从R3到R0权限

最新推荐文章于 2021-12-13 22:07:31 发布
最新推荐文章于 2021-12-13 22:07:31 发布
阅读量6.6k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 驱动开发学习 文章标签: windows system 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cosmoslife/article/details/7756775
本文探讨了黑客如何通过写入调用门来直接从R3权限进入R0权限的技术细节。文中介绍了如何使用非特权指令SGDT获取全局描述符表(GDT)的地址,并讨论了通过DevicePhysicalMemory设备访问内核内存区域的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以前看过一个这样的文章没太明白,今天在看《天书夜读》第12章----CPU权限级与分页机制----12.4.1小节----调用门及其漏洞中看到这样的一段描述,这里记录一下当作一个日后快速查看的笔记。这里学习其思想。原文如下:

"如果黑客可以写入一个调用门,那么就可以利用R3程序直接进入R0权限。“ 这是一个实现思路的提出。

全局描述符表的位置是很容易找到的,指令SGDT不是特权指令,在R3下直接调用就可以得到GDT的地址,然后目标就是搜索空闲位置插入一个调用门了。“下面给出一段在R3程序中查看GDT地址的测试代码:

#include <stdio.h>

int main()
{
  char gdt[6];
  unsigned long gdtaddr;
  unsigned short gdtlimit;

  _asm sgdt gdt;
  gdtaddr = *(unsigned long *)(&gdt[2]);
  gdtlimit = *(unsigned short *)(&gdt[0]);
  printf("GDT Base: %08X\n",gdtaddr);
  printf("GDT Limit: %04X\n",gdtlimit);
}

GDT Base: 8003F000
GDT Limit: 03FF
Press any key to continue


难度在于如何写入GDT所在的内核地址区,R3代码没有对该内存区域的访问权限但是Windows内部提供了一个设备,名字叫做"Device\PhysicalMemory",这个设备可以被系统用户访问,直接访问这个设备就可以访问物理内存。从管理员(Administrator)得到系统(System)用户权限是可行的。在Windows的世界里,Administrator实际上已经是至

