首页
论坛
专栏
课程

[原创]rootkit ring3进ring0之门系列[一] -- 调用门

2008-3-31 14:52 57840

[原创]rootkit ring3进ring0之门系列[一] -- 调用门

2008-3-31 14:52
57840
今天我们来谈谈保护模式下的调用门。从而开始了我们的门系列内容。
先谈谈程序转移.,程序转移分为两种: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。例如:windows  ring3下cs是0x1b , ring0下cs通常是0x08.。 对于近转移,我们不需要进行特权级检查。由于windows是保护模式的操作系统,对于远转移如果跨层则需要进行特权级检查,看是否允许其调用。

为了在不同特权级的代码段之间进行控制访问,处理器特别提供了一组称为门描述符的描述符。我们可以通过这组门描述符中的任何一个进行远转移。门提供了受保护的间接调用,为任务内的特权转移提供了安全可靠的方法。

今天我们讲的调用门,就是这组门描述符中的一个。为了搞清楚调用门,我们需要看下调用门描述符的结构:

对应的结构体是:
    typedef struct
    {
        unsigned short  offset_0_15;
        unsigned short  selector;

        unsigned char    param_count : 4;
        unsigned char    some_bits   : 4;

        unsigned char    type        : 4;
        unsigned char    app_system  : 1;
        unsigned char    dpl         : 2;
        unsigned char    present     : 1;
   
        unsigned short  offset_16_31;
    } CALLGATE_DESCRIPTOR;

调用门描述符可以放在GDT、LDT中,但是不能放在IDT中。在WINDOWS XP中,没有LDT.
在这里,我们举例说明其在GDT中的情况。尽管windows提供了多种不同的描述符,但是每种描述符中都有present位代表该描述符是否存在。它在每个描述符中的位置都是一样的,因此我们可以根据这个present位来在GDT中找出一个空白位置,在这个位置里面添加我们自己定义的描述符。内核中GDT的位置,我们可以用WINDBG看下:
lkd> !PCR
KPCR for Processor 0 at ffdff000:
    Major 1 Minor 1
        NtTib.ExceptionList: b1fa5c7c
            NtTib.StackBase: b1fa5df0
           NtTib.StackLimit: b1fa2000
         NtTib.SubSystemTib: 00000000
              NtTib.Version: 00000000
          NtTib.UserPointer: 00000000
              NtTib.SelfTib: 7ffde000

                    SelfPcr: ffdff000
                       Prcb: ffdff120
                       Irql: 00000000
                        IRR: 00000000
                        IDR: ffffffff
              InterruptMode: 00000000
                        IDT: 8003f400
                        GDT: 8003f000
                        TSS: 80042000

              CurrentThread: 88899020
                 NextThread: 00000000
                 IdleThread: 80552d20

可以看到我本机GDT的位置是 GDT: 8003f000

调用门的工作原理如图所示。
首先进行特权检查
根据selector,在GDT中找出CS段的范围。
根据offset_0_15和offset_16_31求出段中的偏移。
跳转到地址中执行。

特权检查需要检查的内容包括:CPL,RPL,调用门DPL和目标段描述符DPL.

特权检查的规则:

最后简单介绍下demo的做法:
1)根据present位是否为0,我们遍历GDT中的表,找到一个present为0的位置。
2)在该位置添加调用门。
3)记下该位置对应的选择子。由于需要在ring3下调用,
    因此选择子CallGate_Sel = 索引值 or 0x03. 其中0x03代表我们设置的RPL.
4) 通过指令call FWORD ptr CallGate_Sel 执行调用门。

本例中,我们添加的调用门在gdt中的偏移值是0x48, 我们设置RPL = 3,因此对应的选择子应该是CallGate_Sel = 0x48 | 0x03 = 0x4b.

