[原创]SMM Rootkit初步 - 读写SMRAM（带你迈入CPU级Rootkit之门）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]SMM Rootkit初步 - 读写SMRAM（带你迈入CPU级Rootkit之门）

发表于: 2009-3-29 14:37 49973

[原创]SMM Rootkit初步 - 读写SMRAM（带你迈入CPU级Rootkit之门）

木桩

2009-3-29 14:37

49973

查看主题内容

收藏・63

免费・7

支持

最新回复 (79) ◀ 1 2 3 4 ▶
QuanTa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	QuanTa 26 楼只要第四位的D_LCK不为1 ================================= 这样的主板有多少？如果是我，我就一定lock。 2009-3-30 20:16 0
QuanTa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	QuanTa 27 楼和那个cpu smm漏洞一样可笑。居然还有这么多人狂吹 2009-3-30 20:17 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 28 楼老的很多没LOCK，即使SMM LOCK了，TOP_SWAP也有众多没LOCK~ 2009-3-30 20:24 0
deryope 雪币： 232 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 141 粉丝 0 关注私信	deryope 1 29 楼看Intel的说法，修补好像是要BIOS配合才行，也就是等BIOS完成SMRAM初始化后才D_LCK置1，个人感觉可以从BIOS下手。另外，一般BIOS会比主板的生产时间更早，导致新的主板也可能没LOCK。 2009-3-30 21:09 0
rhan 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	rhan 30 楼望尘莫及啊！奋力追。。。 2009-3-30 21:27 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 31 楼好强大向lz学习拿回家慢慢研究 2009-3-30 22:06 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 32 楼占个位子，学习 2009-3-30 22:16 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 33 楼太强了，只有支持的份了 2009-3-30 22:16 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 34 楼楼主给我提供了有多学习的地方呀！！支持！！ 2009-3-30 23:29 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 35 楼楼主的动手能力很强啊 2009-3-31 08:50 0
wwwst 雪币： 183 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	wwwst 36 楼狂頂下。。。studying 2009-3-31 09:06 0
Thinker 雪币： 226 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	Thinker 37 楼 hao! 2009-3-31 09:27 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 38 楼 08年以后的主板还添加另一块芯片, 用于Intel提出的TXT计划 2009-3-31 09:53 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 39 楼曾经看到一篇文章：Intel曾在2008年8月对SMM进行过一次BIOS升级修复，但问题依旧。楼主很厉害啊。从phrack中文章摘录的内容： Intel处理器手册卷三说明说明的四种模式转换： ------------------- SMI (interrupt) \|->\|Real Address Mode\| -------------------------------------------\| \| ------------------- <----------------------------------\| \| \| \| PE=1 ^ PE=0 (requires ring0) or \|rsm or \| \| v \| reset \|reset V \| ------------------- --------- reset \| \| Protected Mode \| -------> SMI (interrupt) ------> \| SMM Mode \| \| ------------------- <------- rsm instruction <------ --------- \| \| VM=1 ^ VM=0 \| ^ \| v \| \|rsm \| \| ------------------- <----------------------------------\| \| \|- \|Virtual 8086 Mode\| -------------------------------------------\| ------------------- SMI (interrupt) （1） PE 和 VM是CR0里的标志位。