【笔记】RING0 与 RING3之间的简单交互

2023-12-03 00:38
文章标签 简单 笔记 交互 之间 ring3 ring0

本文主要是介绍【笔记】RING0 与 RING3之间的简单交互,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

RING0 与 RING3之间的简单交互

         叫简单交互的原因是,只从ring3传给ring0一个变量的值,不涉及到锁事件的问题(有点像多线程的那个东东...)。这里我使用了最简单的例子,就是SSDT HOOK NtOpenProcess. ring3的应用程序将自己的PID传给ring0的驱动,驱动hook NtOpenProcess之后就无法从任务管理器终止应用程序了。

         加载驱动的方式用的是SCM....而且是《windows程序设计里》封装之后的CDRIVER类...(我承认我有点懒了....以后在用ZWLoadDriver 或者别的什么 rootkit.com里面有篇文章讲了好多种...)


/
// SSDT NtOpenProcess,
//FIRSTDRIVER.C 
//2008年5月10日
#include <ntddk.h>
#include <stdlib.h>
#include "IoCTL.h"
// 自定义函数的声明
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp);
void DriverUnload(PDRIVER_OBJECT pDriverObj);
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp);VOID Hook();
VOID UnHook();
// 驱动内部名称和符号连接名称
#define DEVICE_NAME L"\\Device\\devDriverDemo"
#define LINK_NAME L"\\??\\slDriverDemo"
ULONG    g_uRealServiceAddress;    //真实函数地址
ULONG    g_uPID;                        //把PID传进来typedef struct _SystemServiceDescriptorTable 
{ 
PVOID    ServiceTableBase; 
PULONG    ServiceCounterTableBase; 
ULONG    NumberOfService; 
ULONG    ParamTableBase; 
}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;
// KeServiceDescriptorTable为ntoskrnl.exe导出 
extern    PSystemServiceDescriptorTable    KeServiceDescriptorTable;// 定义NtOpenProcess
typedef    NTSTATUS    (__stdcall *NTOPENPROCESS)( OUT PHANDLE ProcessHandle,IN ACCESS_MASK AccessMask,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId);NTOPENPROCESS   RealNtOpenProcess;   //原来的函数
// 自定义的NtOpenProcess函数 
NTSTATUS __stdcall MyNtOpenProcess( OUT    PHANDLE ProcessHandle, IN    ACCESS_MASK DesiredAccess, IN    POBJECT_ATTRIBUTES ObjectAttributes, IN    PCLIENT_ID ClientId )
{
NTSTATUS nt;
ULONG uPID;
nt=(NTSTATUS)(NTOPENPROCESS)RealNtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
if((ClientId!=NULL))
{uPID=(ULONG)ClientId->UniqueProcess;if (uPID==g_uPID){DbgPrint("PID:%u is hooked",uPID);ProcessHandle=NULL;nt=STATUS_ACCESS_DENIED;}
}
return nt;
}
// 驱动程序加载时调用DriverEntry例程
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{
初始化动作
NTSTATUS status;
UNICODE_STRING ustrDevName;
UNICODE_STRING ustrLinkName;
PDEVICE_OBJECT pDevObj;
g_uPID = 0;
status = STATUS_SUCCESS;
// 初始化各个派遣例程
pDriverObj->MajorFunction[IRP_MJ_CREATE] = DispatchCreateClose;
pDriverObj->MajorFunction[IRP_MJ_CLOSE] = DispatchCreateClose;
pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL]=DispatchIoctl;
pDriverObj->DriverUnload = DriverUnload ;
// 创建、初始化设备对象
// 设备名称
RtlInitUnicodeString(&ustrDevName, DEVICE_NAME);
// 创建设备对象
status = IoCreateDevice(pDriverObj, 0,&ustrDevName, FILE_DEVICE_UNKNOWN,0,FALSE,&pDevObj);
if(!NT_SUCCESS(status))
{return status;
}
// 创建符号连接名称
// 符号连接名称
RtlInitUnicodeString(&ustrLinkName, LINK_NAME);
// 创建关联
status = IoCreateSymbolicLink(&ustrLinkName, &ustrDevName); 
if(!NT_SUCCESS(status))
{IoDeleteDevice(pDevObj); return status;
}
初始化完毕
Hook();
return STATUS_SUCCESS;
}
// I/O控制派遣例程
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
///DispatchIoctl///
NTSTATUS IoCtlNtstus;
PIO_STACK_LOCATION pIRPStack;
ULONG uIoControlCode;
PVOID pIoBuffer;
ULONG uInSize;
ULONG uOutSize ;
//假设失败
IoCtlNtstus = STATUS_INVALID_DEVICE_REQUEST;
//IRP堆栈
pIRPStack = IoGetCurrentIrpStackLocation(pIrp);
//控制代码
uIoControlCode = pIRPStack->Parameters.DeviceIoControl.IoControlCode;
