-
-
[原创]SMM Rootkit初步 - 读写SMRAM(带你迈入CPU级Rootkit之门)
-
发表于: 2009-3-29 14:37
-
好吧,我承认标题有点夸大,不介意的都进来BS我把
就像 qihoocom 大侠说的,“SMM XX早就几万年前就不是什么秘密了”,不过国内讨论这个的到是鲜见,希望这篇文章能抛砖引玉吧。
之前看到rootkit.com上 Implementing SMM PS/2 Keyboard sniffer 那个代码,狠狠震撼了一把。于是开始研究SMM,半月下来总算有些收获。这里将如何读写SMRAM的方法拿出来科普一下,希望更多人能迈入编写SMM Rootkit的大门。
文章后面提供可以在VPC和VMware两大虚拟机中运行的代码,将演示如何在WinXP(SP2)中读写SMRAM。(本文只考虑最简单的系统环境,不涉及 SMM Space Locked(D_LCK)=1 时无法读写SMRAM的情况)另外,按 Ivanov 大牛的说法,这种方法局限性很大,只能在没有执行 Intel 修补方案的主板上运用(感谢两大VM模拟的都是I440BX
)。
对硬件方面接触尚浅,文中若有疏漏之处,欢迎指正。
--------------------------------------------------------------------------------------------------------
首先放下PCI相关的诸多知识,我用最短的篇幅叙述读写SMRAM的过程。希望这篇文章能带你迈出SMM Rootkit的第一步。
首先说说什么是SMM(System Management Mode)。System Management Mode Hack中说:SMM是专门为电源管理设计的执行规则。当进入SMM后,系统的各个部件可以被关闭或者使用最低的功耗。SMM独立于其他的系统软件,也可以被用在其他目的... 该文章中文版点这里
了解SMM是什么东西就够了,这篇文章不会涉及太多SMM的东西。相反,读写SMRAM更需要的是PCI配置空间(PCI Configuration Space)方面的知识。
先讲讲两个访问PCI配置空间的I/O端口:CF8h 和 CFCh
通过向 CF8h 端口写一个特殊的地址,我们就可以在 CFCh 端口上读写指定寄存器的值。这里要读的寄存器是位于配置空间偏移为 72h 的8bit寄存器——SMRAM (System Management RAM Control Register)
首先要介绍一下 CF8h 这个I/O端口。实际上 I/O CF8h 写的是CONFIG_ADDRESS寄存器,所以 CF8h又叫CONFIG_ADDRESS。其布局如下[1]:
按上图格式,31位置1(enable),假设I440BX的北桥82443BX位于Bus: 0, Device:0, Func:0(后面将教你如何确定芯片类型以及取得这几个值),这样配置空间的基址就是0x80000000。
通过I/O指令向CF8h写入0x80000000,就可以从 CFCh(CONFIG_DATA)中读出82443BX配置空间偏移为0的一个DWORD值了。而这个DWORD的高低16位分别是VendorID和DeviceID,如图:
下面在我们去读配置空间偏移为72h的SMRAM前,首先注意一个特性。不知道你注意到没有,回头看看CONFIG_ADDRESS的低2位,它们被定义为0。且不谈PCI规范上的大道理,说白了这个地方为0是为了限制你给出的地址——必须为4的整数倍。了解到这一点再看那个Register Number就比较好理解了,原来这个寄存器编号和偏移是这么对应的。
好了,那么偏移为72h (01110010) 的SMRAM,最后两位置零是70h (01110000),即位于编号为1C (11100)的寄存器上。所以只要向 CF8h 里写入0x80000070这个地址,此时从 CFCh 端口读出的数据就是包含SMRAM的一个DWORD了。
假设读出来的数据为DWORD 380A0000h (00 00 0A 38),对照上面82443BX寄存器表可知:
70h 00 71h 00 72h [COLOR="red"]0A SMRAM 73h 38 ESMRAMC
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
使用附件中的程序枚举PCI设备,代码参考自 遍历PCI设备 这篇文章:
http://hengch.blog.163.com/blog/static/10780067200822893345451/ 例如这是我在VPC里的结果: [80000000] 01 VID:8086/D:7192 B:00 D:00 F:00 06-00-00 (V:03) 这里主要关注的是VendorID和DeviceID(VID:8086/D:7192),以及最前方的地址信息(80000000)。关于这两个ID所代表的意义,我们可以到 http://www.pcidatabase.com/ 上进行查询。 例如我VPC 2007的设备信息: 440BX/ZX chipset Host-to-PCI Bridge VMware VMware Workstation 6.0的: 82443BX/ZX 440BX/ZX AGPset Host Bridge 我只找到I440BX的设计手册,几台实际机器用的芯片乱七八糟(SIS、VIA、NVIDIA都有),网上又下不到相关的资料,实在是无法把程序写得更通用  如果哪位好心人有在其他芯片组的主板上找SMRAM的资料,也请拿出来分享一下。 抱歉,昨天忙中出错,已经把附件 PCI设备枚举.rar 传上来了
|
|
|
|
|
|
|
|
|
没那回事,我也希望和大家讨论一下(哪怕不是SMM方面,我倒是觉得SMRAM中保存的那些寄存器值得仔细看看),也许有些新收获。
自己一个人看CPU、PCI手册实在是痛苦,今天另一个帖子里被qihoocom大侠提点了一下,感觉茅塞顿开。下周继续看如何越过“SMM LOCK这个叹息之壁”
|
|
|
这个必须的顶
|
|
|
|
|
|
|
|
|
|
|
|
 标记 学习。。。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
望尘莫及学习下
|
|
|
|
|
|
赶快膜拜,加强学习,对SMRAM这方面完全没有接触
|
|
|
|
|
|
|
|
|
楼上很强大啊,讨论问题还能生气(╰_╯)#
|
|
|
|
|
|
关于TXT那篇论文我也下过,不过塞文件夹里忘看了
还是先把现在看的两篇吃透好了...讨论而已,大家各抒己见。 不过,昨天听 Ivanov 大牛的一席话确实深有感触,之前都没注意到Intel新板子的补丁问题。 回头又翻了一下别人的文章,确实有提到在BIOS里做的补丁情况(2005年后的都给锁上了):  之前看文章太粗心了
|
|
|
|
