21,459
社区成员
发帖
与我相关
我的任务
分享[原创]浅谈NT下Ring3无驱进入Ring0的方法
[原创]浅谈NT下Ring3无驱进入Ring0的方法
关键字:NT,Ring0,无驱
(测试环境:Windows 2000 SP4,Windows XP SP2.
Windows 2003 未测试)
在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码
的例子,我之所以用汇编重写是因为上次在
[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)
的帖子中自己没有实验成功(其实已经成功了,只是自己太马虎,
竟然还不知道 -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。
鉴于这些都是可以作为基本功来了解的知识点,所以对此已经熟悉的朋友
就可以略过不看了,当然由于本人水平有限,各位前来“挑挑刺”也是非
常欢迎的,呵呵。
下面言归正传,我们知道在NT中进入Ring0的一般方法是通过
驱动,我的Windows 核心编程研究系列 文章前两篇都使用了
这个方法进入Ring0 完成特定功能。现在我们还可以通过在Ring3
下直接写物理内存的方法来进入Ring0,其主要步骤是:
0 以写权限打开物理内存对象;
1 取得 系统 GDT 地址,并转换成物理地址;
2 构造一个调用门;
3 寻找 GDT 中空闲的位置,将 CallGate 植入;
4 Call植入的调用门。
前面已打通主要关节,现在进一步看看细节问题:
[零] 默认只有 System 用户有写物理内存的权限
administrators 组的用户 只有读的权限,但
是通过修改用户安全对象中的DACL 可以增加写的权限:
_SetPhyMemDACLs proc uses ebx edi esi \
_hPhymem:HANDLE,\
_ptusrname:dword
local @dwret:dword
local @htoken:HANDLE
local @hprocess:HANDLE
local @个
local @OldDACLs:PACL
local @SecurityDescriptor:PSECURITY_DESCRIPTOR
local @Access:EXPLICIT_ACCESS
mov @dwret,FALSE
invoke RtlZeroMemory,addr @NewDACLs,sizeof @NewDACLs
invoke RtlZeroMemory,addr @SecurityDescriptor,\
sizeof @SecurityDescriptor
invoke GetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
DACL_SECURITY_INFORMATION,NULL,NULL,\
addr @OldDACLs,NULL,\
addr @SecurityDescriptor
.if eax != ERROR_SUCCESS
jmp SAFE_RET
.endif
invoke RtlZeroMemory,addr @Access,sizeof @Access
mov @Access.grfAccessPermissions,SECTION_ALL_ACCESS
mov @Access.grfAccessMode,GRANT_ACCESS
mov @Access.grfInheritance,NO_INHERITANCE
mov @Access.stTRUSTEE.MultipleTrusteeOperation,\
NO_MULTIPLE_TRUSTEE
mov @Access.stTRUSTEE.TrusteeForm,TRUSTEE_IS_NAME
mov @Access.stTRUSTEE.TrusteeType,TRUSTEE_IS_USER
push _ptusrname
pop @Access.stTRUSTEE.ptstrName
invoke GetCurrentProcess
mov @hprocess,eax
invoke OpenProcessToken,@hprocess,TOKEN_ALL_ACCESS,\
addr @htoken
invoke SetEntriesInAcl,1,addr @Access,\
@OldDACLs,addr @NewDACLs
.if eax != ERROR_SUCCESS
jmp SAFE_RET
.endif
invoke SetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
DACL_SECURITY_INFORMATION,NULL,NULL,\
@NewDACLs,NULL
.if eax != ERROR_SUCCESS
jmp SAFE_RET
.endif
mov @dwret,TRUE
SAFE_RET:
.if @NewDACLs != NULL
invoke LocalFree,@NewDACLs
mov @NewDACLs,NULL
.endif
.if @SecurityDescriptor != NULL
invoke LocalFree,@SecurityDescriptor
mov @SecurityDescriptor,NULL
.endif
