-
-
[原创]抢先DriverStudio夺取机器控制权(修改x1)
-
2007-9-16 15:22
-
[原创]抢先DriverStudio夺取机器控制权
(这是以前早些时候研究ring0代码时随笔写的,现整理
发表出来,请各位指教。)
废话不谈,言归正传!
大家都知道,装了DriverStudio软件(我使用的是v3.2版)的系统在启动时会显示其配置画面,(如图0所示)
图 0
这时操作系统的其他部件还没有运行。那么显示的原理是什么?能不能早于DriverStudio而先执行其他代码呢?答案是
肯定的。下面先谈谈原理吧。
原理比较简单,详细的大家可以看网文<<Inside NT boot>>,
我这里简单说说。当引导扇区被引导后,会查找NTLDR,NTLDR
做的一件非常重要的事就是将CPU从实模式转换到保护模式下。在加载完NTDECT.COM后接下来就会将NT的核心装入内存,
它们是HAL.DLL和NTOSKRNL.EXE,加载完毕后,NTLDR再加载
所有引导必须的驱动程序。接下来就是我们所关心的地方:
它会将HKLM\SYSTEM\Services中值为 SERVICE_BOOT_START
的DRIVER装入,但此时不初始化。
(补充附注:
NtLdr第3步动作:扫描内存中SYSTEM注册表hive文件找到
所有引导设备驱动程序,这些Driver仔注册表中通过
SERVICE-BOOT-START启动值标记。
NtLdr第5步动作:加载引导驱动程序,在启动画面Starting Windows下显示出不断更新的进度栏,该进度栏随每个驱动
程序的加载而变化。
Kernel第23步动作:I/O管理器初始化……所有前面加载的
Boot-Start型驱动程序被调用以完成驱动程序相关初始化,
这时才轮到System-Start型的驱动程序被加载并初始化。
更详细的信息请参考<<Windows 2000 内部揭秘>>
)
那么DriverStudio是不是也是使用了这个特性呢?
运行 regedit.exe ,在Services目录中找到bootcfg这个注册项,
可以看到它是一个内核驱动,并且Start类型为0。如图1所示:
图1
为了证实这个Driver就是提供DriverStudio开机时配置功能的驱动程序,我用一个会引起系统崩溃驱动的名字来替换它,然后重新启动。原本该显示配置画面的地方果然发生了系统崩溃。
(如图2所示)
图 2
既然知道了原理,再来看看操作。实际上windows自身提供
了这个实现。细心的朋友可能早就知道Win32 API CreateService的dwStartType 形参有个选项为:SERVICE_BOOT_START 。
SERVICE_BOOT_START --
Specifies a device driver started by the
operating system loader. This value is valid only
if the service type is SERVICE_KERNEL_DRIVER or
SERVICE_FILE_SYSTEM_DRIVER.
好像看起来和普通的诸如SERVICE_DEMAND_START 的用法
没什么不同嘛,结果手动编制尝试结果返回非法参数。
为什么会这样呢?经过一番thinking之后,我认为是由于
使用了SERVICE_BOOT_START 时,是在系统引导的早期发
生load Driver事件,这时可能除了少数几个OS必须的路
径以外,还无法访问其他windows目录。
为了证实,我将自己的Driver拷贝到系统目录:
%root%\system32\drivers\
下,再次运行结果成功!
下面再引出注册表中的一个与驱动程序加载相关的KEY:
ServiceGroupOrder ,如图3所示:
图3
这个KEY决定了所属改组的驱动程序的加载顺序。
再看一下图1中DriverStudio引导驱动的组名,是Boot Bus Extender,它排在启动顺序的第2位。现在我新加一个Group
名: hopy。同时还要修改ServiceGroupOrder在其中添加
新组hopy,要注意的是要以UNICODE的格式添加字符串
"hopy". 如图4:
图4
然后将代码改写如下:
;BTmain.asm节选
.const
namesvr db 'TryBootSvr',0
notesvr db 'Test Drv Start at System Boot',0
namefile db 'BTdrv.sys',0
szLOG db 'hopy',0
szSSN db 'TBSvr2007',0 ;ServiceStartName
szpath db 'C:\WINNT\system32\drivers\BTdrv.sys',0
.code
invoke CreateService,hSCM,addr namesvr,addr notesvr,\
SERVICE_ALL_ACCESS,SERVICE_KERNEL_DRIVER,\
SERVICE_BOOT_START,SERVICE_ERROR_NORMAL,\
addr szpath,addr szLOG,addr tagid,NULL,\
NULL,NULL
驱动代码如下:
;BTdrv.asm节选
local status:NTSTATUS
local pDeviceObject:PVOID
mov status, STATUS_DEVICE_CONFIGURATION_ERROR
xor edi,edi
mov [edi],eax
jmp $
mov eax,status
ret
结果如我们所预料,该Driver抢在DriverStudio之前发生
蓝屏,如果将这个Driver换成带有特定功能的代码的驱动,
则可以实现超前的目的。这个留给大家去想象吧,呵呵。
(图看不完整的话可以点击察看完整视图)
(唉,格式怎么也弄不好,诸位抱歉啦。)
(这是以前早些时候研究ring0代码时随笔写的,现整理
发表出来,请各位指教。)
废话不谈,言归正传!
