解析Windows2000的IDT扩展机制
<!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@宋体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋体; mso-font-kerning:1.0pt;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:15.6pt;} div.Section1 {page:Section1;} -->
解析 Windows2000 的 IDT 扩展机制
Author: Brief
E-Mail: [email protected]
HomePage: http://www.fz5fz.org && http://www.safechina.net
Date: 08-05-2003
前言
今天我们谈谈 Windows 2000 下中断机制的扩展,首先申明本文提到的技术并非本人发现的,只不过是我在学习 Windows 内核过程中的一点心得罢了,目的在于为和我一样刚刚步入 Windows 底层学习的朋友提供一点实用的资料,同时也顺带记录下自己的学习过程。如果您是 Windows Kernel 高手,还望有时间能多多指点一下我们这些晚辈;如果您也是初学者,同样欢迎到我们 FZ5FZ 网站来交流探讨!那好吧,我们就直接进入正题,如果您对中断还不怎么了解,那眼前将是一次激动人心的旅程。
1> Windows 陷阱机制简介
陷阱 (Trap) 是 Windows 系统中一种不可缺少的系统机制。当系统中发生中断 ( 硬件中断或软件中断 ) ,异常时,处理器会捕捉这个动作,并将系统的控制转移到一个固定的处理程序处,进行相应的操作处理。在处理器开始处理发生的中断或异常前,必须保存一些处理器环境参数到堆栈中以备系统还原时使用。系统是通过一种称为陷阱帧 (Trap Frame) 的方式来实现的,它将系统中全部线程的环境数据保存到内核堆栈 (Kernel Stack) 中,在执行完后通过堆栈的出栈机制来恢复系统控制流程中的执行点。内核中的陷阱机制分为中断和异常。中断是系统中随即发生的异步事件,与当前系统的处理器状态无关。同时系统中的中断可分为可屏蔽中断和不可屏蔽中断。而异常则是一种同步事件,在特定情况下异常可以重现,而中断不可以。中断又可以分为硬件中断和软件中断。很明显硬件中断是与硬件相关的,比如 I/O 设备执行的某些操作,处理器时钟或硬件端口上的处理等。软件中断则是通过中断指令 int xx 引入的,它往往是应用程序在用户模式执行后进入操作系统的代码,这时系统为用户提供了各种各样的系统服务。比如我们上次提到的系统服务调用 (System Service Call) ,在 Windows NT/2000 下就是通过软件中断 int 0x2e(System Service Interrupt) 来实现的,虽然在 Windows XP/2003 下微软使用了一种称为“快速系统调用接口”来为用户提供系统服务,不过大量的中断服务仍然存在与系统之中的。
2> 中断处理及其相关流程
此处我们讨论的是与特定处理器相关的数据结构,所以会有一些移植方面的问题,本文仅针对 Intel 的 x86 Family 处理器,并且本文附带的程序也只支持在 Intel x86 处理器上正常执行。何为 IDT ? IDT(Interrupt Descriptor Table) 称为中断描述符表。它是可容纳 8192 个单元的数组,数组中的每个成员是称之为“门”的长度为 8 字节的段描述符。在 IDT 中门可分为三种:中断门 (Interrrupt Gate) ,陷阱门 (Trap Gate) 和任务门 (Task Gate) ,但主要的是中断门和陷阱门。而它们两者之间也只有少许差别,我们在此只关心 IDT 中的中断门,如果您对这方面比较感兴趣,请查阅 Intel 处理器的相关文档《 Intel Architecture Software Developer's Manual , Volume 3 》。同时,在系统中存在一个中断描述符表寄存器 (IDTR) ,它包含了系统中断描述符表的基地址和 IDT 的限制信息,它于一条汇编指令 sidt 息息相关。在下文中我们将看到它是我们实现各种中断描述符表扩展的基础和关键!还有一点是需要注意的,在 Windows 系统中引入了分页,分段和虚拟存储机制后,就存在这一种调度机制,将需要执行的代码和数据调入内存,将不需要的数据调到外存 ( 辅助存储器,如硬盘等 ) 。如果我们在执行某些代码时发现了我们需要的数据不在内存中时,就会发出一个“缺页中断”,这时系统就会在 IDT 中搜寻这个中断的 ISR(Interrupt Service Routine ,中断服务例程 ) ,执行相应的调入工作。大家可以想象如果我们的中断描述符表被调出到外存后会是什么样的结果?那时系统将无法定位“缺页中断”的服务例程,至此系统将会崩溃掉!
