RING0 与 RING3之间的简单交互

最新推荐文章于 2020-10-27 23:17:18 发布
最新推荐文章于 2020-10-27 23:17:18 发布
阅读量935 收藏
点赞数
分类专栏: 驱动开发学习 HOOK技术 文章标签: object attributes hook access string windows
叫简单交互的原因是,只从ring3传给ring0一个变量的值,不涉及到锁事件的问题(有点像多线程的那个东东...)。这里我使用了最简单的例子,就是SSDT HOOK NtOpenProcess. ring3的应用程序将自己的PID传给ring0的驱动,驱动hook NtOpenProcess之后就无法从任务管理器终止应用程序了。

         加载驱动的方式用的是SCM....而且是《windows程序设计里》封装之后的CDRIVER类...(我承认我有点懒了....以后在用ZWLoadDriver 或者别的什么 rootkit.com里面有篇文章讲了好多种...)

==============================kernel mode,FIRSTDRIVER.C========================

/////////////////////////////////////////////////
// SSDT NtOpenProcess,
//FIRSTDRIVER.C 
//2008年5月10日


#include <ntddk.h>

#include <stdlib.h>

#include "IoCTL.h"

// 自定义函数的声明
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp);
void DriverUnload(PDRIVER_OBJECT pDriverObj);
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp);


VOID Hook();
VOID UnHook();

// 驱动内部名称和符号连接名称
#define DEVICE_NAME L"\\Device\\devDriverDemo"
#define LINK_NAME L"\\??\\slDriverDemo"

ULONG    g_uRealServiceAddress;    //真实函数地址
ULONG    g_uPID;                        //把PID传进来


typedef struct _SystemServiceDescriptorTable 

PVOID    ServiceTableBase; 
PULONG    ServiceCounterTableBase; 
ULONG    NumberOfService; 
ULONG    ParamTableBase; 
}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;

// KeServiceDescriptorTable为ntoskrnl.exe导出 
extern    PSystemServiceDescriptorTable    KeServiceDescriptorTable;


// 定义NtOpenProcess

typedef    NTSTATUS    (__stdcall *NTOPENPROCESS)( OUT PHANDLE ProcessHandle,


              IN ACCESS_MASK AccessMask,


              IN POBJECT_ATTRIBUTES ObjectAttributes,


              IN PCLIENT_ID ClientId


              );


NTOPENPROCESS   RealNtOpenProcess;   //原来的函数

// 自定义的NtOpenProcess函数 
NTSTATUS __stdcall MyNtOpenProcess( OUT    PHANDLE ProcessHandle, 
           IN    ACCESS_MASK DesiredAccess, 
           IN    POBJECT_ATTRIBUTES ObjectAttributes, 
           IN    PCLIENT_ID ClientId )
{
NTSTATUS nt;
ULONG uPID;

nt=(NTSTATUS)(NTOPENPROCESS)RealNtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
if((ClientId!=NULL))
{
   uPID=(ULONG)ClientId->UniqueProcess;
   if (uPID==g_uPID)
   {
    DbgPrint("PID:%u is hooked",uPID);
    ProcessHandle=NULL;
    nt=STATUS_ACCESS_DENIED;
   }

}
return nt;
}

// 驱动程序加载时调用DriverEntry例程
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{
////////////////初始化动作////////////////////////////////
NTSTATUS status;
UNICODE_STRING ustrDevName;
UNICODE_STRING ustrLinkName;
PDEVICE_OBJECT pDevObj;

g_uPID = 0;

status = STATUS_SUCCESS;

// 初始化各个派遣例程
pDriverObj->MajorFunction[IRP_MJ_CREATE] = DispatchCreateClose;
pDriverObj->MajorFunction[IRP_MJ_CLOSE] = DispatchCreateClose;
pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL]=DispatchIoctl;
pDriverObj->DriverUnload = DriverUnload ;

// 创建、初始化设备对象
// 设备名称

RtlInitUnicodeString(&ustrDevName, DEVICE_NAME);
// 创建设备对象

status = IoCreateDevice(pDriverObj, 
   0,
   &ustrDevName, 
   FILE_DEVICE_UNKNOWN,
   0,
   FALSE,
   &pDevObj);
if(!NT_SUCCESS(status))
{
   return status;
}

