Windows内核之中断门提权

最新推荐文章于 2023-04-30 18:59:50 发布
最新推荐文章于 2023-04-30 18:59:50 发布
阅读量376 收藏 1
点赞数
分类专栏: 免费分享 技术文 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Appleteachers/article/details/116404336
版权
本文介绍了Windows内核中中断门的概念及其在三环程序开发中的应用。详细解析了中断门的结构,包括高32位和低32位的组成,以及如何构造中断门跳转到目标函数。通过示例代码展示了如何创建新的段描述符,并通过调用自定义的中断门,实现在内核中执行任意代码,从而达到权限提升的效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows内核之中断门提权

前言

    在平时三环程序下的开发中,都会用到断点,而这个断点其实就是与中断门有关联的。

1.中断门介绍
在三环程序开发中,编译器进行断点之后反汇编可以查看到,断点反汇编的形式就是 int 3。如下图,在OD中查看,这就是一个断点。

int 0x3; 其实就是查找的IDT表中,从0开始,索引为3的位置,继续看下图,通过windbg查看到int 3的段描述符。

INT段描述符对应的分解图如下:

构造中断门的高32位中的低16位的值是固定的,也就是ee00
而offset就是要跳转的函数地址(高32位中高16位和低32位中低16位)
低32位中,高16位是我们的段选择子偏移(index),查询的是GDT表

2.中断门的实现
接下来找一段空的位置,在把我们新构造的段描述符放进去。
1.构建段描述符
我们需要的两个条件,第一个是函数地址,第二个是段选择子 (index),这里我新建了一个__declspec的空函数,然后取地址即可
40100a。

第二个段选择子,我们用0008即可,就是GDT表中偏移为8的地方。

GDT表
kd> dq 80b99000
80b99000 0000000000000000 00cf9b000000ffff
80b99010 00cf93000000ffff 00cffb000000ffff
80b99020 00cff3000000ffff 80008b1e400020ab
80b9

