KernelMode Callback UserMode

最新推荐文章于 2022-07-05 07:47:16 发布
最新推荐文章于 2022-07-05 07:47:16 发布
阅读量2.1k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: callback c user

a snapshot of usrer mode call kernel mode, then kernel mode callback to usermode,
then user mode call kernel mode again, some malware use K callback U trick to
inject code to target process address space.

kd> kb L200
ChildEBP RetAddr  Args to Child             
f97e125c 8090e8b1 00000001 e13ff030 8179d040 nt!ObpCreateHandle
f97e1330 8090f81d e13ff030 00000000 00000000 nt!ObOpenObjectByPointer+0xa8
f97e138c 8082337b ffffffff 00020008 00000000 nt!NtOpenProcessTokenEx+0x92
f97e138c 7c95ed54 ffffffff 00020008 00000000 nt!KiFastCallEntry+0xf8
0078f4e8 7c9517b4 7c968543 ffffffff 00020008 ntdll!KiFastSystemCallRet
0078f4ec 7c968543 ffffffff 00020008 00000200 ntdll!ZwOpenProcessTokenEx+0xc
0078f578 7c94a9be 0078f5a4 7c80c78c 0078fa20 ntdll!RtlFormatCurrentUserKeyPath+0x4b
0078f5b0 7c80c775 02000000 0078f5ec 00000000 ntdll!RtlOpenCurrentUser+0x13
0078f9f4 7c80c84e 0078fa20 00000000 7c80c78c KERNEL32!OpenRegKey+0x3a
0078fc3c 7c8060d1 7c831230 001656e8 00000050 KERNEL32!GetUserInfoFromRegistry+0x40
0078fc64 7c8213eb 00000804 00001014 7c831230 KERNEL32!NlsGetCurrentUserNlsInfo+0x202
0078fc90 7c831218 00000804 00001014 00000820 KERNEL32!GetUserInfo+0x21
0078fd7c 74b0ee71 00000804 00001014 0078fdb8 KERNEL32!GetLocaleInfoW+0x1321
0078fde4 630947fb 00000400 630963c0 00000000 USP10!ScriptRecordDigitSubstitution+0x7f
0078fe9c 63094878 fa092bbc 00000004 00000000 LPK!ReadNLSScriptSettings+0x6b
0078feb4 63093376 01010058 0078ffdc 00000002 LPK!LpkStringAnalyse+0x46
0078ff0c 77beecd8 01010058 0078ffdc 00000002 LPK!LpkGetTextExtentExPoint+0x12c
0078ff48 77bd8175 01010058 0078ffdc 00000002 GDI32!GetTextExtentPointWInternal+0x183
0078ff64 77e5878e 01010058 0078ffdc 00000002 GDI32!GetTextExtentPointW+0x18
0078ff90 7c95ec9e 0078ffa8 0000003c ffffffff USER32!__ClientGetTextExtentPointW+0x3c
0078ffe0 75985001 75988c40 00000000 00000022 ntdll!KiUserCallbackDispatcher+0x2e
f97e1660 8091735b f97e1730 f97e171c 00000001 nt!KiCallUserMode+0x4
f97e16b8 bf933840 00000049 f97e1750 0000003c nt!KeUserModeCallback+0x8f
f97e196c bf9391ac 01010058 bf9b2840 00000002 win32k!xxxClientGetTextExtentPointW+0x141
f97e1990 bf9393bc bc630938 f97e19ac bc630938 win32k!xxxTooltipGetSize+0x68
f97e19b4 bf939602 bc630938 bc630938 bc630938 win32k!xxxShowTooltip+0x5d
f97e19d4 bf811027 bc630938 00000001 bc630938 win32k!xxxTooltipHandleTimer+0x79
f97e1a38 bf8a3d2e bc630938 00000118 00000001 win32k!xxxTooltipWndProc+0xb1
f97e1a68 bf82609a f97e1aa4 00000022 0078fff4 win32k!xxxDispatchMessage+0x1ce
f97e1d30 bf829254 bf9b30e0 00000001 f97e1d54 win32k!xxxDesktopThread+0x3de
f97e1d40 bf87f76c bf9b30e0 f97e1d64 0078fff4 win32k!xxxCreateSystemThreads+0x6a
f97e1d54 8082337b 00000000 00000022 00000000 win32k!NtUserCallOneParam+0x23
f97e1d54 7c95ed54 00000000 00000022 00000000 nt!KiFastCallEntry+0xf8
0078ff90 7c95ec9e 0078ffa8 0000003c ffffffff ntdll!KiFastSystemCallRet
0078ffe0 75985001 75988c40 00000000 00000022 ntdll!KiUserCallbackDispatcher+0x2e
0078ffe8 00000000 00000022 00000004 00000000 winsrv!NtUserCallOneParam+0xc 

