2. 程式人生 > >第21課 - 特權級與核心安全示例

第21課 - 特權級與核心安全示例

阿新 發佈:2018-12-02

RPL的作用

    RPL必須存在,RPL是保證核心資料安全的關鍵要素之一;     RPL在核心程式碼中有決定性的作用,決不能取締!     本節程式碼示例中PrintString retf之前使用jmp $,否則返回將出現異常

竊取資料示例:計算機中的相似情形

    使用者程式想要訪問獲取作業系統核心中的私密資料!          破壞1使用呼叫門的可升級訪問特性,自定義呼叫門,通過猜測方式獲取其它選擇子和偏移寫入自定義呼叫門引數中,利用猜中的合適選擇子進入核心程式碼。

初步解決方案

    獲取段暫存器中RPL的值     判斷RPL的值是否為SA_RPL0(核心選擇子)         true    檢查通過,可繼續訪問資料         false    特權級較低,觸發異常     程式碼流程     

 

     小技巧
    mov ax, 0                  // 使用0選擇子     mov fs, ax                // 將段暫存器指向0位置處     mov byte [fs: 0], 0        // 往0位置處寫入資料OOPS
    

當前方案問題

    破壞2直接將使用者資料選擇子RPL修改為合適值(0)逃避1中的修補。

解決思路:追蹤真實的請求者

    在棧中獲取函式遠呼叫前CS暫存器的值(請求者)     從之前CS暫存器的值中獲取RPLcr(請求者特權級)     用RPLcr更新到資料緩衝區對應的段暫存器中     使用CheckRPL對段暫存器進行安全檢查     追蹤真實的請求者     

小結

    RPL是保證核心資料安全的關鍵要素之一     核心程式碼可通過 追蹤真實請求者特權級判斷操作合法性     但凡進行函式 遠呼叫,真實請求者的選擇子就會儲存於棧中(CS、IP入棧)             除錯技巧:   使用call指令時會將eip暫存器入棧儲存(遠呼叫還會儲存cs暫存器)                         ndisasm -b 32 -o 0x9000 loader > loader.txt 反彙編檢視call下一條指令相對call的偏移量                         入棧的eip暫存器值等於原有eip值+偏移量                         通過x /6bx ss:esp 檢視棧頂6個位元組的16進位制資料     通過提取真實特權級(RPL能夠保證核心資料安全

程式碼

// loader.asm
%include "inc.asm"                            ; 載入標頭檔案,一些常量、設定函式
 
org 0x9000                                    ; 記憶體載入地址
 
jmp ENTRY_SEGMENT                            ; 跳轉到ENTRY_SEGMENT入口處
 
[section .gdt]                                ; 全域性描述符表,部分段基址未知基址需使用時再調節(InitDescItem)
; GDT definition        8Byte 64bit
;                            "函式名"        段基址        段界限                        段屬性
GDT_ENTRY            :        Descriptor    0,            0,                            0                            ; 全域性段描述符表第0項不使用
CODE32_DESC            :        Descriptor    0,            Code32SegLen        -    1,    DA_C    + DA_32    + DA_DPL3
VIDEO_DESC            :        Descriptor    0xB8000,    0x07FFF,                    DA_DRWA + DA_32    + DA_DPL3    ; 視訊段描述符表設定正確無須初始化
DATA32_KERNEL_DESC    :        Descriptor    0,            Data32KernelSegLen    -    1,    DA_DRW    + DA_32    + DA_DPL0
DATA32_USER_DESC    :        Descriptor    0,            Data32UserSegLen    -    1,    DA_DRW    + DA_32    + DA_DPL3
STACK32_KERNEL_DESC    :        Descriptor    0,            TopOfKernelStack32,            DA_DRW  + DA_32    + DA_DPL0
STACK32_USER_DESC    :        Descriptor    0,            TopOfUserStack32,            DA_DRW  + DA_32    + DA_DPL3
TSS_DESC            :        Descriptor    0,            TSSLen                -    1,    DA_386TSS        + DA_DPL0
FUNCTION_DESC        :        Descriptor    0,            FunctionSegLen        -    1,    DA_C    + DA_32 + DA_DPL0
; Call Gate
;                                        選擇子                偏移            引數個數        屬性
FUNC_GETKERNELDATA_DESC    :    Gate    FunctionSelector,    GetKernelData,    0,        DA_386CGate + DA_DPL3
; GDT end
 
GdtLen    equ    $ - GDT_ENTRY
 
GdtPtr:                                        ; 全域性描述符表指標
        dw    GdtLen - 1    ; 偏移,記錄描述符數量
        dd    0            ; 全域性描述符起始地址,先設定為0
 
