API函数的调用过程(三环进0环)

最新推荐文章于 2020-11-28 00:44:54 发布
最新推荐文章于 2020-11-28 00:44:54 发布
阅读量668 收藏 2
点赞数
分类专栏: c语言学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H888001/article/details/101306109
版权

kernel32.dll(ReadProcessMemory)只是简单调用了

ntdll.dll(NtReadProcessmemory)

.text:7C92D9E0                 public ZwReadVirtualMemory
.text:7C92D9E0 ZwReadVirtualMemory proc near           ; CODE XREF: LdrFindCreateProcessManifest+1CCp
.text:7C92D9E0                                         ; LdrCreateOutOfProcessImage+7Cp ...
.text:7C92D9E0                 mov     eax, 0BAh       ; NtReadVirtualMemory
.text:7C92D9E5                 mov     edx, 7FFE0300h
.text:7C92D9EA                 call    dword ptr [edx]
.text:7C92D9EC                 retn    14h
.text:7C92D9EC ZwReadVirtualMemory endp

可以发现.text:7C92D9EA                 call    dword ptr [edx]这个[edx]实际上是有特殊的含义的

我们先了解一个结构体

1、_KUSER_SJARED_DATA

1)在User层和kerner层分别定义了一个_KUSER_SHARED_DATA

用于User层和Kerner层共享某些数据

2)他们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在USER和Kerner层地址分别:

User层地址为:0x7ffe0000

Kerner层地址为:0xffdf0000

特别说明

虽然指向的是同一个物理页,但在User层是只读的,在Kerner层是可写的

在0x300位置有一个systemcall

 

0x7ffe03000到底存储什么

支持sysenter/sysexit 指令 支持:ntdll.dll!KiFastSystemCall()

不支持sysenter/sysexit 指令:ntdll.dll!KiIntSystemCall()

如何判断cpu是否支持sysenter/sysexit 指令

当通过eax=1来执行cpuid时,处理器的特征信息放在了ecx和edx寄存器中,其中edx包含了一个sep位(11位),

该位指明了当前处理器是否支持sysenter/sysexit(1支持0不支持)

 

3.进0环需要更改哪些寄存器?

1)cs的权限由3变0,意味着新的cs

2)ss与cs权限永远一致,需要新的ss

3)权限发生切换,堆栈也要发生切换,需要新的esp

4)进0环后的代码的位置,需要eip

ntdll.dll!KiFastSystemCall()

ntdll.dll!KiIntSystemCall()

他俩无区别,这两种提供

这四个值怎么找的方法,方法不同而已

 

