【笔记】RING0 与 RING3之间的简单交互

2023-12-03 00:38
文章标签 简单 笔记 交互 之间 ring3 ring0

本文主要是介绍【笔记】RING0 与 RING3之间的简单交互,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

RING0 与 RING3之间的简单交互

         叫简单交互的原因是,只从ring3传给ring0一个变量的值,不涉及到锁事件的问题(有点像多线程的那个东东...)。这里我使用了最简单的例子,就是SSDT HOOK NtOpenProcess. ring3的应用程序将自己的PID传给ring0的驱动,驱动hook NtOpenProcess之后就无法从任务管理器终止应用程序了。

         加载驱动的方式用的是SCM....而且是《windows程序设计里》封装之后的CDRIVER类...(我承认我有点懒了....以后在用ZWLoadDriver 或者别的什么 rootkit.com里面有篇文章讲了好多种...)


/
// SSDT NtOpenProcess,
//FIRSTDRIVER.C 
//2008年5月10日
#include <ntddk.h>
#include <stdlib.h>
#include "IoCTL.h"
// 自定义函数的声明
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp);
void DriverUnload(PDRIVER_OBJECT pDriverObj);
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp);VOID Hook();
VOID UnHook();
// 驱动内部名称和符号连接名称
#define DEVICE_NAME L"\\Device\\devDriverDemo"
#define LINK_NAME L"\\??\\slDriverDemo"
ULONG    g_uRealServiceAddress;    //真实函数地址
ULONG    g_uPID;                        //把PID传进来typedef struct _SystemServiceDescriptorTable 
{ 
PVOID    ServiceTableBase; 
PULONG    ServiceCounterTableBase; 
ULONG    NumberOfService; 
ULONG    ParamTableBase; 
}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;
// KeServiceDescriptorTable为ntoskrnl.exe导出 
extern    PSystemServiceDescriptorTable    KeServiceDescriptorTable;// 定义NtOpenProcess
typedef    NTSTATUS    (__stdcall *NTOPENPROCESS)( OUT PHANDLE ProcessHandle,IN ACCESS_MASK AccessMask,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId);NTOPENPROCESS   RealNtOpenProcess;   //原来的函数
// 自定义的NtOpenProcess函数 
NTSTATUS __stdcall MyNtOpenProcess( OUT    PHANDLE ProcessHandle, IN    ACCESS_MASK DesiredAccess, IN    POBJECT_ATTRIBUTES ObjectAttributes, IN    PCLIENT_ID ClientId )
{
NTSTATUS nt;
ULONG uPID;
nt=(NTSTATUS)(NTOPENPROCESS)RealNtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
if((ClientId!=NULL))
{uPID=(ULONG)ClientId->UniqueProcess;if (uPID==g_uPID){DbgPrint("PID:%u is hooked",uPID);ProcessHandle=NULL;nt=STATUS_ACCESS_DENIED;}
}
return nt;
}
// 驱动程序加载时调用DriverEntry例程
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{
初始化动作
NTSTATUS status;
UNICODE_STRING ustrDevName;
UNICODE_STRING ustrLinkName;
PDEVICE_OBJECT pDevObj;
g_uPID = 0;
status = STATUS_SUCCESS;
// 初始化各个派遣例程
pDriverObj->MajorFunction[IRP_MJ_CREATE] = DispatchCreateClose;
pDriverObj->MajorFunction[IRP_MJ_CLOSE] = DispatchCreateClose;
pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL]=DispatchIoctl;
pDriverObj->DriverUnload = DriverUnload ;
// 创建、初始化设备对象
// 设备名称
RtlInitUnicodeString(&ustrDevName, DEVICE_NAME);
// 创建设备对象
status = IoCreateDevice(pDriverObj, 0,&ustrDevName, FILE_DEVICE_UNKNOWN,0,FALSE,&pDevObj);
if(!NT_SUCCESS(status))
{return status;
}
// 创建符号连接名称
// 符号连接名称
RtlInitUnicodeString(&ustrLinkName, LINK_NAME);
// 创建关联
status = IoCreateSymbolicLink(&ustrLinkName, &ustrDevName); 
if(!NT_SUCCESS(status))
{IoDeleteDevice(pDevObj); return status;
}
初始化完毕
Hook();
return STATUS_SUCCESS;
}
// I/O控制派遣例程
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
///DispatchIoctl///
NTSTATUS IoCtlNtstus;
PIO_STACK_LOCATION pIRPStack;
ULONG uIoControlCode;
PVOID pIoBuffer;
ULONG uInSize;
ULONG uOutSize ;
//假设失败
IoCtlNtstus = STATUS_INVALID_DEVICE_REQUEST;
//IRP堆栈
pIRPStack = IoGetCurrentIrpStackLocation(pIrp);
//控制代码
uIoControlCode = pIRPStack->Parameters.DeviceIoControl.IoControlCode;
