64位内核开发第二讲.内核编程注意事项,以及UNICODE_STRING

​

一丶驱动是如何运行的

1.服务注册驱动

我们编写驱动.一定要知道驱动是如何运行的

首先在我们安装一个驱动的时候,会创建一个服务.(注册表)

在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrvNmae

最后一个是是你驱动的名字.

如下:

里面有一个StartType 它是按照GroupOrder顺序来启动的

StartType值越小.代表越早启动.总共是0 - 4

其中设置Start的值是在我们3环加载驱动的时候设置的 调用 CreateService安装驱动的时候,传递的参数值.其中有个参数就是Start.如下:

SC_HANDLE CreateServiceA(
  SC_HANDLE hSCManager,
  LPCSTR    lpServiceName,
  LPCSTR    lpDisplayName,
  DWORD     dwDesiredAccess,
  DWORD     dwServiceType,
  DWORD     dwStartType, 这个值设置
  DWORD     dwErrorControl,
  LPCSTR    lpBinaryPathName,
  LPCSTR    lpLoadOrderGroup,  GroupOrder注意这个值
  LPDWORD   lpdwTagId,
  LPCSTR    lpDependencies,
  LPCSTR    lpServiceStartName,
  LPCSTR    lpPassword
);

关于如何使用代码加载我们的驱动.前边也有说过.请参考前面资料.

https://cloud.tencent.com/developer/article/1998784

GroupOrder值

这个值是在注册表

HEEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList

这个值是越靠前的驱动.启动越早.

如下:

怎么结合的.

如果Start 值位0那么就看 GroupOrder 那个在上边就加载谁.

Start值为0. 另一个为1 则值为0的先启动.

2.对象管理器生成驱动对象

上面说了我们的服务会放在注册表中. 但是我们的写的驱动是怎么加载或执行的那.

对象管理器生成驱动对象 (DriverObject)并且把它传递给DriverEntry(). 执行 DriverEntry()入口函数.

3.创建控制设备对象

4.创见控制设备符号链接(Ring可以操作的)

5.绑定过滤驱动

如果我们有过滤驱动.则会创建过滤设备对象.并且进行绑定.

6.注册分发函数

7.完成初始化动作.

8.应用程序通过符号链接打开设备对象.并且通过IRP发送读写请求.

二丶Ring3跟Ring0通讯的几种方式

1.IOCTRL_CODE 控制代码的几种IO

1.METHOD_BUFFERED 通讯方式

METHOD_BUFFERED

在我们内核中 Ring3可以传递控制码给内核层.其中需要指明我们的读写方式

如下:

#define IOCTRL_BASE 0x800
#define MYIOCTRL_CODE(i)\
    CTL_CODE(FILE_DEVICE_UNKNOWN,IOCTRL_BASE+i,METHOD_BUFFERED,FILE_ANY_ACCESS)
4个参数:
参数1: 驱动的类型
参数2: 驱动的控制码.
参数3: 以哪种缓冲方式进行通讯
参数4: 权限

其中我们这里说的就是参数3.指定什么方式进行通讯.

ME_THOD_BUFFERED 则我们的数据都会会封装在IRP头部的SystemBuffer中.

pIrp->AssociatedIrp.SystemBuffer;

2.METHOD_IN_DIRECT 只读缓冲 METHOD_OUT_DIRECT 只写缓冲

如果我们的CTRL_CODE指定的是这两种的其中一种.看如下解释

METHOD_IN_DIRECT

只读缓冲的方式.则我们的缓冲区还是会封装到IRP头部的SystemBuffer缓冲区.

IN pIrp->AssociatedIrp.SystemBuffer;

如上.我们 ring3 输入的数据都会放在这个SystemBuffer中.

METHOD_OUT_DIRECT

只写缓存

如果是这种方式.则我们的数据也会封装到IRP头部.但是会设置的 IRP

头部MdlAddress中.我们输出的数据都要放在MDL中.

如下:

OUT PVOID pOutBuffer = MmGetSystemAddressForMdlSafe(pIrp->MdlAddress,NormalPagePriority);

MDL是 3环虚拟地址,映射到内核中的物理地址. 我们不能直接使用.