最低0.47元/天 解锁文章
1.4 windows内核——中断门,陷阱门,任务门
kmic1的博客
10-13 663
TSS任务状态段 一个内核一个,存在于内存中,不存在与cpu;可以让cpu同时执行多个任务。 进程A申请堆栈时要向TSS申请,申请时会有两个一个0环,一个3环的, 1.TSS结构 本质: 不要把TSS与“任务切换”联系到一起 TSS的意义就在于可以同时换掉”一堆”寄存器 段寄存器有es,cs,ds,gs,idtr,tr 那么如何找到TSS,答案是tr 从GDT表中找到tr段寄存器,selector记录着TSS段描述符,base记录TSS表位置,limit记录TSS大小 2.tr段寄存器 3. TSS
Windows x64中断门 R3调用R0函数
deadpoolwilson12的博客
04-26 2521
Windows X64利用中断门,应用层调用内核层函数
中断门操作
weixin_34273481的博客
06-21 354
中断门在idt表中 因此构造一个函数 把函数地址给它 然后产生一个中断 就实现了1。查看 nt!DbgBreakPointWithStatus+0x4: 83eb2110 cc int 3 kd> r idtr idtr=80b95400 2.查看表 kd> dq 80b95400 L30 80b95400 83e78e00`00085fc0...
[windows内核]中断门
r250414958的博客
07-12 815
要说中断门,不得不先说一个概念就是IDT表(中断描述符表),用来存放中断门描述符的地方,IDT也用来存放任务门,以及陷阱门描述符,具体在手册中第三卷:6.11 IDT DESCRIPTORS 我们在windbg中可以使用如下指令查看idt表地址以及表的大小 下图是中断门描述符的格式 字段的具体含义如下 现在我们了大概了解了中断门描述符,我们再来了解一下异常和中断处理 大概意思是说 处理器对异常和中断调用的处理方式与用 CALL 指令调用例程和任务的处理十分相近。响应异常和中断时,处理器将异常或中断
中断门实验(一)打印任意地址(中断
weixin_46625454的博客
11-15 829
idt是中断描述表,idt表包含了三种描述符:任务门,中断门,以及陷阱门 本文是通过修改idt表中的0x20号中断,增加了自己的中断门 每一个idt表项中的 前2个字节+后2个字节(Offset31..16+Offset15..0=EIP)这个地址是当限符合以后跳转到这个地址执行。 限符合: 这里举一个例子 : mov eax, dword ptr ds : [0x8003f500] (1.找出选择子->2.查找IDT或者GDT表->3.找出描述符->4.根据描述...
1_中断
leibso的博客
10-22 258
1 使用pchunter查看系统中断表(中断描述符表) 1.1 那些中断处理地址内核高2GB ,所以中断处理环境坑定在0环 利用分析: 那我们把自己得处理函数放在这里面,那经过这个表调用就能获得高限; 注意: 代码 应该把随机基址关闭,并且使用release版本,这样地址稳定一些,debug 即使不开随机基址,可能运行中 子函数的地址会因为重构(当你改变内容的时候,可能编译器判...
7、代码间的跳转(跨段跳转)--Windows内核学习笔记
Windows内核学习笔记
01-18 624
1、短调用 –指令格式:CALL 立即数/寄存器/内存 –CALL指令的作用:指令执行之前,先把下一行指令的地址,压入堆栈中,相当于PUSH进去,PUSH完成后会把后边的值写入到EIP中,所以这个指令执行后的效果如下图: –通常一个函数执行完毕后,会用RET指令进行返回 ,RET指令相当于POP EIP,将返回值的地址弹到EIP中,然后ESP加4 2、长调用(跨段不) –指令格式:CALL CS:EIP(EIP是废弃的,只是为了保证语法的兼容) –当一个CALL后面跟了六个字节,那这个CALL就是一个
保护模式----中断门
Harlan的博客
09-01 842
  #include<stdio.h> #include<windows.h> DWORD dwH2GValue; DWORD g_eax; DWORD g_eflags; DWORD g_eflagsBefore; void __declspec(naked) GetH2GValue() { __asm { mov g_eax,...
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 800
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
保护模式阶段测试
weixin_73368512的博客
12-04 199
滴水中期保护模式阶段测试个人代码
Windows保护模式(四)中断门&陷阱门
sky123博客
10-12 775
继续运行代码,成功在 test 函数断下来,并且完成,栈结构也与前面描述的相符。中断门和调用门堆栈变化的不同点是多压了一个 EFLAGS 标志寄存器,因此返回使用的是 iretd 而不是 retf。指令会平衡堆栈,而中断门没有参数,因此会造成堆栈不平衡。在 IDT 表 0x100 偏移处构造一个中断门,对应中断号为 0x20。在 IDT 表 0x100 偏移处构造一个陷阱门,对应中断号为 0x20。Windows 系统没有使用调用门,但使用了中断门中断门执行时,会将IF标志位清零,但陷阱门不会。
11-中断门
进击的小学生
09-24 5760
除了使用调用门进行,本篇的中断门显的更加重要。因为在 Windows 中,大量使用了中断门中断门的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
7.中断门
My classmates
10-11 599
Windows没有使用调用门,但是使用了中断门: <1>系统调用 老的CPU调用一些api从r3进入r0,就是通过中断门,新的都是快速调用了 <2&am
【OS学习笔记】三十五 保护模式十:中断描述符表、中断门和陷阱门
厚积薄发
12-18 1654
上一篇文章学习了中断与异常的概念:【OS学习笔记】三十四 保护模式十:中断和异常区别 本片文章接着学习以下内容: 中断描述符表 中断门 陷阱门 1 中断描述符表 我们前面讲了无数次,在实模式下,是由位于低地址的1M内存中的中断向量表存放中断过程的地址。但是在保护模式下,有一点不一样,存放中断过程地址的是中断描述符表(IDT),且中断描述符不一定位于低地址处。 顾名思义,在中断描述符表(IDT)...
27-通过调用门实现
网络安全
06-27 1546
参考资料:9-调用门(无参) 1. 什么是调用门 在之前的学习中,JMP FAR指令实现代码跨段的本质是修改CS段寄存器,并不会改变程序的特级别(即修改CPL的值),如果我们即想要实现代码跨段和的话,就需要用到调用门。 调用门是CPU供的一个功能,它允许一个3环(CPL=3)的程序通过这扇“门”来修改CS段寄存器并实现到0环(CPL=0),实际上调用门是一个系统段描述...
int 3中断与软件调试
weixin_34066347的博客
12-11 284
摘要:平常编程调试的过程中,我们可能会有这样的疑惑:“为什么使用硬件模拟器,比如bochs调试的时候,开始设置的调试断点都不会生效?”,“断点调试的本质是什么,为什么程序能够在特定的地方停留下来?既然程序是指令流,为何CPU没有一直执行下去?”,“在软件中断的情况下,如何进行调试?”。断点和单步执行是两个经常使用的调试功能,也是调试器的核心功能。本章我们将介绍IA-32 C...
Windows内核实验001 中断
鬼手的博客
11-12 1403
文章目录实验环境内核IDT的基本知识什么是中断什么是IDT表在PC Hunter中查看IDT表中断的基本原理写一个三环的小程序修改IDT表测试 本篇文章基于周壑老师的讲解,感谢周壑老师。 实验环境 windbg双机调试环境 VS开发环境 32位 WIN7 虚拟机 内核 内核态的程序拥有一切限,在Windows操作系统上,没有任何其他软件可以限制内核态的程序。如果让一个用户层的...
(x86)硬件断点的原理与测试
walker的博客
04-30 460
硬件中断的原理与测试。
x64(win10) KPTI 内核页表隔离机制
walker的博客
06-27 1342
Windows10 x64 内核页表隔离机制(KPTI)【实验】
8-跨段与调用门
进击的小学生
10-03 3355
上一篇文章使用 jmp far 指令实现代码跨段,本质上就是改变 cs 段寄存器。但是我们发现,无论如何,jmp far 也无法更改 CPL。即使你的 RPL = 0,也是徒劳。 有没有办法更改 cs 段寄存器,同时也更改 CPL?答案是肯定的。本篇到了调用门只是其中的一种方法,还有其它方法,后文会陆续介绍。 1. 在 3 环能读取高 2G 内存吗? 回答这个问题最笨的方法就是做一个实...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值