API函数的调用过程(三环进0环)

最新推荐文章于 2023-10-06 19:42:57 发布
最新推荐文章于 2023-10-06 19:42:57 发布
阅读量687 收藏 2
点赞数
分类专栏: c语言学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H888001/article/details/101306109
版权

kernel32.dll(ReadProcessMemory)只是简单调用了

ntdll.dll(NtReadProcessmemory)

.text:7C92D9E0                 public ZwReadVirtualMemory
.text:7C92D9E0 ZwReadVirtualMemory proc near           ; CODE XREF: LdrFindCreateProcessManifest+1CCp
.text:7C92D9E0                                         ; LdrCreateOutOfProcessImage+7Cp ...
.text:7C92D9E0                 mov     eax, 0BAh       ; NtReadVirtualMemory
.text:7C92D9E5                 mov     edx, 7FFE0300h
.text:7C92D9EA                 call    dword ptr [edx]
.text:7C92D9EC                 retn    14h
.text:7C92D9EC ZwReadVirtualMemory endp

可以发现.text:7C92D9EA                 call    dword ptr [edx]这个[edx]实际上是有特殊的含义的

我们先了解一个结构体

1、_KUSER_SJARED_DATA

1)在User层和kerner层分别定义了一个_KUSER_SHARED_DATA

用于User层和Kerner层共享某些数据

2)他们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在USER和Kerner层地址分别:

User层地址为:0x7ffe0000

Kerner层地址为:0xffdf0000

特别说明

虽然指向的是同一个物理页,但在User层是只读的,在Kerner层是可写的

在0x300位置有一个systemcall

 

0x7ffe03000到底存储什么

支持sysenter/sysexit 指令 支持:ntdll.dll!KiFastSystemCall()

不支持sysenter/sysexit 指令:ntdll.dll!KiIntSystemCall()

如何判断cpu是否支持sysenter/sysexit 指令

当通过eax=1来执行cpuid时,处理器的特征信息放在了ecx和edx寄存器中,其中edx包含了一个sep位(11位),

该位指明了当前处理器是否支持sysenter/sysexit(1支持0不支持)

 

3.进0环需要更改哪些寄存器?

1)cs的权限由3变0,意味着新的cs

2)ss与cs权限永远一致,需要新的ss

3)权限发生切换,堆栈也要发生切换,需要新的esp

4)进0环后的代码的位置,需要eip

ntdll.dll!KiFastSystemCall()

ntdll.dll!KiIntSystemCall()

他俩无区别,这两种提供

这四个值怎么找的方法,方法不同而已

 