（2）其他三中操作模式在SMI中断都可以切换到SMM模式。（3） SMM模式通过发出一个rsm指令返回到前一个操作模式。（4） rsm指令只有smm模式中使用。 (5) SMM里分页机制不可用, 但可以访问所有物理内存。 (6) SMRAM开始于SMBASE，占0x1FFFF 字节(如使用扩展的SMRAM，这个数值将更大). SMBASE默认为0x30000, 实际上是0xA0000(视频卡的I/端口也重定向到此地址) (7) 内存控制Hub有一个称为SMRAM控制寄存器. ----------------- SMBASE+0x1FFFF \| \| \| \| \| \| \| \| SMBASE+0xFFFF ----------------- \| \| \| State save area \| \| \| SMBASE+0xFE00 ----------------- \| \| \| Code,Heap,Stack \| \| \| SMBASE+0x8000 ----------------- ----> First SMI Handler instruction \| \| \| \| \| \| SMBASE=0xA0000 ----------------- 也上传一个pci管理库，开源的代码，可以支持windows,linux等。我在linux使用的，不知道windows支持怎么样，大家看看，还有源代码哦! 把zip 后缀改为tgz,然后解压缩。上传的附件： pciutils.zip （284.50kb，44次下载） 2009-3-31 15:59 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 5 关注私信	木桩 8 40 楼 libpci(pciutils)在Windows下其实也是用的WinIO库，具体怎么用没仔细看，不过想来用这个读写PCI配置空间会比较简单。至于如何进入SMM模式我现在也没看懂，网上搜到N多触发SMI的方法，结果都没试出来... 看来我太浮躁了，回头要好好看看Intel IA-32处理器手册SMM相关部分 2009-3-31 20:21 0
cooray 雪币： 239 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	cooray 41 楼 2009-3-31 23:34 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 42 楼很遗憾。。:( 2009-4-1 17:38 0
spman 雪币： 729 活跃值： (1195) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 73 粉丝 2 关注私信	spman 43 楼触发SMI的方法，不是这个吗？ asm("push %rax\n" "xor %rax, %rax\n" "outb %al, $0xb2\n" "pop %rax"); 2009-4-2 10:54 0
xss 雪币： 471 活跃值： (4053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 44 楼感觉很底层了，了解一下这方面的知识 2009-4-3 21:35 0
myeanngg 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 101 粉丝 0 关注私信	myeanngg 45 楼楼主挺牛的，这玩意对搞单片机的人应该相对容易一些 2009-4-4 18:02 0
Fahrenheit 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 24 粉丝 0 关注私信	Fahrenheit 3 46 楼 dingaaaaa 2009-4-4 19:49 0
Laona 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 95 粉丝 0 关注私信	Laona 47 楼人才啊.. 学习中.. 2009-4-5 13:17 0
swjtu 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	swjtu 48 楼学习好强大哦都做到CPU去了~ 2009-4-23 11:16 0
htsf110 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 0 关注私信	htsf110 49 楼好好好好好好 2009-4-30 17:31 0
isbluefish 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	isbluefish 50 楼不错,读得很有感觉,学习. 另外,楼上的图不错.也很有感觉. 2009-6-4 23:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

