小默

寫了兩天的程序，總算把RING3下的搞定了。這個太強悍了，可以穿透所有的主動防御和還原軟件和影子系統~~危害太大，代碼我就不發了~~關于RING0驅動過還原的可以看機器狗的代碼~

　　隨著機器狗病毒和MJ的Tophet.a的放出，無論是RING0還是RING3下穿透還原軟件的技術突然浮現在了大眾的眼前。讓你的毒毒和小馬能穿透還原軟件/卡，的確很吸引人~~
　　最近學習SCSI總線命令，結合以前的知識做了一下穿透還原軟件，學習是個曲線前進過程，有可能文中有些觀點不對，主要來自《SCSI程序員指南》和《scsi總線及IDE接口（協議、應用和編程）》~~

IRP是從文件系統->卷驅動 -> 磁盤驅動-> 類驅動-> 端口驅動-> 微端口驅動
ntfs/fat32.sys->partmgr.sys->ftdisk.sys->disk.sys->classpnp.sys->acpi.sys->atapi.sys
　　其中不少是value-added和filter驅動，主要的是文件系統驅動ntfs/fat32.sys，storage驅動disk.sys和總線驅動atapi.sys，我們知道，文件系統驅動做的工作就是把下層讀扇區得到的RAW數據轉換成文件，向上提供，磁盤驅動這層就是把上層請求的讀扇區的IRP換成帶SCSI命令的IRP發給下層的miniport ATAPI.sys，ATAPI.sys調用hal中的write_port_char最后來直接端口I/O了。還原程序是在哪一層呢？是在disk.sys之上插了一個filter，如果直接繞過上層的驅動直接發帶SRB的IRP給Disk.sys或是ATAPI.sys,那么就實現了穿透。另外，當然還有別的方法，譬如端口I/O，但是通用性不好，與硬盤具體的接口有關(IDE,SCSI等)
kd>bu atapi!IdePortStartIo

上圖可看到，在disk這層的irp處理交給了classpnp了，在disk這層之上有個DeepFrz的驅動，這是我測試用的冰點還原的驅動，可以的確冰點還原的驅動是位于disk之上的，從理論上說我們發SRB給disk是可以繞過還原的。到了atapi這層就是走atapi!IdePortStartIo->nt!IoStartPacket->IdePortStartIo,之后就分有無DMA能力區別對待了。
　　首先SCSI總線上設備數據傳輸的過程:
申請—仲裁（建立連接）—消息—命令—數據（如果命令產生數據傳輸）—消息（通知結束，發送狀態碼）
SCSI有以下幾個階段:
1總線空閑階段
2總裁階段
3選擇階段
4重新選擇階段
5消息輸出階段
6命令階段（接受CDB）
CDB分為0，1，2，5號組命令，命令組號告訴目標器在CDB中有多少字節，然后會產生以下三種階段情況(本段參考《SCSI程序員指南》，比較老了，根據SCSI SPC-3上有16字節的等)
0號組CDB是6字節長
1，2號組CDB是10字節長
5號組CDB是12字節長
CDB的第一個字節是描述該命令的操作碼，高三位表示命令所屬的命令組0-7，低五位表示命令碼
CDB的第二個字節高三位表示一個LUN（邏輯單元號）
　　其中LUN是什么呢？LUN的全稱是Logical Unit Number，也就是邏輯單元號。我們知道SCSI總線上可掛接的設備數量是有限的，一般為6個或者15個，我們可以用Target ID(也有稱為SCSI ID的)來描述這些設備，而實際上我們需要用來描述的對象，是遠遠超過該數字的，于是我們引進了LUN的概念，也就是說LUN ID的作用就是擴充了Target ID。每個Target下都可以有多個LUN Device，我們通常簡稱LUN Device為LUN，這樣就可以說每個設備的描述就有原來的Target x變成Target x LUN y了，那么顯而易見的，我們描述設備的能力增強了。
　　從第三字節開始是命令參數字段，對直接存取設備來說是邏輯塊地址，對傳輸數據的命令是傳輸長度
　　最后一個字段是Control字段，如Link標志指出該CDB是否是一系列連接命令的一部分，Flag標志決定一條連接的命令成功執行后目標器返回的狀態碼(6-7廠商自定，2-5保留，1標志位，0連接位）
　　強制命令（適用于所有設備的命令,采用大端點數）
00H Test unitReady
　　簡單的報告設備是否已經為執行命令做好準備，6字節組（高三位為0）
03H Request Sense（讀取）
12H Inquiry
　　查詢設備的制造商，模型信息等
1DH Send Diagnostic

