静态分析KiSystemService

最新推荐文章于 2022-09-09 23:27:00 发布
最新推荐文章于 2022-09-09 23:27:00 发布
阅读量3.4k 收藏 2
点赞数
文章标签: api thread function c xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalixux/article/details/3160085
版权
本文详细分析了KiSystemService的实现过程,包括如何切换到内核上下文、处理异常帧、保存用户模式上下文,并调用NT函数。通过对KiSystemService的汇编代码解析,揭示了系统调用的服务流程。
摘要由CSDN通过智能技术生成

  KiSystemService 是INT 2EH 后调用的
2000所有的native api 都使用INT 2EH, xp下 GDC函数 进入内核调用INT 2EH
其他native api 调用KiFastCall

.text:00465651 _KiSystemService proc near              ; CODE XREF: ZwAcceptConnectPort(x,x,x,x,x,x)+Cp

.text:00465651                                         ; ZwAccessCheck(x,x,x,x,x,x,x,x)+Cp ...

.text:00465651

.text:00465651 arg_0           = dword ptr  4

.text:00465651

.text:00465651                 push    0

.text:00465653                 push    ebp

.text:00465654                 push    ebx

.text:00465655                 push    esi

.text:00465656                 push    edi

.text:00465657                 push    fs

.text:00465659                 mov     ebx, 30h

.text:0046565E                 db      66h

.text:0046565E                 mov     fs, bx          ; 段选择子为 30H

.text:00465661                 push    dword ptr ds:0FFDFF000h ; fs:[0]

.text:00465667                 mov     dword ptr ds:0FFDFF000h, 0FFFFFFFFh

                                                                                                         ; ExceptionList = FFFFFFFFH

.text:00465671                 mov     esi, ds:0FFDFF124h

                                                                                                                         ; _KPCR.PrcbData.CurrentThread

.text:00465677                 push    dword ptr [esi+140h]

