Huang Fei
All
NT下执行RING0代码的方法(四)
28 Aug 98  11:41:10

        NT下如何取到Ring0级执行权(4)

        黄飞
        98/8

        (注:引用本文请先征得作者同意,谢谢!)
===============================================
现在剩下最后一部分了,将要运行于RING0的代码,下面的代码
是用MASM写的,很简单,直接操纵端口发声和取CR寄存器内容.

.386
.model small
.code
public _func
_func proc
        push ebp
        mov ebp, esp

;Issues a beep to show that you can do direct port I/O
;Not a good piece of 32-bit code, but still proves the fact

        pushad
        mov ax, 1000 
        mov bx, 200
        mov cx, ax
        mov al, 0b6h
        out 43h, al
        mov dx, 0012h
        mov ax, 34dch
        div cx
        out 42h, al
        mov al, ah
        out 42h, al
        in al, 61h
        mov ah, al
        or al, 03h
        out 61h, al
        l1:
                mov ecx, 4680
        l2:
                loop l2
                dec bx
                jnz l1
        mov al, ah
        out 61h, al
        popad

;Save away the registers which we modify
        push esi
        push ebx

;Get the contents of CR0, CR2, CR3 registers. Check if PDWORDS for holding
;CR0, CR2, CR3 are not NULL
        mov esi, [ebp+0Ch]
        test esi, esi
        jz next
        mov ebx, cr0
        mov [esi], ebx

next:
        mov esi, [ebp+10h]
        test esi, esi
        jz next1
        mov ebx, cr2
        mov [esi], ebx

next1:
        mov esi, [ebp+14h]
        test esi, esi
        jz next2
        mov ebx, cr3
        mov [esi], ebx

next2:
        pop esi
        pop ebx

        pop ebp

        retf 0Ch
_func endp
END

注:
1. 上面的RING0代码仅是为证明而用,缺少许多检查点,也没有做
什么实际工作.
2. 实际使用本文介绍技术时,在RING0运行的代码一定要深思熟虑,
因为此时只要你出一点纰漏,NT立刻就死了,搞不好就得重装NT.
3. 本文是我按照一老外思路写的,除RING0的MASM代码外,Driver.Service.
App部分的代码都由我提供.经过删减,提供的例子刚好来介绍这项技术,
如果用于应用,还要做很多事.
4. 由于只有Administrator组成员才可以安装Service,所以只有权限够
高的用户才能运行以上程序,这就造成了一点缺陷,除非找到了破掉NT用户
安全机制的方法.

===============================================(4) Over.

...     Huang Fei
...     =========


--- xMail 1.00
 * Origin: Shanghai Shake-River BBS.(021-59572197)  (6:654/1001)