3.逆向分析KiSystemService(填充 _KTRAP_FRAME 部分)

最新推荐文章于 2023-10-06 19:42:57 发布
最新推荐文章于 2023-10-06 19:42:57 发布
阅读量431 收藏
点赞数
分类专栏: 驱动 逆向 系统 文章标签: 操作系统 驱动程序 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasys/article/details/109485496
版权

一、回顾

想要分析透彻,必须得了解之前的那些结构体(_KUSER_SHARED_DATA、_Trap_Frame、_KPCR、 _KTHREAD)
没看的同学先看一下之前的文章逆向分析ReadProcessMemory---->KiFastCallEntry

二、分析KiSystemService

由于上一篇分析KiFastCallEntry文章的难度更大,分析_KiSystemService的难度小一些,所以前面步骤省略,直接开始分析KiSystemService

.text:00466481 _KiSystemService proc near              ; CODE XREF: ZwAcceptConnectPort(x,x,x,x,x,x)+Cp
.text:00466481                                         ; ZwAccessCheck(x,x,x,x,x,x,x,x)+Cp ...
.text:00466481
.text:00466481 var_C4          = dword ptr -0C4h
.text:00466481 var_C0          = dword ptr -0C0h
.text:00466481 var_BC          = dword ptr -0BCh
.text:00466481 var_B4          = dword ptr -0B4h
.text:00466481 var_AC          = dword ptr -0ACh
.text:00466481 var_A8          = dword ptr -0A8h
.text:00466481 var_A3          = byte ptr -0A3h
.text:00466481 var_A0          = dword ptr -0A0h
.text:00466481 var_9C          = dword ptr -9Ch
.text:00466481 var_98          = dword ptr -98h
.text:00466481 var_94          = dword ptr -94h
.text:00466481 var_90          = dword ptr -90h
.text:00466481 var_8C          = dword ptr -8<
最低0.47元/天 解锁文章
Mikasys
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
静态分析KiSystemService
dalixux的专栏
10-27 3499
 KiSystemService 是INT 2EH 后调用的 2000所有的native api 都使用INT 2EH, xp下 GDC函数 进入内核调用INT 2EH其他native api 调用KiFastCall.text:00465651 _KiSystemService proc near              ; CODE XREF: ZwAcceptConnectPort(x,x
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
全书从“内存管理”、“进程”、“进程间通信”、“设备驱动”等多个方面进行分析介绍,所有的分析都有ReactOS的源代码(以及部分由微软公开的源代码)作为依据,使读者能深入理解Windows内核的方方面面,也可以使...
_KiSystemService
qq_40912408的博客
03-28 294
#分析 KiSystemService _KiSystemService proc near ; CODE XREF: ZwAcceptConnectPort(x,x,x,x,x,x)+Cp .text:83E54EFE ...
系统调用002 KiSystemService函数逆向分析
鬼手的博客
12-22 1776
文章目录前言保存现场_KTRAP_FRAMEKRPCExceptionList_KTHREAD结构体先前模式抬高堆栈判断当前权限更新_KTRAP_FRAME保存三环的寄存器环境判断调试状态 前言 之前我们详细了解了API从三环进到零环的过程,API会通过两种方式进入到零环,如果通过中断门的方式进入零环,最终会进入到KiSystemService这个函数。接下来就来分析KiSystemService...
R0-R3 现场保护(_KTrap_Frame/_KPCR/_ETHREAD)—— 分析内核函数KiSystemService
walker的博客
03-05 1114
简介 在进程由用户态进入内核态的过程中,发生了 ESP/SS/EIP/CS 的切换。因此,在进程权限切换的工程中,必然要进行寄存器的现场保护。 这里,要使用到3个内核结构体:_KTrap_Frame/_KPCR/_ETHREAD。 _KTrap_Frame 每个线程在内核中都有一个 _KTrap_Frame 结构体,用于操作系统对线程的管理,该结构体时操作系统进行维护的。 _KTrap_Frame 的结构如下: kd> dt _KTrap_Frame nt!_KTRAP_FRAME //调
Windows操作系统----进程与线程----内核层对象----KTHREAD