 
; GDT Selector            2Byte 16bit    TI:全域性、區域性    RPL:請求許可權級別
Code32Selector            equ    (0x0001 << 3) + SA_TIG + SA_RPL3    ; 0x0001==第二個選擇子
VideoSelector            equ (0x0002 << 3) + SA_TIG + SA_RPL3    ; 視訊記憶體特權級低只會影響顯示,對系統安全無影響
KernelData32Selector    equ (0x0003 << 3) + SA_TIG + SA_RPL0
UserData32Selector        equ (0x0004 << 3) + SA_TIG + SA_RPL3
KernelStack32Selector    equ (0x0005 << 3) + SA_TIG + SA_RPL0
UserStack32Selector        equ (0x0006 << 3) + SA_TIG + SA_RPL3
TSSSelector                equ (0x0007 << 3) + SA_TIG + SA_RPL0
FunctionSelector        equ (0x0008 << 3) + SA_TIG + SA_RPL0
; Gate Selector
GetKernelDataSelector    equ (0x0009 << 3) + SA_TIG + SA_RPL3
; end of [section .gdt]
 
TopOfStack16 equ 0x7c00
 
[section .s16]    ; 真實模式程式碼段(16bit)
[bits 16]        ; 使用16位編譯
ENTRY_SEGMENT:                                ; 16位保護模式入口段
    mov ax, cs                    ; 初始化相關暫存器
    mov ds, ax
    mov es, ax
    mov ss, ax
    mov sp, TopOfStack16
 
            ; initialize GDT for 32 bits code segment
    mov esi, CODE32_SEGMENT        ; 初始化32位程式碼段、資料段、棧段描述符
    mov edi, CODE32_DESC
 
    call InitDescItem
    ;  視訊段描述符表設定正確無須初始化
    mov esi, DATA32_KERNEL_SEGMENT
    mov edi, DATA32_KERNEL_DESC
 
    call InitDescItem
    
    mov esi, DATA32_USER_SEGMENT
    mov edi, DATA32_USER_DESC
    
    call InitDescItem
        
    mov esi, STACK32_KERNEL_SEGMENT
    mov edi, STACK32_KERNEL_DESC
 
    call InitDescItem
 
    mov esi, STACK32_USER_SEGMENT
    mov edi, STACK32_USER_DESC
 
    call InitDescItem
    
    mov esi, FUNCTION_SEGMENT
    mov edi, FUNCTION_DESC
 
    call InitDescItem
    
    mov esi, TSS_SEGMENT        ; 初始化TSS任務段
    mov edi, TSS_DESC
 
    call InitDescItem
 
    
            ; initialize GDT pointer struct
    mov eax, 0                    ; 程式碼段地址左移4位
    mov ax, ds
    shl eax, 4
    add eax, GDT_ENTRY            ; 程式碼段偏移地址==> 左移過後的程式碼段+全域性描述符表入口地址偏移量
    mov dword [GdtPtr + 2], eax    ; 寫入全域性描述符表指標
 
            ; 1. load GDT
    lgdt [GdtPtr]                ; 載入全域性描述符表
 
            ; 2. close interrupt
    cli                            ; 關閉中斷
 
            ; 3. open A20
    in al, 0x92                    ; 通過0x92埠開啟A20地址線開關
    or al, 00000010b
    out 0x92, al
 
            ; 4. enter protect mode
    mov eax, cr0                ; 設定cr0暫存器,進入保護模式
    or eax, 0x01
    mov cr0, eax
    
            ; 5. load TSS
    mov ax, TSSSelector
    ltr ax
 
;             6. jump to 32 bits code
    ;jmp word Code32Selector : 0
    push UserStack32Selector        ;jmp dword Code32Selector : 0 ; 使用jmp跳轉到32位程式碼段選擇子的0偏移處
    push TopOfUserStack32
    push Code32Selector
    push 0
    retf                        ; 彈出2個棧,分別給IP、CS暫存器
    
