windbg跟踪NtOpenProcess

最新推荐文章于 2021-06-23 13:32:48 发布
最新推荐文章于 2021-06-23 13:32:48 发布
阅读量1.8w 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 数据结构 c user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fisher_jiang/article/details/7076575
版权

过程: OpenProcess->NtOpenProcess->KiFastSystemCall->sysenter

kd> u ntdll!NtOpenProcess
ntdll!ZwOpenProcess:
7c92d5fe b87a000000      mov     eax,7Ah
7c92d603 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d608 ff12            call    dword ptr [edx] //进入SystemCall eax装载的是函数调用号
7c92d60a c21000          ret     10h
7c92d60d 90              nop

嗯,NtOpenProcess调用了SharedUserData!SystemCallStub (7ffe0300)


而SharedUserData是一个数据结构
#define SharedUserData ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)


每个进程用户空间的0x7ffe0000都以只读方式映射到相同的物理页面上,而这个物理页面上就是KUSER_SHARED_DATA结构的数据 [0x7ffe0300]=[KUSER_SHARED_DATA偏移0x300处]=SystemCall=KiFastSystemCall


验证一下
kd> dd 7ffe0300
7ffe0300  7c92e510 7c92e514 00000000 00000000


kd> u 7c92e510
ntdll
最低0.47元/天 解锁文章
fisher_jiang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg 查看结构体_windbg跟踪ZwOpenFile获取打开的文件名
weixin_34792402的博客
01-13 241
跟踪ZwOpenFile的笔记,确定参数的传递方式是按照从右到左的方式入栈,和c的调用方式一样。下断点ZwOpenFile中断后的堆栈如下:nt!ZwOpenFilent!MmLoadSystemImage+0x266nt!IopLoadDriver+0x370nt!PipCallDriverAddDeviceQueryRoutine+0x235nt!RtlpCallQueryRegistryRo...
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 877
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
使用WinDbg和基本汇编器知识实时跟踪MySQL数据库SQL查询
04-04
汇编和MySQL
windbg API 跟踪
weixin_33713503的博客
07-01 164
!logexts.loge !logexts.logc e * !logexts.logo e v !logexts.logb p     !logexts.loge    enables logging   !logexts.logc e   displays all API categories   !logexts.logo e v     debugger...
windbg下查看应用层ntdll!NtOpenProcess
125096
06-29 1286
//查看进程explorer.exe信息 !process 0 0 explorer.exe //切换到进程 .process /p 81ff0020 //加载符号 .reload //查看应用程ntdll模块中NtOpenProcess u ntdll!NtOpenProcess
Windbg中文调试手册
04-26
**Windbg中文调试手册概述** Windbg是一款强大的调试器,主要用作分析故障转储、实时用户模式和内核模式代码的调试工具。它具备现代的界面设计,完善了脚本功能,支持可扩展的调试数据模型,以及内置的时程调试...
WinDbg Download
09-06
WinDbg 主要功能. Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器,支持Source和Assembly两种模式的调试。 Windbg不仅可以调试应用程序,还可以进行Kernel Debug。结合Microsoft的Symbol Server,可以获取...
Windbg插件 pykd
最新发布
11-07
python pykd
Windbg.rar_windbg
07-15
Windbg.rar_windbg》是关于Windows内核调试的重要资源包,其中包含了深入解析Windows内核调试技术的书籍《Windbg.pdf》以及可能为下载来源信息的文本文件《www.pudn.com.txt》。让我们详细探讨一下Windbg及其在...
windbg中文文档.zip
07-11
Windbg是一款强大的Windows调试工具,由Microsoft开发,用于分析、调试和诊断各种应用程序、驱动程序以及系统问题。这款工具在IT行业中被广泛使用,尤其是在系统级调试和性能优化方面。Windbg提供了丰富的命令集和...
可以过掉HOOK NtOpenProcess
01-24
可以过掉HOOK NtOpenProcess 交流学习使用
自己实现读写内存API和OpenProcess躲过Ring3层的HOOK(win10 1903)
吾无法无天的博客
03-01 3032
想躲过ring3层的某些API的HOOK,不想恢复钩子,自己写,百度一搜半天都找不到,只能自己动手了... OpenProcess和ReadProcessMemory和WriteProcessMemory都在KernelBase.dll里 NtOpenProcessNtReadVirtualMemory和NtWriteProcessMemory在ntdll.dll里 用IDA进行逆向即可得...
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2088
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
Windows 内核之双机调试与windbg命令大全
锋刃科技的博客
12-29 1016
在今后会有相当的实验环节,对于windows内核实验,调试环境是必不可少的,本章讲解双机调试的环境搭建与常见的WINDBG指令。 准备材料: VMware workstation : [https://www.vmware.com/go/downloadworkstation-cn] windows 7 x64 ISO (请使用种子下载工具进行下载): [ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|34205573
计算机从3环到0环要学些什么,Windows系统调用中API从3环到0环(下)
weixin_31759799的博客
06-23 249
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中API从3环到0环(下)这篇文章分为上下两篇,其中上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用与系统中断),来实现通过系统中断直接调用内核函数。一、INT 0x2E进0环.text : 77F070C0...
对XP上的KiFastSystemCall进行浅析
weixin_34200628的博客
11-19 215
WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。   以ntdll!ZwCreateProcessEx为例:   Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiF...
使用WinDbg调试内核
Hvnt3r的博客
03-24 3221
知识点 WinDbg是微软提供的一个免费调试器,支持内核调试,也具有监控Windows系统交互的功能。 **驱动与内核代码:**Windows设备驱动简称为驱动,他让第三方开发商在Windows内核模式下运行代码。驱动程序常驻与内存,并且负责响应用户态程序的请求,而且应用程序不直接与驱动程序通信,而是直接访问设备对象,向具体的物理设备发送请求。设备对象由驱动程序创建和销毁,可以被用户态的程序直接访...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值