uInSize = pIRPStack->Parameters.DeviceIoControl.InputBufferLength;
uOutSize = pIRPStack->Parameters.DeviceIoControl.OutputBufferLength;
//
pIoBuffer= pIrp-> AssociatedIrp.SystemBuffer;switch(uIoControlCode)
{
case IO_PID_CTL:{DbgPrint("the PID is %s",pIoBuffer);g_uPID = atol(pIoBuffer);DbgPrint("the PID is %u",g_uPID);}break;
default:break;
}
//完成请求
if(IoCtlNtstus == STATUS_SUCCESS)pIrp->IoStatus.Information = uOutSize;
elsepIrp->IoStatus.Information = 0;// 完成请求pIrp->IoStatus.Status = IoCtlNtstus;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return IoCtlNtstus;
}void DriverUnload(PDRIVER_OBJECT pDriverObj)
{UNICODE_STRING strLink;
/收尾工作 /
UnHook();
DbgPrint("unload");
// 删除符号连接名称
RtlInitUnicodeString(&strLink, LINK_NAME);
IoDeleteSymbolicLink(&strLink);
// 删除设备对象
IoDeleteDevice(pDriverObj->DeviceObject);
}
// 处理IRP_MJ_CREATE、IRP_MJ_CLOSE功能代码
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
pIrp->IoStatus.Status = STATUS_SUCCESS;
// 完成此请求IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}
VOID Hook()
{
ULONG uAddr;
DbgPrint("hook");
//得到NtOpenProcess的地址
uAddr=(ULONG)KeServiceDescriptorTable->ServiceTableBase +0x7A*4;
g_uRealServiceAddress = *(ULONG*)uAddr;
//记录真实地址一会儿用
RealNtOpenProcess= (NTOPENPROCESS)g_uRealServiceAddress;
DbgPrint( "Address of Real NtOpenProcess: 0x%08X\n", g_uRealServiceAddress );
DbgPrint(" Address of MyNtOpenProcess: 0x%08X\n", MyNtOpenProcess );
//取消内存保护
__asm 
{ cli mov    eax, cr0 and    eax, not 10000h mov    cr0, eax 
}
//NND....废了这么大劲其实就为了这一句
*((ULONG*)uAddr)=(ULONG)MyNtOpenProcess;
//回复内存
__asm 
{ mov    eax, cr0 or    eax, 10000h mov    cr0, eax sti 
} 
}
VOID UnHook()
{
ULONG uUnhookAddr;
//得到NtOpenProcess的地址
uUnhookAddr=(ULONG)KeServiceDescriptorTable->ServiceTableBase +0x7A*4;
//取消内存保护
__asm 
{ cli mov    eax, cr0 and    eax, not 10000h mov    cr0, eax 
}
//NND....废了这么大劲其实就为了这一句
*((ULONG*)uUnhookAddr)=(ULONG)g_uRealServiceAddress;
//回复内存
__asm 
{ mov    eax, cr0 or    eax, 10000h mov    cr0, eax sti 
} 
}
=============================kernel mode,IoCTL.h ==========================  
// IoCTL.h         
#define IO_PID_CTL \
CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810, METHOD_BUFFERED, FILE_ANY_ACCESS)      
=============================user mode,Demo.cpp===========================     
#include "stdafx.h"
#include <Windows.h>
#include <stdlib.h>
#include <winioctl.h>
#include "IoCTL.h"               //和驱动里面的一样
#include "driver.h"
int main(int argc, CHAR* argv[])
{
printf("****************************************************\n");
printf("                  用户模式交互程序                  \n\n");
printf("                  By Returns                            \n");
printf("****************************************************\n\n");
DWORD dwPID = GetCurrentProcessId();printf("my pid is %u \n",dwPID);
char szAppPath[256];
char * p;GetFullPathName("FIRSTDRIVER.sys",256,szAppPath,&p);
CDriver DriverCon(szAppPath,"slDriverDemo");
if (DriverCon.StartDriver())
{printf("The Driver is started successfully \n");if (DriverCon.OpenDevice()){char strOut[256],strInput[4];ltoa(dwPID,strInput,10);printf("the handle is open...%s \n",strInput);if (DriverCon.IoControl(IO_PID_CTL,&strInput,4,&strOut,256)!=-1){printf("返回信息: %x \n",&strOut);}}
}
system("pause");return 0;
}

用户模式中的 Dirver.h 是CDriver类的封装 简化了SCM的操作...引自《windows程序设计》


效果是这样的.....返回的信息是有点bug的...懒得改了...要想传多个PID用数组就可以了...我也懒得改了..