代码附上:
.386
.model flat, stdcall
option casemap:none

include myCallGate.inc
.const
CCOUNTED_UNICODE_STRING  "\\Device\\MYCALLGATE",g_usDeviceName,4
CCOUNTED_UNICODE_STRING  "\\??\\MYCALLGATE",g_usSymbolicLinkName,4

GDT_LIMIT  = 03ffh
GATE_TYPE  = 0ECH

.code
Ring0Fun proc
        pushad
        pushfd
        cli
        invoke DbgPrint, $CTA0("mycallgate function executed\n")
        ;add your code here, you can do anything if you like.
        sti
        popfd
        popad
        retf
Ring0Fun endp

AddCallGate proc FuncAddr:ULONG
    pushfd
    pushad
   
        push esi
        sgdt [esp-2]
        pop esi
       
        mov eax,8
        .while eax < GDT_LIMIT
             lea edx,[esi+eax]
             assume edx:ptr CALLGATE
             test [edx].GTYPE,80h
            .if ZERO?
               mov ebx,FuncAddr
               mov [edx].OFFSETL,bx
               mov [edx].SELECTOR,08h
               mov [edx].DCOUNT,0
               mov [edx].GTYPE,GATE_TYPE
               shr ebx,16
               mov [edx].OFFSETH,bx     
          .break
           .endif   
            assume edx:nothing
           add eax,8
        .endw
     
        popad
    popfd
        ret

AddCallGate endp

DispatchControl proc uses esi edi pDeviceObject:PDEVICE_OBJECT,pIrp:PIRP
       
        mov esi,pIrp
        assume esi:ptr _IRP
        mov [esi].IoStatus.Status ,STATUS_SUCCESS
        and [esi].IoStatus.Information,0
        invoke IoCompleteRequest,pIrp,0
        mov eax,[esi].IoStatus.Status
        assume esi:nothing
        ret

DispatchControl endp

DriverUnload proc pDriverObject:PDRIVER_OBJECT
       
        invoke IoDeleteSymbolicLink,addr g_usSymbolicLinkName
        mov eax,pDriverObject
        invoke IoDeleteDevice,(DRIVER_OBJECT PTR[eax]).DeviceObject
        ret

DriverUnload endp

DriverEntry proc pDriverObject:PDRIVER_OBJECT,pusRegistryPath:PUNICODE_STRING

    LOCAL status:NTSTATUS
    LOCAL pDeviceObject:PDEVICE_OBJECT
   
    mov status,STATUS_DEVICE_CONFIGURATION_ERROR
    invoke IoCreateDevice,pDriverObject,0,addr g_usDeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,addr pDeviceObject
    .if eax == STATUS_SUCCESS
        invoke IoCreateSymbolicLink ,addr g_usSymbolicLinkName,addr g_usDeviceName
        .if eax == STATUS_SUCCESS            
                    mov eax,pDriverObject
                    assume eax:ptr DRIVER_OBJECT
                    mov ecx,IRP_MJ_MAXIMUM_FUNCTION + 1
                    .while ecx
                        dec ecx
                        mov [eax].MajorFunction[ecx * (sizeof PVOID)],offset DispatchControl
                    .endw
                    mov [eax].DriverUnload,offset DriverUnload
                    assume eax:nothing
                   invoke AddCallGate,offset Ring0Fun
            mov status,STATUS_SUCCESS
        .else
                invoke IoDeleteDevice,pDeviceObject
        .endif
    .endif
  
    mov eax,status
    ret

DriverEntry endp

end DriverEntry

最后友情提示:
    由于添加调用门的位置,我们事先并不知道,如果你想做的智能些的话,可以通过注册表,共享区,或者直接deviceiocontrol等等的方式通知ring3程序选择子是多少。