比如通过MmGetSystemAddressForMdlSafe这个函数.将映射的物理地址. 转换为内核中的 "虚拟地址" 可以这样理解. 然后对这个内存进入输出即可.我们Ring3则可以接受到数据.

区别:

如果是只读权限打开设备的时候.METHOD_IN_DIRECT则会成功.METHOD_OUT_DIRECT则会失败.

如果是读写的方式.则都会成功.

3.METHOD_NEITHER 其它方式

使用其它方式.则我们Ring3发送过来的数据 会在IRP堆栈中

我们获取Ring3的数据

PIRPSTACK_LOCATIO pIrpStack;
pIrpStack = IoGetCurrentIrpStackLocation(pIrp);
pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer

则我们的输出的数据要放在 IRP头部的UserBuffer中传递给三环

pIrp->UserBuffer;

2.非控制 缓冲区的三种方式.

我们上面说了.控制派遣函数可以传递不同的缓冲区方式.进而在内核中.

进行不同的 取缓冲区 写缓冲区的操作.那么如果不是控制.则会有3种方式.

1.缓冲IO DO_BUFFERED_IO

当我们创建完毕设备对象的时候.可以给设备对象的 Flags字段设置一个缓冲区的方式..分别有三种.

如我们设置 缓冲区读取.

pDevice->Flags  |= DO_BUFFERED_IO;

如果是缓冲区方式.则 我们Ring3发送的数据就会封装到

IRP头部的SystemBuffer中.

也就是说说我们只需要取出 IRP头部的SystemBuffer就可以了.

缓冲IO的意思就是 3环 发送数据到0环. 0环开辟一个空间.用来接收.

这种方式很安全.但是效率差.如果一次发送很多字节.不建议使用这种方式.

因为你进入了内核.那么内核空间就是共享了.如果你在创建这种很多字节的缓冲区.那么就让原本已经很紧张的内核空间负担更重.而且如果内存来不及释放.则会永久占据.除非你重启电脑.

2.DO_DIRECT_IO 直接IO

直接IO的方式就是 将ring3数据所在的虚拟地址,映射到内核空间中.

内核进行读取.这种方式效率快.一般内核厂家都是这种.

听到映射.大家应该知道数据怎么传递了.

如果使用这种方式.那么数据 会在IRP头部的MdlAddress中.

我们取出来就是用 "API"进行获取即可.

这里的API指的是使用内核API.不是ring3的.注意

PVOID pBuffer = MmGetSystemAddressForMdlSafe(pIrp->MdlAddress,NormalPagePriority);

3.其它IO方式.

如果是其它IO方式.

我们输入的数据则会在 IRP堆栈中的DeviceContrl字段中Type3InputBuffer中

pIrpStack->DeviceControl.Type3InputBuffer中.

输出的数据则会在 IRP的头部中的UserBuffer中

PIrp->UserBuffer

使用这种方式很危险.这种方式是内核直接读取ring3虚拟地址数据.

必须保证ring3进程跟内核进程处于同一运行状态中.

对此我们对其内存必须进行检查.

有两个API函数

ProbeForRead();    检查内存是否可读
ProbeForWrite();   检查内存是否可写.

三丶Ring3跟Ring0开发区别

1.什么是Ring3 什么是Ring0

CPU提供了4层. 而微软只用了2层.

分别是Ring0到Rign3.

而微软只用Ring0. 因为这个设计所以我们写的驱动才能跟操作系统的权限一样.这样做也是因为不过与依赖Cpu的设计.否则以后CPU架构一改.操作系统就废了.

X64系统

在X64系统中.CPU厂商因为操作系统没有使用. 所以CPU直接把

RING1 RING2给去掉了.

所以在X64下,只剩下ring0 跟 ring3了.

虚拟技术 (VT技术)

虚拟技术有三种方式 0 1 3

内核运行在0层. 虚拟机运行在1层 应用程序运行在3层.

VT模式: 虚拟机运行在 -1级别. 根模式. -1就是在0环旁边加了一个新的模式. -1级别就是权限很大的.比内核权限更大.