　設備類型特定命令
mode sense（獲取目標機操作參數信息）和mode select（改變參數）有6字節和10字節
Read和Write命令有6字節和10字節版本，分屬與0號組和2號組
數據階段
狀態階段
消息輸入階段
　　SCSI miniport驅動器實現了對SCSI接口適配器的直接控制。miniport驅動器對SCSI適配器進行初始化，并向硬件傳輸I/O請求，處理中斷的產生，執行適配器水平的錯誤修復和記錄。miniport驅動器是一種小型的仿制的SCSI I/O模型，它隱藏了SCSI適配器硬件水平上的細節內容。它提供了帶有連續，低層次的借口的高水平的SCSI模型，而根本不用考慮實際的硬件接口。只要實現了規定的SCSI miniport 接口，SCSI miniport驅動器就不必對傳統的SCSI適配器進行控制，這就允許外設制造商在他們的硬件上使用不同的總線接口。ATAPI設備擁有一套幾乎與SCSI完全一致的命令，但是它們進行的數據傳輸卻是基于IDE總線的。windows中的ATAPI的miniport驅動接受了低層次的SCSI命令，并把它們通過IDE總線發送出去
　　SCSIPORT驅動器對于系統中的所有SCSI請求提供了唯一的入口點，對系統中各種各樣的miniport驅動器進行初始化，把系統特有的SCSI I/O請求轉化成標準的SRB，并把這些請求發送給適當的miniport驅動器。由于硬件細節被隱藏在了miniport驅動器中，所以高層次的驅動器可以調用SCSIPORT驅動器來執行所有的SCSI I/O操作，而不必在乎所使用的硬件接口，在windows NT中，有很多種標準的SCSI類驅動器，包括用來處理磁盤驅動器(disk.sys)和CD-ROM驅動器的類驅動器。文件系統的驅動器可以調用磁盤類驅動器來執行高層次，面向塊的I/O請求。磁盤類驅動會把文件系統的請求轉化成一系列的SCSI I/O請求，然后它們會被傳送到SCSIPORT驅動。
　　sense data(檢測數據) ：當一個SCSI設備（通常是一個LUN）發現它自己處于異常狀態時，它就拒絕執行下面的命令，并返回一個check condition狀態。產生至少18個字節長的數據，包括經過編碼的關于錯誤的信息，稱為檢測數據。
IOCTL_SCSI_PASS_THROUGH
IOCTL_SCSI_PASS_THROUGH_DIRECT
　　NTFS使用邏輯簇號（Logical Cluster Number，LCN）和虛擬簇號（Virtual Cluster Number，VCN）來對簇進行定位。LCN是對整個卷中所有的簇從頭到尾所進行的簡單編號。用卷因子乘以LCN，NTFS就能夠得到卷上的物理字節偏移量，從而得到物理磁盤地址。VCN則是對屬于特定文件的簇從頭到尾進行編號，以便于引用文件中的數據。VCN可以映射成LCN，而不必要求在物理上連續。
　　總之，不用擔心下層的具體硬件接口是什么，是IDE還是SCSI，都可以用SCSI命令發給ATAPI，實現文件的讀寫。其實正常的文件讀寫也是這樣的流程，只不過我們自己繞過上層，自己構造SRB而已~

首先看驅動發SRB
參見http://www.osronline.com/DDKx/storage/k306_0hte.htm
typedef struct _SCSI_REQUEST_BLOCK {
    USHORT Length;                  // 該SRB的長度
    UCHAR Function;                 // 功能碼，如果想發SCSI命令，設置為SRB_FUNCTION_EXECUTE_SCSI
    UCHAR SrbStatus;                // SRB發送后返回的狀態，一般SRB發送后不會立即執行，會放入一個隊列中，所以通常返回

SRB_STATUS_PENDING
    UCHAR ScsiStatus;               // 是否成功發送，與上面一樣均為返回值
    UCHAR PathId;                   // 指明是總線ID,(PathId，TargetId，Lun)來確定一個設備
    UCHAR TargetId;                 //
    UCHAR Lun;                      //
    UCHAR QueueTag;                 // 隊列TAG
    UCHAR QueueAction;              // 與上述結構有關
    UCHAR CdbLength;                // SCSI命令塊長度
    UCHAR SenseInfoBufferLength;    // 存儲返回經過編碼的關于錯誤的信息的緩沖區的長度
    ULONG SrbFlags;                 // Srb的相關參數，SRB_FLAGS_DATA_IN為讀出，SRB_FLAGS_DATA_OUT為寫入設備
    ULONG DataTransferLength;       // 指出傳輸數據的大小
    ULONG TimeOutValue;             // 設定超時
    PVOID DataBuffer;               // 數據緩沖區
    PVOID SenseInfoBuffer;          // 檢測緩沖區
    struct _SCSI_REQUEST_BLOCK *NextSrb; // 下一個SRB，一般的命令只要一個SRB
    PVOID OriginalRequest;          // 指向原始IRP
    PVOID SrbExtension;             //
    union {
        ULONG InternalStatus;       //
        ULONG QueueSortKey;         //
    };
    UCHAR Cdb[16];                  // SCSI總線命令了，這里不一定是16字節，正如上面所說，具體幾個字節，得看第一個字節。
} SCSI_REQUEST_BLOCK, *PSCSI_REQUEST_BLOCK;
　　SRB是與操作系統相關的，即是操作系統定義的結構，不在SCSI規范里的，相當于對CDB的一層包裹。而真正執行命令的是CDB

