來源:51CTO
作者:成松林
【51CTO.com 獨家特稿】該項目僅爲實驗性項目,主要目的是想隱藏一個Telnet後門在主板的BIOS內,並讓其隨着計算機系統及操作系統成功的運行起來。運行後能反向Telnet連接到指定的計算機接受控制。
項目涉及的相關知識及技術目錄
1、 實驗環境,使用bochs調試工具。
2、 刷新BIOS技術問題。
3、 代碼植入BIOS問題。
4、 源代碼相關技術問題:
A、如何編寫BIOS模塊(如:PCI、 ISA)。
B、實模式關於HOOK磁盤中斷的問題。
C、磁盤中斷中選擇再次HOOK的問題。
D、NT保護模式下設置物理地址映射。
E、NT保護模式下線性地址尋址問題。
BIOS模塊調試實驗環境採用Bochs
Bochs虛擬機可以調試BIOS及操作系統,Bochs使用主要是配置它的配置文件,我們以實例配置文件簡單講解,Bochs實驗調試等網上有很多相關文章,這裏簡單講解。
我的配置實例:文件名xp.bxrc,修改後的及需要設置的內容如下:
- ######使用的系統BIOS模塊######
- romimage: file=$BXSHARE/BIOS-bochs-latest
- ######使用的CPU 相關參數######
- cpu: count=1, ips=10000000, reset_on_triple_fault=1
- ######設置內存大小 ######
- megs: 128
- ######添加我們的BIOS模塊######
- optromimage1: file=test.bin, address=0xd0000
- ######使用的VGAROM模塊######
- vgaromimage: file=$BXSHARE/VGABIOS-lgpl-latest
- ######設置虛擬機硬盤與光盤######
- ata0-master: type=disk, path="c.img", mode=flat, cylinders=4161, heads=16, spt=63
- #ata0-slave: type=cdrom, path="xp.iso", status=inserted
- ######設置引導設備 ######
- boot: c
- #boot: cdrom, disk
Bochs調試加載配置文件方法:可以設置一個bat文件,如下內容:
set BXSHARE=d:/bochs
%BXSHARE%/bochsdbg.exe -q -f xp.bxrc
如何刷新各種BIOS問題
各種BIOS刷新相關工具早已在網上流傳,工具的使用這裏不作介紹,IcLord的作者已經給出很多編程方法實現。這裏簡單說下。
UniFlash開源項目我也詳細分析過,如果有必要我會給出UniFlash源代碼的詳解,該項目指出可以刷寫所有BIOS芯片,但是該項目刷新BIOS存在很多問題,絕大多數情況是無法刷新的我實驗過很多次,也嘗試修改他的代碼過很多次,沒找到原因。
Aword BIOS已經有通用的刷寫API調用,不管在NT下還是在實模式下,IcLord也作了講解。如果有時間我會給出實模式及NT下的刷寫源代碼及分析。
代碼植入BIOS問題
關於網上提及的,IcLord講到的我就不再做重複的分析。這裏主要講下我們的模塊可以植入哪些地方以方便隱藏。以前的教程講過的方法存的問題分析。
一、 ISA模塊形式植入:這種方式只適合於較早的計算機,因爲目前的計算機系統BIOS是不會加載ISA模塊的。故只能做實驗調試用的方法。
二、 PCI模塊形式植入:該方法雖然系統BIOS都要加載PCI ROM,但是系統BIOS只加載實際存在的PCI卡的ROM模塊。而且通常BIOS設置中可以
關閉相應的ROM啓動。
三、 HOOK BootBlock或者說要啓動的模塊:該方法當然我認爲是最有效的,但是又存在很多技術上的難題。檢驗和問題,不同BIOS的結構問題,過早的HOOK還存在再次獲取CPU運行機會問題等等。
本人實驗過以上提及的所有方法,我認爲HOOK PCI、VGA及相關啓動模塊是比較可尋的辦法。爲什麼?一般這類的ROM模塊是必須啓動的,而且調試發現一般它的ROM本身代碼用不完自身設置的大小,我們可以藉助剩餘大小隱藏我們的代碼。例如:集成顯卡會把顯卡ROM集成到系統BIOS模塊中,我們可以對該模塊進行HOOK,修改ROM頭部的跳轉指令,跳到我們的代碼開始處執行,我們的代碼執行完後跳轉到它的代碼開始處執行。