uInSize = pIRPStack->Parameters.DeviceIoControl.InputBufferLength;
uOutSize = pIRPStack->Parameters.DeviceIoControl.OutputBufferLength;
//
pIoBuffer= pIrp-> AssociatedIrp.SystemBuffer;switch(uIoControlCode)
{
case IO_PID_CTL:{DbgPrint("the PID is %s",pIoBuffer);g_uPID = atol(pIoBuffer);DbgPrint("the PID is %u",g_uPID);}break;
default:break;
}
//完成请求
if(IoCtlNtstus == STATUS_SUCCESS)pIrp->IoStatus.Information = uOutSize;
elsepIrp->IoStatus.Information = 0;// 完成请求pIrp->IoStatus.Status = IoCtlNtstus;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return IoCtlNtstus;
}void DriverUnload(PDRIVER_OBJECT pDriverObj)
{UNICODE_STRING strLink;
/收尾工作 /
UnHook();
DbgPrint("unload");
// 删除符号连接名称
RtlInitUnicodeString(&strLink, LINK_NAME);
IoDeleteSymbolicLink(&strLink);
// 删除设备对象
IoDeleteDevice(pDriverObj->DeviceObject);
}
// 处理IRP_MJ_CREATE、IRP_MJ_CLOSE功能代码
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
pIrp->IoStatus.Status = STATUS_SUCCESS;
// 完成此请求IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}
VOID Hook()
{
ULONG uAddr;
DbgPrint("hook");
//得到NtOpenProcess的地址
uAddr=(ULONG)KeServiceDescriptorTable->ServiceTableBase +0x7A*4;
g_uRealServiceAddress = *(ULONG*)uAddr;
//记录真实地址一会儿用
RealNtOpenProcess= (NTOPENPROCESS)g_uRealServiceAddress;
DbgPrint( "Address of Real NtOpenProcess: 0x%08X\n", g_uRealServiceAddress );
DbgPrint(" Address of MyNtOpenProcess: 0x%08X\n", MyNtOpenProcess );
//取消内存保护
__asm 
{ cli mov    eax, cr0 and    eax, not 10000h mov    cr0, eax 
}
//NND....废了这么大劲其实就为了这一句
*((ULONG*)uAddr)=(ULONG)MyNtOpenProcess;
//回复内存
__asm 
{ mov    eax, cr0 or    eax, 10000h mov    cr0, eax sti 
} 
}
VOID UnHook()
{
ULONG uUnhookAddr;
//得到NtOpenProcess的地址
uUnhookAddr=(ULONG)KeServiceDescriptorTable->ServiceTableBase +0x7A*4;
//取消内存保护
__asm 
{ cli mov    eax, cr0 and    eax, not 10000h mov    cr0, eax 
}
//NND....废了这么大劲其实就为了这一句
*((ULONG*)uUnhookAddr)=(ULONG)g_uRealServiceAddress;
//回复内存
__asm 
{ mov    eax, cr0 or    eax, 10000h mov    cr0, eax sti 
} 
}
=============================kernel mode,IoCTL.h ==========================  
// IoCTL.h         
#define IO_PID_CTL \
CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810, METHOD_BUFFERED, FILE_ANY_ACCESS)      
=============================user mode,Demo.cpp===========================     
#include "stdafx.h"
#include <Windows.h>
#include <stdlib.h>
#include <winioctl.h>
#include "IoCTL.h"               //和驱动里面的一样
#include "driver.h"
int main(int argc, CHAR* argv[])
{
printf("****************************************************\n");
printf("                  用户模式交互程序                  \n\n");
printf("                  By Returns                            \n");
printf("****************************************************\n\n");
DWORD dwPID = GetCurrentProcessId();printf("my pid is %u \n",dwPID);
char szAppPath[256];
char * p;GetFullPathName("FIRSTDRIVER.sys",256,szAppPath,&p);
CDriver DriverCon(szAppPath,"slDriverDemo");
if (DriverCon.StartDriver())
{printf("The Driver is started successfully \n");if (DriverCon.OpenDevice()){char strOut[256],strInput[4];ltoa(dwPID,strInput,10);printf("the handle is open...%s \n",strInput);if (DriverCon.IoControl(IO_PID_CTL,&strInput,4,&strOut,256)!=-1){printf("返回信息: %x \n",&strOut);}}
}
system("pause");return 0;
}

用户模式中的 Dirver.h 是CDriver类的封装 简化了SCM的操作...引自《windows程序设计》


效果是这样的.....返回的信息是有点bug的...懒得改了...要想传多个PID用数组就可以了...我也懒得改了..