.text:0046567D                 sub     esp, 48h

.text:00465680                 mov     ebx, [esp+68h+arg_0] ; arg_0 = 8

.text:00465684                 and     ebx, 1
最低0.47元/天 解锁文章
dalixux
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
2.2 系统调用的内核入口KiSystemService() 22 2.3 系统调用的函数跳转 29 2.4 系统调用的返回 32 2.5 快速系统调用 35 2.6 从内核中发起系统调用 42 第3章 内存管理 44 3.1 内存区间的动态分配 47 3.1.1 内核...
win11出现:终止代码:SYSTEM SERVICE EXCEPTION解决方案实列(不懂请私信up主)
最新发布
私信up主,有惊喜
08-09 12万+
win11出现:终止代码:SYSTEM SERVICE EXCEPTION解决方案实列(不懂请私信up主)
系统调用002 KiSystemService函数逆向分析
鬼手的博客
12-22 1767
文章目录前言保存现场_KTRAP_FRAMEKRPCExceptionList_KTHREAD结构体先前模式抬高堆栈判断当前权限更新_KTRAP_FRAME保存三环的寄存器环境判断调试状态 前言 之前我们详细了解了API从三环进到零环的过程,API会通过两种方式进入到零环,如果通过中断门的方式进入零环,最终会进入到KiSystemService这个函数。接下来就来分析KiSystemService...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8876
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
windows系统调用int 2e处理过程
dayenglish的专栏
08-01 2400
在X86体系架构中,中断处理向量由一个中断描述符表保存。中断描述符表的每个描述符项包括一个中断处理函数的地址、一个32位的描述符属性和中断之后中断所在代码的特权级别。下面是一个描述符项的宏定义,每个处理器包含256个这样的宏定义用于组成一个数组变量kidt。在系统初始化时,kidt当中的元素经过一些处理之后会填充到IDT表项当中。其中,当bits被定义为INT_32_DPL0时,表明发生的是异常;
静态综合实验报告
wei的博客
07-10 360
静态路由总实验,包括浮动静态、手工汇总、负载均衡、缺省路由配置等
系统篇API调用全过程.docx
12-05
KiSystemService 函数可以分为两个部分:系统服务函数和系统服务表引索。KiSystemService 函数执行相应的操作,并将结果返回给应用程序。 本文详细介绍了系统篇 API 调用全过程,包括 Windows API 调用全过程、内核...
Defeating Kernel Native API Hookers by Direct KiServiceTable Restoration.pdf
11-10
这通常可以通过分析内核模式驱动程序或使用调试技巧来实现。 2. **备份原始指针**:一旦找到了`KiServiceTable`,应该备份其中的原始函数指针,以防万一需要恢复。 3. **检测异常指针**:接着,扫描表中的每个条目,...
NT操作系统的Rootkit技术初探
03-03
每个服务都有一个唯一的Service ID,被传递给KiSystemService()处理程序,该处理程序由NT Executive实现。在CPU的权限级别中,Ring0代表最高权限,即内核模式,而Ring3则代表用户模式。Rootkit通过在Ring0级别操作,...
获取Powershell命令行参数
墨鱼菜鸡
09-09 852
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include &...
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 444
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
读书笔记之《Windows内核原理与实现》
weixin_34306593的博客
10-27 833
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExce...
Windows内核情景分析-系统调用3
airushaonian
08-09 519
系统调用1和系统调用2说了这么多,还未进入int 0x2e所对应的系统服务函数KiSystemService(),这里来看下这个函数内部的处理;通过0x2e和IDTR从IDT中 查询获取对应的方法KiSystemService()。 所以这里 int 0x2e  对应  KiSystemService 入口 sysenter 对应的是 KiFastCallEntry 入口,这里不要被这些函数给...
【原创】WINDOWS 64位SSDT定位思路
lziog的专栏
12-06 6016
在32位Windows中我们有很多定位SSDT的方法,最直接的就是利用导出符号来找到SSDT。再有就是通过在nt!KeAddSystemServiceTable函数中进行反汇编搜索。可是在64位WINDOWS中这两种方法都行不通。在64位Windows中不在导出SSDT了,同时nt!KeAddSystemServiceTable中也不再出SSDT了。这样要HOOK SSDT表就出现了第一个问题如何找到它?我想了三种思路。
3.逆向分析KiSystemService(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 430
一、回顾 想要分析透彻,必须得了解之前的那些结构体(_KUSER_SHARED_DATA、_Trap_Frame、_KPCR、 _KTHREAD) 没看的同学先看一下之前的文章逆向分析ReadProcessMemory---->KiFastCallEntry 二、分析KiSystemService 由于上一篇分析KiFastCallEntry文章的难度更大,分析_KiSystemService的难度小一些,所以前面步骤省略,直接开始分析KiSystemService .text:00466481 _KiSy
【2021.04.27】API函数的调用过程(保存现场)
oalken的博客
04-27 745
内容回顾 前文提到了API进入0环以后会调用的函数:KiSystemService()、KiFastCallEntry()。 前文的练习 进入0环后,原来的寄存器存在哪里? 如何根据系统调用号(EAX寄存器中储存)找到要执行的内核函数? 调用时的参数是储存到3环的堆栈,如何传递给内核函数? 2种调用方式入口(KiSystemService()、KiFastCallEntry())是不一样的,它们是如何返回到3环的? 进入0环后,原来的寄存器存在哪里?本文将以KiSystemService(
R0-R3 现场保护(_KTrap_Frame/_KPCR/_ETHREAD)—— 分析内核函数KiSystemService
walker的博客
03-05 1110
简介 在进程由用户态进入内核态的过程中,发生了 ESP/SS/EIP/CS 的切换。因此,在进程权限切换的工程中,必然要进行寄存器的现场保护。 这里,要使用到3个内核结构体:_KTrap_Frame/_KPCR/_ETHREAD。 _KTrap_Frame 每个线程在内核中都有一个 _KTrap_Frame 结构体,用于操作系统对线程的管理,该结构体时操作系统进行维护的。 _KTrap_Frame 的结构如下: kd> dt _KTrap_Frame nt!_KTRAP_FRAME //调
从内核模式启动进程
08-29 2814
 从内核模式启动进程我想很多人都会有这样的问题,能否从内核驱动中启动用户应用程序呢?在Win9x(win95, 98, ME)中有专门的导出函数ShellVxd_ShellExecute,此函数能够启动应用程序。而在NT系统中没有专门的导出函数。单数不存在导出函数决不意味这种想法不可能实现。恰恰相反,这种想法是完全可能实现的。当然,您可能会觉得这有如恶梦一般,分析一大堆系统对象,仔细的研究它们的属
系统调用003 系统服务表
鬼手的博客
12-22 687
文章目录前言SystemServiceTable 系统服务表系统服务表在哪判断调用的函数在哪个表API函数的调用过程 前言 我们现在已经知道API怎么从三环进入零环,从三环进零环需要带两个寄存器,分别是eax和edx。eax保存的是系统的服务号,edx保存的是三环的esp,通过esp可以找到三环的参数。 这次要解决的问题是如何通过eax找到零环的函数,零环的函数是怎么被调用的,并且零环的函数执行的...
SSDT入门:理解Windows内核模式与用户模式间的钩子机制
在Windows中,这种切换通常涉及系统DLL(动态链接库)如`kernel32.dll`、`user32.dll`以及`ntdll.dll`中的系统服务存根函数,如`KiXXXSystemCall`、`KiServiceExit`和`KiSystemService`。`CreateFile`函数实际上会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值