【原创】RING3过主防读物理内存、读写IO端口

最新推荐文章于 2023-06-30 07:30:50 发布

原创

最新推荐文章于 2023-06-30 07:30:50 发布 · 1.7k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#io #buffer #汇编 #360 #null #c

本文介绍了如何利用鲁大师的数字签名驱动，在RING3级别无提示地读取物理内存和IO端口。通过逆向工程分析了驱动的关键接口，并提供了伪代码示例。虽然缺乏写内存接口，但读取功能可以用于学习和理解底层系统操作。

最近拜读了王爽老师的《汇编语言》，学到了不少东西，终于能勉强逆点简单的小程序了。于是想到了 Extreme神犇很早以前提出的这个点子：调用带正规签名的驱动来干坏事- -

鲁大师有正规数字签名，所以它的驱动加载时不会被主防报警，而鲁大师驱动里也没有验证调用者，所以可以利用~

灵感来自 Extreme神犇~以前ASM完全不懂，用IDA只会F5，一看IoDispatchControl就苦逼了，所以一直搞不定(F5的话，SystemBuffer显示成一个什么.Type，完全驴唇不对马嘴，可怕- -||)

于是逆了ComputerZ.sys

一开始我直接拿安装的旧版逆，结果基本接口搞得差不多了之后发现新版的360硬件大师驱动更新了= =旧的没用了。。而内部实现也有变化然后苦逼了，又下了个新的360硬件大师

果然360还是考虑得周到些，加入了SeTokenIsAdmin权限验证，调用Function时对参数的检查也严格了些，不过还是没有验证调用者XD

最后鼓捣鼓捣还是成功了

下面是我逆出的伪码（为啥说是伪码呢？因为我就是边看反汇编边翻译。。只逆了一些关键的接口，没除错，编译不能，所以只能用来看看思路，说是C代码有点对不起观众- -|| 逆得很挫，大牛见笑了。。）：

代码:

#include <ntddk.h>

BOOLEAN read_port_uchar(USHORT usPort, PULONG buffer)
{
    if (!is_port_legal(usPort)) {
        return FALSE;
    }
    _asm {    
        in buffer,usPort
    }
    return TRUE;
}

BOOLEAN read_physical_address_by_uchar(PHYSICAL_ADDRESS PhyAddr)
{
    PUCHAR Register = MmMapIoSpace(PhyAddr.LowPart, 0, 4, 0);
    if (Register == NULL) {
        return FALSE;
    }
    READ_REGISTER_BUFFER_UCHAR(Register, &PhyAddr.HighPart, 4);
    MmUnmapIoSpace(Register, 4);
    return TRUE;
}

BOOLEAN read_physical_address_by_ulong(PHYSICAL_ADDRESS PhyAddr, ULONG NumberOfBytes)
{
    PULONG Register = MmMapIoSpace(PhyAddr.LowPart, 0, NumberOfBytes, 0);
    if (Register == NULL) {
        return FALSE;
    }
    READ_REGISTER_BUFFER_ULONG(Register, &PhyAddr.HighPart, NumberOfBytes / 4);
    MmUnmapIoSpace(Register, NumberOfBytes);
    return TRUE;
}

NTSTATUS __stdcall DispatchIoControl(int DeviceObject, PIRP Irp)
{
    NTSTATUS ulReturn = STATUS_SUCCESS;
    PIO_STACK_LOCATION IrpSp = Irp->Tail.Overlay.CurrentStackLocation;
    if (IrpSp->MajorFunction != IRP_MJ_CREATE && IrpSp->MajorFunction != IRP_MJ_CLOSE) {
        if (IrpSp->MajorFunction == IRP_MJ_DEVICE_CONTROL) {
            if (!check_admin_token()) {   // 验证administrator权限
                ulReturn = 0xC0000022;
                goto skip;
            }
            PVOID pSystemBuffer = pIrp->SystemBuffer;
            if (pSystemBuffer == 0) {
                ulReturn = 0xC000000D;
                goto skip;
            }
            
            //esi = pIrp->SystemBuffer;
            //edi = IrpSp
            ULONG port_data_buffer;
            switch (IrpSp->IoControlCode) {
                // ......
                case 0xF10024C0: {
                    //rdmsr
                    break;
                }
                case 0xF10024C4: {
              &