取自SCSI Primary Commands - 3
　　因為一般硬盤不會太大，10字節的DiskPos是32位的，可以操作4g*512字節的空間，一般已經足夠了，如果要大點的話，可以用12字節，16字節的CDB（可去參考SCSI Primary Commands - 3）具體結合機器狗的AtapiReadWriteDisk函數進行學習~
ULONG AtapiReadWriteDisk(PDEVICE_OBJECT dev_object,ULONG MajorFunction, PVOID buffer,ULONG DiskPos, int BlockCount)
{
//dev_object為通過ObReferenceObjectByName得到的disk.sys設備對象，另外說句題外話，根

//據MJ的說法，disk.sys對于上層的SCSI_PASS_THROUGH是直接轉發給總線設備，那么構造

//相應的IRP直接發給總線設備也可以~這樣貌似更底層
//MajorFunction為自定義的一個參數，根據傳輸進來IRP功能IRP_MJ_READ和IRP_MJ_WRITE

//來轉換。可以查SCSI Primary Commands - 3的B章的operation codes知道10字節的寫為2Ah，

//讀為28h，機器狗代碼中是將2*((UCHAR)MajorFunction+ 17)付給了srb->Cdb[0]，我們知道ntd

//dk.h中定義IRP_MJ_READ為0x3，IRP_MJ_WRITE為0x4，其實這只是個簡單的換算而已
//buffer為輸入輸出的緩沖區
//DiskPos為32位指定的磁盤起始邏輯扇區號
//BlockCount為要讀（寫）的扇區數
......
srb->Length=sizeof(SCSI_REQUEST_BLOCK);
        srb->Function=0;     //0即是SRB_FUNCTION_EXECUTE_SCSI
        srb->DataBuffer=buffer;
        srb->DataTransferLength=BlockCount<<9;//因為每扇區是512字節
        srb->QueueAction=SRB_FLAGS_DISABLE_AUTOSENSE;
        srb->SrbStatus=0;
        srb->ScsiStatus=0;//這兩個都是輸出，隨便填
        srb->NextSrb=0;
        srb->SenseInfoBuffer=sense;
        srb->SenseInfoBufferLength=sizeof(SENSE_DATA);
        if(MajorFunction==IRP_MJ_READ)
                srb->SrbFlags=SRB_FLAGS_DATA_IN;
        else
                srb->SrbFlags=SRB_FLAGS_DATA_OUT;

        if(MajorFunction==IRP_MJ_READ)
                srb->SrbFlags|=SRB_FLAGS_ADAPTER_CACHE_ENABLE;

            srb->SrbFlags|=SRB_FLAGS_DISABLE_AUTOSENSE;
                srb->TimeOutValue=(srb->DataTransferLength>>10)+1;
                srb->QueueSortKey=DiskPos;//指定從目標設備的開始位置
                srb->CdbLength=10;
                srb->Cdb[0]=2*((UCHAR)MajorFunction+ 17);//參見上圖10字節CDB的格式
                srb->Cdb[1]=srb->Cdb[1] & 0x1F | 0x80;//高三位是保留位，與0x1f清0高三位，高位置1
                srb->Cdb[2]=(unsigned char)(DiskPos>>0x18)&0xFF;     //大端點數，右移24位，取高8位放入Cdb
                srb->Cdb[3]=(unsigned char)(DiskPos>>0x10)&0xFF;     //
                srb->Cdb[4]=(unsigned char)(DiskPos>>0x08)&0xFF;     //
                srb->Cdb[5]=(UCHAR)DiskPos;           //填寫sector位置
                srb->Cdb[7]=(UCHAR)BlockCount>>0x08;
                srb->Cdb[8]=(UCHAR)BlockCount;
......
}
　　當然SRB也是屬于IRP中一部分，自己發IRP給總線設備，當然還得自己填充IRP包，這個就不具體討論了
　　總的思路是：先發IoControlCode=FSCTL_GET_RETRIEVAL_POINTERS的IRP給文件系統驅動，得到某個文件的起始邏輯扇區號和大小，然后得到disk.sys的dev，再發構造好的SRB的IRP給disk.sys就ok了，這樣就繞過了還原軟件

RING3發SCSI_PASS_THROUGH：
遍歷符號鏈接找到總線設備對應的符號鏈接，發送SCSI_PASS_THROUGH_DIRECT給總線設備實現文件讀寫，從而繞過主動防御，其中思路MJ0011說了，不過他給的代碼基本沒用，好幾個暗樁~