玩撕你
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小程序云函数调用API接口的方法
01-03
本文实例为大家分享了小程序云函数调用API接口的具体代码,供大家参考,具体内容如下 以下例子是调用小程序官方的API,如何调用API行对内容的安全检测: 第一步:新建一个文件名为msgCheck的Node.js的云函数,...
Python ctypes tkinter 调用API函数,设计窗口控制工具
08-08
这是一个使用Python ctypes和tkinter模块设计, 用API函数管理电脑其他窗口的工具, 应用了ctypes模块调用API函数, tkinter库实现用户界面。 程序中,用户选择一个窗口,即可更改这个窗口的标题、边框样式、透明度等...
用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory
Tommy(凌飞)的专栏
08-24 5594
懒得自己写了,就转一个帖子吧。用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory/* jhxxs.C Author: Last Updated: 2006-03-23 This framework is generated by EasySYS 0.3.0 This te
Windows内核情景分析学习笔记(二)
weixin_44356908的博客
07-09 212
X86系统调用上 本文境 WinXP SP2 在Windows操作系统中,应用层程序行系统调用一般有两种途径,一种是通过int 0x2e的方式,一种是通过sysenter指令即快速调用入系统调用。接下来将以ReadProcessMemory这个函数为例来介绍在X86下是如何行系统调用通过的。主要讲解通过快速调用的方式行系统调用 这是位于kernel32.dll中的ReadProcessMemory mov edi, edi push ebp mov ebp,
现代dump技术及保护措施[Ms-Rem]
04-25 1224
鄙人拙译现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程中一个重要的部分就是取得dump。关于dump的取得
ring0下读取用户程内存(转)2010-05-30 21:32ring0下读取用户程内存
hucaiyu2009的专栏
07-14 1370
ring0下读取用户程内存(转)2010-05-30 21:32ring0下读取用户程内存 这里只是简单的实现下读取程空间的数据...写操做也是一样的....比较简单... 这样你就可以在内核读用户空间了....哈哈 大家都知道在用户态我们常用 kernel32.dll中的ReadProcessMemory来读 取程...这个函数只是简单地对传入的参数行处理然后调用了 ntdll.dll中的NtReadVirtualMemory/ZwReadVirtualMemo
在vb中调用API函数的简单介绍
10-24
vb调用API函数的声明 在VB中声明API函数有两种... Public声明的含义是把API函数作为一个公共函数过程,在一个工程中的任何位置(包括所有的窗体和模块)都能直接调用它。声明完毕我们就能在程序中使用此API函数了。
监视exe调用了哪些api函数的vc++源码
08-06
标题 "监视exe调用了哪些api函数的vc++源码" 提到的是一个关于使用VC++编程语言来实现监控可执行文件(exe)调用API函数的功能。这通常涉及到系统级别的编程,特别是Windows API钩子技术,用于跟踪系统调用。 在...
现代dump技术及保护措施(下)
FISH 的专栏
11-26 1842
现代dump技术及保护措施(下)Dynamic unpacking另一种对付dump的常用方法就是的 dynamic packing。其思想就是,protector并不将受保护的程序完全unpack,而只是unpack一部分。首先unpack第一页,当快要行完时protector对异常行拦截并unpack所请求的页,这时它就可以将上一页从内存中删除。这样受保护程的image在内存里从来都不曾
易语言内核读写内存
07-22
易语言内核读写内存源码,内核读写内存,MyZwWriteVirtualMemory,取出指针,缓存指针,NrWriteVirtualMemory,NrReadVirtualMemory,NtOpenProcess,取系统位数,申请自身内存,GetProcAddress,GetModuleHandleA,取模块函数入口,写自身字节集内存,Call,取自身程ID,十
Windows系统调用API的3部分
dz45693的专栏
10-22 2679
一、R3API分析的重要性 Windows所提供给R3API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
x64内核实验5-API0
最新发布
qq_43147121的博客
10-06 814
今天开始我们来分析系统api0过程
程遍历(枚举),模块遍历,线程遍历,程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1625
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformation,ZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
对抗packer-AntiMida 1.0
04-26 1769
AntiMida 1.0Click here to download the project files.This article is just for fun, dont take it too serious. Some time ago a friend (Littleluk) asked me if i was interested in helping him with the
read函数头文件 window_Windows系统调用API的3部分(依据分析重写ReadProcessMemory函数)...
weixin_39605578的博客
12-29 350
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用API的3部分一、R3API分析的重要性Windows所提供给R3API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用olldbg对Re...
ReadProcessMemory
zhangmiaoping23的专栏
03-09 1161
转:http://www.vckbase.com/vckbase/function/viewfunc.asp?id=148函数功能描述:该函数用来读取指定程的空间的数据,此空间必须是可以访问的,否则读取操作会失败!函数原型 BOOL ReadProcessMemory(  HANDLE hProcess,  // 目标程句柄  LPCVOID lpBaseAddress,         
ReadProcessMemory执行过程的全面分析(用户态和内核态)
zz_strive_2012的专栏
07-04 2341
ReadProcessMemory函数用于读取其他程的数据。我们知道自远古时代结束后,user模式下的程都有自己的地址空间,程与程间互不干扰,这叫私有财产神圣不可侵犯。但windows里还真就提供了那么一个机制,让你可以合法的获取别人的私有财产,这就是ReadProcessMemory和WriteProcessMemory。为什么一个程居然可以访问另一个程的地址空间呢?因为独立的只是低2G的用户态空间,高2G的内核态空间是所有程共享的。一段执行中的线程入内核态后,它可以拿到别人的cr3寄存器
获取程基址小技巧(傀儡程)
Sven的忘却日记
07-29 1972
创建傀儡程时,一般需要以挂起模式创建程,然后调用未导出NT函数NtQueryInformationProcess来获取目标程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标程的PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标程的内存。 其实可以直接通过GetThreadContext这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值