阅读:3468回复:20
我原来的程序是汇编语言的,主要是对win98下并口的操作,现在我需要在2000下进行同样的工作,如何做?
我的设备是并口读卡器,(spp方式)状态口用来读数据,数据进行写数据,我原来的程序是用汇编语言写的,在98下可以用,在2000下为什么不可用,是不是没有ring0,如何在改动最小的情况下完成。高手帮忙!还有在2000下如何获得ring0!
|
|
最新喜欢:jmzz00... |
沙发#
发布于:2002-04-03 11:07
用户被禁言,该主题自动屏蔽! |
|
板凳#
发布于:2002-04-03 11:11
写个驱动,然后直接把你原来的汇编代码嵌入进去就行。
|
|
|
地板#
发布于:2002-04-03 15:06
如何去嵌汇编代码?要写什么样的驱动,有什么工具写呀?
|
|
地下室#
发布于:2002-04-03 16:33
如何去嵌汇编代码?要写什么样的驱动,有什么工具写呀? 在VC里嵌入汇编 __asm { mov eax,ebx push ebx xchg edx,esi } |
|
|
5楼#
发布于:2002-04-03 16:33
filter driver ,ifs kits.
|
|
6楼#
发布于:2002-04-04 12:59
嵌套好象行不通
我试过了,有没有其他好办法? |
|
7楼#
发布于:2002-04-04 13:16
在2000下没有ring0权限,怎么直接对口进行操作!
|
|
8楼#
发布于:2002-04-04 13:43
在2000下没有ring0权限,怎么直接对口进行操作! 为什么要在2000下取得ring0权限?不用!写个驱动就行! |
|
|
9楼#
发布于:2002-04-04 15:53
小弟认为对这种低地址端口操作编写驱动程序好像是杀鸡用牛刀了。可以把端口操作移植到dll中,使用inport或outport就可以了。不过这种方式不适合有中断的操作。应使用轮循方式或设置定时器来查询端口状态。
|
|
10楼#
发布于:2002-04-04 15:59
小弟认为对这种低地址端口操作编写驱动程序好像是杀鸡用牛刀了。可以把端口操作移植到dll中,使用inport或outport就可以了。不过这种方式不适合有中断的操作。应使用轮循方式或设置定时器来查询端口状态。 兄弟,dll里就能操作端口了?好像dll和普通的应用程序没什么区别吧 |
|
|
11楼#
发布于:2002-04-04 16:18
当然可以!!!
|
|
12楼#
发布于:2002-04-04 16:24
对不起,是我搞错了。
我说的方法只能用于98/95。 |
|
13楼#
发布于:2002-04-04 16:30
对不起,是我搞错了。 9X里面在应用程序里就可以in,out,连dll都不用 :( |
|
|
14楼#
发布于:2002-04-04 20:59
驱动不就是具有ring0的权限吗?我就是因为不想也不会写驱动才看看能不能不写驱动的,能直接获得ring0的权限,这样我的汇编语言的程序就可以用了
|
|
15楼#
发布于:2002-04-04 21:02
在下面两个网站里面的一个有讲到怎么不通过驱动获得0级的例子,你去找找吧!我记得好象是第一个
www.safe123.co www.driverbbs.com |
|
16楼#
发布于:2002-04-04 21:05
看看这个吧!刚刚找出来的,我没有研究过,附件是下面的代码
WebCrazy(http://webcrazy.yeah.net/) 大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式,在i386系统中分别对应CPU的Ring0与Ring3级别。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系统服务(Ring 0例程)的此类机制即System Service的int 2eh中断服务等,严格的参数检查,只能严格的执行Windows NT/2000提供的服务,而如果想执行用户提供的Ring 0代码(指运行在Ring 0权限的代码),常规方法似乎只有编写设备驱动程序。本文将介绍一种在用户态不借助任何驱动程序执行Ring0代码的方法。 Windows NT/2000将设备驱动程序调入内核区域(常见的位于地址0x80000000上),由DPL为0的GDT项8,即cs为8时实现Ring 0权限。本文通过在系统中构造一个指向我们的代码的调用门(CallGate),实现Ring0代码。基于这个思路,为实现这个目的主要是构造自己的CallGate。CallGate由系统中叫Global Descriptor Table(GDT)的全局表指定。GDT地址可由i386指令sgdt获得(sgdt不是特权级指令,普通Ring 3程序均可执行)。GDT地址在Windows NT/2000保存于KPCR(Processor Control Region)结构中(见《再谈Windows NT/2000环境切换》)。GDT中的CallGate是如下的格式: typedef struct { unsigned short offset_0_15; unsigned short selector; unsigned char param_count : 4; unsigned char some_bits : 4; unsigned char type : 4; unsigned char app_system : 1; unsigned char dpl : 2; unsigned char present : 1; unsigned short offset_16_31; } CALLGATE_DESCRIPTOR; GDT位于内核区域,一般用户态的程序是不可能对这段内存区域有直接的访问权。幸运的是Windows NT/2000提供了一个叫PhysicalMemory的Section内核对象位于\\Device的路径下。顾名思义,通过这个Section对象可以对物理内存进行操作。用objdir.exe对这个对象分析如下: C:\\NTDDK\\bin>objdir /D \\Device PhysicalMemory Section DACL - Ace[ 0] - Grant - 0xf001f - NT AUTHORITY\\SYSTEM Inherit: Access: 0x001F and ( D RCtl WOwn WDacl ) Ace[ 1] - Grant - 0x2000d - BUILTIN\\Administrators Inherit: Access: 0x000D and ( RCtl ) 从dump出的这个对象DACL的Ace可以看出默认情况下只有SYSTEM用户才有对这个对象的读写权限,即对物理内存有读写能力,而Administrator只有读权限,普通用户根本就没有权限。