSTEM
                             Inherit:
                             Access: 0x001F  and  ( D RCtl WOwn WDacl )

           Ace[ 1] - Grant - 0x2000d - BUILTIN\Administrators
                             Inherit:
                             Access: 0x000D  and  ( RCtl )

    从dump出的这个对象DACL的Ace可以看出默认情况下只有SYSTEM用户才有对这个对象的读写权限,即对物理内存有读写能力,而Administrator只有读权限,普通用户根本就没有权限。不过如果我们有Administrator权限就可以通过GetSecurityInfo、SetEntriesInAcl与SetSecurityInfo这些API来修改这个对象的ACE。这也是我提供的代码需要Administrator的原因。实现的代码如下:

    VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)
    {

       PACL pDacl=NULL;
       PACL pNewDacl=NULL;
       PSECURITY_DESCRIPTOR pSD=NULL;
       DWORD dwRes;
       EXPLICIT_ACCESS ea;

       if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,
                  NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS)
          {
             printf( "GetSecurityInfo Error %u\n", dwRes );
             goto CleanUp;
          }

       ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
       ea.grfAccessPermissions = SECTION_MAP_WRITE;
       ea.grfAccessMode = GRANT_ACCESS;
       ea.grfInheritance= NO_INHERITANCE;
       ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;
       ea.Trustee.TrusteeType = TRUSTEE_IS_USER;
       ea.Trustee.ptstrName = "CURRENT_USER";

       if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS)
          {
             printf( "SetEntriesInAcl %u\n", dwRes );
             goto CleanUp;
          }

       if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS)
          {
             printf("SetSecurityInfo %u\n",dwRes);
             goto CleanUp;
          }

    CleanUp:

       if(pSD)
          LocalFree(pSD);
       if(pNewDacl)
          LocalFree(pSD);
    }

    这段代码对给定HANDLE的对象增加了如下的ACE:

    PhysicalMemory                  
        Section
        DACL -
           Ace[ 0] - Grant - 0x2 - WEBCRAZY\Administrator
                             Inherit:
                             Access: 0x0002    //SECTION_MAP_WRITE

    这样我们在有Administrator权限的条件下就有了对物理内存的读写能力。但若要修改GDT表实现Ring 0代码。我们将面临着另一个难题,因为sgdt指令获得的GDT地址是虚拟地址(线性地址),我们只有知道GDT表的物理地址后才能通过\Device\PhysicalMemory对象修改GDT表,这就牵涉到了线性地址转化成物理地址的问题。我们先来看一看Windows NT/2000是如何实现这个的:

    kd> u nt!MmGetPhysicalAddress l 30
    ntoskrnl!MmGetPhysicalAddress:
    801374e0 56               push    esi
    801374e1 8b742408         mov     esi,[esp+0x8]
    801374e5 33d2             xor     edx,edx
    801374e7 81fe00000080     cmp     esi,0x80000000
    801374ed 722c             jb    ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
    801374ef 81fe000000a0     cmp     esi,0xa0000000
    801374f5 7324             jnb   ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
    801374f7 39153ce71780     cmp     [ntoskrnl!MmKseg2Frame (8017e73c)],edx
    801374fd 741c             jz    ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b)
    801374ff 8bc6             mov     eax,esi
    80137501 c1e80c           shr     eax,0xc
    80137504 25ffff0100       and     eax,0x1ffff
    80137509 6a0c             push    0xc
    8013750b 59               pop     ecx
    8013750c e8d3a7fcff       call    ntoskrnl!_allshl (80101ce4)
    80137511 81e6ff0f0000     and     esi,0xfff
    80137517 03c6             add     eax,esi
    80137519 eb17             jmp   ntoskrnl!MmGetPhysicalAddress+0x57 (80137532)
    8013751b 8bc6             mov     eax,esi
    8013751d c1e80a           shr     eax,0xa
    80137520 25fcff3f00       and     eax,0x3ffffc
    80137525 2d00000040       sub     eax,0x40000000
    8013752a 8b00             mov     eax,[eax]
    8013752c a801             test    al,0x1
    8013752e 7506             jnz   ntoskrnl!MmGetPhysicalAddress+0x44 (80137536)
    80137530 33c0             xor     eax,eax
    80137532 5e               pop     esi
    80137533 c20400           ret     0x4

