• [原创]抢先DriverStudio夺取机器控制权(上篇)


    原文链接:抢先DriverStudio夺取机器控制权

    废话不谈,言归正传!大家都知道,装了DriverStudio软件(我使用的是v3.2版)的系统在启动时会显示其配置画面,(如图0所示)

     

     图 0

     

    这时操作系统的其他部件还没有运行。那么显示的原理是什么?能不能早于DriverStudio而先执行其他代码呢?答案是肯定的。下面先谈谈原理吧。

     

          原理比较简单,详细的大家可以看网文<<Inside NT boot>>,我这里简单说说。当引导扇区被引导后,会查找NTLDR,NTLDR做的一件非常重要的事就是将CPU从实模式转换到保护模式下。在加载完NTDECT.COM后接下来就会将NT的核心装入内存,它们是HAL.DLL和NTOSKRNL.EXE,加载完毕后,NTLDR再加载所有引导必须的驱动程序。接下来就是我们所关心的地方:它会将HKLM/SYSTEM/Services中值为 SERVICE_BOOT_START的DRIVER装入,但此时不初始化。

     

    (补充附注:NtLdr第3步动作:扫描内存中SYSTEM注册表hive文件找到所有引导设备驱动程序,这些Driver仔注册表中通过SERVICE-BOOT-START启动值标记。

     

    NtLdr第5步动作:加载引导驱动程序,在启动画面StartingWindows下显示出不断更新的进度栏,该进度栏随每个驱动程序的加载而变化。

     

    Kernel第23步动作:I/O管理器初始化……所有前面加载的Boot-Start型驱动程序被调用以完成驱动程序相关初始化,这时才轮到System-Start型的驱动程序被加载并初始化。更详细的信息请参考<<Windows 2000 内部揭秘>>)

     

    那么DriverStudio是不是也是使用了这个特性呢?运行 regedit.exe ,在Services目录中找到bootcfg这个注册项,可以看到它是一个内核驱动,并且Start类型为0。如图1所示:

     图1

     

    为了证实这个Driver就是提供DriverStudio开机时配置功能的驱动程序,我用一个会引起系统崩溃驱动的名字来替换它,然后重新启动。原本该显示配置画面的地方果然发生了系统崩溃。(如图2所示)

     

     图 2

     既然知道了原理,再来看看操作。实际上windows自身提供了这个实现。细心的朋友可能早就知道Win32 APICreateService的dwStartType 形参有个选项为:SERVICE_BOOT_START 。

      

    SERVICE_BOOT_START  --  Specifies a device driver started by   the operating system loader. This value is valid only if the    service type is SERVICE_KERNEL_DRIVER or SERVICE_FILE_SYSTEM_DRIVER.

     

     好像看起来和普通的诸如SERVICE_DEMAND_START  的用法没什么不同嘛,结果手动编制尝试结果返回非法参数。

     

          为什么会这样呢?经过一番thinking之后,我猜测由于使用了SERVICE_BOOT_START 时,是在系统引导的早期发生loadDriver事件,这时可能除了少数几个OS必须的路径以外,还无法访问其他windows目录。为了证实,我将自己的Driver拷贝到系统目录:

     

    %root%/system32/drivers/

     

    下,再次运行结果成功!下面再引出注册表中的一个与驱动程序加载相关的KEY:ServiceGroupOrder ,如图3所示:

     

     

     图3

     

    再看一下图1中DriverStudio引导驱动的组名,是Boot Bus Extender,它排在启动顺序的第2位。现在我新加一个Group名:Hopy。如图4:

     图4

    然后将代码改写如下:

     

     1 ;BTmain.asm节选
     2 
     3 .const
     4 
     5 namesvr    db 'TryBootSvr',0
     6 
     7 notesvr    db 'Test Drv Start at System Boot',0
     8 
     9 namefile db 'BTdrv.sys',0
    10 
    11 szLOG   db 'hopy',0
    12 
    13 szSSN   db 'TBSvr2007',0       ;ServiceStartName
    14 
    15 szpath     db 'C:/WINNT/system32/drivers/BTdrv.sys',0
    16 
    17  
    18 
    19 .code
    20 
    21 invoke  CreateService,hSCM,addr namesvr,addr notesvr,/
    22 
    23       SERVICE_ALL_ACCESS,SERVICE_KERNEL_DRIVER,/
    24 
    25       SERVICE_BOOT_START,SERVICE_ERROR_NORMAL,/
    26 
    27       addr szpath,addr szLOG,addr tagid,NULL,/
    28 
    29       NULL,NULL
    30 
    31  
    32 
    33  
    34 
    35 驱动代码如下:
    36 
    37 ;BTdrv.asm节选
    38 
    39 local status:NTSTATUS
    40 
    41    local pDeviceObject:PVOID
    42 
    43  
    44 
    45    mov   status, STATUS_DEVICE_CONFIGURATION_ERROR
    46 
    47    xor   edi,edi
    48 
    49    mov   [edi],eax
    50 
    51    jmp   $
    52 
    53    mov   eax,status
    54 
    55    ret

     

    结果如我们所预料,该Driver抢在DriverStudio之前发生蓝屏,如果将这个Driver换成带有特定功能的代码的驱动,则可以实现超前的目的。这个留给大家去想象吧,呵呵。

     

     

                                        大熊猫侯佩

                                        2007.09.16 写于中国

                                        女足惨败于巴西之后

  • 相关阅读:
    Netty的常用概念
    netty学习
    MarkDown思考
    Xshell配置SSH秘钥登录
    Maven中避开测试环节
    Maven文件配置
    机器学习资源
    数学问题-高精度运算
    对局匹配
    发现环
  • 原文地址:https://www.cnblogs.com/hopy/p/3829026.html
Copyright © 2020-2023  润新知