1)通过调用门访问内核.docxVIP

项目工程类经典参考学习文献

项目工程类经典参考学习文献

标题:【原创】rootkitring3进ring0之门系列[一]--调用门

作者:combojiang

时间:2008-03-31,14:52

链接::showthread.php?t=62263

今天我们来谈谈保护模式下的调用门。从而开始了我们的门系列内容。

先谈谈程序转移.,程序转移分为两种:?近转移和远转移?,其中近转移中又分为相对地址转移和绝对地址转移.?而远转移只有绝对地址转移.。可以通俗的讲，cs发生变化的转移称为远转移，cs不变的转移，我们称为近转移。例如：windows??ring3下cs是0x1b?,?ring0下cs通常是0x08.。?对于近转移，我们不需要进行特权级检查。由于windows是保护模式的操作系统，对于远转移如果跨层则需要进行特权级检查，看是否允许其调用。

为了在不同特权级的代码段之间进行控制访问，处理器特别提供了一组称为门描述符的描述符。我们可以通过这组门描述符中的任何一个进行远转移。门提供了受保护的间接调用，为任务内的特权转移提供了安全可靠的方法。

今天我们讲的调用门，就是这组门描述符中的一个。为了搞清楚调用门，我们需要看下调用门描述符的结构：

对应的结构体是：

????typedef?struct

????{

????????unsigned?short??offset_0_15;

????????unsigned?short??selector;

????????unsigned?char????param_count?:?4;

????????unsigned?char????some_bits???:?4;

????????unsigned?char????type????????:?4;

????????unsigned?char????app_system??:?1;

????????unsigned?char????dpl?????????:?2;

????????unsigned?char????present?????:?1;

????

????????unsigned?short??offset_16_31;

????}?CALLGATE_DESCRIPTOR;?

调用门描述符可以放在GDT、LDT中，但是不能放在IDT中。在WINDOWS?XP中，没有LDT.

在这里，我们举例说明其在GDT中的情况。尽管windows提供了多种不同的描述符，但是每种描述符中都有present位代表该描述符是否存在。它在每个描述符中的位置都是一样的，因此我们可以根据这个present位来在GDT中找出一个空白位置，在这个位置里面添加我们自己定义的描述符。内核中GDT的位置，我们可以用WINDBG看下：

lkd?!PCR

KPCR?for?Processor?0?at?ffdff000:

????Major?1?Minor?1

??NtTib.ExceptionList:?b1fa5c7c

??????NtTib.StackBase:?b1fa5df0

?????NtTib.StackLimit:?b1fa2000

???NtTib.SubSystemTib:????????NtTib.Version:????NtTib.UserPointer:????????NtTib.SelfTib:?7ffde000

??????????????SelfPcr:?ffdff000

?????????????????Prcb:?ffdff120

?????????????????Irql:??????????????????IRR:??????????????????IDR:?ffffffff

????????InterruptMode:??????????????????IDT:?8003f400

??????????????????GDT:?8003f000

??????????????????TSS:

????????CurrentThread:???????????NextThread:???????????IdleThread:?80552d20

可以看到我本机GDT的位置是?GDT:?8003f000

调用门的工作原理如图所示。

首先进行特权检查

根据selector,在GDT中找出CS段的范围。

根据offset_0_15和offset_16_31求出段中的偏移。

跳转到地址中执行。

特权检查需要检查的