驱动-系统调用

最新推荐文章于 2022-10-22 09:51:42 发布
最新推荐文章于 2022-10-22 09:51:42 发布
阅读量404 收藏
点赞数
文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengtoreal/article/details/114645852
版权

系统调用

  • 在用户层与内核层分别定义了一个_KUSER_SHARED_DATA结构体,用于用户层与内核层共享某些数据
    • 用户层地址为:0x7ffe0000
    • 内核层地址为:0xffdf0000
  • 虽然指向同一个物理页,用户层是只读的,内核层是可写的
  • 所有应用程序共享的,一改全部都会改
  • 如果调用函数,会调用0x7ffe0300是kifastsystemcall函数
  • 0xffdf0000是KPCR

kifastsystemcall函数

EAX放入调用号,edx是栈顶。MSR寄存器174-CS、175-ESP、176-EIP,SS是CS值+8,如果是以int 2E方式进入0环,里面调用KISTSTEMSERVICE如果是stsenter方式进入0环,会调用KIFASTCALLENTRY函数

KiFastCallEntry

进入0环 
	eax: 调用号
	edx: 用户栈
		[edx +0x00 ] : 返回地址1
		[edx +0x04 ] : 返回地址2
		[edx +0x08 ] : 参数1
		[edx +0x0c ] : 参数2
		[edx +0x10 ] : 参数3	

nt!KiFastCallEntry:
83e810c0 b923000000      mov     ecx,23h

83e810c5 6a30            push    30h
83e810c7 0fa1            pop     fs    ; 内核FS保存一个_KPRC结构体

									   ;加载内核段选择子
83e810c9 8ed9            mov     ds,cx
83e810cb 8ec1            mov     es,cx

								
83e810cd 648b0d40000000  mov     ecx,dword ptr fs:[40h] ;KPCR->TSS
83e810d4 8b6104          mov     esp,dword ptr [ecx+4]  ;TSS->ESP0 ;加载零环ESP

83e810d7 6a23            push    23h		;压入三环 SS
83e810d9 52              push    edx		;压入三环 esp

83e810da 9c              pushfd				;压入三环 EFLAGS
83e810db 6a02            push    2			
83e810dd 83c208          add     edx,8		;将edx指向用户层参数 
83e810e0 9d              popfd				;EFLAGS = 2 ,清空EFLAGS

83e810e1 804c240102      or      byte ptr [esp+1],2  ; 栈上EFLAGS->IF位置1, 开启中断


83e810e6 6a1b            push    1Bh				;三环用户层的CS, TRAP_FRAM->CS

83e810e8 ff350403dfff    push    dword ptr ds:[0FFDF0304h] ; 返回用户层EIP 
83e810ee 6a00            push    0						   ; 错误码
83e810f0 55              push    ebp					   ; 用户层的ebp
83e810f1 53              push    ebx
83e810f2 56              push    esi
83e810f3 57              push    edi					   ;用户层的edi

83e810f4 648b1d1c000000  mov     ebx,dword ptr fs:[1Ch]    ;FS[1Ch]->自己  EBX保存KPCR

83e810fb 6a3b            push    3Bh					   ;用户层FS寄存器

83e810fd 8bb324010000    mov     esi,dword ptr [ebx+124h]  ;esi->ETHREAD 结构体


83e81103 ff33            push    dword ptr [ebx]		   ;TRAP_FRAME->Exceptiolist

83e81105 c703ffffffff    mov     dword ptr [ebx],0FFFFFFFFh ; 异常链第一个节点-1
83e8110b 8b6e28          mov     ebp,dword ptr [esi+28h]	; 内核栈底

83e8110e 6a01            push    1    						;先前模式


83e81110 83ec48          sub     esp,48h					;构建好TRAP_FRAME

83e81113 81ed9c020000    sub     ebp,29Ch

83e81119 c6863a01000001  mov     byte ptr [esi+13Ah],1		;保存ETHREAD->PreviousMode = 1
83e81120 3bec            cmp     ebp,esp					;是否是V86模式
83e81122 7597            jne     nt!KiFastCallEntry2+0x49 (83e810bb)

															;ebp和Esp都指向陷阱帧
83e81124 83652c00        and     dword ptr [ebp+2Ch],0		;DR7 = 0

83e81128 f64603df        test    byte ptr [esi+3],0DFh		;用于检查是否处于调试模式

83e8112c 89ae28010000    mov     dword ptr [esi+128h],ebp   ;将陷阱帧保存到 ETHREAD->Trap_frame 

83e81132 0f8538feffff    jne     nt!Dr_FastCallDrSave (83e80f70) ; 如果是调试模式,就保存DR寄存器

