rootkit 直接访问硬件之[三].docxVIP

标题:?【原创】rootkit 直接访问硬件之[三]作者:?combojiang时间:?2008-03-28,17:21:40链接:?/showthread.php?t=62081关于ring3直接访问硬件的办法，前面已经介绍了2篇，本篇算是结束篇了。篇幅较长，大家慢慢阅读。高手飘过。基本上我们能依据8条保护规则来进行访问的情况都概括了。还是跟前面一样，我们先贴出保护规则来。(1)若CPL=IOPL，则直接转步骤(8)；(2)取得I/O位图开始偏移；(3)计算I/O地址对应位所在字节在I/O许可位图内的偏移；(4)计算位偏移以形成屏蔽码值，即计算I/O地址对应位在字节中的第几位；(5)把字节偏移加上位图开始偏移，再加1，所得值与TSS界限比较，若越界，则产生出错码为0的通用保护故障；(6)若不越界，则从位图中读对应字节及下一个字节；(7)把读出的两个字节与屏蔽码进行与运算，若结果不为0表示检查未通过，则产生出错码为0的通用保护故障；(8)进行I/O访问。回顾下保护模式中介绍：80386采用I/O特权级IPOL和I/O许可位图的方法来控制输入/输出，实现输入/输出保护.I/O许可位图位于任务状态段TSS中。I/O特权级IPOL就是EFLAGS寄存器中IOPL位。我们先看看I/O许可位图，它位于任务状态段TSS中。我们可以在GDT中根据找到任务状态段描述符，根据这个描述符，我们可以找到TSS在内存中的位置。TSS是保存一个任务重要信息的特殊段。我们先看看其内存结构。lkd?dt?_ktssnt!_KTSS???+0x000?Backlink?????????:?Uint2B???+0x002?Reserved0????????:?Uint2B???+0x004?Esp0?????????????:?Uint4B???+0x008?Ss0??????????????:?Uint2B???+0x00a?Reserved1????????:?Uint2B???+0x00c?NotUsed1?????????:?[4]?Uint4B???+0x01c?CR3??????????????:?Uint4B???+0x020?Eip??????????????:?Uint4B???+0x024?EFlags???????????:?Uint4B???+0x028?Eax??????????????:?Uint4B???+0x02c?Ecx??????????????:?Uint4B???+0x030?Edx??????????????:?Uint4B???+0x034?Ebx??????????????:?Uint4B???+0x038?Esp??????????????:?Uint4B???+0x03c?Ebp??????????????:?Uint4B???+0x040?Esi??????????????:?Uint4B???+0x044?Edi??????????????:?Uint4B???+0x048?Es???????????????:?Uint2B???+0x04a?Reserved2????????:?Uint2B???+0x04c?Cs???????????????:?Uint2B???+0x04e?Reserved3????????:?Uint2B???+0x050?Ss???????????????:?Uint2B???+0x052?Reserved4????????:?Uint2B???+0x054?Ds???????????????:?Uint2B???+0x056?Reserved5????????:?Uint2B???+0x058?Fs???????????????:?Uint2B???+0x05a?Reserved6????????:?Uint2B???+0x05c?Gs???????????????:?Uint2B???+0x05e?Reserved7????????:?Uint2B???+0x060?LDT??????????????:?Uint2B???+0x062?Reserved8????????:?Uint2B???+0x064?Flags????????????:?Uint2B???+0x066?IoMapBase????????:?Uint2B???+0x068?IoMaps???????????:?[1]?_KiIoAccessMap???+0x208c?IntDirectionMap??:?[32]?UCharlkd?dt?_KiIoAccessMapnt!_KiIoAccessMap???+0x000?DirectionMap?????:?[32]?UChar???+0x020?IoMap?