在中断描述符表中,我们刚才提到了一个感兴趣的寄存器 IDTR ,当然我们更关心对我们来说更直接的数据: IDT 中的代码段选择器 (Code Segment Selector) ,中断执行代码的偏移量 (Offset) 和中断描述符的权限等级 (Descriptor Privilege Level) 参数。下面我们看看中断指令的执行流程,我们应该知道应用程序执行在用户模式 (Ring 3) 下,而中断描述符表则是存在于内核模式 (Ring 0) 才可以访问的系统地址空间内的。在软件中断发生后,也就是应用程序调用了某条软件中断指令后,处理器首先在 IDT 中检索传入的中断号参数,找到响应的入口单元后就检查中断门的权限等级参数,看是否允许 Ring 3 下的应用程序调用,这样操作系统就为我们保留了对软件中断调用控制的权力,然而硬件中断和异常是不会关注权限方面的信息。如果当前权限等级 (Current Privilge Level , CPL) 数值大于中断门描述符需要的权限 (Descriptor Privilege Level) ,也就是权限不够时会引发一个通用保护故障 (General Protection Fault) ,反之则进行处理器的切换从用户堆栈到内核堆栈。现在是保存线程环境的时候了,处理器将在用户模式下的堆栈指针 (SS:ESP) 和标准的中断帧 (EFLAGS 和 CS:EIP) 压入堆栈。之后处理器进入我们的中断服务例程,执行相关的代码处理后通过汇编指令 iretd 返回到调用的应用程序。在指令 iretd 执行时,系统将存储在堆栈中的线程环境数据出栈还原,待系统恢复中断指令执行前的环境后就接着执行应用程序的后续代码。
3> 中断相关数据结构
首先我们介绍一下前面我们提到的一条关键汇编指令 sidt 的相关数据结构。在执行指令 sidt 后,系统将会把中断描述符表的基地址和限制 ( 总共长六字节 ) 保存在指令中指向的变量指针中,这就是我们进行 IDT 操作的入门口。
typedef struct _idtr
{
// 定义中断描述符表的限制,长度两字节;
short IDTLimit;
// 定义中断描述服表的基址,长度四字节;
unsigned int IDTBase;
}IDTR,*PIDTR;
当我们获得了 IDT 的入口后,就会在中断描述符表中检索我们需要处理的中断号对应的 IDT 单元,单元中包含了很多我们需要注意的数据结构,其中我们最为关心的是代码段选择器,中断代码执行的偏移量和特权等级等,那好我们先给出它的定义,在下文中我们将详细讨论它们的具体应用。
typedef struct _idtentry
{
// 中断执行代码偏移量的底 16 位;
unsigned short OffsetLow;
// 选择器,也就是寄存器;
unsigned short Selector;
// 保留位,始终为零;
unsigned char Reserved;
//IDT 中的门的类型:包括中断门,陷阱门和任务门;
unsigned char Type:4;
// 段标识位;
unsigned char SegmentFlag:1;
// 中断门的权限等级, 0 表示内核级, 3 表示用户级;
unsigned char DPL:2;
// 呈现标志位;
unsigned char Present:1;
// 中断执行代码偏移量的高 16 位;
unsigned short OffsetHigh;
}IDTENTRY,*PIDTENTRY;
4> 创建软件中断钩子的作用
作为普通的 Windows 程序员,或许您需要的是熟悉对系统基本功能的操作,以及对通用程序开发的熟练掌握。但对于一个有想法的 Windows 内核级分析开发人员来说,对系统底层的深入了解是非常必要的,同时也是非常重要的。 Hook 为我们创造了一个绝好的机会,它使我们了解系统内部运行机制的想法成为了一种可能。同时,书写一个系统相关的监视程序可以自动的对系统内部操作进行记录与分析。当然我们不能局限于对系统的了解,我们更渴望实施对系统的修改与扩展,改变系统原有的操作特性,注入我们需要的功能组件,让系统做更适合我们自己,也是我们最希望看到的操作。前面我们曾经谈到了创建系统服务调用的钩子来截获系统服务调用,同样在 Windows2000 下,系统服务是通过系统服务中断 (System Service Interrupt,int 0x2e) 来实现的,通过截获软件中断同样可以达到监视并修改系统服务调用的功能。在此我们主要讨论的是为软件中断创建钩子,不过对于硬件中断和异常也同样不例外,我们同样可以将本文提到的方法应用于硬件中断和异常。比如我们也可以通过截获键盘驱动的中断调用来书写内核级的键盘记录器,它可以直接对每次击键和释放进行操作,效果是非常的明显,不过这还需要使用到一些微软为我们提供的与硬件中断钩子相关的函数。
5> 如何创建软件中断钩子?