    
; esi    --> code segment label
; edi    --> descriptor label
InitDescItem:                                ; 初始化描述符專案
    push eax
    
    mov eax, 0                        ; 程式碼段地址左移4位
    mov ax, cs
    shl eax, 4                        ; 實地址=段暫存器地址左移4位+偏移地址
    add eax, esi
    mov word [edi + 2], ax            ; 將段基址寫入描述符2個位元組(16位暫存器),低32位的16-31bit(偏移2位元組)
    shr eax, 16                        ; 移除eax實地址中已經寫入段基址的2位元組資料
    mov byte [edi + 4], al            ; 將段基址寫入描述符1個位元組(8位暫存器),高32位的0-7bit(偏移4+0=4位元組)
    mov byte [edi + 7], ah            ; 將段基址寫入描述符1個位元組(8位暫存器),高32位的24-31bit(偏移4+3=7位元組)
 
    pop eax
    
    ret
 
[section .kdat]
[bits 32]
DATA32_KERNEL_SEGMENT:
    KDAT            db    "Kernel Data", 0
    KDAT_LEN        equ $ - KDAT
    KDAT_OFFSET        equ    KDAT - $$
    
Data32KernelSegLen equ $ - DATA32_KERNEL_SEGMENT
 
[section .udat]
[bits 32]
DATA32_USER_SEGMENT:
    UDAT            times 16 db 0
    UDAT_LEN        equ $ - UDAT
    UDAT_OFFSET        equ    UDAT - $$
    
Data32UserSegLen equ $ - DATA32_USER_SEGMENT
 
[section .tss]                    ; TSS任務段104位元組,另可附加額外資訊
[bits 32]
TSS_SEGMENT:
        dd    0                        ; 保留前一個TSS段選擇子,由CPU填寫,高位填0
        dd    TopOfKernelStack32        ; 0特權級棧指標
        dd    KernelStack32Selector    ; 0特權級棧段選擇子,只能用低2個位元組,高位填0
        dd    0                        ; 1特權級
        dd    0                        ;
        dd    0                        ; 2特權級
        dd    0                        ;
        times 4 * 18 dd 0            ; 用於切換暫存器的值,由CPU填寫,共18個dd型別
        dw    0                        ; 最低位為除錯陷阱標誌T,其餘為0
        dw    $ - TSS_SEGMENT + 2        ; I/O Map Base Address
        db    0xFF                    ; 結束標記,屬於額外資訊
        
TSSLen    equ    $ - TSS_SEGMENT
 
 
 
[section .s32]    ; 32位程式碼段
[bits 32]        ; 使用32位編譯
CODE32_SEGMENT:                                ; 32位程式碼段資料
    mov ax, VideoSelector            ; 把視訊段選擇子放到gs全域性段暫存器
    mov gs, ax
 
    mov ax, UserData32Selector        ; 設定資料段地址
    mov es, ax
    
    mov di, UDAT_OFFSET
    
    call GetKernelDataSelector : 0    ; 使用呼叫門模擬惡意操作,拷貝核心資料至使用者空間
    
    mov ax, UserData32Selector        ; 入棧eip ==> eip+當前指令相對上面一條指令的偏移(0x10+7=0x17)
    mov ds, ax
    
    mov ebp, UDAT_OFFSET
    mov bx, 0x0C
    mov dh, 12
    mov dl, 33
        
    call PrintString
 
    jmp $
 
; ds:ebp        --> string address
; bx            --> attribute
; dx            --> dh : row, dl : col
PrintString:
    push ebp
    push eax
    push edi
    push cx
    push dx
    
Print:
    mov cl, [ds:ebp]        ; 取一個字元
    cmp cl, 0                ; 結束符判斷
    je end
    mov eax, 80                ; 每行字元列數
    mul dh                    ; 乘以行數
    ;add al, dl             ; 總偏移字元數,al太小超過255會溢位(3*80+16==3行16列)
    push dx                 ; 備份dx(dh),供迴圈呼叫避免丟失行號
    mov dh, 0               ; dx高位置0,確保dx=dl
    add ax, dx              ; 總偏移字元數(65536個字元)
    pop dx
    shl eax, 1                ; 每個字元佔2位元組
    mov edi, eax
    mov ah, bl                ; 字元屬性
    mov al, cl                ; 字元
    mov [gs:edi], ax        ; 寫入視訊記憶體
    inc ebp                    ; 字元源地址遞增
    inc dl                    ; 視訊記憶體字元地址遞增
    jmp Print
    
end:
    pop dx
    pop cx
    pop edi
    pop eax
    pop ebp
    jmp $
    retf
    
Code32SegLen    equ $ - CODE32_SEGMENT
 
 
[section .func]
[bits 32]
FUNCTION_SEGMENT:
 