// 创建符号连接名称
// 符号连接名称

RtlInitUnicodeString(&ustrLinkName, LINK_NAME);
// 创建关联
status = IoCreateSymbolicLink(&ustrLinkName, &ustrDevName); 
if(!NT_SUCCESS(status))
{
   IoDeleteDevice(pDevObj); 
   return status;
}
////////////////////////初始化完毕////////////////////////////////////////
Hook();

return STATUS_SUCCESS;

}

// I/O控制派遣例程
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
///////////////////////DispatchIoctl///////////////////////////////
NTSTATUS IoCtlNtstus;
PIO_STACK_LOCATION pIRPStack;
ULONG uIoControlCode;
PVOID pIoBuffer;
ULONG uInSize;
ULONG uOutSize ;

//假设失败
IoCtlNtstus = STATUS_INVALID_DEVICE_REQUEST;

//IRP堆栈
pIRPStack = IoGetCurrentIrpStackLocation(pIrp);

//控制代码
uIoControlCode = pIRPStack->Parameters.DeviceIoControl.IoControlCode;
uInSize = pIRPStack->Parameters.DeviceIoControl.InputBufferLength;
uOutSize = pIRPStack->Parameters.DeviceIoControl.OutputBufferLength;
//
pIoBuffer= pIrp-> AssociatedIrp.SystemBuffer;


switch(uIoControlCode)
{
case IO_PID_CTL:
   {
    DbgPrint("the PID is %s",pIoBuffer);
    g_uPID = atol(pIoBuffer);
    DbgPrint("the PID is %u",g_uPID);

   }

   break;
default:
   break;
}
//完成请求

if(IoCtlNtstus == STATUS_SUCCESS)
   pIrp->IoStatus.Information = uOutSize;
else
   pIrp->IoStatus.Information = 0;


// 完成请求

pIrp->IoStatus.Status = IoCtlNtstus;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);

return IoCtlNtstus;

}


void DriverUnload(PDRIVER_OBJECT pDriverObj)
{


UNICODE_STRING strLink;
/////收尾工作 /////////////////////////////////

UnHook();

DbgPrint("unload");
// 删除符号连接名称

RtlInitUnicodeString(&strLink, LINK_NAME);
IoDeleteSymbolicLink(&strLink);

// 删除设备对象
IoDeleteDevice(pDriverObj->DeviceObject);
}

// 处理IRP_MJ_CREATE、IRP_MJ_CLOSE功能代码
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
pIrp->IoStatus.Status = STATUS_SUCCESS;
// 完成此请求


IoCompleteRequest(pIrp, IO_NO_INCREMENT);

return STATUS_SUCCESS;
}
VOID Hook()
{
ULONG uAddr;

DbgPrint("hook");
//得到NtOpenProcess的地址
uAddr=(ULONG)KeServiceDescriptorTable->ServiceTableBase +0x7A*4;
g_uRealServiceAddress = *(ULONG*)uAddr;

//记录真实地址一会儿用
RealNtOpenProcess= (NTOPENPROCESS)g_uRealServiceAddress;

DbgPrint( "Address of Real NtOpenProcess: 0x%08X\n", g_uRealServiceAddress );

DbgPrint(" Address of MyNtOpenProcess: 0x%08X\n", MyNtOpenProcess );

//取消内存保护
__asm 

   cli 
    mov    eax, cr0 
    and    eax, not 10000h 
    mov    cr0, eax 
}

//NND....废了这么大劲其实就为了这一句

*((ULONG*)uAddr)=(ULONG)MyNtOpenProcess;

//回复内存
__asm 

   mov    eax, cr0 
    or    eax, 10000h 
    mov    cr0, eax 
    sti 

}

VOID UnHook()
{

ULONG uUnhookAddr;

//得到NtOpenProcess的地址
uUnhookAddr=(ULONG)KeServiceDescriptorTable->ServiceTableBase +0x7A*4;

//取消内存保护
__asm 

   cli 
    mov    eax, cr0 
    and    eax, not 10000h 
    mov    cr0, eax 
}

//NND....废了这么大劲其实就为了这一句

*((ULONG*)uUnhookAddr)=(ULONG)g_uRealServiceAddress;

