2.逆向分析KiFastCallEntry(填充 _KTRAP_FRAME 部分)

最新推荐文章于 2022-12-03 21:30:11 发布
最新推荐文章于 2022-12-03 21:30:11 发布
阅读量808 收藏 3
点赞数 2
分类专栏: 驱动 逆向 系统 文章标签: 驱动程序 操作系统 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasys/article/details/109460204
版权

一、问题

  1. 进0环后,原来的寄存器存在哪里?
  2. 如何根据系统调用号(eax中存储)找到要执行的内核函数?
  3. 调用时参数是存储到3环的堆栈,如何传递给内核函数?
  4. 2种调用方式是如何返回到3环的?

在开始分析之前必须了解以下结构

二、TRAP_FRAME

_KTRAP_FRAME(每个线程一个) 用于进0环时保存环境
在这里插入图片描述

三、_KPCR

_KPCR(存储在CPU中)并且一个核一个

kd> dt _KPCR					
nt!_KPCR					
   +0x000 NtTib            : _NT_TIB					
   +0x01c SelfPcr          : Ptr32 _KPCR					
   +0x020 Prcb             : Ptr32 _KPRCB					
   +0x024 Irql             : UChar					
   +0x028 IRR              : Uint4B					
   +0x02c IrrActive        : Uint4B					
   +0x030 IDR              : Uint4B					
   +0x034 KdVersionBlock   : Ptr32 Void					
   +0x038 IDT              : Ptr32 _KIDTENTRY					
   +0x03c GDT              : Ptr32 _KGDTENTRY					
   +0x040 TSS              : Ptr32 _KTSS					
   +0x044 MajorVersion     : Uint2B					
   +0x046 MinorVersion     : Uint2B					
   +0x048 SetMember        : Uint4B					
   +0x04c StallScaleFactor : Uint4B					
   +0x050 DebugActive      : UChar					
   +0x051 Number           : UChar					
   +0x052 Spare0           : UChar					
   +0x053 SecondLevelCacheAssociativity : UChar					
   +0x054 VdmAlert         : Uint4B					
   +0x058 KernelReserved   : [14] Uint4B					
   +0x090 SecondLevelCacheSize : Uint4B					
   +0x094 HalReserved      : [16] Uint4B					
   +0x0d4 InterruptMode    : Uint4B					
   +0x0d8 Spare1           : UChar					
   +0x0dc KernelReserved2  : [17] Uint4B					
   +0x120 PrcbData         : _KPRCB

其中NtTib(第一个成员)和_KPRCB(最后一个成员)KPCR的子结构

kd> dt _NT_TIB					
ntdll!_NT_TIB					
   +0x000 ExceptionList    : Ptr32 _EXCEPTION_REGISTRATION_RECORD //ExceptionList是指向异常处理链表(EXCEPTION_REGISTRATION结构)的一个指针。					
   +0x004 StackBase        : Ptr32 Void					
   +0x008 StackLimit       : Ptr32 Void					
   +0x00c SubSystemTib     : Ptr32 Void					
   +0x010 FiberData        : Ptr32 Void					
   +0x010 Version          : Uint4B					
   +0x014 ArbitraryUserPointer : Ptr32 Void					
   +0x018 Self             : Ptr32 _NT_TIB			//结构体指针 指向自己