    从这段汇编代码可看出如果线性地址在0x80000000与0xa0000000范围内,只是简单的进行移位操作(位于801374ff-80137519指令间),并未查页表。我想Microsoft这样安排肯定是出于执行效率的考虑。这也为我们指明了一线曙光,因为GDT表在Windows NT/2000中一般情况下均位于这个区域(我不知道/3GB开关的Windows NT/2000是不是这种情况)。

    经过这样的分析,我们就可以只通过用户态程序修改GDT表了。而增加一个CallGate就不是我可以介绍的了,找本Intel手册自己看一看了。具体实现代码如下:

    typedef struct gdtr {
        short Limit;
        short BaseLow;
        short BaseHigh;
    } Gdtr_t, *PGdtr_t;

    ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress)
    {
        if(virtualaddress<0x80000000||virtualaddress>=0xA0000000)
           return 0;
        return virtualaddress&0x1FFFF000;
    }

    BOOL ExecRing0Proc(ULONG Entry,ULONG seglen)
    {
       Gdtr_t gdt;
       __asm sgdt gdt;
     
       ULONG mapAddr=MiniMmGetPhysicalAddress(gdt.BaseHigh<<16U|gdt.BaseLow);
       if(!mapAddr) return 0;

       HANDLE   hSection=NULL;
       NTSTATUS status;
       OBJECT_ATTRIBUTES        objectAttributes;
       UNICODE_STRING objName;
       CALLGATE_DESCRIPTOR *cg;

       status = STATUS_SUCCESS;
   
       RtlInitUnicodeString(&objName,L"\\Device\\PhysicalMemory");

       InitializeObjectAttributes(&objectAttributes,
                                  &objName,
                                  OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
                                  NULL,
                                 (PSECURITY_DESCRIPTOR) NULL);

       status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttributes);

       if(status == STATUS_ACCESS_DENIED){
          status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&objectAttributes);
          SetPhyscialMemorySectionCanBeWrited(hSection);
          ZwClose(hSection);
          status =ZwOpenSection(&hSection,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&objectAttributes);
       }

       if(status != STATUS_SUCCESS)
         {
            printf("Error Open PhysicalMemory Section Object,Status:%08X\n",status);
            return 0;
         }
      
       PVOID BaseAddress;

       BaseAddress=MapViewOfFile(hSection,
                     FILE_MAP_READ|FILE_MAP_WRITE,
                     0,
                     mapAddr,    //low part
                     (gdt.Limit+1));

       if(!BaseAddress)
          {
             printf("Error MapViewOfFile:");
             PrintWin32Error(GetLastError());
             return 0;
          }

       BOOL setcg=FALSE;

       for(cg=(CALLGATE_DESCRIPTOR *)((ULONG)BaseAddress+(gdt.Limit&0xFFF8));(ULONG)cg>(ULONG)BaseAddress;cg--)
           if(cg->type == 0){
             cg->offset_0_15 = LOWORD(Entry);
             cg->selector = 8;
             cg->param_count = 0;
             cg->some_bits = 0;
             cg->type = 0xC;          // 386 call gate
             cg->app_system = 0;      // A system descriptor
             cg->dpl = 3;             // Ring 3 code can call
             cg->present = 1;
             cg->offset_16_31 = HIWORD(Entry);
             setcg=TRUE;
             break;
          }

       if(!setcg){
            ZwClose(hSection);
            return 0;
       }

       short farcall[3];

       farcall[2]=((short)((ULONG)cg-(ULONG)BaseAddress))|3;  //Ring 3 callgate;

       if(!VirtualLock((PVOID)Entry,seglen))
          {
             printf("Error VirtualLock:");
             PrintWin32Error(GetLastError());
             return 0;
          }

       SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_TIME_CRITICAL);

       Sleep(0);

       _asm call fword ptr [farcall]

       SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_NORMAL);

       VirtualUnlock((PVOID)Entry,seglen);

       //Clear callgate
       *(ULONG *)cg=0;
       *((ULONG *)cg+1)=0;

       ZwClose(hSection);
       return TRUE;

    }

    我在提供的代码中演示了对Control Register与I/O端口的操作。CIH病毒在Windows 9X中就是因为获得Ring 0权限才有了一定的危害,但Windows NT/2000毕竟不是Windows 9X,她已经有了比较多的安全审核机制,本文提供的代码也要求具有Administrator权限,但如果系统存在某种漏洞,如缓冲区溢出等等,还是有可能获得这种权限的,所以我不对本文提供的方法负有任何的责任,所有讨论只是一个技术热爱者在讨论技术而已。谢谢!
2004-11-2 08:35
0
游客
登录 | 注册 方可回帖
返回
//