mov eax,@dwret
ret
_SetPhyMemDACLs endp
[一] 可以在Ring3下使用SGDT指令取得系统GDT表的虚拟地址,
这条指令没有被Intel设计成特权0级的指令。据我的
观察,在 Windows 2000 SP4 中 GDT 表的基址都是相同的,
而且在 虚拟机VMware 5.5 虚拟的 Windows 2000 SP4中
执行 SGDT 指令后返回的是错误的结果,在虚拟的 Windows XP
中也有同样情况,可能是虚拟机的问题,大家如果有条件可以试一下:
local @stGE:GDT_ENTRY
mov @dwret,FALSE
lea esi,@stGE
sgdt fword ptr [esi]
assume esi:ptr GDT_ENTRY
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
;在 VMware 虚拟环境下用以下两条指令替代
;只用于 Windows 2000 SP4
;mov [esi].Base,80036000h
;mov [esi].Limit,03ffh
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
mov eax,[esi].Base
invoke @GetPhymemLite,eax
.if eax == FALSE
jmp quit
.endif
下面就是虚拟地址转换物理地址了,这在Ring0中很简单,
直接调用MmGetPhysicalAddress 即可,但在Ring3中要
另想办法,还好系统直接将 0x80000000 – 0xa0000000 影射
到物理0地址开始的位置,所以可以写一个轻量级的
GetPhysicalAddress来替代 :)
@GetPhymemLite proc uses esi edi ebx _vaddr
local @dwret:dword
mov @dwret,FALSE
.if _vaddr < 80000000h
jmp quit
.endif
.if _vaddr >= 0a0000000h
jmp quit
.endif
mov eax,_vaddr
and eax,01ffff000h ;or sub eax,80000000h
mov @dwret,eax
quit:
mov eax,@dwret
ret
@GetPhymemLite endp
[二]调用门在保护模式中可以看成是低特权级代码向高特权级代
码转换的一种实现机制,如图1所示(由于本人较懒,所以借用李
彦昌先生所著的80x86保护模式系列教程 中的部分截图,希望李
先生看到后不要见怪 ^-^):
图1
要说明的是调用门也可以完成相同特权级的转换。一般门的结构如
图2所示:
门描述符 m+7 m+6 m+5 m+4 m+3 m+2 m+1 m+0
Offset(31...16) Attributes Selector Offset(15...0)
门描述
符属性 Byte m+5 Byte m+4
BIT7 BIT6 BIT5 BIT4 BIT3 BIT2 BIT1 BIT0 BIT7 BIT6 BIT5 BIT4 BIT3 BIT2 BIT1 BIT0
P DPL DT0 TYPE 000 Dword Count
图2
简单的介绍一下各个主要位置的含义:
Offset 和 Selector 共同组成目的地址的48位全指针,这意味
着,如果远CALL指令指向一个调用门,则CALL指令中的偏移被丢弃;
P位置位代表门有效,DPL是门描述符的特权级,后面要设置成3,
以便在Ring3中可以访问。TYPE 是门的类型,386调用门是 0xC ,
Dword Count 是系统要拷贝的双字参数的个数,后面也将
用到。下面是设置CallGate的代码:
mov eax,_FucAddr
mov @CallGate.OffsetL,ax ;Low Part Addr Of FucAddr
mov @CallGate.Selector,8h ;Ring0 Code Segment
mov @CallGate.DCount,1 ;1 Dword
mov @CallGate.GType,AT386CGate ;Must A CallGate
shr eax,16
mov @CallGate.OffsetH,ax ;Low Part Addr Of FucAddr
[三] 既然可以读些物理内存了,也知道了GDT的物理基地址和
长度,所以可以通过将GDT整个读出,然后寻找一块空闲的区域来
植入前面设置好的CallGate:
;申请一片空间,以便存放读出的GDT
Invoke VirtualAlloc,NULL,@tmpGDTLimit,MEM_COMMIT,\
PAGE_READWRITE
.if eax == NULL
jmp quit
.endif
mov @pmem,eax
invoke @ReadPhymem,@tmpGDTPhyBase,@pmem,@tmpGDTLimit,\
_hmem
.if eax == FALSE
jmp quit
.endif
mov esi,@pmem
mov ebx,@tmpGDTLimit
shr ebx,3
;找到第一个GDT描述符中P位没有置位的地址。
mov ecx,1
.while ecx < ebx
mov al,byte ptr [esi+ecx*8+5]
bt ax,7
.if CARRY?