一个热爱逆向,喜爱学习、分享的猿。
12-09 653
typedef struct _KTHREAD { DISPATCHER_HEADER Header; UINT64 CycleTime; ULONG HighCycleTime; UINT64 QuantumTarget; PVOID InitialStack; PVOID StackLimit; PVOID KernelStack; ULONG ThreadLock; union { ...
系统篇API调用全过程.docx
12-05
KiSystemService 函数可以分为两个部分:系统服务函数和系统服务表引索。KiSystemService 函数执行相应的操作,并将结果返回给应用程序。 本文详细介绍了系统篇 API 调用全过程,包括 Windows API 调用全过程、内核...
Defeating Kernel Native API Hookers by Direct KiServiceTable Restoration.pdf
11-10
3. **检测异常指针**:接着,扫描表中的每个条目,查找那些被恶意软件篡改过的指针。 4. **恢复原始指针**:对于每个被篡改的条目,使用备份的原始指针替换掉恶意指针。 #### 结论 通过直接恢复`KiServiceTable`,...
NT操作系统的Rootkit技术初探
03-03
Rootkit通常包含四个主要部分:隐藏程序,用于掩盖Rootkit自身的痕迹以及帮助其他进程隐藏;特洛伊木马,作为攻击者后续访问的后门;远程Shell,使攻击者能够远程控制受感染的系统;以及一系列工具,用于实现更复杂...
Windows内核-_Trap_Frame/ETHREAD/KPCR/KiSystemService
qq_40712959的博客
12-07 1646
_Trap_Frame 无论3环是中断门还是systementer进入0环,3环的寄存器都会寄存在_Trap_Frame结构体中,结构体如下: ETHREAD 每个线程有一个ETHREAD结构体,该结构体保存了线程的状态 ...
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
Windows系统调用学习笔记(三)—— 保存现场
qq_41988448的博客
11-09 2203
Windows系统调用学习笔记(三)—— 保存现场前言要点回顾API进入0环后调用的函数:基本概念Trap Frame结构线程相关的结构体ETHREADKTHREADCPU相关的结构体KPCR_NT_TIBKPRCB 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemSe...
【2021.04.27】API函数的调用过程(保存现场)
oalken的博客
04-27 750
内容回顾 前文提到了API进入0环以后会调用的函数:KiSystemService()、KiFastCallEntry()。 前文的练习 进入0环后,原来的寄存器存在哪里? 如何根据系统调用号(EAX寄存器中储存)找到要执行的内核函数? 调用时的参数是储存到3环的堆栈,如何传递给内核函数? 2种调用方式入口(KiSystemService()、KiFastCallEntry())是不一样的,它们是如何返回到3环的? 进入0环后,原来的寄存器存在哪里?本文将以KiSystemService(
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 445
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
x64内核实验5-API进0环
最新发布
qq_43147121的博客
10-06 830
今天开始我们来分析系统api进0环的过程。
Windows10内核逆向-1-系统调用
u013677637的博客
09-04 2192
Syscall KiSystemCall64的逆向
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8890
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
API函数的调用过程
挖树
01-14 2632
API函数的调用过程(ring3) Windows API Application Programing Interface (应用程序接口) 简称API函数 Windows 有多少个API? 主要是存放在C:\WINDOWS\system32下面所有的dll 几个重要的dll Kernel32.dll:最核心的功能模块,比如管理内存,进程和线程相关的函数等. User32.dll...
windows 7 x64 下的 System Call
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-04 5411
很自然地 windows 7 x64 版本会使用 processor 提供的 syscall/sysret 指令来构造一个快速的调用系统服务例程机制。 ntdll!NtCreateDebugObject: 00000000`76d70680 4c8bd1          mov     r10,rcx 00000000`76d70683 b890000000      mov 
SSDT入门:理解Windows内核模式与用户模式间的钩子机制
在Windows中,这种切换通常涉及系统DLL(动态链接库)如`kernel32.dll`、`user32.dll`以及`ntdll.dll`中的系统服务存根函数,如`KiXXXSystemCall`、`KiServiceExit`和`KiSystemService`。`CreateFile`函数实际上会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值