SystemCallStub与KiFastSystemCall的关系

最新推荐文章于 2022-04-18 16:15:56 发布
VIP文章 最新推荐文章于 2022-04-18 16:15:56 发布
阅读量1.1k 收藏
点赞数
分类专栏: 内核开发调试 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfs2008zfs/article/details/52317495
版权

最近在读《格蠹汇编》第八章时,书中提到在windbg中执行kn命令显示栈回溯,USER32!NtUserMessageCall调用了ntdll!KiFastSystemCall,但在windbg中执行uf USER32!NtUserMessageCall时,结果如下:

0:000> uf USER32!NtUserMessageCall 
USER32!NtUserMessageCall:
77d194b2 b8cc110000      mov     eax,11CCh
77d194b7 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
77d194bc ff12            call    dword ptr [edx]
77d194be c21c00          ret     1Ch

USER32!NtUserMessageCall调用了SharedUserData!SystemCallStub中保存的值,SharedUserData!SystemCallStub是一个地址,这个值是0x7ffe0300,在windbg中查看7ffe0300处的值,

0:000> dd 7ffe0300
7ffe0300  7c92e4f0 7c92e4f4 00000000 00000000
7ffe0310  00000000 00000000 00000000 00000000
7ffe0320  00000000 00000000 00000000 00000000
7ffe0330  95ed03c5 00000000 00000000 00000000
7ffe0340  00000000 00000000 00000000 00000000
7ffe0350  00000000 00000000 00000000 00000000
7ffe0360  00000000 00000000 00000000
最低0.47元/天 解锁文章
antivice
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
替换SharedUserData
04-26 2726
作 者: xIkUg时 间: 2007-01-18,14:01链 接: http://bbs.pediy.com/showthread.php?threadid=38180版本:1.0作者: xIkUg/RCT/CCG          xikug.xp [at] gmail [dot] com我常去的网站:http://debugman.wintoolspro.comhttp://www.fcg
64位windows下32位进程一例卡死分析
u010607621的博客
04-18 1797
@TOC 1 故障现象 win7 64 os下,360浏览器不定期出现卡死。 2 dmp分析 使用任务管理器给360se进程下dump。链接: https://pan.baidu.com/s/1Hd-T0T6WEcufjkFKDA6MHg?pwd=z4u5 提取码: z4u5。 windbg打开之,提示 For analysis of this file, run !analyze -v wow64win!NtUserMessageCall+0xa: 00000000`749bfdaa c3
windows消息处理过程及消息钩子
研究源码的最底层,只持有正确的仓位
01-15 3084
应用层发消息: 发送消息过程 SendMessage(user32.dll)->SendMessageWorker,先检查有没有hook消息钩子,有的话调用CsSendMessage,进入消息钩子过滤函数。 没有的话,看是不是系统消息,是的话在Message表中找到对应msg id的索引值,通过索引值在在gapfnScSendMessage数组中找到对应的消息处理函数 如果是NtUser...
【2021.04.26】API函数的调用过程(Ring3进Ring0):上
oalken的博客
04-26 493
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
KiFastCallEntry() 机制分析
无本之木
05-28 1141
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
对XP上的KiFastSystemCall进行浅析
weixin_34200628的博客
11-19 204
WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。   以ntdll!ZwCreateProcessEx为例:   Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiF...
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
qq_41988448的博客
11-11 2670
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 791
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
另类HOOK 以KiFastSystemCall为例
Rprop
01-21 2622
标题的另类并非什么高新技术, 说白了仍是满大街的inline hook, 只不过它为解决可patch空间不足提供了一种有限的解决方案, 本文以早期32位windows系统的以KiFastSystemCall为例.
易语言真实API模块
07-18
易语言真实API模块源码,真实API模块,BaseSetLastNTError,调用_KiFastSystemCall,备份_调用_KiFastSystemCall,调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_NtFsControlFile,调用_NtWaitForSingleObject,调用
易语言 HOOK API例子
03-07
这个例子是HOOK 弹出消息框的例子 HOOK MessageBoxA 截取消息
KiFastSystemCall函数问题
陈刚编程心得与知识集
02-27 789
代码: HANDLE DebugPort = 0; NtQueryInformationProcess((HANDLE)-1, ProcessDebugPort, &DebugPort, sizeof(HANDLE), 0); 函数声明如下 __declspec(naked) NTSTATUS NTAPI NtQueryInformationProcess(
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
热门推荐
Less Is More
05-27 1万+
为什么要写这篇文章 1.      因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3.      刚刚做完毕业设计,对
Hooking KiFastSystemCall
11-27 2828
 program KiFastSystemCall; uses   Windows, madCodeHook, SysUtils; var   realKiFastSystemCall: procedure;   dwIndexPVM: DWORD; function hookZwProtectVirtualMemory(hProcess: THandle; lpAddress: Pointer;
关于sysenter与KiFastSystemCall
Mr.Out的专栏
10-02 1889
<br />xp下用sysenter指令代替了int 2eh来进入ring0,似乎所有的sysenter都是通过KiFastSystemCall来调用的<br />KiFastSystemCall()<br />{<br /> sysenter<br />}<br /> <br />这样是不是可以通过Hook  KiFastSystemCall来了解哪些是需要调用内核的API了<br /> <br /> <br /> <br /> 
8.3.3 快速系统调用 —— XP SP3上SystemCallStub的奇怪问题
a0911002283的博客
01-14 122
依书上的例子,ReadFile()函数会调用ntdll!NtReadFile(),后者将服务号放到eax之中,然后调用SharedUserData!SystemCallStub(),由此函数执行sysenter指令来切入内核。 但是实际操作查看反汇编却是这个样子: 指令完全是错乱的,猜测此处应该是不是指令,回看一下ntdll!NtReadFile()处的调用代码: 发现是将...
RtlInitUnicodeString使用注意事项
zfs2008zfs的博客
04-11 1万+
1、释放问题 关于这个函数,wdk文档中有下面这段话 The Buffer member of DestinationString is initialized to point to SourceString. The length and maximum length for DestinationString are initialized to the length of Source
windows系统下的文件长名和文件短名
zfs2008zfs的博客
04-14 8479
1、短文件名的由来 windows下的文件短名是dos+fat12/fat16时代的产物,又称为8dot3命名法,类似于PROGRA~1(目录)或者元素周~1.exe(文件)这样的名称。 8是指文件名或目录名的主体部分小于等于8个字符 ;  3是指文件名或目录名的扩展部分小于等于3个字符 ;中间以 . 作为分割  在FAT16文件系统中,由于FDT中的文件目录登记项只为文件名保留了8

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值