.else
jmp lop0
.endif
Inc ecx
.endw
invoke VirtualFree,@pmem,0,MEM_RELEASE
jmp quit
lop0:
lea eax,[ecx*8]
mov @OffsetGatePos,eax
add @PhyGatePos,eax
mov esi,@pmem
add esi,eax
invoke RtlMoveMemory,addr oldgatebuf,esi,8
;释放内存空间
invoke VirtualFree,@pmem,0,MEM_RELEASE
[四] 现在主要工作基本完成了,剩下的就是设计一个运行在
Ring0中的子函数,在这个子函数中我将调用Ring0里面真正的MmGetPhysicalAddress来取得实际的物理地址,所以这个函数
要有一个输入参数用来传递要转换的虚拟地址,并且还要考虑
到如何获取返回的物理地址(EDX:EAX)。在网络上的C版本代码
中,这是通过定义几个全局变量来传递的,因为没有发生进程
切换,所以可以使用原进程中的一些变量。然而我在传递虚拟
地址上采用了另一种做法,就是通过实际形参来传递的:
Ring0Fuc proc ;_vaddr
;手动保存
push ebp
mov ebp,esp
sub esp,4
mov eax,[ebp+0ch]
mov [ebp-4],eax ;first local val
pushad
pushfd
cli
mov eax,[ebp-4]
;调用真正的 MmGetPhysicalAddress.
invoke MmGetPhysicalAddress,eax
mov phymem_L,eax
mov phymem_H,edx
popfd
popad
;手动还原
mov esp,ebp
pop ebp
retf 4
Ring0Fuc endp
最后,通过一个远CALL来调用这个调用门:
lea edi,FarAddr
push _vaddr
call fword ptr [edi]
通过亲手编码,可以对调用门、远调用等一些80386+保护模式
中的概念在windows的实现中有了进一步的了解,不再像以前那
样模棱两可了。看似全部写完了,其实中间还有很多可以挖掘出
来扩展说的细节,但我现在已没有精力写了…( :( ),还要准备
其他东西,结尾就用这个不是结尾的结尾,结尾吧(绕口令?)。:)
(完整的带图版本请到我的blog:
http://blog.csdn.net/mydo/ 观赏,谢谢)
侯佩|hopy
2006.01.14 17:09 (机场)办公室
关键字:NT,Ring0,无驱
(测试环境:Windows 2000 SP4,Windows XP SP2.
Windows 2003 未测试)
在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码
的例子,我之所以用汇编重写是因为上次在
[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)
的帖子中自己没有实验成功(其实已经成功了,只是自己太马虎,
竟然还不知道 -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。
鉴于这些都是可以作为基本功来了解的知识点,所以对此已经熟悉的朋友
就可以略过不看了,当然由于本人水平有限,各位前来“挑挑刺”也是非
常欢迎的,呵呵。
下面言归正传,我们知道在NT中进入Ring0的一般方法是通过
驱动,我的Windows 核心编程研究系列 文章前两篇都使用了
这个方法进入Ring0 完成特定功能。现在我们还可以通过在Ring3
下直接写物理内存的方法来进入Ring0,其主要步骤是:
0 以写权限打开物理内存对象;
1 取得 系统 GDT 地址,并转换成物理地址;
2 构造一个调用门;
3 寻找 GDT 中空闲的位置,将 CallGate 植入;
4 Call植入的调用门。
前面已打通主要关节,现在进一步看看细节问题:
[零] 默认只有 System 用户有写物理内存的权限
administrators 组的用户 只有读的权限,但
是通过修改用户安全对象中的DACL 可以增加写的权限:
_SetPhyMemDACLs proc uses ebx edi esi \
_hPhymem:HANDLE,\
_ptusrname:dword
local @dwret:dword
local @htoken:HANDLE
local @hprocess:HANDLE
local @个
local @OldDACLs:PACL
local @SecurityDescriptor:PSECURITY_DESCRIPTOR
local @Access:EXPLICIT_ACCESS
mov @dwret,FALSE
invoke RtlZeroMemory,addr @NewDACLs,sizeof @NewDACLs
invoke RtlZeroMemory,addr @SecurityDescriptor,\
sizeof @SecurityDescriptor
invoke GetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
DACL_SECURITY_INFORMATION,NULL,NULL,\
addr @OldDACLs,NULL,\
addr @SecurityDescriptor