//回复内存
__asm 

   mov    eax, cr0 
    or    eax, 10000h 
    mov    cr0, eax 
    sti 

}

=============================kernel mode,IoCTL.h ==========================  

// IoCTL.h         

#define IO_PID_CTL \
CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810, METHOD_BUFFERED, FILE_ANY_ACCESS)      

=============================user mode,Demo.cpp===========================     

#include "stdafx.h"

#include <Windows.h>
#include <stdlib.h>
#include <winioctl.h>
#include "IoCTL.h"               //和驱动里面的一样
#include "driver.h"

int main(int argc, CHAR* argv[])
{
printf("****************************************************\n");
printf("                  用户模式交互程序                  \n\n");
printf("                  By Returns                            \n");
printf("****************************************************\n\n");
DWORD dwPID = GetCurrentProcessId();

printf("my pid is %u \n",dwPID);

char szAppPath[256];
char * p;


GetFullPathName("FIRSTDRIVER.sys",256,szAppPath,&p);

CDriver DriverCon(szAppPath,"slDriverDemo");

if (DriverCon.StartDriver())
{
   printf("The Driver is started successfully \n");
   if (DriverCon.OpenDevice())
   {
    char strOut[256],strInput[4];

    ltoa(dwPID,strInput,10);
    printf("the handle is open...%s \n",strInput);
    if (DriverCon.IoControl(IO_PID_CTL,&strInput,4,&strOut,256)!=-1)
    {
     printf("返回信息: %x \n",&strOut);
    }

   }
}

system("pause");


return 0;
}

用户模式中的 Dirver.h 是CDriver类的封装 简化了SCM的操作...引自《windows程序设计》

下载地址: Dirver.h

效果是这样的.....返回的信息是有点bug的...懒得改了...要想传多个PID用数组就可以了...我也懒得改了.