kd> dt _KPRCB					
ntdll!_KPRCB					
   +0x000 MinorVersion     : Uint2B					
   +0x002 MajorVersion     : Uint2B					
   +0x004 CurrentThread    : Ptr32 _KTHREAD			//当前CPU所执行线程的_ETHREAD
   +0x008 NextThread       : Ptr32 _KTHREAD			//下一个_ETHREAD
   +0x00c IdleThread       : Ptr32 _KTHREAD			//当所以线程都执行完了CPU就可以执行这个
   +0x010 Number           : Char					//CPU编号
   +0x011 Reserved         : Char					
   +0x012 BuildType        : Uint2B					
   +0x014 SetMember        : Uint4B					
   +0x018 CpuType          : Char					
   +0x019 CpuID            : Char					
   +0x01a CpuStep          : Uint2B					//CPU子版本号
   +0x01c ProcessorState   : _KPROCESSOR_STATE		//CPU状态
   +0x33c KernelReserved   : [16] Uint4B					
   +0x37c HalReserved      : [16] Uint4B					
   +0x3bc PrcbPad0         : [92] UChar					
   +0x418 LockQueue        : [16] _KSPIN_LOCK_QUEUE					
   +0x498 PrcbPad1         : [8] UChar					
   +0x4a0 NpxThread        : Ptr32 _KTHREAD			//Npx浮点处理器  最后一次用过浮点的线程
   +0x4a4 InterruptCount   : Uint4B					//中断计数 统计信息 没什么实际意义 自己调试用的
   +0x4a8 KernelTime       : Uint4B					//统计信息
   +0x4ac UserTime         : Uint4B					//统计信息
   +0x4b0 DpcTime          : Uint4B					//统计信息
   +0x4b4 DebugDpcTime     : Uint4B					//统计信息
   +0x4b8 InterruptTime    : Uint4B					//统计信息
   +0x4bc AdjustDpcThreshold : Uint4B					
   +0x4c0 PageColor        : Uint4B					
   +0x4c4 SkipTick         : Uint4B					
   +0x4c8 MultiThreadSetBusy : UChar					
   +0x4c9 Spare2           : [3] UChar					
   +0x4cc ParentNode       : Ptr32 _KNODE					
   +0x4d0 MultiThreadProcessorSet : Uint4B					
   +0x4d4 MultiThreadSetMaster : Ptr32 _KPRCB					
   +0x4d8 ThreadStartCount : [2] Uint4B					
   +0x4e0 CcFastReadNoWait : Uint4B					
   +0x4e4 CcFastReadWait   : Uint4B					
   +0x4e8 CcFastReadNotPossible : Uint4B					
   +0x4ec CcCopyReadNoWait : Uint4B					
   +0x4f0 CcCopyReadWait   : Uint4B					
   +0x4f4 CcCopyReadNoWaitMiss : Uint4B					
   +0x4f8 KeAlignmentFixupCount : Uint4B					
   +0x4fc KeContextSwitches : Uint4B					
   +0x500 KeDcacheFlushCount : Uint4B					
   +0x504 KeExceptionDispatchCount : Uint4B					
   +0x508 KeFirstLevelTbFills : Uint4B					
   +0x50c KeFloatingEmulationCount : Uint4B					
   +0x510 KeIcacheFlushCount : Uint4B					
   +0x514 KeSecondLevelTbFills : Uint4B					
   +0x518 KeSystemCalls    : Uint4B					
   +0x51c SpareCounter0    : [1] Uint4B					
   +0x520 PPLookasideList  : [16] _PP_LOOKASIDE_LIST					
   +0x5a0 PPNPagedLookasideList : [32] _PP_LOOKASIDE_LIST					
   +0x6a0 PPPagedLookasideList : [32] _PP_LOOKASIDE_LIST					
   +0x7a0 PacketBarrier    : Uint4B					
   +0x7a4 ReverseStall     : Uint4B					
   +0x7a8 IpiFrame         : Ptr32 Void					
   +0x7ac PrcbPad2         : [52] UChar					
   +0x7e0 CurrentPacket    : [3] Ptr32 Void					
   +0x7ec TargetSet        : Uint4B					
   +0x7f0 WorkerRoutine    : Ptr32     void 					
   +0x7f4 IpiFrozen        : Uint4B					
   +0x7f8 PrcbPad3         : [40] UChar					
   +0x820 RequestSummary   : Uint4B					
   +0x824 SignalDone       : Ptr32 _KPRCB					
   +0x828 PrcbPad4         : [56] UChar					
   +
最低0.47元/天 解锁文章
Mikasys
关注
专栏目录
KiFastCallEntryHook
拉塞尔的博客
04-10 987
     先根据SSDTHook给SSDTTableBase下钩子(Hook掉NtSetEvent函数),然后通过调用ZwSetEvent函数进入FakeSetEvent函数,在FakeSetEvent函数中我们通过栈回溯(ebp+4)找到主调函数KiFastCallEntry的EIP(KiFastCallEntry函数Call NtXX函数指令的下一条指令处,被调函数执行完后主调函数会从EIP中...
KiFastCallEntry() 机制分析
无本之木
05-28 1184
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
_KTRAP_FRAME
qq_41490873的博客
06-12 1115