83e81138 8b5d60          mov     ebx,dword ptr [ebp+60h]  ;用户ebp
83e8113b 8b7d68          mov     edi,dword ptr [ebp+68h]  ;用户eip

83e8113e 89550c          mov     dword ptr [ebp+0Ch],edx  ;Trap_frame->参数指针 = 用户层参数

83e81141 c74508000ddbba  mov     dword ptr [ebp+8],0BADB0D00h ;参数掩码

83e81148 895d00          mov     dword ptr [ebp],ebx    ;Trap_frame->dbgebp = 用户层ebp
83e8114b 897d04          mov     dword ptr [ebp+4],edi  ;Trap_frame->dbgeip = 用户层eip

83e8114e fb              sti				;开中断

;-------------------------------上面都是保存陷阱帧

;-------------------调用内核中API SSDT 表中的函数

83e8114f 8bf8            mov     edi,eax 		;edi保存调用号

83e81151 c1ef08          shr     edi,8		    
83e81154 83e710          and     edi,10h		;判断使用哪个SSDT (ShadowSSDT)

83e81157 8bcf            mov     ecx,edi		;ecx表示使用哪个表有效	 

83e81159 03bebc000000    add     edi,dword ptr [esi+0BCh] ; 找到ETHREAD->ServiceTable 找到真正SSDT表

83e8115f 8bd8            mov     ebx,eax			
83e81161 25ff0f0000      and     eax,0FFFh			;eax保存真实调用号

83e81166 3b4708          cmp     eax,dword ptr [edi+8] ;必须小于 SSDT服务表最大支持的函数个数

83e81169 0f8333fdffff    jae     nt!KiBBTUnexpectedRange (83e80ea2) ;大于表示调用号无效

83e8116f 83f910          cmp     ecx,10h   ; 表示ecx表示使用哪个表有效	 

83e81172 751a            jne     nt!KiFastCallEntry+0xce (83e8118e)  ;SSDT 有效

83e81174 8b8e88000000    mov     ecx,dword ptr [esi+88h]				;ShadowSSDT有效
83e8117a 33f6            xor     esi,esi
83e8117c 0bb1700f0000    or      esi,dword ptr [ecx+0F70h]
83e81182 740a            je      nt!KiFastCallEntry+0xce (83e8118e)
83e81184 52              push    edx
83e81185 50              push    eax
83e81186 ff154cd9fa83    call    dword ptr [nt!KeGdiFlushUserBatch (83fad94c)]
83e8118c 58              pop     eax
83e8118d 5a              pop     edx



83e8118e 64ff05b0060000  inc     dword ptr fs:[6B0h] ; KPCR->KeSystemCalls 调用次数+1

83e81195 8bf2            mov     esi,edx			;edx ->用户参数
83e81197 33c9            xor     ecx,ecx

								;edx指向参数表
83e81199 8b570c          mov     edx,dword ptr [edi+0Ch]	;SSDT->ParamTableBase 
								;edi指向函数基址表
83e8119c 8b3f            mov     edi,dword ptr [edi] 		;SSDT->ServiceTableBase

83e8119e 8a0c10          mov     cl,byte ptr [eax+edx]		; ecx保存这个函数所需要的参数个数

83e811a1 8b1487          mov     edx,dword ptr [edi+eax*4]  ;edx保存真实函数地址(NtCreateProcess)

83e811a4 2be1            sub     esp,ecx				;内核栈开辟一段空间用于存放函数参数

83e811a6 c1e902          shr     ecx,2					;参数所需字节/4,表示需要几个参数

83e811a9 8bfc            mov     edi,esp				;esi->用户参数,edi->内核参数

83e811ab 3b351cd7fa83    cmp     esi,dword ptr [nt!MmUserProbeAddress (83fad71c)]
83e811b1 0f832e020000    jae     nt!KiSystemCallExit2+0xa5 (83e813e5)

83e811b7 f3a5            rep movs dword ptr es:[edi],dword ptr [esi] ;用户栈上的参数拷贝内核栈上

83e811b9 f6456c01        test    byte ptr [ebp+6Ch],1    ;调用来自用户层CS 
83e811bd 7416            je      nt!KiFastCallEntry+0x115 (83e811d5) 
83e811bf 648b0d24010000  mov     ecx,dword ptr fs:[124h]
83e811c6 8b3c24          mov     edi,dword ptr [esp]
83e811c9 89993c010000    mov     dword ptr [ecx+13Ch],ebx
83e811cf 89b92c010000    mov     dword ptr [ecx+12Ch],edi