这篇关于【笔记】RING0 与 RING3之间的简单交互的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!

原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/447458

相关文章

基于Python实现一个简单的题库与在线考试系统

基于Python实现一个简单的题库与在线考试系统

《基于Python实现一个简单的题库与在线考试系统》在当今信息化教育时代,在线学习与考试系统已成为教育技术领域的重要组成部分,本文就来介绍一下如何使用Python和PyQt5框架开发一个名为白泽题库系... 目录概述功能特点界面展示系统架构设计类结构图Excel题库填写格式模板题库题目填写格式表核心数据结构
阅读更多...
C/C++ chrono简单使用场景示例详解

C/C++ chrono简单使用场景示例详解

《C/C++chrono简单使用场景示例详解》:本文主要介绍C/C++chrono简单使用场景示例详解,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友... 目录chrono使用场景举例1 输出格式化字符串chrono使用场景China编程举例1 输出格式化字符串示
阅读更多...
windows和Linux安装Jmeter与简单使用方式

windows和Linux安装Jmeter与简单使用方式

《windows和Linux安装Jmeter与简单使用方式》:本文主要介绍windows和Linux安装Jmeter与简单使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录Windows和linux安装Jmeter与简单使用一、下载安装包二、JDK安装1.windows设
阅读更多...
Python与Java交互出现乱码的问题解决

Python与Java交互出现乱码的问题解决

《Python与Java交互出现乱码的问题解决》在现代软件开发中,跨语言系统的集成已经成为日常工作的一部分,特别是当Python和Java之间进行交互时,编码问题往往会成为导致数据传输错误、乱码以及难... 目录背景:为什么会出现乱码问题产生的场景解决方案:确保统一的UTF-8编码完整代码示例总结在现代软件
阅读更多...
SpringMVC 通过ajax 前后端数据交互的实现方法

SpringMVC 通过ajax 前后端数据交互的实现方法

《SpringMVC通过ajax前后端数据交互的实现方法》:本文主要介绍SpringMVC通过ajax前后端数据交互的实现方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价... 在前端的开发过程中,经常在html页面通过AJAX进行前后端数据的交互,SpringMVC的controll
阅读更多...
Java中Date、LocalDate、LocalDateTime、LocalTime、时间戳之间的相互转换代码

Java中Date、LocalDate、LocalDateTime、LocalTime、时间戳之间的相互转换代码

《Java中Date、LocalDate、LocalDateTime、LocalTime、时间戳之间的相互转换代码》:本文主要介绍Java中日期时间转换的多种方法,包括将Date转换为LocalD... 目录一、Date转LocalDateTime二、Date转LocalDate三、LocalDateTim
阅读更多...
利用Python快速搭建Markdown笔记发布系统

利用Python快速搭建Markdown笔记发布系统

《利用Python快速搭建Markdown笔记发布系统》这篇文章主要为大家详细介绍了使用Python生态的成熟工具,在30分钟内搭建一个支持Markdown渲染、分类标签、全文搜索的私有化知识发布系统... 目录引言:为什么要自建知识博客一、技术选型:极简主义开发栈二、系统架构设计三、核心代码实现(分步解析
阅读更多...
golang获取当前时间、时间戳和时间字符串及它们之间的相互转换方法

golang获取当前时间、时间戳和时间字符串及它们之间的相互转换方法

《golang获取当前时间、时间戳和时间字符串及它们之间的相互转换方法》:本文主要介绍golang获取当前时间、时间戳和时间字符串及它们之间的相互转换,本文通过实例代码给大家介绍的非常详细,感兴趣... 目录1、获取当前时间2、获取当前时间戳3、获取当前时间的字符串格式4、它们之间的相互转化上篇文章给大家介
阅读更多...
使用Python开发一个简单的本地图片服务器

使用Python开发一个简单的本地图片服务器

《使用Python开发一个简单的本地图片服务器》本文介绍了如何结合wxPython构建的图形用户界面GUI和Python内建的Web服务器功能,在本地网络中搭建一个私人的,即开即用的网页相册,文中的示... 目录项目目标核心技术栈代码深度解析完整代码工作流程主要功能与优势潜在改进与思考运行结果总结你是否曾经
阅读更多...
Mysql表的简单操作(基本技能)

Mysql表的简单操作(基本技能)

《Mysql表的简单操作(基本技能)》在数据库中,表的操作主要包括表的创建、查看、修改、删除等,了解如何操作这些表是数据库管理和开发的基本技能,本文给大家介绍Mysql表的简单操作,感兴趣的朋友一起看... 目录3.1 创建表 3.2 查看表结构3.3 修改表3.4 实践案例:修改表在数据库中,表的操作主要
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2