函数从3环到0环时的保存现场 操作系统维护了一个结构 _KTRAP_FRAME ,在该结构里保存了一个线程3环的寄存器的值。每一个线程有一个该结构体 Trap Frame是指中断、自陷、异常进入内核后,在堆栈上形成的一种数据结构。用来存储三环的寄存器。 typedef struct _KTRAP_FRAME //Trap现场帧 { // ------------------这些是KiSystemService保存的--------------------------- ULONG DbgE
KiFastCallEntry
Sunny_wwc的专栏
10-14 3089
<br /> PUBLIC _KiFastCallEntry<br />_KiFastCallEntry        proc<br /> <br />;此时:<br />;eax指向服务编号<br />;edx指向当前用户栈,edx+8为参数列表<br />;<br />; Sanitize the segment registers<br />;<br />        mov     ecx, KGDT_R3_DATA OR RPL_MASK    <br />        push    KG
R0-R3 现场保护(_KTrap_Frame/_KPCR/_ETHREAD)—— 分析内核函数KiSystemService
walker的博客
03-05 1126
简介 在进程由用户态进入内核态的过程中,发生了 ESP/SS/EIP/CS 的切换。因此,在进程权限切换的工程中,必然要进行寄存器的现场保护。 这里,要使用到3个内核结构体:_KTrap_Frame/_KPCR/_ETHREAD。 _KTrap_Frame 每个线程在内核中都有一个 _KTrap_Frame 结构体,用于操作系统对线程的管理,该结构体时操作系统进行维护的。 _KTrap_Frame 的结构如下: kd> dt _KTrap_Frame nt!_KTRAP_FRAME //调
3.逆向分析KiSystemService(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 438
一、回顾 想要分析透彻,必须得了解之前的那些结构体(_KUSER_SHARED_DATA、_Trap_Frame、_KPCR、 _KTHREAD) 没看的同学先看一下之前的文章逆向分析ReadProcessMemory---->KiFastCallEntry 二、分析KiSystemService 由于上一篇分析KiFastCallEntry文章的难度更大,分析_KiSystemService的难度小一些,所以前面步骤省略,直接开始分析KiSystemService .text:00466481 _KiSy
2、逆向分析KiFastCallEntry
Windows内核学习笔记
07-23 314
sysenter指令做了那些事情 在 Ring3 的代码调用了 sysenter 指令之后,CPU 会做出如下的操作: 1. 将 SYSENTER_CS_MSR 的值装载到 cs 寄存器 174 2. 将 SYSENTER_EIP_MSR 的值装载到 eip 寄存器 176 3. 将 SYSENTER_CS_MSR 的值加 8(Ring0 的堆栈段描述符)装载到 ss 寄存器。 4. 将 SYSENTER_ESP_MSR 的值装载到 esp 寄存器 175 5. 将特权级切换到 Ring0 6. 如果
Hook-KiFastCallEntry.rar_钩子与API截获_Visual_C++_
08-11
Hook KiFastCallEntry监控系统调用这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。
3.API的调用过程(保存现场)
My classmates
10-17 1249
_KTrap_Frame 结构 kd&amp;amp;amp;amp;amp;amp;amp;gt; dt _KTrap_Frame ntdll!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B +0x00c DbgArgPointer : Uint4...
inline hook KiFastCallEntry
Sunny_wwc的专栏
10-14 4545
#include "ntddk.h"#include "sysenterhook.h"#if DBG#define dprintf DbgPrint#else#define dprintf(x)#endif#define BYTE unsigned char #define MEM_TAG 'CQ'#define NT_DEVICE_NAME L"//Device//sysenterhook"#define DOS_DEVICE_NAME L"//DosDevices//sysenterhook"NTSTA
转30行Hook KiFastCallEntry
XboxMicro
02-19 864
膜拜一下 #include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("ROOTKIT: OnUnload called\n"); } __decl
KiFastCallEntry自己理解
whowho的专栏
07-19 868
#define KI_USER_SHARED_DATA         0xffdf0000 #define SharedUserData  ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)   KUSER_SHARED_DATA 结构区域在 User 和 Kernel 层地址分别为: User 层地址为:0x7ffe0000
逆向分析KiFastCallEntry
最新发布
weixin_73368512的博客
12-03 184
个人的逆向分析KiFastCallEntry笔记
_KiFastCallEntry静态分析
qq_41490873的博客
06-13 189
.text:0040689F _KiFastCallEntry proc near ; DATA XREF: _KiTrap01+71o .text:0040689F ; KiLoadFastSyscallMachineSpecificRegisters(x)+24o .text:0040...
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 454
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
Trap Frame
weixin_33860737的博客
06-29 2503
Trap Frame是指中断、自陷、异常进入内核后,在堆栈上形成的一种数据结构。对于Windows操作系统,是 kd> dt nt!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B ...
Windows内核-_Trap_Frame/ETHREAD/KPCR/KiSystemService
qq_40712959的博客
12-07 1704
_Trap_Frame 无论3环是中断门还是systementer进入0环,3环的寄存器都会寄存在_Trap_Frame结构体中,结构体如下: ETHREAD 每个线程有一个ETHREAD结构体,该结构体保存了线程的状态 ...
对XP上的KiFastSystemCall进行浅析
weixin_34200628的博客
11-19 227
WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。   以ntdll!ZwCreateProcessEx为例:   Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiF...
xv6 trapframe定义的位置
Fudanqqqqq的博客
11-30 619
在x86.h的最下面,真是把我找吐了,MD
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值