.if eax != ERROR_SUCCESS
jmp SAFE_RET
.endif
invoke RtlZeroMemory,addr @Access,sizeof @Access
mov @Access.grfAccessPermissions,SECTION_ALL_ACCESS
mov @Access.grfAccessMode,GRANT_ACCESS
mov @Access.grfInheritance,NO_INHERITANCE
mov @Access.stTRUSTEE.MultipleTrusteeOperation,\
NO_MULTIPLE_TRUSTEE
mov @Access.stTRUSTEE.TrusteeForm,TRUSTEE_IS_NAME
mov @Access.stTRUSTEE.TrusteeType,TRUSTEE_IS_USER
push _ptusrname
pop @Access.stTRUSTEE.ptstrName
invoke GetCurrentProcess
mov @hprocess,eax
invoke OpenProcessToken,@hprocess,TOKEN_ALL_ACCESS,\
addr @htoken
invoke SetEntriesInAcl,1,addr @Access,\
@OldDACLs,addr @NewDACLs
.if eax != ERROR_SUCCESS
jmp SAFE_RET
.endif
invoke SetSecurityInfo,_hPhymem,SE_KERNEL_OBJECT,\
DACL_SECURITY_INFORMATION,NULL,NULL,\
@NewDACLs,NULL
.if eax != ERROR_SUCCESS
jmp SAFE_RET
.endif
mov @dwret,TRUE
SAFE_RET:
.if @NewDACLs != NULL
invoke LocalFree,@NewDACLs
mov @NewDACLs,NULL
.endif
.if @SecurityDescriptor != NULL
invoke LocalFree,@SecurityDescriptor
mov @SecurityDescriptor,NULL
.endif
mov eax,@dwret
ret
_SetPhyMemDACLs endp
[一] 可以在Ring3下使用SGDT指令取得系统GDT表的虚拟地址,
这条指令没有被Intel设计成特权0级的指令。据我的
观察,在 Windows 2000 SP4 中 GDT 表的基址都是相同的,
而且在 虚拟机VMware 5.5 虚拟的 Windows 2000 SP4中
执行 SGDT 指令后返回的是错误的结果,在虚拟的 Windows XP
中也有同样情况,可能是虚拟机的问题,大家如果有条件可以试一下:
local @stGE:GDT_ENTRY
mov @dwret,FALSE
lea esi,@stGE
sgdt fword ptr [esi]
assume esi:ptr GDT_ENTRY
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
;在 VMware 虚拟环境下用以下两条指令替代
;只用于 Windows 2000 SP4
;mov [esi].Base,80036000h
;mov [esi].Limit,03ffh
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
mov eax,[esi].Base
invoke @GetPhymemLite,eax
.if eax == FALSE
jmp quit
.endif
下面就是虚拟地址转换物理地址了,这在Ring0中很简单,
直接调用MmGetPhysicalAddress 即可,但在Ring3中要
另想办法,还好系统直接将 0x80000000 – 0xa0000000 影射
到物理0地址开始的位置,所以可以写一个轻量级的
GetPhysicalAddress来替代 :)
@GetPhymemLite proc uses esi edi ebx _vaddr
local @dwret:dword
mov @dwret,FALSE
.if _vaddr < 80000000h
jmp quit
.endif
.if _vaddr >= 0a0000000h
jmp quit
.endif
mov eax,_vaddr
and eax,01ffff000h ;or sub eax,80000000h
mov @dwret,eax
quit:
mov eax,@dwret
ret
@GetPhymemLite endp
[二]调用门在保护模式中可以看成是低特权级代码向高特权级代
码转换的一种实现机制,如图1所示(由于本人较懒,所以借用李
彦昌先生所著的80x86保护模式系列教程 中的部分截图,希望李
先生看到后不要见怪 ^-^):
图1
要说明的是调用门也可以完成相同特权级的转换。一般门的结构如
图2所示:
门描述符 m+7 m+6 m+5 m+4 m+3 m+2 m+1 m+0
Offset(31...16) Attributes Selector Offset(15...0)
门描述
符属性 Byte m+5 Byte m+4