这篇关于【笔记】RING0 与 RING3之间的简单交互的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/447458

相关文章

GO语言实现串口简单通讯

GO语言实现串口简单通讯

《GO语言实现串口简单通讯》本文分享了使用Go语言进行串口通讯的实践过程,详细介绍了串口配置、数据发送与接收的代码实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要... 目录背景串口通讯代码代码块分解解析完整代码运行结果背景最近再学习 go 语言,在某宝用5块钱买了个
阅读更多...
SpringBoot整合Apache Spark实现一个简单的数据分析功能

SpringBoot整合Apache Spark实现一个简单的数据分析功能

《SpringBoot整合ApacheSpark实现一个简单的数据分析功能》ApacheSpark是一个开源的大数据处理框架,它提供了丰富的功能和API,用于分布式数据处理、数据分析和机器学习等任务... 目录第一步、添加android依赖第二步、编写配置类第三步、编写控制类启动项目并测试总结ApacheS
阅读更多...
C++简单日志系统实现代码示例

C++简单日志系统实现代码示例

《C++简单日志系统实现代码示例》日志系统是成熟软件中的一个重要组成部分,其记录软件的使用和运行行为,方便事后进行故障分析、数据统计等,:本文主要介绍C++简单日志系统实现的相关资料,文中通过代码... 目录前言Util.hppLevel.hppLogMsg.hppFormat.hppSink.hppBuf
阅读更多...
Python实现简单封装网络请求的示例详解

Python实现简单封装网络请求的示例详解

《Python实现简单封装网络请求的示例详解》这篇文章主要为大家详细介绍了Python实现简单封装网络请求的相关知识,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录安装依赖核心功能说明1. 类与方法概览2.NetHelper类初始化参数3.ApiResponse类属性与方法使用实
阅读更多...
Python 基于http.server模块实现简单http服务的代码举例

Python 基于http.server模块实现简单http服务的代码举例

《Python基于http.server模块实现简单http服务的代码举例》Pythonhttp.server模块通过继承BaseHTTPRequestHandler处理HTTP请求,使用Threa... 目录测试环境代码实现相关介绍模块简介类及相关函数简介参考链接测试环境win11专业版python
阅读更多...
python连接sqlite3简单用法完整例子

python连接sqlite3简单用法完整例子

《python连接sqlite3简单用法完整例子》SQLite3是一个内置的Python模块,可以通过Python的标准库轻松地使用,无需进行额外安装和配置,:本文主要介绍python连接sqli... 目录1. 连接到数据库2. 创建游标对象3. 创建表4. 插入数据5. 查询数据6. 更新数据7. 删除
阅读更多...
Jenkins的安装与简单配置过程

Jenkins的安装与简单配置过程

《Jenkins的安装与简单配置过程》本文简述Jenkins在CentOS7.3上安装流程,包括Java环境配置、RPM包安装、修改JENKINS_HOME路径及权限、启动服务、插件安装与系统管理设置... 目录www.chinasem.cnJenkins安装访问并配置JenkinsJenkins配置邮件通知
阅读更多...
Python学习笔记之getattr和hasattr用法示例详解

Python学习笔记之getattr和hasattr用法示例详解

《Python学习笔记之getattr和hasattr用法示例详解》在Python中,hasattr()、getattr()和setattr()是一组内置函数,用于对对象的属性进行操作和查询,这篇文章... 目录1.getattr用法详解1.1 基本作用1.2 示例1.3 原理2.hasattr用法详解2.
阅读更多...
Java中数组与栈和堆之间的关系说明

Java中数组与栈和堆之间的关系说明

《Java中数组与栈和堆之间的关系说明》文章讲解了Java数组的初始化方式、内存存储机制、引用传递特性及遍历、排序、拷贝技巧,强调引用数据类型方法调用时形参可能修改实参,但需注意引用指向单一对象的特性... 目录Java中数组与栈和堆的关系遍历数组接下来是一些编程小技巧总结Java中数组与栈和堆的关系关于
阅读更多...
在Java中实现线程之间的数据共享的几种方式总结

在Java中实现线程之间的数据共享的几种方式总结

《在Java中实现线程之间的数据共享的几种方式总结》在Java中实现线程间数据共享是并发编程的核心需求,但需要谨慎处理同步问题以避免竞态条件,本文通过代码示例给大家介绍了几种主要实现方式及其最佳实践,... 目录1. 共享变量与同步机制2. 轻量级通信机制3. 线程安全容器4. 线程局部变量(ThreadL
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2