2.RING3 与 Ring0开发的区别

在内核中

printf scanf fopen fclose fwrite fread malloc free

都不可以使用.

但是与内存相关与字符串相关的可以使用

strcmp strcpy wcslen memset 

但是不建议使用.在内核中有专门的操作函数.

这种函数是Rtl开头.

如:

RtlStringcbCatA /W 字符串拼接
RtlStringcbCopy();字符串拷贝
RtlStringcbLength();求长度
RtlStringcbPrnt(); 字符串打印

如果是UNICODE_STRING则如下

RtlStringcbCopyUnicodeString();
RtlUnicodeStringCat();

在内核中我们的字符串数据结构有得新的数据类型

UNICODE_STRING 跟 ANSI_STRING

其实就是一个结构体.

如下:

typedef struct _STRING {
  USHORT  Length;
  USHORT  MaximumLength;
  PCHAR  Buffer;
} ANSI_STRING, *PANSI_STRING;
记录了长度.最大长度.以及一个缓冲区. UNICODE_STRING也一样.

对此针对这个结构体有了新的初始化 函数

ANSI_STRING string;
RtlInitAnsiString(string,"HelloWorld"");

UNICODE则是
RtlInitUnicodeString(string,L"Hello");

3.返回值的判断

在内核中使用函数.则会返回一个状态值.

如:

ntStatuse =IoCreateDevice();

需要使用宏判断

if (!NT_SUCESS(ntStatus))
    xxxx

常见的几个状态值

|状态|含义|

|---|---||

|STATUS_SUCCESS|代表此次调用成功|

|STATUS_UNSUCCESSFUL|代表失败|

|STATUS_ACCESS_DENIED|代表访问拒绝|

|STATUS_INSUFFICIENT_RESOURCES|资源不足|

这些状态吗都在 <ntstatus.h>中定义的.

4.内存的使用与申请

在内核中申请内存跟ring3不同.

内核中申请内存使用

PVOID 
  ExAllocatePoolWithTag(
    IN POOL_TYPE  PoolType,   申请内存的类型.内存是分页还是不可以
    IN SIZE_T  NumberOfBytes, 申请的字节
    IN ULONG  Tag             4个字节的内存标识,随便写.
    );

其中参数1需要你指定类型.

分页内存.就是内存可以交换到磁盘使用.

非分页内存.就是内存不能交换.就是固定的.不能变.但是非分页内存很宝贵.只有100-200MB.给我们操作系统使用.所以建议使用分页内存.

四丶IRQL中断级别

这一讲我很多博客也说过了.就是说我们调用的 内核函数都有级别一说.

如下表:

了解:

除了硬中断是最高的. 我们只看软中断.

PASSIVER_LEVE APC_LEVEL DISPATCH_LEVEL 级别. 分别是 0 1 2

在软中断中Dispath级别最高.

如我们编写内核的时候给的派遣函数.以及入口点函数.

可以如下图:

在使用函数的时候.应该查询WDK文档.看看级别.

五丶驱动函数的分类

在驱动中有一些函数前缀都是固定的

如:

Ex开头的.

Io开头的 属于Io管理器的

Ke开头的

Mm开头的. 与Memory相关的.

Ob开头 与内核对象相关的.

Ps开头的. 与进程相关的.

Rtl开头的 一组重写的函数.可以操作内存跟字符串

Zw开头. 系统服务的. 文件系统.注册表.

Flt开头的. 文件过滤相关的一组函数 (minfilter)

Ndis 防火墙中用的一些函数

六丶编写内核中的注意事项

1 不要使用 MmIsAddressValid函数.这个函数对于校验内存没有意义

这个函数只能判断一个字节地址的有效性

if (MmisAddressValid(Buffer))
{
 memcmp(BUffer,BufferTwo,Length);
}

它只判断地址字节的第一个地址.只要你的地址在这个分页.那么可以.

但是就怕分页.后面分页不对就会出错.

他还会对 Page Out不能准确的判断. 所以攻击者可以利用你的判断.来绕过你的保护.