大家都知道,装了DriverStudio软件(我使用的是v3.2版)的系统在启动时会显示其配置画面,(如图0所示)
图 0
这时操作系统的其他部件还没有运行。那么显示的原理是什么?能不能早于DriverStudio而先执行其他代码呢?答案是
肯定的。下面先谈谈原理吧。
原理比较简单,详细的大家可以看网文<<Inside NT boot>>,
我这里简单说说。当引导扇区被引导后,会查找NTLDR,NTLDR
做的一件非常重要的事就是将CPU从实模式转换到保护模式下。在加载完NTDECT.COM后接下来就会将NT的核心装入内存,
它们是HAL.DLL和NTOSKRNL.EXE,加载完毕后,NTLDR再加载
所有引导必须的驱动程序。接下来就是我们所关心的地方:
它会将HKLM\SYSTEM\Services中值为 SERVICE_BOOT_START
的DRIVER装入,但此时不初始化。
(补充附注:
NtLdr第3步动作:扫描内存中SYSTEM注册表hive文件找到
所有引导设备驱动程序,这些Driver仔注册表中通过
SERVICE-BOOT-START启动值标记。
NtLdr第5步动作:加载引导驱动程序,在启动画面Starting Windows下显示出不断更新的进度栏,该进度栏随每个驱动
程序的加载而变化。
Kernel第23步动作:I/O管理器初始化……所有前面加载的
Boot-Start型驱动程序被调用以完成驱动程序相关初始化,
这时才轮到System-Start型的驱动程序被加载并初始化。
更详细的信息请参考<<Windows 2000 内部揭秘>>
)
那么DriverStudio是不是也是使用了这个特性呢?
运行 regedit.exe ,在Services目录中找到bootcfg这个注册项,
可以看到它是一个内核驱动,并且Start类型为0。如图1所示:
图1
为了证实这个Driver就是提供DriverStudio开机时配置功能的驱动程序,我用一个会引起系统崩溃驱动的名字来替换它,然后重新启动。原本该显示配置画面的地方果然发生了系统崩溃。
(如图2所示)
图 2
既然知道了原理,再来看看操作。实际上windows自身提供
了这个实现。细心的朋友可能早就知道Win32 API CreateService的dwStartType 形参有个选项为:SERVICE_BOOT_START 。
SERVICE_BOOT_START --
Specifies a device driver started by the
operating system loader. This value is valid only
if the service type is SERVICE_KERNEL_DRIVER or
SERVICE_FILE_SYSTEM_DRIVER.
好像看起来和普通的诸如SERVICE_DEMAND_START 的用法
没什么不同嘛,结果手动编制尝试结果返回非法参数。
为什么会这样呢?经过一番thinking之后,我认为是由于
使用了SERVICE_BOOT_START 时,是在系统引导的早期发
生load Driver事件,这时可能除了少数几个OS必须的路
径以外,还无法访问其他windows目录。
为了证实,我将自己的Driver拷贝到系统目录:
%root%\system32\drivers\
下,再次运行结果成功!
下面再引出注册表中的一个与驱动程序加载相关的KEY:
ServiceGroupOrder ,如图3所示:
图3
这个KEY决定了所属改组的驱动程序的加载顺序。
再看一下图1中DriverStudio引导驱动的组名,是Boot Bus Extender,它排在启动顺序的第2位。现在我新加一个Group
名: hopy。同时还要修改ServiceGroupOrder在其中添加
新组hopy,要注意的是要以UNICODE的格式添加字符串
"hopy". 如图4:
图4
然后将代码改写如下:
;BTmain.asm节选
.const
namesvr db 'TryBootSvr',0
notesvr db 'Test Drv Start at System Boot',0
namefile db 'BTdrv.sys',0
szLOG db 'hopy',0
szSSN db 'TBSvr2007',0 ;ServiceStartName
szpath db 'C:\WINNT\system32\drivers\BTdrv.sys',0
.code
invoke CreateService,hSCM,addr namesvr,addr notesvr,\
SERVICE_ALL_ACCESS,SERVICE_KERNEL_DRIVER,\
SERVICE_BOOT_START,SERVICE_ERROR_NORMAL,\
addr szpath,addr szLOG,addr tagid,NULL,\
NULL,NULL
驱动代码如下:
;BTdrv.asm节选
local status:NTSTATUS
local pDeviceObject:PVOID
mov status, STATUS_DEVICE_CONFIGURATION_ERROR
xor edi,edi
mov [edi],eax
jmp $
mov eax,status
ret
结果如我们所预料,该Driver抢在DriverStudio之前发生
蓝屏,如果将这个Driver换成带有特定功能的代码的驱动,
则可以实现超前的目的。这个留给大家去想象吧,呵呵。
(图看不完整的话可以点击察看完整视图)
(唉,格式怎么也弄不好,诸位抱歉啦。)
hopy|侯佩
2007.09.16 整理于中国
女足惨败于巴西之后
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
学习3楼找资源的方法
|
|
|
用驱动程序启动exe程序,不知道老大有方法没 |
|
|
搜ServiceGroupOrder
|
|
|
学习,写的很好
|
|
|
|
|
|
好文章,学习了
|
|
|
|
|
|
|
|
|
good!!
|
