https://blog.zrj.me/tags/ring/ Recent content in Ring on ZRJ | 学习笔记 Hugo -- gohugo.io zh-CN Thu, 22 Nov 2012 16:15:56 +0800 https://blog.zrj.me/posts/2012-11-22-ring0-ring3-%E4%BB%A5%E5%8F%8A-rootkit/ Thu, 22 Nov 2012 16:15:56 +0800 https://blog.zrj.me/posts/2012-11-22-ring0-ring3-%E4%BB%A5%E5%8F%8A-rootkit/ <p>今天在摆弄 icesword，虽然时间过去那么久，但还是为 pjf 的技术深深折服，今天了解了三个名词，ring0, ring3 和 rootkit，这些东西虽然之前也看过，但是始终不是很清晰，摘录一下，首先是 rootkit，看 wiki，<a class="link" href="http://zh.wikipedia.org/zh-cn/Rootkit" title="http://zh.wikipedia.org/zh-cn/Rootkit" target="_blank" rel="noopener" >http://zh.wikipedia.org/zh-cn/Rootkit</a></p> <blockquote> <p>Rootkit是指其主要功能为：隐藏其他程序进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。在今天，Rootkit一词更多地是指被作为驱动程序，加载到操作系统内核中的恶意软件。因为其代码运行在特权模式之下，从而能造成意料之外的危险。最早Rootkit用于善意用途，但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的杀毒软件归类为具危害性的恶意软件。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。 在现代操作系统中，应用程序不能直接访问硬件，而是通过调用操作系统提供的接口来使用硬件，操作系统依赖内核空间来管理和调度这些应用。内核空间由四大部分组成，分别是：进程管理（负责分配Cpu时间）、文件访问（把设备调配成文件系统，并提供一个一致的接口供上层程序调用）、安全控制（负责强制规定各个进程的具体的权限和单独的内存范围，避免各进程之间发生冲突）和内存管理（负责进程运行时对内存资源的分配、使用、释放和回收）。内核是一种数据结构，Rootkit技术通过修改这些数据结构来隐藏其它程序的进程、文件、网络通讯和其它相关信息（比如注册表和可能因修改而产生的系统日志等）。例如，通过修改操作系统的EPROCESS链表结构可以达到隐藏进程的效果，挂钩服务调用表可以隐藏文件和目录，挂钩中断描述符表则可以监听键盘击键等等。Rootkit至今仍然是一个发展中的技术领域。 2005年的Sony BMG CD防拷丑闻即因Sony被人揭发暗中使用了Rootkit技术来防止盗版，有侵害用户隐私之嫌，并可能对用户系统造成威胁，因而引发轩然大波。Rootkit一词也从此事件开始更广为一般大众所知。</p> </blockquote> <p>接下来是 ring0 和 ring3，看这里，<a class="link" href="http://www.programlife.net/ring0-ring3-rootkit.html" title="http://www.programlife.net/ring0-ring3-rootkit.html" target="_blank" rel="noopener" >http://www.programlife.net/ring0-ring3-rootkit.html</a></p> <blockquote> <p>现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外，我们还需要了解它们的本质是什么，它们和我们熟悉的应用程序有什么区别。</p> <p>Intel的x86处理器是通过Ring级别来进行访问控制的，级别共分4层，从Ring0到Ring3（后面简称R0、R1、R2、R3）。R0层拥有最高的权限，R3层拥有最低的权限。按照Intel原有的构想，应用程序工作在R3层，只能访问R3层的数据；操作系统工作在R0层，可以访问所有层的数据；而其他驱动程序位于R1、R2层，每一层只能访问本层以及权限更低层的数据。</p> <p>这应该是很好的设计，这样操作系统工作在最核心层，没有其他代码可以修改它；其他驱动程序工作在R1、R2层，有要求则向R0层调用，这样可以有效保障操作系统的安全性。但现在的OS，包括Windows和Linux都没有采用4层权限，而只是使用2层——R0层和R3层，分别来存放操作系统数据和应用程序数据，从而导致一旦驱动加载了，就运行在R0层，就拥有了和操作系统同样的权限，可以做任何事情，而所谓的rootkit也就随之而生了。</p> <p>rootkit在字面上来理解，是拥有“根权限”的工具。实际上，所有的内核代码都拥有根权限，当然，并不一定它们都叫做rootkit，这要看你用它来做什么。用rootkit技术开发的木马和病毒正在迅速发展，它们往往极难清除，以往杀毒软件可以轻松清除掉系统中病毒的时代似乎已经一去不复返了。</p> <p>大多数指令可以同时使用于R0层和R3层，但有些和系统设置相关的指令却只能在R0层被使用，或者在R3层的使用受到限制，主要有下面这些： lgdt：加载GDT寄存器 lldt：加载LDT寄存器 ltr：加载任务寄存器 lidt：加载IDT寄存器 mov：加载和存储控制寄存器、调试寄存器时受限 lmsw：加载机器状态字 clts：清除cr0中的任务切换标记 invd：缓冲无效，并不写回 wbinvd：缓冲无效，并写回 invlpg：无效TLB入口 hlt：停止处理器 rdmsr：读模式指定寄存器 wrmsr：写模式指定寄存器 rdpmc：读取性能监控计数器 rdtsc：读取时间戳计数器</p> <p>最后2条指令rdpmc和rdtsc，在cr4的位4（PCE）和位2（TSD）被设置的情况下可以同时被R0层和R3层调用。任何违反上面规定的操作，在Windows下都可能会产生通用保护故障的异常。 另外，还有些所谓的IO敏感指令，包括： cli：关闭中断 sti：开启中断 in：从硬件端口读 out：往硬件端口写</p> <p>这些指令在R0层可以直接被使用，在R3层被使用的时候还要检查IO许可位图，综合判断是否允许调用。 当然，前面已经声明我们写的和研究的代码都是内核代码，也就是说，上面这些指令都是可以用的。当然，相应的rootkit技术的病毒和木马的作者显然也会明白这一点，所以这并不是让人很有安全感的一个现状。</p> <p>更重要的保护机制是如何保证系统内存空间的读/写、可执行属性，这将在12.2节“保护模式下的分页内存保护”中详述。对于病毒和木马来说，使用硬件机制来实现破坏虽然并非不可能，但是远不如直接修改内存中的操作系统内核和其他软件的代码来得简洁方便，那是破坏与安全对抗的主战场。</p> </blockquote> <p>再一次觉得安全和操作系统本身，计算机体系结构这些东西实在是魅力无穷啊，比整天写 web 的那些增删改查有意思多了。</p>