2.保证我们的代码在 tye _except中完成.否则蓝屏.

编写驱动代码一定要注意不要产生异常.否则就会蓝屏.

如:

try
{
    ProbeFroRead(Buffer,len,alig);
    if (memcpy(Buffer,buffer2,len){};//这行出错就会在except.
}
_except(EXECUTE_HANDLER_EXCEPTION)
{
    //如果出错就会在这.
}

3.注意长度为0的缓存. 以及为NULL的缓存指针与缓存对其

缓存长度为0

ProbeForread跟Write. 如果我们Buffer长度穿的为0.这两个函数是不工作的.很容易被别人攻击.所以要小心len为0的情况.

如下漏洞代码:

try
{
   ProbeForRead(Buffer1,len,sizeof(char));
   if (strcmp(Buffer1,Buffer2,len){}

}_except(EXECUTE_HANDLER_EXCEPTION)
{
    xxx 
}

上面的代码会产生问题.因为当ProbeForRead的时候.长度传递为0

则这个函数不工作.但是我们的strcmp至少会访问一个字节.这样就造成了崩溃蓝屏. 绕过你的保护.所以最好使用Rtl之类的函数操作.

缓存指针如空

不要使用下面的代码

if (userBuffer == NULL){xxx};

windows操作系统运行用户态申请的一个地址为0的内存. 攻击者可以以它来绕过检查过保护.

在我们以前讲调用们的时候也说过. ring3可以使用0内存.

在Windows8以后内存不能申请为NULL.

缓存对齐

ProbeForRead(Address,length,Alignm);

在函数的第三个参数是对其. 默认是按照1对齐.如果使用 Sizeof(ULONG) 也会出问题.导致过保护.

4.注意不正确的内核调用引发的问题

如函数:

ObReferenceObjectByHandle();

如果使用这个函数.不指定类型.任然可以获得对应的对象地址.但是如果你直接访问这个对象.就会引发漏洞.

如:

HookZwSetInformationFile();
ObReferenceObjectByHandle(FileHandle,Access,NULL);
//ObReferenceObjectByHandle(FileHandle,Access,&Fileobject);

if (wscnicmp(fileObject->FileName){}

如上,参数如果传递为NULL. 攻击者可以传入非文件类型的句柄.如果你没有校验.就会导致悲剧.所以使用必须给指定对象类型.会影响第一个参数.

第一个参数攻击者可以传入任何Handle.

这就是拒绝服务攻击.一句话你就蓝屏.

不正确的Zw函数使用

使用Zw函数的时候.不能将用户态的内存给它. 因为Zw函数不会进行校验.

就算你进行了校验.传递这样的内存给系统也可以引发崩溃. 比如内存也在调用的时候突然无效. 就算你进行异常驳货.也可以造成内存泄漏.对象泄漏.甚至权限提升等问题.

不要下发内核对象给内核

我们Ring3的内核对象.不要通过 DeviceControl 进行传递.

如果这样写.很可能让攻击者可以做到任意地址写入.提升权限.

5.给驱动提供的功能性接口必须小心

如果对注册表 文件 内核内存.进程线程等操作的功能性接口.一定要非常小心才可以.禁止一切受信进程的调用. 不然你暴露接口就会被利用.

6.数据传输尽量使用 BUFFERED_IO 缓存的方式.

我们内核中的最好使用缓冲IO.也就是说使用SystemBuffer.如果不使用BUFFERED_IO而使用UserBuffer一定注意使用 Pro等检查函数.

7.发布的驱动必须通过内核校验

微软提供的驱动校验工具: verifier

在CMD命令中输入即可.打开后界面如下:

使用的时候

创建自定义设置(供程序开发人员使用) -> 从一个完整列表选择单个设置

->出来很多检查. -> 从一个列表中选择驱动程序 ->有的话你选择.没有的话你自动选择一个.选中之后则会重启.自动进行检测. 如果出错.就会蓝屏.

队友挂钩内核函数的驱动. 还可以使用 BSOD HOOK 一类的Fuzz工具

来进行检查.