通过修改CR0寄存器绕过SSDT驱动保护
来源:互联网 发布:淘宝便宜的鞋店推荐 编辑:程序博客网 时间:2024/05/18 01:35
为了安全起见,Windows XP及其以后的系统将一些重要的内存页设置为只读属性,这样就算有权力访问该表也不能随意对其修改,例如SSDT、IDT等。但这种方法很容易被绕过,我们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。
cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。
控制寄存器最初出现于低级的286处理器中,以前称之为机器状态字(machine status word),在386以后它们被重命名为控制寄存器(control register)。
cr0寄存器直到486的处理器版本才被加入了“写保护”(Write Protect,WP)位,WP位控制是否允许处理器向标记为只读属性的内存页写入数据。
WP位0:禁用写保护的功能
WP位1:开启写保护的功能
cr0的第16位是WP位,只要将这一位置0就可以禁用写保护,置1则可将其恢复。
禁用写保护的操作步骤:
1 shl 16(1左移16位)//结果:10000000000000000
对结果取反 not (1 shl 16)//结果:FFFEFFFF=01111111111111111
对cr0的值进行“逻辑与”运算:and cr0, 01111111111111111 //即将第17位置0,其余位不变
启用写保护的操作步骤:
直接对CR0的值进行“逻辑或”运算:or cr0,10000000000000000//即将第17位置1,其余位不变
禁用和启用写保护的内联汇编代码如下所示:
// 关闭写保护
__asm
{
cli ;//将处理器标志寄存器的中断标志位清0,不允许中断
mov eax, cr0
and eax, ~0x10000
mov cr0, eax
}
// 恢复写保护
__asm
{
mov eax, cr0
or eax, 0x10000
mov cr0, eax
sti ;//将处理器标志寄存器的中断标志置1,允许中断
}
注意:cli和sti都是特权指令,必须在ring0才能使用的。
核心代码如下:
PJMPCODE pCurAddr;//指向SSDT表中"当前地址"的指针JMPCODE oleCode;//用来保存前5字节,以便恢复//驱动程序的入口函数#pragma INITCODE//将DriverEntry设在分页内存中,当驱动加载成功,此函数在内存中移除。extern "C" NTSTATUS DriverEntry (IN PDRIVER_OBJECT pDriverObject,IN PUNICODE_STRING pRegistryPath){ULONG curAddr,oldAddr;JMPCODE jmpCode;// __asm int 3;//断点DbgPrint("驱动加载成功……\n");curAddr = Get_NTCurAddr();oldAddr = Get_NTOldAddr();if (curAddr!=oldAddr){//保存前5字节pCurAddr=(PJMPCODE)curAddr;//初始化指针oleCode.jmpStyle=pCurAddr->jmpStyle;//跳转方式的机器码(1字节)oleCode.jmpAddr=pCurAddr->jmpAddr;//跳转的目的地址机器码(4字节)jmpCode.jmpStyle = 0xE9;//近跳转jmpCode.jmpAddr = oldAddr-curAddr-5;DbgPrint("要写入的地址:%X",jmpCode.jmpAddr);//写入JMP指令//关闭写保护_asm{cli ;//将处理器标志寄存器的中断标志位清0,不允许中断mov eax, cr0and eax, ~0x10000mov cr0, eax}pCurAddr->jmpStyle=0xE9;//近跳转pCurAddr->jmpAddr=jmpCode.jmpAddr;//要跳转到的地址// 恢复写保护_asm{mov eax, cr0or eax, 0x10000mov cr0, eaxsti ;//将处理器标志寄存器的中断标志置1,允许中断}DbgPrint("NtOpenProcess被Hook了");}CreateMyDevice(pDriverObject);//创建设备pDriverObject->DriverUnload = DDK_UnLoad;return STATUS_SUCCESS;}
//卸载例程void DDK_UnLoad(IN PDRIVER_OBJECT pDriverObject){//关闭写保护_asm{cli ;//将处理器标志寄存器的中断标志位清0,不允许中断mov eax, cr0and eax, ~0x10000mov cr0, eax}pCurAddr->jmpStyle=oleCode.jmpStyle;//近跳转pCurAddr->jmpAddr=oleCode.jmpAddr;//要跳转到的地址// 恢复写保护_asm{mov eax, cr0or eax,0x10000mov cr0, eaxsti ;//将处理器标志寄存器的中断标志置1,允许中断}// PDEVICE_OBJECT pDevObj;// UNICODE_STRING symbolicLinkName;//符号链接名// pDevObj=pDriverObject->DeviceObject;//根据驱动对象获取要删除的设备对象// IoDeleteDevice(pDevObj);//删除设备对象// RtlInitUnicodeString(&symbolicLinkName,L"\\??\\Fly888");//初始化符号链接名// IoDeleteSymbolicLink(&symbolicLinkName);//删除符号链接DbgPrint("驱动卸载成功……\n");}
原创文章,转载请注明出处:http://blog.csdn.net/php_fly
- 通过修改CR0寄存器绕过SSDT驱动保护
- 通过修改CR0寄存器绕过SSDT驱动保护
- 通过修改CR0寄存器绕过SSDT驱动保护
- Rootkit之SSDT hook(通过CR0)
- Rootkit之SSDT hook(通过CR0)
- 绕过驱动保护经典例子
- 驱动笔记:SSDT HOOK实现进程保护
- SSDT HOOK驱动开发(2):进程保护
- SSDT HOOK驱动开发(2):进程保护
- 修改SSDT做简单的进程保护
- 修改SSDT做简单的进程保护
- SSDT Hook之修改内存保护
- CR0-4寄存器介绍
- CR0-4寄存器介绍
- x86CPU 实模式 保护模式 傻傻分不清楚? 基于Xv6-OS 分析CR0 寄存器
- 控制寄存器 cr0,cr2,cr3
- 貌似只改了SSDT的驱动保护
- 汇编与驱动-采用SSDT Hook NtOpenProcess保护进程
- Oracle--oracle实例启动报ORA-03113: end-of-file on communication channel
- iOS 开发小技巧
- Oracle命令--数据迁移
- Oracle命令--数据库实例删除
- UNIX环境高级编程读书笔记(九)—进程关系 (2)
- 通过修改CR0寄存器绕过SSDT驱动保护
- 数字货币,不仅仅只是比特币
- Google Maps Android API v2
- SQL(二)数据更新
- Oracle命令--删除归档日志
- SQL(三)查询(一) 简单查询(order by、group by、having、as)
- Android 测试工具Monkey & Monkeyrunner 使用方法
- SQL(四)查询(二)过滤数据(where子句()
- java 递归查询树形结构