;es:di --> data buffer
GetKernelDataFunc:            ; 呼叫門,利用此呼叫門進入核心拷貝資料
    mov cx, [esp + 4]        ; 重寫RPL避免使用高許可權選擇子進入核心程式
    and cx, 0x0003
    mov ax, es
    and ax, 0xFFFC
    or ax, cx
    mov es, ax
 
    mov ax, KernelData32Selector
    mov ds, ax
    
    mov si, KDAT_OFFSET
    
    mov cx, KDAT_LEN
    
    call KMemCpy
    
    retf
    
; ds:si --> source
; es:di --> destination
; cx    --> length
KMemCpy:                    ; 記憶體拷貝
    mov ax, es
    
    call CheckRPL            ; 檢查RPL避免猜中選擇子後進入核心,ax==原有RPL
    
    cmp si, di
    ja btoe
    add si, cx
    add di, cx
    dec si
    dec di
    jmp etob
btoe:                        ; 源在後從前拷貝
    cmp cx, 0
    jz done
    mov al, [ds:si]
    mov byte [es:di], al
    inc si
    inc di
    dec cx
    jmp btoe
etob:                        ; 源在前從尾拷貝
    cmp cx, 0
    jz done
    mov al, [ds:si]
    mov byte [es:di], al
    dec si
    dec di
    dec cx
    jmp etob
done:
    ret
    
; ax --> selector value
CheckRPL:
    and ax, 0x0003            ; 如果是RPL3則立即退出,否則進入異常
    cmp ax, SA_RPL0
    jz valid
    
    mov ax, 0
    mov fs, ax
    mov byte [fs:0], 0
    
valid:
    ret
    
GetKernelData    equ    GetKernelDataFunc - $$
FunctionSegLen    equ $ - FUNCTION_SEGMENT
    
[section .kgs]
[bits 32]
STACK32_KERNEL_SEGMENT:                            ; 32位棧段定義
    times 256 * 4 db 0
 
Stack32KernelSegLen equ $ - STACK32_KERNEL_SEGMENT
TopOfKernelStack32 equ Stack32KernelSegLen - 1
 
[section .usg]
[bits 32]
STACK32_USER_SEGMENT:                            ; 32位棧段定義
    times 256 * 4 db 0
 
Stack32UserSegLen equ $ - STACK32_USER_SEGMENT
TopOfUserStack32 equ Stack32UserSegLen - 1

 

相關推薦

21 - 特權核心安全示例

RPL的作用     RPL必須存在,RPL是保證核心資料安全的關鍵要素之一;     RPL在核心程式碼中有決定性的作用,決不能取締!     本節程式碼示例中PrintString retf之前使用jmp $,否則返回將

10 - 變量函數的綜合示例

文件夾 mes fix mage 自動 wid bsp == list 第10課 - 變量與函數的綜合示例 1. 實戰需求   (1)自動生成 target 文件夾存放可執行文件   (2)自動生成 objs 文件夾存放編譯生成的目標文件(*.o)   (3)支持調試版本的

21 線性表的鏈式存儲結構

線性 術語 雙向鏈表 height 問題 col 方便 物理內存 spa 1. 鏈式存儲的特點 (1)為了表示每個數據元素與其直接後繼元素之間的邏輯關系; (2)數據元素除了存儲本身的信息外,還需要存儲其直接後繼的信息。 (3)避免了順序存儲結構線性表在插入和刪除元素時需要

C語言基礎--數組字符串

cat ant 隨機數 打印 第一個 長度 stdin 有效 borde 1 數組 1.1 一維數組定義與使用 int array[10];//定義一個一維數組,名字叫array,一共有10個元素,每個元素都是int類型的 array[0]

21 可變參數模板(2)_展開參數包

delet pre 控制 seq src 構造 pro head del 1. 可變參數模板函數 (1)遞歸函數方式展開參數包   ①一般需要提供前向聲明、一個參數包的展開函數和一個遞歸終止函數。   ②前向聲明有時可省略,遞歸終止函數可以是0個或n個參數 (2)逗號表達式

機器學習升級版(VII)——1 機器學習數學分析

矩陣分解 變化 回歸分析 兩個 例如 處理 fff mage 我們 參考:鄒博 《機器學習升級版》 1. 機器學習概論 1. 什麽是機器學習 定義:對於某給定的任務T,在合理的性能度量方案P的前提下,某計算機程序可以自主學習任務T的經驗E;隨著提供合適、

斯坦福大學-自然語言處理入門 筆記 文字分類樸素貝葉斯

一、文字分類任務概述 1、應用領域 歸類 垃圾郵件識別 作者識別 性別/年齡識別 等等 2、定義 輸入:一個文件d,一系列固定的型別C={c1,c2,…,cj} 輸出:預測類別c ∈ C 3、分類方法

斯坦福大學-自然語言處理入門 筆記 拼寫糾正噪音通道(Noisy Channel)