83e811d5 8bda            mov     ebx,edx		;ebx保存真实函数地址

83e811d7 f60508a9f78340  test    byte ptr [nt!PerfGlobalGroupMask+0x8 (83f7a908)],40h
83e811de 0f954512        setne   byte ptr [ebp+12h]
83e811e2 0f858c030000    jne     nt!KiServiceExit2+0x17b (83e81574)
;	esp 保存用户参数
;   edx 保存真实函数地址
;   eax 保存调用号
;   ecx 保存参数个数
83e811e8 ffd3            call    ebx  ;调用真实函数 (NtCreateProcess)

SystemServiceTable系统服务表

SystemServiceTable分为两张,一种函数在Ntoskrl.exe中,一种函数Win32k.sys中,Win32k.sys是页面图形相关的,两张表中都有4个字段
ServiceTable: 函数地址表
count
servicelimit: 函数地址表多大(函数个数)
ArgmentTable:函数参数表-记录了参数多少个字节,以4字节对齐
Ntoskrl.exe中函数个数小于0x1000

  • Ntoskrl.exe的SSDT可以通过KeServiceDescriptorTable全局变量找到
  • Win32k.sys的SSDT可以通过未导出全局变量KeServiceDescriptorTableShadow的第二项找到,第一项为Ntoskrl.exe的SSDT,这一项只有GDI(界面)程序才有
// KeServiceDescriptorTable变量,声明就可以直接使用
typedef struct _ServiceDesriptorEntry
{
	ULONG* ServiceTableBase;		//服务表基址
	ULONG* ServiceCounterTableBase;	//函数表中每个函数被调用的次数
	ULONG NumberOfService;			//服务函数的个数,
	ULONG ParamTableBase;			//参数表基址
}SSDTEntry, * PSSDTEntry;