高权限了,只是一些权限需要自己用多余的手续去获取。“


书中后面介绍了一篇文章有关《Windows NT/2000/XP下不用驱动的Ring0代码实现>>文章

[Windows] 系统调用(R3 进入 R0
墨鱼菜鸡
09-07 293
背景 一个线程由用户态进入内核态的途径有3种典型的方式: 通过 int 0x2e(软中断自陷) 或 KiFastSystemCall (快速系统调用),主动进入内核。引发异常或硬件中断,被迫进入内核。 一般...
Windows x64中断提权 R3调用R0函数
deadpoolwilson12的博客
04-26 2590
Windows X64利用中断提权,应用层调用内核层函数
(ZT)R3使用调用切R0
谢绝(无视)留言与私信
10-19 1172
前言找了个例子,可以从R3通过"调用"切到R0. 学习的过程中,还有点疑问. e.g. 为什么R3的选择子算的不对? 先丢这,等理解了再回来弄. 人家R0的代码用MASM写的, 用C写也行. 记录R3// hw.cpp : Defines the entry point for the console application. //// #include "stdafx.h" #include <
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
09-23
这个主题"r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho"聚焦于如何在Windows 2000和XP系统中从用户模式(Ring3)进入内核模式(Ring0)。下面我们将详细探讨这一转换过程以及相关的技术知识点。 首先,让我们理解...
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
"进程断链隐藏"就是一种黑客技术,它通过修改内核态(Ring 0)的数据,从这个链表中移除目标进程的条目,从而使其他程序无法通过常规方式检测到该进程的存在,达到隐藏的目的。这种方法通常需要编写驱动程序来实现,...
r3_to_r0.rar_from ring0 ring3_ring0_windows 内核
09-24
标题 "r3_to_r0.rar_from ring0 ring3_ring0_windows 内核" 提及的是一个关于如何在Windows操作系统中从Ring 3级别切换到Ring 0级别的过程。这通常是系统调用或中断处理的一部分,用于实现用户程序请求的低级操作,...
Linux获取ring0权限,Ring0和Ring3权限
weixin_42208552的博客
04-29 1123
本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R...
Window系统内存读写API简易阅读笔记---从R3到R0
u011442768的博客
10-23 2002
以前一直都在用Read/WriteProcessMemory这个API读写内存,也没探究过Windows怎么实现的内存读写,这几天就了解了解这一部分。 打开IDA,拖入KernelBase.dll(因为Kernel32.dll中的ReadProcessMemory会调转到KernelBase这里),定位到API。 BOOL __stdcall ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T
windows驱动开发第13课(R3与R0通信之读取数据)
weixin_42655748的博客
12-13 1185
windows驱动开发第13课(R3与R0通信之读取数据),为写入数据和读取数据封装独立函数。
R3-R0 系统调用(快速调用与中断
walker的博客
03-03 1164
简介 我们知道,通过驱动程序可以实现从用户态进入内核态。而操作系统的 API 函数可以实现进入内核态,那么这是如何实现的呢? 操作系统定义了一个用户程序和内核程序都可以访问的一个结构 _KUSER_SHARED_DATA ,而用户态下的该结构和内核态下的该结构都指向同一个物理内存。操作系统通过初始化该结构体,以实现 API 函数直接 call 该结构体下的 SystemCall 中的函数地址( KiFastSystemCall 或 KiIntSystemCall 函数),以实现从用户态进入内核态。 _KU
windows系统中核心态R0和用户态R3之间的通信
qq_33526144的博客
12-12 4779
权限级别 系统核心态指的是R0,用户态指的是R3,系统代码在核心态下运行,用户代码在用户态下运行。系统中一共有四个权限级别,R1和R2运行设备驱动,R0到R3权限依次降低,R0和R3权限分别为最高和最低。从windows体系结构图可以看出在用户态可以调用的函数接口都在ntdll.dll中, ...
WINDOWS2000/XP无驱动得到RING0权限
CharlesPrince的专栏
01-24 2997
大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模 式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令, 对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必 须借助CPU的某种机制,如中断、调用等。而Windows NT/2000提供用户态执行系 统服务(Ring 0
R0与R3联调
zhuhuibeishadiao
03-31 2013
1:使用!process 0 0 获取用户空间的进程的信息 //这步之前已经给要调试的驱动加载符号了 !process 0 0 2:使用.process /p + 你需要调试的应用程序的EProcess地址,切换到应用程序的地址空间 .process /p 0x81a02af0 3:重新加载user程序的 PDB文件 (需在Windbg里设置好R3的符号和源代码)然后运行(不要在对话框里的
Ring0和Ring3权限
liujiayu2的专栏
05-27 5968
现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。   Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R1、R2、R3)。R0层拥有最高的权限,R3层拥有最低的权限。按照Intel原有的构想
R3与R0联调
kernweak的博客
05-23 789
如果没有联调,当看栈时候 WARNING: Frame IP not in any known module. Following frames may be wrong. 看不见操作步骤是 使用!process 0 0 获取用户空间的进程的信息 .process /p 87373550 切换到要调试的应用程序的Eprocess地址 重新加载user程序的 PDB文件 (需在Windbg...
如何获取文件System权限
热门推荐
Tokyo_2024的博客
04-06 1万+
1.  在桌面上随便建一个文件,点击属性;2.  点安全—》高级3. 点右上角“更改”小蓝字4. 检查名称框中输入E,然后点击检查名称,你将看到框内变成 Everyone,最后点击确认,这一步完成5. 按图示序号单击即可获取权限...
SAP R3系统用户权限详解:创建、管理与安全策略
在SAP R3系统中,用户和权限管理是至关重要的组成部分,确保了系统的安全性和高效运行。本课程——《SAP R/3系统用户和权限》于2013年2月4日进行,主要内容涵盖了以下几个关键知识点: 1. **权限概念**: 权限被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值