如何編寫BIOS模塊
BIOS是分模塊組合在一起的。這裏對PCI及ISA模塊作下簡單分析,VGA模塊跟PCI模塊幾乎一樣。模塊主要是頭部有個規範,該規範適合所有BIOS系統。具體可以參看《PCI系統結構》及其他書籍。
源代碼實例可以參看國外ROMOS開源項目,該開源項目的思想很值得學習。該項目講解了如何在BIOS中嵌入一個小型DOS,如:FreeDos。採用了把整個DOS系統盤鏡像植入BIOS中,跟早期的PXE引導DOS機制類似,然後HOOK磁盤中斷,模擬DOS系統盤鏡像出一個盤,源代碼編譯後只有900多字節。這種思想在早期還是很值得學習的。
實模式關於HOOK磁盤中斷問題
很早前就有業界內人士發貼問,爲什麼在我的ROM模塊中HOOK磁盤中斷會失敗呢?關於這個問題現在目前網上已經有人作出過回答,國外的開源項目在2003年我都看到過。
由於我們的ROM模塊過早的運行,可能運行在磁盤服務前面了,這時如果HOOK Int 13h會因爲BIOS加載磁盤服務時重寫Int 13h IVT值,故我們設法HOOK其他服務,這個服務要求較早被BIOS安裝且不會再次修改且加載操作系統前調用,最佳的這個服務選擇就是int 18h、int19h服務。可以參看
BIOS源代碼,也可以參看PXE SDK說明文檔略有講過。
我們的磁盤服務代碼建議放在實模式高端內存,通過BIOS數據區域可修改,內存40:13,即物理地址413h處的值。降低常規內存值,高端的內存就留給我們用。我們的保護模式下運行的代碼建議也放在這段內存,且要求放在以頁基址開始的內存中,以便後面代碼的頁映射我們的保護模式代碼物理頁。頁基址:內存物理頁地地址開始的低12位爲零,參看《80386保護模式教程》。
若我們的代碼直接在內存的ROM映射區內,可能導致在NT下訪問不到我們的代碼,因爲NT內核加載程序ntldr可能不會映射該段內存,甚至可能BIOS在使用後都會關閉ROM區域這段內存,而且ROM區域這段內存在初始化後被系統BIOS設置成只讀不能寫。當然我們可以採取用int 15h服務對ROM區域這段內存映射。
當然也可以在NT啓動過程中,在我們的磁盤服務中對想映射的內存都映射。由於代碼大小的限制,故有些沒必要的代碼。儘量不使用了。
磁盤中斷服務中再次HOOK問題
爲了使我們的程序再次獲得CPU運行機會,我們不得不得再次設法。調試發現NTLDR進入保護模式後在加載NT內核文件時,會切換CPU到實模式調用Int 13H服務進行磁盤讀。
我們掛接磁盤服務就是爲了截取NTLDR的讀操作,這裏我們可以HOOK 或者修改NTLDR另一部分OsLoader的代碼,跳轉到我們的代碼執行。當然也可以直接HOOK ntosknrl導出的服務,參看我在2008.4.1發佈的“程序從DOS/BIOS駐留內存到WINNT下監視內存數據”。
注意,HOOK OsLoader的代碼時選擇HOOK指令問題,由於NTLDR切換到實模式讀取數據,讀完後會在保護模式下搬移數據到規劃位置,進行內核的安裝。故HOOK時選擇HOOK指令就選擇FFh/15h:使用CALL NEAR [OFS32]指令進行,該指令尋址採用絕對地址,類似指令也可以。
當然我們的代碼再次運行就會運行在OsLoader代碼被我們HOOK處,調用我我們的代碼執行,這時我們的代碼運行環境:DS = ES = 10h保護模式段,內存模式: FLAT。在這裏我們可以通過掃描_BlLoaderData數據結構,獲取NTOSKRNL鏡像基址。
可以通過PE搜索NTOSKRNL導出的API,可以參看網上相關教程。現在再次HOOK NTOSKRNL導出函數KeAddSystemServiceTable,HOOK該函數
可以截獲win32k.sys添加它自己的服務,以便我們再再次HOOk win32.sys導出函數NtUserRegisterClassExWOW。HOOK該函數可以截取所有應用層程序註冊窗口類,以便我們再再再次HOOK窗口類過程。這時我們的代碼就運行在NT的應用層模式下。
NT保護模式下設置物理地址映射
先看一個WinDbg實例關於在我們的磁盤服務中獲取CR3值修改頁映射的分析,以前我的分析內容:
- NT內核被加載高端的2GB內存(80000000h~0ffffffffh)。參看NT內存安排..
