Windows远程内核漏洞注入(2)

　　蓝屏的本质

　　当你找到一个漏洞，当你把数据包发送到远程系统时面临着出现蓝屏的问题。要想成功注入一个内核级漏洞，首先要理解“蓝屏死机（Blue Screen Of Death）”的原理。

　　当你见到BSOD，这就意味着native函数KeBugCheckEx被调用，有两种情况可以引发这种错误：

　　1、由内核异常调用

　　2、直接由错误检测机制调用KeBugCheckEx

　　内核的异常链处理机制如下：

　　当一个异常产生时，内核通过IDT（中断描述符表）的函数入口（KiTrapXX）取得控制权。这些函数组成了1级的的陷阱处理程序（Trap Handler），这个中断处理体可能会独自处理这个异常，也可能把该异常传递给下一个异常处理体,或者如果这个异常是无法处理的，那么就直接调用KeBugCheckEx。

　　无论是哪种情况，为了掌握产生异常的原因和地点，我们需要得到陷阱桢（Trap Frame）。陷阱桢是一个与CONTEXT相似的结构，利用这个结构，可以得到所有寄存器的状态和指令寄存器所指向的产生异常的地址。我倾向于使用Compuware/Numega的SoftICE调试器来完成所有工作，但当调试陷阱桢时，WinDbg提供了更好的结构识别能力。如果只使用SoftICE,我必须手动定位先前的堆栈参数。

　　假如你的电脑设置了蓝屏时的内存转储功能，那么这个文件的默认存储路径为%SystemRoot%/MEMORY.DMP。加载WinDbg并且选择“打开崩溃转储（Open Crash Dump）”加载所保存的文件。下面是由陷阱处理程序直接调用KeBugCheckEx的例子。

　　在加载内存转储文件后，WinDbg显示如下：

　　WinDbg显示了KeBugCheckEx是由自陷程序KiTrapOE调用的以及而且陷阱桢的地址是0x8054199C .现在就用“trap address”命令来显示陷阱桢的内容。

　　现在我们可以看到异常抛出时所有寄存器的状态，同时也能显示一部分的内存区域。看到指令寄存器的值为0x41414141，表明是在用户区域。现在我们可以按照自己的意愿任意改变执行流程。

　　这种情况下，数据是由ESP寄存器来定位的：

　　现在我们就可以利用JMP ESP,CALL ESP, PUSH ESP/RET等偏移值替换0x41414141来实现执行流程重定向，可以采用任何标准溢出技术重现漏洞溢出。

　　如果KeBugCheckEx是由异常处理机制引发的，陷阱桢是作为第三参数传递给KiDispatchException。在这种情况下，你需要将第三参数的地址传递给自陷命令。