BIT7 BIT6 BIT5 BIT4 BIT3 BIT2 BIT1 BIT0 BIT7 BIT6 BIT5 BIT4 BIT3 BIT2 BIT1 BIT0
P DPL DT0 TYPE 000 Dword Count
图2
简单的介绍一下各个主要位置的含义:
Offset 和 Selector 共同组成目的地址的48位全指针,这意味
着,如果远CALL指令指向一个调用门,则CALL指令中的偏移被丢弃;
P位置位代表门有效,DPL是门描述符的特权级,后面要设置成3,
以便在Ring3中可以访问。TYPE 是门的类型,386调用门是 0xC ,
Dword Count 是系统要拷贝的双字参数的个数,后面也将
用到。下面是设置CallGate的代码:
mov eax,_FucAddr
mov @CallGate.OffsetL,ax ;Low Part Addr Of FucAddr
mov @CallGate.Selector,8h ;Ring0 Code Segment
mov @CallGate.DCount,1 ;1 Dword
mov @CallGate.GType,AT386CGate ;Must A CallGate
shr eax,16
mov @CallGate.OffsetH,ax ;Low Part Addr Of FucAddr
[三] 既然可以读些物理内存了,也知道了GDT的物理基地址和
长度,所以可以通过将GDT整个读出,然后寻找一块空闲的区域来
植入前面设置好的CallGate:
;申请一片空间,以便存放读出的GDT
Invoke VirtualAlloc,NULL,@tmpGDTLimit,MEM_COMMIT,\
PAGE_READWRITE
.if eax == NULL
jmp quit
.endif
mov @pmem,eax
invoke @ReadPhymem,@tmpGDTPhyBase,@pmem,@tmpGDTLimit,\
_hmem
.if eax == FALSE
jmp quit
.endif
mov esi,@pmem
mov ebx,@tmpGDTLimit
shr ebx,3
;找到第一个GDT描述符中P位没有置位的地址。
mov ecx,1
.while ecx < ebx
mov al,byte ptr [esi+ecx*8+5]
bt ax,7
.if CARRY?
.else
jmp lop0
.endif
Inc ecx
.endw
invoke VirtualFree,@pmem,0,MEM_RELEASE
jmp quit
lop0:
lea eax,[ecx*8]
mov @OffsetGatePos,eax
add @PhyGatePos,eax
mov esi,@pmem
add esi,eax
invoke RtlMoveMemory,addr oldgatebuf,esi,8
;释放内存空间
invoke VirtualFree,@pmem,0,MEM_RELEASE
[四] 现在主要工作基本完成了,剩下的就是设计一个运行在
Ring0中的子函数,在这个子函数中我将调用Ring0里面真正的MmGetPhysicalAddress来取得实际的物理地址,所以这个函数
要有一个输入参数用来传递要转换的虚拟地址,并且还要考虑
到如何获取返回的物理地址(EDX:EAX)。在网络上的C版本代码
中,这是通过定义几个全局变量来传递的,因为没有发生进程
切换,所以可以使用原进程中的一些变量。然而我在传递虚拟
地址上采用了另一种做法,就是通过实际形参来传递的:
Ring0Fuc proc ;_vaddr
;手动保存
push ebp
mov ebp,esp
sub esp,4
mov eax,[ebp+0ch]
mov [ebp-4],eax ;first local val
pushad
pushfd
cli
mov eax,[ebp-4]
;调用真正的 MmGetPhysicalAddress.
invoke MmGetPhysicalAddress,eax
mov phymem_L,eax
mov phymem_H,edx
popfd
popad
;手动还原
mov esp,ebp
pop ebp
retf 4
Ring0Fuc endp
最后,通过一个远CALL来调用这个调用门:
lea edi,FarAddr
push _vaddr
call fword ptr [edi]
通过亲手编码,可以对调用门、远调用等一些80386+保护模式
中的概念在windows的实现中有了进一步的了解,不再像以前那
样模棱两可了。看似全部写完了,其实中间还有很多可以挖掘出
来扩展说的细节,但我现在已没有精力写了…( :( ),还要准备
其他东西,结尾就用这个不是结尾的结尾,结尾吧(绕口令?)。:)
(完整的带图版本请到我的blog:
http://blog.csdn.net/mydo/ 观赏,谢谢)
侯佩|hopy
2006.01.14 17:09 (机场)办公室
...全文
请发表友善的回复…
发表回复
_JeffreyWu 2010-12-27
- 打赏
- 举报
[Quote=引用 25 楼 mydo 的回复:]
你说完全一样,那请把原文贴出来。
我是借鉴了网上一些技术文章,我在我的文章开头已经明确说明这一点了。
我全篇内容用win32汇编完成,而且在部分内容进行了我的思路重写,比如
在 VMware 虚拟环境下特殊情况的解决编码;
在调用门中使用DwordCount传递参数;
你说 "完全一样 "是什么意思?
