内核模式挂钩,好功能烂了
内核模式挂钩,好功能烂了
原文:https://medium.com/hackernoon/kernel-mode-hooking-good-features-getting-rotten-b870febc0104
这篇文章应该以教育为唯一目的来阅读。不得伤害或损坏任何用户或机器。伦理第一。过会儿开心。
现代 x86 操作系统,使用保护模式来执行指令。在保护模式下,有 4 个不同的权限级别,从 0 到 3。它们也被称为环 0 — 环 3 ,以表示它们之间的分离程度。
最高级别(最低特权)是常规应用程序运行的用户区 (ring3)。最低层(最高特权)是内核模式(ring0),操作系统的内核或核心在这里运行(基本上是拥有硬件的代码)。
每当应用程序需要调用内核时,它使用一个中断来告诉内核执行哪个系统调用。这个中断在 Linux x86–32 中是指令 int $0x80 ,在 Linux x86–64 中是指令 syscall 。
当 CPU 接受中断时,它从 ring3 切换到 ring0,并调用 system_call 。从这种有规律且看似无害的行为中,可以做出美好又恐怖的东西,如果你明白我的意思的话。这里的是允许挂钩内核系统调用的代码,嗯,释放你的想象力。黑客快乐!
你喜欢阅读吗?请用一笔小额捐款来支持我们。我们真的很感激!
*原载于 2015 年 9 月 11 日 worldofpiggy.com*的 。
黑客中午是黑客如何开始他们的下午。我们是 @AMI 家庭的一员。我们现在接受投稿,并乐意讨论广告&赞助机会。
要了解更多信息,请阅读我们的“关于”页面、在脸书上点赞/给我们发消息,或者简单地说, tweet/DM @HackerNoon。