[原创]抢先DriverStudio夺取机器控制权

      大家都知道，装了DriverStudio软件(我使用的是v3.2版)的系统在启动时会显示其配置画面，(如图0所示)

 

 

 

                             图 0

 

这时操作系统的其他部件还没有运行。那么显示的原理是什么？能不能早于DriverStudio而先执行其他代码呢？答案是肯定的。下面先谈谈原理吧。

      原理比较简单,详细的大家可以看网文 Inside NT boot

,我这里简单说说。当引导扇区被引导后，会查找NTLDR,NTLDR做

的一件非常重要的事就是将CPU从实模式转换到保护模式下。在

加载完NTDECT.COM后接下来就会将NT的核心装入内存，它们是HAL.DLL和NTOSKRNL.EXE，加载完毕后，NTLDR再加载所有引导

必须的驱动程序。接下来就是我们所关心的地方:它会将HKLM/SYSTEM/Services中值为 SERVICE_BOOT_START的DRIVER

装入，但此时不初始化。

(补充附注:

NtLdr第3步动作:扫描内存中SYSTEM注册表hive文件找到所有引

导设备驱动程序，这些Driver仔注册表中通过SERVICE-BOOT-

START启动值标记。

NtLdr第5步动作:加载引导驱动程序，在启动画面Starting

Windows下显示出不断更新的进度栏，该进度栏随每个驱动程

序的加载而变化。

Kernel第23步动作:I/O管理器初始化……所有前面加载的

Boot-Start型驱动程序被调用以完成驱动程序相关初始化，

这时才轮到System-Start型的驱动程序被加载并初始化。

更详细的信息请参考 Windows 2000 内部揭秘

)

 

那么DriverStudio是不是也是使用了这个特性呢？

运行 regedit.exe ,在Services目录中找到bootcfg这个注册

项，可以看到它是一个内核驱动，并且Start类型为0。如图1

所示:

 

 

                             图1

 

为了证实这个Driver就是提供DriverStudio开机时配置功能的

驱动程序，我用一个会引起系统崩溃驱动的名字来替换它，然

后重新启动。原本该显示配置画面的地方果然发生了系统崩溃。

(如图2所示)

 

 

                            图 2

 

既然知道了原理，再来看看操作。实际上windows自身提供

了这个实现。细心的朋友可能早就知道Win32 API

CreateService的dwStartType 形参有个选项为:SERVICE_BOOT_START 。

  

SERVICE_BOOT_START  --  Specifies a device driver started by   the operating system loader. This value is valid only if the    service type is SERVICE_KERNEL_DRIVER or SERVICE_FILE_SYSTEM_DRIVER.

 

 

好像看起来和普通的诸如SERVICE_DEMAND_START  的用法没

什么不同嘛，结果手动编制尝试结果返回非法参数。

      为什么会这样呢？经过一番thinking之后，我猜测由

于使用

了SERVICE_BOOT_START 时，是在系统引导的早期发生load

Driver事件，这时可能除了少数几个OS必须的路径以外，还

无法访问其他windows目录。为了证实，我将自己的Driver拷

贝到系统目录：

%root%/system32/drivers/

下，再次运行结果成功！

      下面再引出注册表中的一个与驱动程序加载相关的KEY：

ServiceGroupOrder ，如图3所示:

 

 

                              图3

 

再看一下图1中DriverStudio引导驱动的组名，是Boot Bus Extender，它排在启动顺序的第2位。现在我新加一个

Group名:Hopy。

如图4:

 

 

                               图4

 

然后将代码改写如下:

;BTmain.asm节选

.const

namesvr    db TryBootSvr,0

notesvr    db Test Drv Start at System Boot,0

namefile db BTdrv.sys,0

szLOG   db hopy,0

szSSN   db TBSvr2007,0       ;ServiceStartName

szpath     db C:/WINNT/system32/drivers/BTdrv.sys,0

 

.code

invoke  CreateService,hSCM,addr namesvr,addr notesvr,/

      SERVICE_ALL_ACCESS,SERVICE_KERNEL_DRIVER,/

      SERVICE_BOOT_START,SERVICE_ERROR_NORMAL,/

      addr szpath,addr szLOG,addr tagid,NULL,/

      NULL,NULL

 

驱动代码如下:

;BTdrv.asm节选

local status:NTSTATUS

   local pDeviceObject:PVOID

 

   mov   status, STATUS_DEVICE_CONFIGURATION_ERROR

   xor   edi,edi

   mov   [edi],eax

   jmp   $

   mov   eax,status

   ret

 

结果如我们所预料，该Driver抢在DriverStudio之前发生

蓝屏，如果将这个Driver换成带有特定功能的代码的驱动，

则可以实现超前的目的。这个留给大家去想象吧，呵呵。

 

 

 

 

                                       hopy|侯佩

                                    2007.09.16 写于中国

                                    女足惨败于巴西之后

程序员的自白：我如何让失败项目起死回生，变成价值 270 亿美元的应用程序？ Slack 是颇受欢迎的企业沟通和协作工具，目前有 63 万企业在使用。2014 年初拿到了 4000 多万美元融资之后又完成 1.2 亿美元的融资，其估值达到了 11.2 亿美元。2015 年 2 月，slack 成立一周年日活跃用户就达到 50 万人。2019 年 6 月 20 日，创业公司 Slack 正式登陆纽交所。
这个应用起源于一个几乎已经宣告失败的游戏项目，发展成今天一家价值 270 亿美元的公司实属不易。今天，我们来听听 Flicr 与 Slack 的联合创始人 Stewart Butterfield 的轶闻趣事。
陈春花：我们真的不担心机器像人一样思考，应该担心人像机器一样思考 “2020未来教育论坛暨北京大学未来教育管理研究中心成立大会”在北京大学国际关系学院秋林报告厅举行，论坛的主题是“大变局下的未来教育与可持续发展”。