利用SEH進入ring0以及單步自跟蹤的實現(xiàn)

只看該作者 · 發(fā)表于 2008-9-28 16:36:07

一、ring0!并不遙遠...
   
   作為seh的一個有趣的應用是進入ring0,ring0意味著更多的權利,意味著你可以進行一些其他ring3級應用程序不能進行的操作,譬如改自己的代碼段(在不修改段屬性的前提下),改系統(tǒng)數(shù)據(jù)(病毒?)等等,在9X下進入ring0的方法很多,在NT下困難的多,SEH只是其中較簡單的一種.打開調(diào)試器看看系統(tǒng)kernel的工作狀態(tài),在9X下cs一般是28h,ds,ss等通常是30h,因此只要我們的cs和ss等在異常處理程序中被賦予上述ring0選擇子值,進入ring0就可以實現(xiàn).可能我們需要執(zhí)行較復雜的操作,在ring0下一般不能直接調(diào)用常用api,當然VxD,WDM等提供的系統(tǒng)服務是另外一種選擇. 否則,這在用下述簡單方法進入ring0后執(zhí)行會產(chǎn)生錯誤,因此,我們在ring0下盡快完成需要完成的任務,然后迅速返回ring3.
在ring0下要完成如下任務:
 
1.取CR3的值,返回ring3顯示.在ring3下不可以讀取cr3的值.你可以打開kernel調(diào)試器看看例子程序取到的值是否正確.
2.修改代碼段后面的jmp ****代碼,這在通常情況下只會導致保護錯誤.而在ring0下是可以的,就像在前面例子中用she實現(xiàn)SMC的效果是一樣的,最后顯示幾個MsgBox,證明我們曾經(jīng)到達過ring0
 
這個例子是參考owl的那個nasm寫的例子用masm改寫,并增加ring0下SMC的代碼部分以作演示.另外代碼中iretd指令并不是簡單實現(xiàn)跳轉(zhuǎn),而是實現(xiàn)從ring0切回ring3的功能,在變換代碼特權級的同時,堆棧的也要變換到ring3.可能原例子ljtt前輩的中文注釋容易引起初學者的誤解.
 
別的不說,我發(fā)現(xiàn)進入ring0后修改代碼段可以使trw的跟蹤崩潰...hmmm,好消息?代碼如下:
其中用的一些宏在Ex5中已經(jīng)貼了,就不再重復.
;-----------------------------------------
;Ex6,演示利用seh進入ring0! by Hume,2002
;humewen@21cn.com 
;hume.longcity.net
;-----------------------------------------
.586
.model flat, stdcall
option casemap :none   ; case sensitive
include hd.h
include mac.h
 
;;--------------
ring0_xHandler       proto C :DWORD,:DWORD,:DWORD,:DWORD
        .data
szbuf   db 100 dup (0)
count   dd 0
;;-----------------------------------------
.CODE
_Start:
        assume fs:nothing
        push    offset ring0_xHandler
        push    fs:[0]
        mov     fs:[0],esp
        ;--------------------
        mov     ecx,ds
        test    ecx,100b
        jz      NT_2K_XP         ;NT/2K/XP has no LDT 
        pushfd
        mov     eax,esp
 
        int     3
        mov     ebx,cr3          ;現(xiàn)在,正式宣布,進入ring0! 
                                 ;呵呵這樣簡單就進入ring0了,至于進入
        push    ebx              ;ring0有啥用,不要問我!
        lea     ebx,offset _modi  ;SMC
        mov     byte ptr[ebx],75h ;修改jmp addinfo為jnz addinfo指令
        pop     ebx
 
        push    edx                     ;ss
        push    eax                     ;esp
        push    dword ptr[eax]          ;eflags          
        push    ecx                     ;cs
        push    offset ring3back        ;eip
        iretd                           ;這里是通過iretd 指令返回特權級3
 
ring3back:
        popfd
        invoke    wsprintf,addr szbuf,ddd("It's in ring0,please see CR3==%08X",0dh,oah,"following display Modified info..."),ebx
        invoke    MessageBox,0,addr szbuf,ddd("Ring0! by Hume[AfO]"),40h  
        xor     eax,eax
        ;add     eax,2
        .data
        Nosmc db "Not modified area!",0
        besmc db "haha,I am modified by self in ring0!",0
        .code
        mov     ebx,offset Nosmc
        mov     eax,0
_modi:
        jmp     addinfo            ;SMC后將這里改為jnz addinfo 
 
        mov     ebx,offset besmc
        mov     eax,30h
addinfo:
        invoke    MessageBox,0,ebx,ddd("Rin0 SMC test"),eax
_exit:
        ;--------------------        
        pop     fs:[0]
        add     esp,4
        invoke    ExitProcess,0
 
NT_2K_XP:
        invoke    MessageBox,0,ddd("The example not support NT/2K/Xp,only 9x!"),ddd("By hume"),20h
        jmp     _exit
;-----------------------------------------
ring0_xHandler PROC C pExcept:DWORD,pFrame:DWORD,pContext:DWORD,pDispatch:DWORD
        pushad        
assume  edi:ptr CONTEXT
assume  esi:ptr EXCEPTION_RECORD
 
        mov     esi,pExcept
        mov     edi,pContext          
        test    dword ptr[esi+4],1              ;Exception flags
        jnz     @f        
        test    dword ptr[esi+4],6
        jnz     @f
        cmp    dword ptr[esi],80000003h        ;break ponit flag
        jnz     @f        
        
        m2m     [edi].regEcx,[edi].regCs        ;保存3級代碼段選擇子
        mov     [edi].regCs,28h                 ;0級代碼段選擇子
 
        m2m     [edi].regEdx,[edi].regSs        ;保存3級堆棧段選擇子
        mov     [edi].regSs,30h                 ;0級堆棧選擇子
 
        mov     dword ptr[esp+7*4],0
        popad         
        ret
@@:
        mov     dword ptr[esp+7*4],1
        popad    
        ret
ring0_xHandler ENDP
;-----------------------------------------
END    _Start
 
 由于在NT/2K/XP下這種進入ring0的方法不能使用,所以首先區(qū)別系統(tǒng)版本,如果是NT/2K/XP則拒絕執(zhí)行, 原理是在NT/2K/XP下沒有LDT,因此測試選擇子是否指向LDT,這是一種簡單的方法,但不推薦使用, 最好使用GetVersionEx...至于
         mov     dword ptr[esp+7*4],0
         popad         
 是返回eax=1的實現(xiàn)

賬號		自動登錄	找回密碼
密碼			注冊

亚洲色一色噜一噜噜噜_在线国产精品一区二区_91国自产拍 精品_国产伦三级一区二区

利用SEH進入ring0以及單步自跟蹤的實現(xiàn)

亚洲色一色噜一噜噜噜_在线国产精品一区二区_91国自产拍精品_国产伦三级一区二区