- a、win2k adv ser: WINDBG 看到 NT Kernel base = 0x80400000 也就是NTOSKRNL.exe加載位置
- kd> r @cr3 ;斷點位置在NTOSKRNL.exe裏現在還沒有應用程序故低端內存還未使用
- cr3=00030000 ;->頁目錄表所在物理頁(物理地址30000h)
- kd> d 80030000 80030800 ;看頁目錄發現現在低端2GB(0~80000000h)還未分配
- 80030000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
- 80030010 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
- 80030020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
- kd> d 80030800 ;看高端開始分配情況頁表(80000000h開始的分配情況)
- 80030800 63 21 03 00 63 41 03 00-63 51 03 00 63 31 03 00 c!..cA..cQ..c1..
- 80030810 63 11 7c 00 63 21 7c 00-63 31 7c 00 63 41 7c 00 c.|.c!|.c1|.cA|.
- 80030820 63 51 7c 00 63 61 7c 00-63 71 7c 00 63 81 7c 00 cQ|.ca|.cq|.c.|.
- ;實例1:看80400000h(NT Kernel base),這個線性地址到物理地址映射情況.
- ;線性地址最高10位頁目錄項(每項佔4Byte):80400000h最高10位=201h.
- ;在頁目表位置:201h*4=804h 在內存地址=[cr3]+804h..具體看保護模式教程
- kd> d 80030000+804 ;看在頁目錄表位置的值
- 80030804 63 41 03 00 63 51 03 00-63 31 03 00 63 11 7c 00 cA..cQ..c1..c.|.
- ;二級頁表所在物理頁地址:63 41 03 00轉換下34163h,物理頁地址:34000h,163h是頁屬性.
- kd> d 80034000 ;看在頁表的值
- 80034000 63 01 40 00 63 11 40 00-63 21 40 00 63 31 40 00 [email protected][email protected][email protected]@.
- ;物理地址基址:63 01 40 00轉換下400163h,#物理地址基址#:400000h,163h是頁屬性
- ;最後發現物理地址基址(頁地址)在400000h..觀察物理地址400000h是NTOSKRNL.exe映像.
- kd> d 80400000 ;觀察物理地址400000h
- 80400000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ..............
- 80400010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......
- ;實例2:看我們代碼映射情況我們代碼在物理地址:9e000h從線性地址8009e000h分析映射情況
- ;8009e000h在頁目錄位置最高10位=200h*4,在內存地址=[CR3]+200h*4...
- kd> d 80030000+200*4
- 80030800 63 21 03 00 63 41 03 00-63 51 03 00 63 31 03 00 c!..cA..cQ..c1..
- ;二級頁表對應物理地址:63 21 03 00轉換下物理頁基址=32000h ,163是頁屬性
- ;8009e000h所在二級頁表位置:32000h+9eh*4(8009e000h線性地址12~22的位)...
- kd> d 80032000 + 9e *4
- 80032278 23 e1 09 00 03 f1 09 00-03 01 0a 00 03 11 0a 00 #...............
- ;物理地址基址(頁基址):23 e1 09 00轉換下09e000h,123是頁屬性..
- ;#實例3:Windows運行起後用的頁目錄表線性地址:0c0000000h映射到物理地址情況.
- kd> d 80030000 + c00 ;計算略.頁目錄表位置,觀察發現指向自己的...
- 80030c00 67 00 03 00 63 00 f0 17-00 00 00 00 63 31 a9 02 g...c.......c1..
- b、winXP: WINDBG 看到 Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055b420
- kd> r @cr3 ;斷點位置在NTOSKRNL.exe裏現在還沒有應用程序故低端內存還未使用
- cr3=00039000 ;->頁目錄表所在物理頁(頁目錄物理地址30000h)
- kd> d 80039000 80039800 ;看頁目錄發現現在低端2GB(0~80000000h)還未分配
- 80039000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
- kd> d 80039800 ;看高端開始分配情況頁表(80000000h開始的分配情況)
- 80039800 e9 b9 00 f6 06 a1 08 10-75 1b f6 06 a3 08 10 75 ........u......u
- ;實例1:看我們代碼映射情況我們代碼在物理地址:9e000h從線性地址8009e000h分析映射情況
- ;8009e000h在頁目錄位置最高10位=200h*4,在內存地址=[CR3]+200h*4...
