日期：2011-03-22 13:55:00 来源：本站整理

NT/2000下不用驱动的Ring0代码实现[VC/C++编程]

赞助商链接

分享到： QQ空间新浪微博腾讯微博人人网

本文“NT/2000下不用驱动的Ring0代码实现[VC/C++编程]”是由七道奇为您精心收集，来源于网络转载，文章版权归文章作者所有，本站不对其观点以及内容做任何评价，请读者自行判断，以下是其具体内容：

大家知道,Windows NT/2000为实现其坚固性,严峻将系统划分为内核情势与用户情势,在i386系统中辨别对应CPU的Ring0与Ring3级别.Ring0下,可以履行特权级指令,对任何I/O设备都有拜候权等等.要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中止门、调用门等.而Windows NT/2000供利用户态履行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中止服务等,严峻的参数查抄,只能严峻的履行Windows NT/2000供应的服务,而假如想履行用户供应的Ring 0代码(指运行在Ring 0权限的代码),通例办法仿佛只有编写设备驱动程序.本文将介绍一种在用户态不借助任何驱动程序履行Ring0代码的办法.

Windows NT/2000将设备驱动程序调入内核区域(常见的位于地址0x80000000上),由DPL为0的GDT项8,即cs为8时实现Ring 0权限.本文通过在系统中构造一个指向我们的代码的调用门(CallGate),实现Ring0代码.基于这个思绪,为实现这个目的主如果构造自己的CallGate.CallGate由系统中叫Global Descriptor Table(GDT)的全局表指定.GDT地址可由i386指令sgdt得到(sgdt不是特权级指令,普通Ring 3程序都可履行).GDT地址在Windows NT/2000保存于KPCR(Processor Control Region)构造中(见《再谈Windows NT/2000环境切换》).GDT中的CallGate是以下的格局:

typedef struct { unsigned short offset_0_15; unsigned short selector; unsigned char param_count : 4; unsigned char some_bits : 4; unsigned char type : 4; unsigned char app_system : 1; unsigned char dpl : 2; unsigned char present : 1; unsigned short offset_16_31; } CALLGATE_DESCRIPTOR;

GDT位于内核区域,普通用户态的程序是不大概对这段内存区域有直接的拜候权.幸运的是Windows NT/2000供应了一个叫PhysicalMemory的Section内查对象位于\Device的途径下.顾名思义,通过这个Section对象可以对物理内存举行操作.用objdir.exe对这个对象解析以下:

C:\NTDDK\bin>objdir /D \Device PhysicalMemory Section DACL - Ace[ 0] - Grant - 0xf001f - NT AUTHORITY\SYSTEM Inherit: Access: 0x001F and ( D RCtl WOwn WDacl ) Ace[ 1] - Grant - 0x2000d - BUILTIN\Administrators Inherit: Access: 0x000D and ( RCtl )

从dump出的这个对象DACL的Ace可以看出默许情形下只有SYSTEM用户才有对这个对象的读写权限,即对物理内存有读写本领,而Administrator只有读权限,普通用户根本就没有权限.不过假如我们有Administrator权限便可以通过GetSecurityInfo、SetEntriesInAcl与SetSecurityInfo这些API来改正这个对象的ACE.这也是我供应的代码需求Administrator的缘由.实现的代码以下:

VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection) { PACL pDacl=NULL; PACL pNewDacl=NULL; PSECURITY_DESCRIPTOR pSD=NULL; DWORD dwRes; EXPLICIT_ACCESS ea; if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION, NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS) { printf( "GetSecurityInfo Error %u\n", dwRes ); goto CleanUp; } ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS)); ea.grfAccessPermissions = SECTION_MAP_WRITE; ea.grfAccessMode = GRANT_ACCESS; ea.grfInheritance= NO_INHERITANCE; ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME; ea.Trustee.TrusteeType = TRUSTEE_IS_USER; ea.Trustee.ptstrName = "CURRENT_USER"; if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS) { printf( "SetEntriesInAcl %u\n", dwRes ); goto CleanUp; } if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION, NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS) { printf("SetSecurityInfo %u\n",dwRes); goto CleanUp; } CleanUp: if(pSD) LocalFree(pSD); if(pNewDacl) LocalFree(pSD); } 这段代码对给定HANDLE的对象增添了以下的ACE: PhysicalMemory Section DACL - Ace[ 0] - Grant - 0x2 - WEBCRAZY\Administrator Inherit: Access: 0x0002 //SECTION_MAP_WRITE