一、拼寫糾正任務 1、拼寫任務 發現拼寫錯誤 糾正拼寫錯誤 自動糾正 給出糾正建議(一個詞) 給出糾正建議(一些詞) 2、拼寫錯誤的型別 拼寫出來的不是單詞(non-word spelling e

R語言學習--R語言MATLAB程式設計比較

求餘 y = 5 ;  x = 2;  y%%x = 1; matlab    mod(y,x); R    y%%x; 取行數 matlab  size(m,1); R    nrow(m); 重複矩陣 1 2 3

Go語言學習-結構體包(Go語言的面向物件)

      接下來講解一下Go語言中的面向物件思想程式設計。在Go語言面向物件與其它面嚮物件語言有著很大的差別。首先Go語言的不存在繼承和多型,而且不存在建構函式。並且Go語言不採用class來實現類,而是採用結構體加指標實現。不得不說,這讓類的定義變得很複雜,但是又不失合理

【問鏈-EOS公開課】 EOS 資料庫持久化 API(一)

在 EOS 中,智慧合約執行完畢後,所佔用的記憶體會釋放。程式中的所有變數都會丟失。如果智慧合約裡要持久地記錄資訊,比如遊戲智慧合約要記錄每位使用者遊戲記錄,本次合約執行完畢後資料不能丟失,就需要將資料儲存到 EOS 資料庫中。與資料庫互動的 API 被官方成為 Persistence API,中文可以叫做持

【問鏈-EOS公開課】 EOS 資料庫持久化 API(二)

上次的文章詳細講解了 EOS 資料庫的架構,本文將以官方示例為基礎,詳解 EOS 資料庫的開發實戰。 基本步驟 在智慧合約裡與 EOS 資料庫互動,首先要定義儲存的資料: 定義物件:具體就是定義一個 C++ 類或者 C++ 結構體,資料表就由一個個物件組成。 定

CPU Rings, Privilege, and Protection.CPU的運行環, 特權保護

內存地址 能力 只讀 調用門 request bsp 管理員 vector sel 原文標題:CPU Rings, Privilege, and Protection 原文地址:http://duartes.org/gustavo/blog/ [註:本人水平有限,只好

後端碼農談前端(CSS篇):定位浮動

一、定位: 1、定位的理解 (1)相對定位 相對定位是一個非常容易掌握的概念。如果對一個元素進行相對定位,它將出現在它所在的位置上。然後,可以通過設定垂直或水平位置,讓這個元素“相對於”它的起點進行移動。 如果將 top 設定為 20px,那麼框將在原位置頂部下面 20 畫素的地方。如果 left 設定為 3

Windows核心程式設計 九章 執行緒核心物件的同步(上)

第9章 執行緒與核心物件的同步     上一章介紹瞭如何使用允許執行緒保留在使用者方式中的機制來實現執行緒同步的方法。使用者方式同步的優點是它的同步速度非常快。如果強調執行緒的執行速度,那麼首先應該確

21《為什麽不學三大框架》

ken 等我 滿足 要求 產業 jquery ava query 現在 不學框架。咦,好像有人寫過。因為Rocken剛自學一段時間,對於技術的廣度還沒有多少,框架中只會用一個jQuery。三大框架中只對一個Vue有一點了解,但我並不著急去學。與後端不同,前端是剛崛起的產業。

19 - 路徑搜索的綜合示例

示例 靈活 pos clas 問題 png 文件 編譯 解決 第19課 - 路徑搜索的綜合示例 1. 需求分析   (1)工程項目中不希望源碼文件夾在編譯時被改動(只讀文件夾)   (2)在編譯時自動創建文件夾(build)用於存放編譯結果   (3)編譯過程中能夠自動搜索

AjaxComet-JavaScript高程序設計21章讀書筆記(1)

set activex .html 規範 sta php 協議 num 刷新 Ajax(Asynchronous Javascript + XML)技術的核心是XMLHttpRequest對象,即: XHR。雖然名字中包含XML,但它所指的僅僅是這種無須刷新頁面即可從服務器

16 - 保護模式中的特權(中)

pro 啟用 add 應用場景 ima 不同 http == sas 一種新的描述符:門描述符(Gate Descriptor) 通過門描述符在不同特權級的代碼間進行跳轉 根據應用場景的不同,門描述符分為: 調用門(Call Gates)

18 - 深入特權轉移(上)

初識任務狀態段(Task State Segment)     處理器所提供的硬體資料結構, 用於實現多工解決方案     TSS中儲存了 關鍵暫存器的值以及 不同特權級使用的棧     參考:紫陌  ht