// 导入SSDT全局变量
NTSYSAPI SSDTEntry KeServiceDescriptorTable;
chengtoreal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CALL调试测试工具,游戏调用CALL工具
04-15
很好用的CALL调试测试工具,无代码注入。
驱动程序中使用系统调用的方法
fanliyu的专栏
08-26 566
众所周知我们无法在内核驱动程序中直接使用系统调用接口,但有时项目上会有类似需求,借助系统调用简单明了的接口设计,可以帮助我们在驱动程序实现各种功能。我们可以利用内核提供的kallsyms_lookup_name机制(编译时需打开相关功能),配合set_fs系列函数实现内核驱动程序中间接调用系统调用。 以下示例代码来源于一个实际的项目需求,af3840 sfm312子卡驱动程序中在将i2c adapter注册到i2c总线上时,需要为/dev/i2c-?建立一个软链接,公司...
系统调用与设备驱动
JARYGUO
01-23 2112
内置于Unix(以及Linux)系统的方法,被称为系统调用方法,是操作系统的接口。在操作系统的核心(内核)是一些设备驱动(device drivers),这是一系列用来控制系统硬件的底接口(low-level interface)。
驱动接口函数调用过程
weixin_30757793的博客
11-24 843
本文就来揭秘一下到底一个驱动的接口函数是如何被调用的:首先我们来反汇编读驱动的程序:跳转到__libc_read,发现他把r7赋值给3,3是传过去的参数,然后调用svc指令,进入内核态相应的入口:接下来就已经进入内核态,入口函数中将存入r7中的3取出。然后加载一张表,表名是sys_call_call,根据这个表中内容,断定3到底是对应什么操作:这个表如下,可以看出表中第三项对应C...
驱动是什么
weixin_42832472的博客
02-01 2117
驱动是什么定义驱动的基本要素驱动的核心思想 定义 驱动是 Linux 系统中设备和用户之间的桥梁,Linux 系统中,访问设备必须通过设备驱动进行操作,用户程序是不能直接操作设备的。Linux 系统中硬件、驱动用户程序的关系如下图。 驱动程序运行与内核空间,用户程序只能通过内核提供的系统调用,由经 VFS 以及驱动程序才能访问和操作硬件,硬件设备传递的数据也必须经过驱动、VFS 和系统调用才能被用户程序接收。所以说,设备驱动是应用程序访问系统设备以及进行数据传递的桥梁和通道。 驱动的基本要素 Linux
Linux内核设备驱动系统调用笔记整理
09-15
Linux内核设备驱动是操作系统与硬件交互的关键部分,而系统调用用户空间程序与内核进行通信的主要途径。在Linux系统中,系统调用扮演着桥梁的角色,使得应用程序能够安全地访问底硬件资源和利用操作系统服务。这...
Linux系统调用.pdf
01-27
系统调用流程通过软中断机制实现,Ioctl 用于设备驱动程序中对设备的 I/O 通道进行管理,Procfs 是进程文件系统,用于通过内核访问进程信息,Netlink 是一种允许用户空间和内核空间之间进行通信的机制。
易语言调用驱动文件源码-易语言
06-13
易语言支持通过“系统调用”或“模块调用”来使用DLL中的函数。在调用驱动时,通常需要知道驱动文件提供的函数原型和参数,这通常需要查阅驱动的开发文档或者使用工具如 Dependency Walker 来分析。 对于“REGSYS....
linux 系统调用视频讲解
08-13
在Linux操作系统中,系统调用用户空间程序与内核进行交互的重要机制。它们提供了标准接口,使得应用程序能够请求操作系统执行各种低级别的任务,如创建进程、读文件、网络通信等。本视频讲解将深入剖析Linux ...
驱动调用
星空探索
08-07 556
[ 14.873268] [<ffffff800808c078>] dump_backtrace+0x0/0x4b0 [ 14.881364] [<ffffff800808c53c>] show_stack+0x14/0x1c [ 14.888952] [<ffffff80087579d8>] dump_stack+0x78/0x98 [ 14....
驱动开发:内核枚举进程与线程ObCall回调
热门推荐
CSDN
10-22 1万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
Linux驱动调用应用程序--call_usermodehelper()
zhangwu1241的博客
07-31 2954
Linux驱动调用应用程序–call_usermodehelper()在驱动想要调用用户空间程序主要还是通过call_usermodehelper()
驱动中关于Callback 例程用法
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 2543
#include     // 准备接收该对象的回调消息  #define CONST_CALLBACK_NAME L"//Callback//TcpConnectionCallBack"    // 注册成功后,返回的句柄,卸载时候需要用  PVOID CallbackRegisterationHandle = NULL;    // 驱动入口例程  NTSTATUS DriverEntry(
驱动调用用户代码
weixin_33924312的博客
08-30 442
http://hi.baidu.com/%CE%F7%B7%E7%B9%AB%C9%E7/blog/item/0febbd355d0904bfd1a2d320.html 转贴一篇文章,原来找了好久的..... 驱动调用用户代码 1、 KeUserModeCallBack NTSTATUSCallRing3(){ PLIST_ENTRY Next; ...
驱动与应用程序通信 2010-12-2
weixin_33984032的博客
01-08 55
这个应该是比较经常用到的东西,一直以为没有什么高深的东西,但是今天一用还是出了些问题。 之前都是直接通过iocontrol来读取,但是这些都是app主动来读,就是说app什么也不用管只知道自己的目的,比如来读取某个模块的一个寄存器的值。今天的情况是某个外设是通过i2c方式来和cpu通信,并且该外设会自动发一些消息过来。由于i2c和该外设我在驱动中都以同等地位的驱动方式...
Windows系统调用中API的3环部分
dz45693的专栏
10-22 2676
一、R3环API分析的重要性 Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重一个ReadProcessMemory。 重ReadProcessMe...
Windows 核心编程研究系列之一(-改变进程PTE属性-)[已补完]
享受开发,颠倒银河
11-01 5284
 Windows 核心编程研究系列之一-改 变 进 程 PTE 属性-           这是我研究windows 核心编程的第一篇正式文章,之所以叫核心编程而不叫内核编程,是我觉得从字面上来看核心(core)比内核(kernel)更靠近windows中心,当然只是偶本人的看法的拉。         我们知道在 win NT 中,系统把每个进程的虚拟4G空间分为两大部份,
MS17-010漏洞复现(x32)以及分析
r250414958的博客
12-17 6084
复现可以使用两种方式 1.ShadowBroker释放的NSA工具 2.kali的Metasploit 第一种网上有很多教程 https://www.freebuf.com/sectool/132076.html https://www.cnblogs.com/peterpan0707007/p/7450668.html 都说得很详细,我自己也实现了一遍,不过不便于我们后面分析 所以接下来介绍第二...
rootkit hook 之[七]--- IAT Hook
08-25 1220
 作 者: combojiang时 间: 2008-03-07,11:37链 接: http://bbs.pediy.com/showthread.php?t=60778今天这篇HOOK,主要是讲在内核中HOOK WIN32 API的办法。这个办法,比你采用全局钩子加载DLL来HOOK API的方法更具有隐蔽性。 到这里我们的内核hook 7篇组成的“七星剑法“就练完了。后面将开始关于保护模式的八
Android 系统如何调用驱动代码
最新发布
05-21
在 Android 系统中,驱动代码通常是以...另外,由于 Android 系统的安全机制限制,只有系统应用程序才能调用驱动代码,普通应用程序无法直接访问。因此,如果需要在普通应用程序中调用驱动代码,需要先获取 ROOT 权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值