[/Quote]
淡定
你说完全一样,那请把原文贴出来。
我是借鉴了网上一些技术文章,我在我的文章开头已经明确说明这一点了。
我全篇内容用win32汇编完成,而且在部分内容进行了我的思路重写,比如
在 VMware 虚拟环境下特殊情况的解决编码;
在调用门中使用DwordCount传递参数;
你说 "完全一样 "是什么意思?
[/Quote]
淡定
nik_Amis 2008-01-01
- 打赏
- 举报
Mark
大熊猫侯佩 2007-06-12
- 打赏
- 举报
你说完全一样,那请把原文贴出来。
我是借鉴了网上一些技术文章,我在我的文章开头已经明确说明这一点了。
我全篇内容用win32汇编完成,而且在部分内容进行了我的思路重写,比如
在 VMware 虚拟环境下特殊情况的解决编码;
在调用门中使用DwordCount传递参数;
你说"完全一样"是什么意思?
我是借鉴了网上一些技术文章,我在我的文章开头已经明确说明这一点了。
我全篇内容用win32汇编完成,而且在部分内容进行了我的思路重写,比如
在 VMware 虚拟环境下特殊情况的解决编码;
在调用门中使用DwordCount传递参数;
你说"完全一样"是什么意思?
combojiang 2007-06-10
- 打赏
- 举报
哈哈,这篇文章是你的原创吗?
你这篇是抄袭的,是2003年内蒙古大学出版社出版的《高手破解真经》上的原文。
你这篇是抄袭的,是2003年内蒙古大学出版社出版的《高手破解真经》上的原文。
xiuhai 2007-04-28
- 打赏
- 举报
看不懂
大熊猫侯佩 2007-01-26
- 打赏
- 举报
就是masm32v9.0的代码
ThankSZ 2007-01-26
- 打赏
- 举报
啊 能不能全部写成ASM 版本的呀 C++我看不懂
大熊猫侯佩 2007-01-25
- 打赏
- 举报
up
julong88 2007-01-16
- 打赏
- 举报
mark
swimmer2000 2007-01-15
- 打赏
- 举报
顶一下
Areslee 2007-01-15
- 打赏
- 举报
佩服
不过提一句:GDT/IDT中的base可能是虚拟地址
不过提一句:GDT/IDT中的base可能是虚拟地址
aceouter 2007-01-15
- 打赏
- 举报
不错,收藏
colorslife 2007-01-15
- 打赏
- 举报
不错,学习
lineuser 2007-01-15
- 打赏
- 举报
收藏
WYlslrt 2007-01-15
- 打赏
- 举报
Areslee(懒虫易水):
这个我查过IA的手册了,这个lgdt,sgdt和gdtr.base里都是linear address,必须得经过查页表才能找到物理地址的。
这个我查过IA的手册了,这个lgdt,sgdt和gdtr.base里都是linear address,必须得经过查页表才能找到物理地址的。
三条猫 2007-01-15
- 打赏
- 举报
mark
「已注销」 2007-01-15
- 打赏
- 举报
学习
ringphone 2007-01-15
- 打赏
- 举报
mark
会思考的草 2007-01-15
- 打赏
- 举报
很早以前就见过这个方法了。
粉红色的火烈鸟 2007-01-15
- 打赏
- 举报
无驱的进入ring 0的方法是有,不过纯粹是为了演示而用,功能上比驱动程序要差得太多,没有实用价值,不过想写病毒就另当别论了
加载更多回复(7)