玩撕你
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言内核读写内存
07-22
易语言内核读写内存源码,内核读写内存,MyZwWriteVirtualMemory,取出指针,缓存指针,NrWriteVirtualMemory,NrReadVirtualMemory,NtOpenProcess,取系统位数,申请自身内存,GetProcAddress,GetModuleHandleA,取模块函数入口,写自身字节集内存,Call,取自身程ID,十
用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory
Tommy(凌飞)的专栏
08-24 5547
懒得自己写了,就转一个帖子吧。用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory/* jhxxs.C Author: Last Updated: 2006-03-23 This framework is generated by EasySYS 0.3.0 This te
Windows内核情景分析学习笔记(二)
weixin_44356908的博客
07-09 197
X86系统调用上 本文境 WinXP SP2 在Windows操作系统中,应用层程序行系统调用一般有两种途径,一种是通过int 0x2e的方式,一种是通过sysenter指令即快速调用入系统调用。接下来将以ReadProcessMemory这个函数为例来介绍在X86下是如何行系统调用通过的。主要讲解通过快速调用的方式行系统调用 这是位于kernel32.dll中的ReadProcessMemory mov edi, edi push ebp mov ebp,
现代dump技术及保护措施[Ms-Rem]
04-25 1205
鄙人拙译现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程中一个重要的部分就是取得dump。关于dump的取得
ring0下读取用户程内存(转)2010-05-30 21:32ring0下读取用户程内存
hucaiyu2009的专栏
07-14 1364
ring0下读取用户程内存(转)2010-05-30 21:32ring0下读取用户程内存 这里只是简单的实现下读取程空间的数据...写操做也是一样的....比较简单... 这样你就可以在内核读用户空间了....哈哈 大家都知道在用户态我们常用 kernel32.dll中的ReadProcessMemory来读 取程...这个函数只是简单地对传入的参数行处理然后调用了 ntdll.dll中的NtReadVirtualMemory/ZwReadVirtualMemo
API函数调用监测工具API Monitor
07-28
API Monitor可以监测程序对Windows系统API函数调用,也可以监测程序对第三方库的调用
小程序云函数调用API接口的方法
01-03
本文实例为大家分享了小程序云函数调用API接口的具体代码,供大家参考,具体内容如下 以下例子是调用小程序官方的API,如何调用API行对内容的安全检测: 第一步:新建一个文件名为msgCheck的Node.js的云函数,...
python函数定义和调用过程详解
12-20
这篇文章主要介绍了python函数定义和调用过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 我们可以创建一个函数来列出费氏数列 >>> def fib(n): # ...
DSP编程技巧之理解函数调用过程
08-09
本文是介绍了函数调用过程以及CPU寄存器、FPU寄存器以及栈(stack)在这一过程中的作用。
在vb中调用API函数的简单介绍
10-24
vb调用API函数的声明 在VB中声明API函数有两种... Public声明的含义是把API函数作为一个公共函数过程,在一个工程中的任何位置(包括所有的窗体和模块)都能直接调用它。声明完毕我们就能在程序中使用此API函数了。
Windows系统调用API的3部分
dz45693的专栏
10-22 2656
一、R3API分析的重要性 Windows所提供给R3API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
现代dump技术及保护措施(下)
FISH 的专栏
11-26 1820
现代dump技术及保护措施(下)Dynamic unpacking另一种对付dump的常用方法就是的 dynamic packing。其思想就是,protector并不将受保护的程序完全unpack,而只是unpack一部分。首先unpack第一页,当快要行完时protector对异常行拦截并unpack所请求的页,这时它就可以将上一页从内存中删除。这样受保护程的image在内存里从来都不曾
程遍历(枚举),模块遍历,线程遍历,程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1535
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformation,ZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
对抗packer-AntiMida 1.0
04-26 1761
AntiMida 1.0Click here to download the project files.This article is just for fun, dont take it too serious. Some time ago a friend (Littleluk) asked me if i was interested in helping him with the
ReadProcessMemory
zhangmiaoping23的专栏
03-09 1146
转:http://www.vckbase.com/vckbase/function/viewfunc.asp?id=148函数功能描述:该函数用来读取指定程的空间的数据,此空间必须是可以访问的,否则读取操作会失败!函数原型 BOOL ReadProcessMemory(  HANDLE hProcess,  // 目标程句柄  LPCVOID lpBaseAddress,         
ReadProcessMemory执行过程的全面分析(用户态和内核态)
zz_strive_2012的专栏
07-04 2159
ReadProcessMemory函数用于读取其他程的数据。我们知道自远古时代结束后,user模式下的程都有自己的地址空间,程与程间互不干扰,这叫私有财产神圣不可侵犯。但windows里还真就提供了那么一个机制,让你可以合法的获取别人的私有财产,这就是ReadProcessMemory和WriteProcessMemory。为什么一个程居然可以访问另一个程的地址空间呢?因为独立的只是低2G的用户态空间,高2G的内核态空间是所有程共享的。一段执行中的线程入内核态后,它可以拿到别人的cr3寄存器
NT函数读内存 NtReadVirtualMemory
qq_35129925的博客
03-29 5759
typedef NTSTATUS(NTAPI*Ptr_NtReadVirtualMemory)( IN HANDLE ProcessHandle, IN PVOID BaseAddress, OUT PVOID Buffer, IN ULONG NumberOfBytesToRead...
c# 无法加载oraops.dll_内存加载Seatbelt的实现
weixin_39809540的博客
11-28 141
0x00 前言Seatbelt是一个C#项目,可以用来对主机行安全检查,在攻和防御的角度都能发挥作用。通过一条命令,就能够获得当前主机的多项配置信息,方便实用。为了能够扩展Seatbelt的使用场景,在不修改Seatbelt任何代码的前提下,本文将要介绍两种通过内存加载Seatbelt的方法(Assembly.Load和execute-assembly),分别补全向.NET程序集的M...
详细说一下API调用过程,并举例
最新发布
06-01
API(Application Programming Interface)是应用程序编程接口的缩写,是一组用于访问操作系统或其他服务的接口函数API 函数通常由操作系统或其他服务提供,并且可以通过调用这些函数来实现相应的功能。API 可以帮助开发者避免重复造轮子,提高开发效率。 API调用过程通常包括以下几个步骤: 1. 包含头文件:在程序中包含相应的头文件,这些头文件通常包含了 API 函数的声明和相关的类型定义。 2. 链接库文件:将程序与相应的库文件链接,这些库文件通常包含了 API 函数的实现代码。 3. 调用 API 函数:在程序中调用相应的 API 函数,并传递相应的参数。API 函数将执行相应的操作,并返回相应的结果。 下面以 Windows 操作系统为例,举一个 API 调用的例子。假设我们要创建一个新的窗口,并显示在屏幕上。我们可以使用 `CreateWindow()` 函数来创建窗口,使用 `ShowWindow()` 函数来显示窗口。具体的调用过程如下: 1. 包含头文件: ```cpp #include <windows.h> ``` 2. 链接库文件: 在 Visual Studio 中,我们可以在项目属性中设置附加库目录和附加依赖项,以链接相应的库文件。比如,我们可以设置附加库目录为 `C:\Windows\System32`,设置附加依赖项为 `user32.lib`,这样就可以链接 `user32.dll` 库文件,以调用窗口相关的 API 函数。 3. 调用 API 函数: ```cpp HWND hwnd = CreateWindow("MyWindowClass", "My Window", WS_OVERLAPPEDWINDOW, 100, 100, 640, 480, NULL, NULL, hInstance, NULL); ShowWindow(hwnd, SW_SHOWNORMAL); ``` 其中,`CreateWindow()` 函数用于创建一个新的窗口,并返回该窗口的句柄。我们可以使用该句柄来对窗口行操作,比如调用 `ShowWindow()` 函数来显示窗口。 这就是一个 API 调用的简单示例,通过调用相应的 API 函数,我们可以实现各种各样的功能,比如创建窗口、绘制图形、播放音频、读写文件等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值