不过如果我们有Administrator权限就可以通过GetSecurityInfo、SetEntriesInAcl与SetSecurityInfo这些API来修改这个对象的ACE。这也是我提供的代码需要Administrator的原因。实现的代码如下: VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection) { PACL pDacl=NULL; PACL pNewDacl=NULL; PSECURITY_DESCRIPTOR pSD=NULL; DWORD dwRes; EXPLICIT_ACCESS ea; if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INformATION, NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS) { printf( \"GetSecurityInfo Error %u\\n\", dwRes ); goto CleanUp; } ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS)); ea.grfAccessPermissions = SECTION_MAP_WRITE; ea.grfAccessMode = GRANT_ACCESS; ea.grfInheritance= NO_INHERITANCE; ea.Trustee.Trusteeform = TRUSTEE_IS_NAME; ea.Trustee.TrusteeType = TRUSTEE_IS_USER; ea.Trustee.ptstrName = \"CURRENT_USER\"; if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS) { printf( \"SetEntriesInAcl %u\\n\", dwRes ); goto CleanUp; } if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INformATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS) { printf(\"SetSecurityInfo %u\\n\",dwRes); goto CleanUp; } CleanUp: if(pSD) LocalFree(pSD); if(pNewDacl) LocalFree(pSD); } 这段代码对给定HANDLE的对象增加了如下的ACE: PhysicalMemory Section DACL - Ace[ 0] - Grant - 0x2 - WEBCRAZY\\Administrator Inherit: Access: 0x0002 //SECTION_MAP_WRITE 这样我们在有Administrator权限的条件下就有了对物理内存的读写能力。但若要修改GDT表实现Ring 0代码。我们将面临着另一个难题,因为sgdt指令获得的GDT地址是虚拟地址(线性地址),我们只有知道GDT表的物理地址后才能通过\\Device\\PhysicalMemory对象修改GDT表,这就牵涉到了线性地址转化成物理地址的问题。我们先来看一看Windows NT/2000是如何实现这个的: kd> u nt!MmGetPhysicalAddress l 30 ntoskrnl!MmGetPhysicalAddress: 801374e0 56 push esi 801374e1 8b742408 mov esi,[esp+0x8] 801374e5 33d2 xor edx,edx 801374e7 81fe00000080 cmp esi,0x80000000 801374ed 722c jb ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b) 801374ef 81fe000000a0 cmp esi,0xa0000000 801374f5 7324 jnb ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b) 801374f7 39153ce71780 cmp [ntoskrnl!MmKseg2Frame (8017e73c)],edx 801374fd 741c jz ntoskrnl!MmGetPhysicalAddress+0x2b (8013751b) 801374ff 8bc6 mov eax,esi 80137501 c1e80c shr eax,0xc 80137504 25ffff0100 and eax,0x1ffff 80137509 6a0c push 0xc 8013750b 59 pop ecx 8013750c e8d3a7fcff call ntoskrnl!_allshl (80101ce4) 80137511 81e6ff0f0000 and esi,0xfff 80137517 03c6 add eax,esi 80137519 eb17 jmp ntoskrnl!MmGetPhysicalAddress+0x57 (80137532) 8013751b 8bc6 mov eax,esi 8013751d c1e80a shr eax,0xa 80137520 25fcff3f00 and eax,0x3ffffc 80137525 2d00000040 sub eax,0x40000000 8013752a 8b00 mov eax,[eax] 8013752c a801 test al,0x1 8013752e 7506 jnz ntoskrnl!MmGetPhysicalAddress+0x44 (80137536) 80137530 33c0 xor eax,eax 80137532 5e pop esi 80137533 c20400 ret 0x4 从这段汇编代码可看出如果线性地址在0x80000000与0xa0000000范围内,只是简单的进行移位操作(位于801374ff-80137519指令间),并未查页表。我想Microsoft这样安排肯定是出于执行效率的考虑。这也为我们指明了一线曙光,因为GDT表在Windows NT/2000中一般情况下均位于这个区域(我不知道/3GB开关的Windows NT/2000是不是这种情况)。 经过这样的分析,我们就可以只通过用户态程序修改GDT表了。而增加一个CallGate就不是我可以介绍的了,找本Intel手册自己看一看了。