[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

上传的附件:
上一主题 下一主题
最新回复 (50)
jdpack 1 2008-3-31 16:35
2
0
好文章
学习~
网游天下 2008-3-31 16:45
3
0
感谢楼主!!!!
yingyue 2008-3-31 17:05
4
0
强啊,收藏。。。。。。。。。。。。。
bithaha 5 2008-3-31 17:14
5
0
学习学习
火影 11 2008-3-31 18:43
6
0
正想看呢,就有了
zhuwg 11 2008-3-31 20:44
7
0
学习  膜拜。。。。。
lOOp 2008-4-1 09:35
8
0
combojiang大虾的系列文章甚是经典啊。。
收藏ing。。。。
erenfei 2008-4-2 13:41
9
0
好文章,收藏了。另外我转到自己博客了,若是不妥,请mail告诉我
dem 2008-4-2 19:21
10
0
经典的好东西啊,收藏了~
likunkun 1 2008-4-8 22:26
11
0
不错不错呀~~支持lz
sessiondiy 4 2008-5-2 10:01
12
0
好东西.
请问一下, 这个要用什么软体去Compiler ?
hfyy 2 2008-5-2 10:12
13
0
masm+Kmd
myskydog 1 2008-6-9 21:47
14
0
cool,很强大
TGOS 2008-6-9 23:27
15
0
good !!
howdyhappy 2008-7-27 19:17
16
0
学习 mark
chenfengwu 2008-9-7 10:14
17
0
好文章!学习中!
linhanshi 2008-9-7 11:22
18
0
support.
twister 1 2008-9-17 21:53
19
0
    模拜,,
fangfan 2008-10-8 18:46
20
0
高手....
fangfan 2008-10-8 18:50
21
0
绝对值得收藏.
alZou 2008-10-13 11:57
22
0
sys文件的编译环境能介绍一下吗?
kkyyff 2008-10-19 20:52
23
0
留位慢慢读.
better 2 2008-12-8 17:52
24
0
嘿嘿,单步call fword ptr [farcall]会蓝屏的!!
可以Anti-Debug哟……
sunjor 2008-12-8 18:59
25
0
学习了 ]
李敬利 2 2008-12-14 23:12
26
0
没看明白 是不是用驱动添加了一个R3的门描述符  然后用R3 直接CALL过去的 ?
biansant 2009-4-1 14:08
27
0
good ,so cool ~
recnad 2009-4-6 13:44
28
0
最近正研究门, mark, 感谢楼主!
ntKnight 2009-6-3 23:08
29
0
感谢楼主,, 膜拜楼主。。。
gamegm 2009-6-18 21:54
30
0
预留 慢慢的看
嘿嘿
天堂猪 2009-6-24 10:25
31
0
调用们只能由汇编实现吗
ntKnight 2009-8-18 19:44
32
0
收藏老久了,现在开始拜读了。。。
madook 2009-8-29 22:54
33
0
cool~
Thanks for share
流哥 2009-9-8 07:36
34
0
厉害啊,还没有接触过门的调用呢
iwindows 2009-12-31 12:40
35
0
膜拜中 ~~~~
lideq 2010-1-7 12:59
36
0
感谢楼主…资源太好了
vangoals 2010-2-24 08:36
37
0
资源太好了~
gnuser 2010-8-9 22:43
38
0
终于看懂了,内流满面
aait 2010-8-23 15:26
39
0
这个调用门进入ring0了吗?
peterpanli 2010-8-29 21:09
40
0
谢谢分享。。。
peterpanli 2010-8-29 21:11
41
0
谢谢分享.....
panderfly 2010-9-23 01:00
42
0
学习了
defddr 2010-9-24 19:01
43
0
要是被100个人转帖 那楼主不累死了
发个信息问问楼主 在决定转不转  不是更好么
atlantiscc 2011-2-16 18:59
44
0
好文章,Mark!
dclnet 2011-9-23 17:36
45
0
强大,标志了,学习。。。。。
deepfocus 2011-12-26 22:54
46
0
学到了很多,多谢.
yboy 2012-2-20 19:24
47
0
没看明白
lhao 2012-5-12 18:16
48
0
支持一个,!!!!!
songbeibei 2013-5-29 19:49
49
0
倾听高手的声音。。。
果栋 2013-6-2 16:34
50
0
目前还看不懂,这涉及到window内核吧,最近才刚开始研究
游客
登录 | 注册 方可回帖
返回