- kd> d 80039000+200*4
- 80039800 63 b1 03 00 e3 01 40 00-63 e1 03 00 e3 01 00 01 [email protected].......
- ;二級頁表對應物理地址:63 b1 03 00轉換下物理頁基址=3b000h ,163是頁屬性
- ;8009e000h所在二級頁表位置:3b000h+9eh*4(8009e000h線性地址12~22的位)...
- kd> d 8003b000 + 9e *4
- 8003b278 03 e1 09 00 03 f1 09 00-03 01 0a 00 03 11 0a 00 ................
- ;物理地址基址(頁基址):03 e1 09 00轉換下09e000h,103是頁屬性..
- ---------> ;*#實例2:手工修改分頁讓物理地址映射到線性地址,WINXP.80000000h BIOS/DOS向量區沒映射.#*
- kd> d 80000000 ;可看到現在沒映射的情況,無法通過線性地址訪問.
- 80000000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 80000010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- ;80000000h的最高10位確定在頁目錄表位置=200h*4=800h.在頁目錄物理地址:[cr3]+800h
- kd> d 80039000+200*4;可發現二級頁表已映射(63b10300)頁屬性163.物理地址(頁)3b000h
- 80039800 63 b1 03 00 e3 01 40 00-63 e1 03 00 e3 01 00 01 [email protected].......
- ;80000000h的12~22位次高10位確定在二級頁表位置:物理地址3b000h+0*4
- kd> d 8003b000;觀察發現確實沒映射.全0.注意:一個頁項佔4字節...
- 8003b000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
- ;修改成讓它對應物理地址:000就可以,只修改允許訪問就可以.也就是byte ptr [8003b000]=63
- kd> e 8003b000 63
- kd> d 8003b000 ;修改成功
- 8003b000 63 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 c...............
- ;觀察修改後的情況.;注意:要想設置生效.讓WINDBG執行下G.讓0C0000000等cr3被改等..
- kd> g ;讓系統自動刷新TLB等寄存器....
- kd> d 80000000
- 80000000 53 ff 00 f0 53 ff 00 f0-c3 e2 00 f0 53 ff 00 f0 S...S.......S...
- ;#實例3:Windows運行起後用的頁目錄表線性地址:0c0000000h映射到物理地址情況.
- kd> d 80039000 + c00 ;計算略.頁目錄表位置,觀察發現指向自己的...
- 80039c00 67 90 03 00 63 00 f0 0f-00 00 00 00 63 31 e2 01 g...c.......c1..
- c、分析以上總結:發現最開始獲取的cr3值一直在用。
- 故我們修改頁項的效果會在windows運行後也生效通過以上的實例分析可以看出NT系統的頁映射情況。
- 進入保護模式之後這個CR3的值也就是頁目錄表位置被映射到了虛擬地址0c0000000h。
- 上面調試的實例頁目錄表地址就可以直接使用這個虛地址。
例如:在我們的代碼中把我們的代碼拷貝到SharedUserData空間未使用處去,就使用了頁映射代碼,直接修改第一個頁指向的物理頁,就是我們代碼所在的物理頁。
NT保護模式下線性地址尋址問題
關於我們的代碼進入保護模式以後,所有指令的尋址問題,這裏作一下分析。當我們代碼第一個在保護模式下執行的指令,是前面提到的磁盤服務中對OsLoader的代碼進入HOOK,也提到了採用什麼樣的HOOK指令以便尋址。
接哪之後,我們的代碼就開始運行在保護模式未分頁情況下,我們採取的方法是把我們的代碼拷貝到SharedUserData空間未使用處,涉及到拷貝的指令也必須運行在保護模式分頁下,因爲SharedUserData空間是一個虛地址。
在這裏我們採用了把我們的拷貝代碼指令搬移到NTOSKRNL鏡像的MZ與PE之間的區域,設置HOOK NTOSKRNL導出函數KeAddSystemServiceTable首先跳轉到拷貝指令執行,HOOK NTOSKRNL導出函數KeAddSystemServiceTable採用相對跳轉指令它們在同一個空間。
當我們的拷貝指令把我們的代碼拷貝到SharedUserData空間未使用處之後,我們的代碼就有一個固定的虛地址,所有後續指令都可以採用這個虛地址進行尋址。