木桩

发帖

241

回帖

340

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (79) ◀ 1 2 3 4 ▶
QuanTa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	QuanTa 26 楼只要第四位的D_LCK不为1 ================================= 这样的主板有多少？如果是我，我就一定lock。 2009-3-30 20:16 0
QuanTa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	QuanTa 27 楼和那个cpu smm漏洞一样可笑。居然还有这么多人狂吹 2009-3-30 20:17 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 28 楼老的很多没LOCK，即使SMM LOCK了，TOP_SWAP也有众多没LOCK~ 2009-3-30 20:24 0
deryope 雪币： 232 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 141 粉丝 0 关注私信	deryope 1 29 楼看Intel的说法，修补好像是要BIOS配合才行，也就是等BIOS完成SMRAM初始化后才D_LCK置1，个人感觉可以从BIOS下手。另外，一般BIOS会比主板的生产时间更早，导致新的主板也可能没LOCK。 2009-3-30 21:09 0
rhan 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	rhan 30 楼望尘莫及啊！奋力追。。。 2009-3-30 21:27 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 31 楼好强大向lz学习拿回家慢慢研究 2009-3-30 22:06 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 32 楼占个位子，学习 2009-3-30 22:16 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 33 楼太强了，只有支持的份了 2009-3-30 22:16 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 34 楼楼主给我提供了有多学习的地方呀！！支持！！ 2009-3-30 23:29 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 35 楼楼主的动手能力很强啊 2009-3-31 08:50 0
wwwst 雪币： 183 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	wwwst 36 楼狂頂下。。。studying 2009-3-31 09:06 0
Thinker 雪币： 226 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	Thinker 37 楼 hao! 2009-3-31 09:27 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 38 楼 08年以后的主板还添加另一块芯片, 用于Intel提出的TXT计划 2009-3-31 09:53 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 39 楼曾经看到一篇文章：Intel曾在2008年8月对SMM进行过一次BIOS升级修复，但问题依旧。楼主很厉害啊。从phrack中文章摘录的内容： Intel处理器手册卷三说明说明的四种模式转换： ------------------- SMI (interrupt) \|->\|Real Address Mode\| -------------------------------------------\| \| ------------------- <----------------------------------\| \| \| \| PE=1 ^ PE=0 (requires ring0) or \|rsm or \| \| v \| reset \|reset V \| ------------------- --------- reset \| \| Protected Mode \| -------> SMI (interrupt) ------> \| SMM Mode \| \| ------------------- <------- rsm instruction <------ --------- \| \| VM=1 ^ VM=0 \| ^ \| v \| \|rsm \| \| ------------------- <----------------------------------\| \| \|- \|Virtual 8086 Mode\| -------------------------------------------\| ------------------- SMI (interrupt) （1） PE 和 VM是CR0里的标志位。（2）其他三中操作模式在SMI中断都可以切换到SMM模式。（3） SMM模式通过发出一个rsm指令返回到前一个操作模式。（4） rsm指令只有smm模式中使用。 (5) SMM里分页机制不可用, 但可以访问所有物理内存。 (6) SMRAM开始于SMBASE，占0x1FFFF 字节(如使用扩展的SMRAM，这个数值将更大). SMBASE默认为0x30000, 实际上是0xA0000(视频卡的I/端口也重定向到此地址) (7) 内存控制Hub有一个称为SMRAM控制寄存器. ----------------- SMBASE+0x1FFFF \| \| \| \| \| \| \| \| SMBASE+0xFFFF ----------------- \| \| \| State save area \| \| \| SMBASE+0xFE00 ----------------- \| \| \| Code,Heap,Stack \| \| \| SMBASE+0x8000 ----------------- ----> First SMI Handler instruction \| \| \| \| \| \| SMBASE=0xA0000 ----------------- 也上传一个pci管理库，开源的代码，可以支持windows,linux等。我在linux使用的，不知道windows支持怎么样，大家看看，还有源代码哦! 把zip 后缀改为tgz,然后解压缩。上传的附件： pciutils.zip （284.50kb，44次下载） 2009-3-31 15:59 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 5 关注私信	木桩 8 40 楼 libpci(pciutils)在Windows下其实也是用的WinIO库，具体怎么用没仔细看，不过想来用这个读写PCI配置空间会比较简单。至于如何进入SMM模式我现在也没看懂，网上搜到N多触发SMI的方法，结果都没试出来... 看来我太浮躁了，回头要好好看看Intel IA-32处理器手册SMM相关部分 2009-3-31 20:21 0
cooray 雪币： 239 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	cooray 41 楼 2009-3-31 23:34 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 42 楼很遗憾。。:( 2009-4-1 17:38 0
spman 雪币： 729 活跃值： (1195) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 73 粉丝 2 关注私信	spman 43 楼触发SMI的方法，不是这个吗？ asm("push %rax\n" "xor %rax, %rax\n" "outb %al, $0xb2\n" "pop %rax"); 2009-4-2 10:54 0
xss 雪币： 471 活跃值： (4053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 44 楼感觉很底层了，了解一下这方面的知识 2009-4-3 21:35 0
myeanngg 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 101 粉丝 0 关注私信	myeanngg 45 楼楼主挺牛的，这玩意对搞单片机的人应该相对容易一些 2009-4-4 18:02 0
Fahrenheit 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 24 粉丝 0 关注私信	Fahrenheit 3 46 楼 dingaaaaa 2009-4-4 19:49 0
Laona 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 95 粉丝 0 关注私信	Laona 47 楼人才啊.. 学习中.. 2009-4-5 13:17 0
swjtu 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	swjtu 48 楼学习好强大哦都做到CPU去了~ 2009-4-23 11:16 0
htsf110 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 0 关注私信	htsf110 49 楼好好好好好好 2009-4-30 17:31 0
isbluefish 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	isbluefish 50 楼不错,读得很有感觉,学习. 另外,楼上的图不错.也很有感觉. 2009-6-4 23:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复