Ring3Ring0的通信
tatorey的博客
04-10 1444
浅谈三环零环的通信机制,深入了解驱动底层的通信原理
Ring0 Ring3 通信
qq_42021840的博客
05-20 436
Ring0: #define DEVICE_OBJECT_NAME L"\\Device\\MaDeviceObjectName" //驱动之间通信 #define DEVICE_LINK_NAME L"\\DosDevices\\MaDeviceLinkName" //Ring0Ring3 之间通信 #define IOCTL_NEITHER_NORMAL(i) \ CTL_CODE \ (
Ring0Ring3层的通信问题
weixin_30695195的博客
01-12 176
最近在学习驱动编程,因为大部分程序在Ring0层获得信息后,都要传递到Ring3层,将从内核获得的信息交由用户层处理。所以了解Ring3Ring0层的通信就显得至关重要了。下面简单介绍Ring3Ring0层的通信。 首先要了解IRP,开发一个驱动可能要处理各种各样的IRP。应用层为了和驱动通信,首先必须打开设备,然后发送或者接受消息,最后关系这个请求。这个过程涉及到了三个IRP,第一是打...
ring0ring3的区别
爱码农爱生活
03-16 624
 现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。      Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0Ring3(后面简称R0、R1、R2、R3)。R0层拥有最高的权限,R3层拥有最低的权限。按照Intel原有的构想,应...
Ring3/Ring0的四种通信方式
Rodney443220的专栏
06-11 8108
21.1.5  DeviceIoControl函数IoControlCode 打开驱动设备后,Ring3还要和驱动进行通讯或调用驱动的派遣例程,这需要用到一个非常重要的函数:DeviceIoControl。 BOOL DeviceIoControl(    HANDLE hDevice,           //设备句柄    DWORD dwIoControlCode,
ring3用户级应用程序ring0内核级驱动程序之间的调用,通信.zip
01-25
Ring3用户级应用程序Ring0内核级驱动程序之间的通信是系统功能扩展和安全的关键。当用户级应用需要执行如访问硬件、管理网络或存储等需要高权限的操作时,就需要内核级驱动进行交互。这种交互通常通过系统调用、...
ring0驱动调用ring3应用程序 从RING0级下启动RING3级的应用程序源代码
01-22
Windows系统中,Ring0驱动通常是设备驱动程序,它们直接硬件交互,需要最高的系统权限。Ring0驱动可以访问内存的任何部分,调度硬件资源,并执行对系统至关重要的操作。然而,这种高权限也带来了风险,因为一旦...
Ring0Ring3交互的APC注入技术解析
Ring0+Ring3交互是指Ring0Ring3之间进行数据交换或者功能调用。 #### APC注入实现 在Windows中,通过注入APC到目标线程,可以实现Ring0代码的执行。这里涉及到几个关键技术点: 1. **线程句柄的获取**:要注入...
驱动层ring0和应用层ring3软件通信.zip
01-27
本资料"驱动层ring0和应用层ring3软件通信.zip"将深入探讨这两个层次之间的通信机制。 **Ring0Ring3的概述** Ring0,也被称为内核态,是操作系统核心和硬件直接交互的地方,拥有最高的系统权限。在这个级别运行...
r3_to_r0.rar_from ring0 ring3_ring0_windows 内核
09-24
在计算机系统中,Ring 0Ring 3 是处理器特权级别的两种主要状态,它们操作系统内核和用户程序的执行权限密切相关。Ring 0 代表最高级别的特权,通常被操作系统核心使用,允许直接访问硬件资源和执行关键操作;...
进入ring0ring3
03-06
ring0下众生程序平等。程序转移分为两种: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。例如:windows ring3下cs是0x1b , ring0下cs通常是0x08.。 对于近转移,我们不需要进行特权级检查。由于windows是保护模式的操作系统,对于远转移如果跨层则需要进行特权级检查,看是否允许其调用。
用汇编语言写了个最小的WDM驱动程序 ring0内核编程
04-10
用masm汇编写个最小的WDM驱动程序 ring0内核编程
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
Ring0Ring3
weixin_43742894的博客
05-13 2967
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3Windows只使用RING0RING3RING0只给操作系统用,RING3谁都能用。 如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。因为有CPU的特权级别作保护。 ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之…… 以Li...
什么是ring0-ring3
黄腾霄的博客
03-01 6560
大家可能听说过某个代码需要运行在ring 0的说法。但是ring 0究竟是什么,今天就给大家介绍下。 权限控制 我们都知道计算机中运行着许多的软件,有些软件是和硬件打交道的,比如驱动软件,操作系统软件,有些软件只是运行在操作系统之上的,比如浏览器,文本编辑软件等。 为什么要这样设计? 这是为了控制运行软件的权限,让一些特定的软件才能执行某些“危险”的行为,比如读写特定的内存等。 这里就引申出了我...
Ring0Ring3如何进行通信
weixin_43742894的博客
04-10 555
学习是孤独的,但生活不是孤独的,学生生活中有志同道合的兄弟是是幸运的。 转载于https://blog.youkuaiyun.com/qq_42253797/article/details/105254741 正文: 我们写一个Ring0的代码,有时候需要和Ring3进行交互,比如我们做一个进程防杀的驱动保护,那我们可以通过Ring3的进程,发送请求告诉驱动层,究竟哪些进程属于白名单,哪些属于黑名单,而在通信...
ring0ring3(vc++编程扫盲)
sennyrong的专栏
11-29 1359
学过计算机操作系统的朋友都知道指令管态和算态的区别,但理论归理论,到了实际应用中就抓瞎了,说道这里,你应该明白了, ring0就是管态层,ring3就是算态层。so easy的窗户纸。 备注: 在CPU指令系统中,有一些指令是非常危险的,如果错用,将导致整个系统崩溃。比如:清内存、设置时钟等。如果所有的程序都 能使用这些指令,那么你的系统一天死机n回就不足为奇了。所以,CPU将指令
6.ring0ring3通信
Mikasys的博客
10-27 657
0x6 ring0ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
R0R3通信方式,ring0ring3开发区别笔记
kernweak的博客
05-21 2332
R0R3通信方式 ring3ring0开发区别 printf/scanf/fopen/fclose/fwrite/malloc/free不可用 sprintf/strlen/strcpy/wcslen.../memcpy/memset可用 Ring0成功返回0,失败返回负数,NTSTATUS/NT_SUCCESS() 这些状态码都在ntstatus.h里,将其转化为1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值