其实创建软件中断钩子的过程应该是比较明显了,下面我们将先简要介绍一下创建 Hook 的过程,然后以实际代码进行具体的讲解。首先我们通过汇编指令 sidt(sidt: Store Interrupt Descriptor Table Register ; lidt: Load Interrupt Descriptor Table Register) 来获取 IDT 的基地址 IDTBase, 然后我们在中断描述符表中搜寻我们需要 HOOK 的中断号 HOOKINTID ,它应该是在 0-255 内的一个整数,虽然最新的 Intel 处理器声称支持 8192 个中断描述符单元,但由于某些限制原因,仍然只能处理前 256 个中断描述门。在找到我们需要 Hook 的中断描述门后,将它原本的中断执行代码偏移量 (32 位 ) 保存到一个全局变量 OldISR 中,以备我们在执行中断处理或恢复 IDT 时使用。这样新的 IDT 中对应中断号的执行代码偏移量就指向了我们自己的处理代码了。在我们的处理代码 NewISR 中,注意先要保存一些线程环境,在处理完我们额外添加的执行程序 (Monitor ,监视注册表相关的 16 个系统服务调用 ) 后,恢复现场并执行中断门以前指向的程序代码。这样,对外就看不出我们对中断门做了什么额外的处理,感觉和以前没什么两样!如果我们只是处理了我们添加的代码而没有继续执行中断门对应的以前的程序代码,那么系统必将混乱甚至崩溃!同样在我们卸载我们的软件中断钩子时,就是进行了一个逆向工作。先获取 IDT 的基地址,然后将保存在全局变量中的旧的执行代码地址偏移量赋给对应中断号的偏移量单元 (OffsetLow/OffsetHigh) 。大概过程讲得差不多了,相关程序为 T-HookInt ,我们再看看代码吧!
VOID
HookInt(VOID)
{
// 保存 IDT 入口的基地址和限制信息的数据结构;
IDTR idtr;
// 记录 IDT 数组的指针,通过它可以查找到我们需要 Hook 中断号对应的中断门;
PIDTENTRY IdtEntry;
// 汇编指令 sidt ,获取 IDT 入口信息;
__asm sidt idtr;
// 赋予 IDT 基地址值;
IdtEntry = (PIDTENTRY)idtr.IDTBase;
// 保存中断号 HOOKINTID 对应中断门所指向的执行代码偏移量,以备执行中断处理或恢复时使用;
OldISR = ((unsigned int)IdtEntry[HOOKINTID].OffsetHigh << 16) | (IdtEntry[HOOKINTID].OffsetLow);
// 关中断
__asm cli
// 更新执行代码偏移量的底 16 位;
IdtEntry[HOOKINTID].OffsetLow = (unsigned short)NewISR;
// 更新执行代码偏移量的高 16 位;
IdtEntry[HOOKINTID].OffsetHigh = (unsigned short)((unsigned int)NewISR >> 16);
// 开中断
__asm sti;
}
VOID
UnhookInt(VOID)
{
IDTR idtr;
PIDTENTRY IdtEntry;
__asm sidt idtr;
IdtEntry = (PIDTENTRY)idtr.IDTBase;
__asm cli
// 恢复中断号 HOOKINTID 对应中断门执行代码偏移量的底 16 位;
IdtEntry[HOOKINTID].OffsetLow = (unsigned short)OldISR;
// 恢复中断号 HOOKINTID 对应中断门执行代码偏移量的高 16 位;
IdtEntry[HOOKINTID].OffsetHigh = (unsigned short)((unsigned int)OldISR >> 16);
__asm sti;
}
VOID
__fastcall
Monitor()
{
……
// 由于我们处理的中断号为 0x2e ,
// 对应于系统服务中断 (System Service Interrupt) ,
// 通过获取 eax 寄存器中的数值来区分系统服务调用;
__asm mov dwServiceId,eax;
// 执行内核函数获取当前进程的 ID 号;
dwProcessId = (unsigned int)PsGetCurrentProcessId();
// 提升当前 IRQL ,防止被中断;
KeRaiseIrql(HIGH_LEVEL,&OldIrql);
switch(dwServiceId)
{
// 如果 eax 对应的数值为 0x23 ,
// 则对应于 Windows2000 的 ZwCreateKey 系统服务调用;
case 0x23:
DbgPrint("ProcessId: %d ZwCreateKey/n",dwProcessId);
break;
……
default:
break;
}
// 恢复原始 IRQL ;
KeLowerIrql(OldIrql);
}
6> 添加软件中断的作用与原理
通过添加软件中断,我们可以扩展系统的功能,改变系统的很多操作行为。在前面我们介绍过为系统添加新的系统服务调用来扩展系统,通过添加新的软件中断同样可以到达添加系统服务调用的目的,并且我们可以在新添的中断处理程序中执行 Ring 0 级别的任意代码,那是何等的让人欣慰!