具体实现代码如下: typedef struct gdtr { short Limit; short BaseLow; short BaseHigh; } Gdtr_t, *PGdtr_t; ULONG MiniMmGetPhysicalAddress(ULONG virtualaddress) { if(virtualaddress<0x80000000||virtualaddress>=0xA0000000) return 0; return virtualaddress&0x1FFFF000; } BOOL ExecRing0Proc(ULONG Entry,ULONG seglen) { Gdtr_t gdt; __asm sgdt gdt; ULONG mapAddr=MiniMmGetPhysicalAddress(gdt.BaseHigh<<16U|gdt.BaseLow); if(!mapAddr) return 0; HANDLE hSection=NULL; NTSTATUS status; OBJECT_ATTRIBUTES objectAttributes; UNICODE_STRING objName; CALLGATE_DESCRIPTOR *cg; status = STATUS_SUCCESS; RtlInitUnicodeString(&objName,L\"\\\\Device\\\\PhysicalMemory\"); InitializeObjectAttributes(&objectAttributes, &objName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, (PSECURITY_DESCRIPTOR) NULL); status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttributes); if(status == STATUS_ACCESS_DENIED){ status = ZwOpenSection(&hSection,READ_CONTROL|WRITE_DAC,&objectAttributes); SetPhyscialMemorySectionCanBeWrited(hSection); ZwClose(hSection); status =ZwOpenSection(&hSection,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&objectAttributes); } if(status != STATUS_SUCCESS) { printf(\"Error Open PhysicalMemory Section Object,Status:%08X\\n\",status); return 0; } PVOID BaseAddress; BaseAddress=MapViewOfFile(hSection, FILE_MAP_READ|FILE_MAP_WRITE, 0, mapAddr, //low part (gdt.Limit+1)); if(!BaseAddress) { printf(\"Error MapViewOfFile:\"); PrintWin32Error(GetLastError()); return 0; } BOOL setcg=FALSE; for(cg=(CALLGATE_DESCRIPTOR *)((ULONG)BaseAddress+(gdt.Limit&0xFFF8));(ULONG)cg>(ULONG)BaseAddress;cg--) if(cg->type == 0){ cg->offset_0_15 = LOWORD(Entry); cg->selector = 8; cg->param_count = 0; cg->some_bits = 0; cg->type = 0xC; // 386 call gate cg->app_system = 0; // A system descriptor cg->dpl = 3; // Ring 3 code can call cg->present = 1; cg->offset_16_31 = HIWORD(Entry); setcg=TRUE; break; } if(!setcg){ ZwClose(hSection); return 0; } short farcall[3]; farcall[2]=((short)((ULONG)cg-(ULONG)BaseAddress))|3; //Ring 3 callgate; if(!VirtualLock((PVOID)Entry,seglen)) { printf(\"Error VirtualLock:\"); PrintWin32Error(GetLastError()); return 0; } SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_TIME_CRITICAL); Sleep(0); _asm call fword ptr [farcall] SetThreadPriority(GetCurrentThread(),THREAD_PRIORITY_NORMAL); VirtualUnlock((PVOID)Entry,seglen); //Clear callgate *(ULONG *)cg=0; *((ULONG *)cg+1)=0; ZwClose(hSection); return TRUE; } 我在提供的代码中演示了对Control Register与I/O端口的操作。CIH病毒在Windows 9X中就是因为获得Ring 0权限才有了一定的危害,但Windows NT/2000毕竟不是Windows 9X,她已经有了比较多的安全审核机制,本文提供的代码也要求具有Administrator权限,但如果系统存在某种漏洞,如缓冲区溢出等等,还是有可能获得这种权限的,所以我不对本文提供的方法负有任何的责任,所有讨论只是一个技术热爱者在讨论技术而已。谢谢! 参考资料: 1.Intel Corp<<Intel Architecture Software Developer\'s Manual,Volume 3>> |
|
17楼#
发布于:2002-04-04 21:09
驱动不就具有ring0的权限吗,我就是因为不想也不会写驱动才问是不是能有其他方法获得ring0的权限,可以使我的汇编语言程序还可以用
|
|
18楼#
发布于:2002-04-04 21:14
以下的附件就是上面的对应代码,不是用驱动实现的0级获取,好好看看吧!不错的一个方法。我没有编译过,不知道对不对
答的好的话请加点分给俺吧 :D :D :D |
|
|
19楼#
发布于:2002-04-05 20:00
直接写WDM代码,非常简单!
和98下的操作差不多,别怕WDM,除了思想和MFC不同,其他一样啊,也已用VC IDE 来开发! |
|
|
上一页
下一页