其实在 IDT 中, 256 个中断门单元并不是被完全利用的,还剩下一些流给将来扩展使用的中断门,我们可以自己给这些未使用的中断门添加一些机制为我所用。其实添加软件中断的过程和前面我们详细讲解的添加软件中断钩子有很多相似的地方,所以在此我就不做很详细的介绍了。同样是,首先获得 IDT 的基地址,然后在中断描述符表中查找我们将要添加的中断号对应的中断门描述符,之后给相关的参数赋值,使其成为名副其实的软件中断门。这时我们就可以在应用程序中使用中断指令 int xx 来调用我们自己中断门中的服务程序了。
7> 添加软件中断的实现过程
相关程序为 T-ADDIG(Add Interrupt Gate) ,我们来看看代码哈 ~
NTSTATUS
InstallIG()
{
……
// 判断我们想要添加的中断是否已被占用;
if(IdtEntry[ADDINTID].OffsetLow != 0
|| IdtEntry[ADDINTID].OffsetHigh != 0)
{
return STATUS_UNSUCCESSFUL;
}
// 复制原始的中断门描述信息;
RtlCopyMemory(&OldIdtEntry,&IdtEntry[ADDINTID],sizeof(OldIdtEntry));
// 关中断
__asm cli
// 更新执行代码偏移量的底 16 位;
IdtEntry[ADDINTID].OffsetLow = (unsigned short)InterruptServiceRoutine;
// 目的代码段的段选择器, CS 为 8 ;
IdtEntry[ADDINTID].Selector = 8;
// 保留位,始终为零;
IdtEntry[ADDINTID].Reserved = 0;
// 门类型, 0xe 代表中断门;
IdtEntry[ADDINTID].Type = 0xe;
//SegmentFlag 设置 0 代码为段;
IdtEntry[ADDINTID].SegmentFlag = 0;
// 描述符权限等级为 3 ,允许用户模式程序调用本中断;
IdtEntry[ADDINTID].DPL = 3;
// 呈现标志位,设置为一;
IdtEntry[ADDINTID].Present = 1;
// 更新执行代码偏移量的高 16 位;
IdtEntry[ADDINTID].OffsetHigh = (unsigned short)((unsigned int)InterruptServiceRoutine >> 16);
// 开中断
__asm sti
return STATUS_SUCCESS;
}
VOID
RemoveIG()
{
……
__asm cli
// 恢复我们修改过的中断门描述符;
RtlCopyMemory(&IdtEntry[ADDINTID],&OldIdtEntry,sizeof(OldIdtEntry));
__asm sti
}
extern
void
_cdecl
InterruptServiceRoutine(VOID)
{
unsigned int Command;
// 获取 eax 寄存器中的数值,接受从用户模式传入的命令参数;
__asm mov Command,eax;
// 执行内核代码,获取操作系统版本号;
DbgPrint("NtBuildNumber == %d/n",(unsigned short)NtBuildNumber);
// 中断返回;
__asm iretd;
}
后记
写到这儿,我们只是介绍了扩展 IDT 的一些基本方法,当然还有很多更深入的,更值得我们研究的课题需要大家努力去探索。比如我们可以将 T- HookInt 扩展,不仅仅是监视系统注册表操作相关的系统服务调用,不过在 Windows XP/2003 上由于其内在机制的一些变更,所以通过 Hook int 0x2e 来截获系统服务调用就不这么现实了。当然还有基于 IDT 的内核级后门,可以通过添加新的软件中断为任意用户提供 SYSTEM 权限级别的 Command 等。总之,探究 Windows 内核奥秘的旅行还未结束,或许这只能算是一次起航罢了。
附录:
由于本文相关的源代码比较多,所以在此就不帖了,欢迎有兴趣的朋友到我们主页下载,谢谢 ~
关于我们:
FZ5FZ 主要从事网络 / 系统安全的学习与研究,深入编程技术的剖析与探讨,坚持原创,追求共享。
FZ5FZ 主页: http://www.fz5fz.org