by john lan 

iiprogram
关注
专栏目录
Kernel crash:总结
mzhan017的博客
05-25 825
kernel crash的一个使用总结
设备驱动中的class(kernel-4.7)
viewsky11的专栏
12-14 1801
设备驱动中bus代表实际的总线,device代表实际的设备和接口,而device_driver则对应存在的驱动。而class,是设备类,完全是抽象出来的概念,没有对应的实体。所谓设备类,是指提供的用户接口相似的一类设备的集合,常见的设备类的有block、tty、input、usb等等。 struct class就是设备驱动模型中通用的设备类结构。 class对应的代码在drivers/base/c
Linux Kernel设置irq affinity选项的callback
04-07
dmesg 日志
[翻译] Kernel Attacks through User-Mode Callbacks
WocW的博客
05-26 741
前言 本篇属于前置知识,在后续的CVE复现中需要使用到。原文为英文,一边翻译一边记笔记了!尽量用中文描述的浅显易懂一些。 原文传送门 1. 背景知识 1.1 Win32k.sys介绍 ​ Win32k本质上由三个主要组件组成:图形设备接口(GDI)、窗口管理器(用户)和支持XP/2000和Longhorn (Vista)显示驱动程序模型的DirectX api(有时也被认为是GDI的一部分)。窗口管理器负责管理Windows用户界面,例如控制窗口显示、管理屏幕输出、从鼠标和键盘收集输入以及向应用程序传递
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2658
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
内核通知链 学习笔记
12-11 348
最近在看《深入理解Linux网络内幕》一书,学习了一下书中讲到的内核通知链方面的知识,写了一个读书笔记和一点代码来加深理解,希望能够对大家有一点帮助。内核通知链在网络方面得到了广泛的使用。1.通知链表简介   大多数内核子系统都是相互独立的,因此某个子系统可能对其它子系统产生的事件感兴趣。为了满足这个需求,也即是让某个子系统在发生某个事件时通知其它的子系统,Linux内核提
远程调用内核接口(remote call kernel)
Kyee编程之道
09-12 3371
RCK(remote call kernel 缩写)为远程调用内核, 其通讯协议为自定义数据流协议。 RCK 负责远程调用过程中的数据组织, 并不关心实际物理通讯协议, 实则属于逻辑层通讯 协议。 RCK 通讯槽接口(RCKSlot)负责数据接收和发送, 属于通讯的适配层, 由第三方来实现 实际的数据传输接口。
Windows Kernel Attacks through User-Mode Callbacks (Black Hat USA 2011)-计算机科学
04-22
Kernel Attacks through User- Mode CallbacksTarjei MandtBlack Hat USA 201111. august 2011Who am I• Security Researcher at Norman• Malware Detection Team (MDT)• Interests• Vulnerability research• ...
基于Windows8与Visual Studio11开发第一个内核驱动程序
尹成的技术博客
03-25 6865
Windows 驱动程序的发展演变 我们在学习开发驱动程序时有必要弄清楚Windows设备驱动程序的发展演变过程(为了简便起见,以下简称驱动程序),以便明白我们将要开发什么样的驱动程序。这就象你开发一个应用程序时必须弄清楚它是运行在WINDOWS平台下还是在DOS平台下,否则我们能写出什么样的应用程序就可想而知了。       驱动程序开发者的各项任务之中,有许多是为特定的硬件编写驱动程序。由于W
kernel 异步
a drip
08-02 417
异步一旦设备就绪,则主动通知应用程序,这样应用程序根本就不需要查询状态用户空间处理一个设备释放的信号的三项工作:/* specify handler for signal */ signal(SIGIO, input_handler);/* current process owns this fd */ fcntl(STDIN_FILENO, F_SETOWN, getpid());/* launc
1、远程过程调用(Remote Procedure Call) 通俗说
sowhat
05-04 1061
简单通俗说RPC
内核中获取HKCU的路径
weixin_34132768的博客
02-01 270
为什么80%的码农都做不了架构师?>>> ...
【原创】从内核创建用户态线程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-03 3371
http://bbs.pediy.com/showthread.php?p=1304480#post1304480
Linux小知识---内核与用户态通讯方式之procfs
小人物的编程
07-05 1292
介绍了内核与用户态通讯方法,procfs的用法,并配有一个完整的实例
内核模式到用户模式的回调函数----这篇文章是十年前国外大牛写的
商少
10-23 8141
内核模式到用户模式的回调函数http://www.nynaeve.net/?p=200        NTDLL 拥有一些特定的函数被内核用来代表用户模式执行特定的功能。尽管理解这些函数对于特定的功能(比如用户模式APC)的底层实现的理解是有用的,这些函数提供的功能非常的简单。        下面是一些NTDLL导出的,内核用于与用户模式通讯的函数: 1.KiUserExceptionDis
linux kernel Internal error: Oops: 5 [#1] PREEMPT SMP ARM
热门推荐
Sam 的专栏
09-10 2万+
[ 307.260009@0] [ 307.267846@0] DEBUG:handle_hc_chhltd_intr_dma:: XactErr without NYET/NAK/ACK [ 307.267846@0] [ 307.276537@0] DEBUG:handle_hc_chhltd_intr_dma:: XactErr without NYET/NAK/ACK
驱动里执行应用层代码之KeUserModeCallBack,支持64位win7(包括WOW64)
fanxiushu的专栏
07-26 1万+
by Fanxiushu            2014-07-26 在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多。 这种技术的本质:其实就是想方设法在驱动层里把应用层代码弄到应用层去执行。 比如在APC异步调用中,KeInsertQueueApc,KeInitializeApc等函数中可设置一个在ring3层执行一个回调函数,这样就可以
Linux C 回调(callback)函数
哈哈一笑
06-13 5701
callback:即回调函数,是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用为调用它所指向的函数时,我们就说这是回调函数。回调函数不是由该函数的实现方直接调用,而是在特定的事件或条件发生时由另外的一方调用的,用于对该事件或条件进行响应。 实例如下: callback.h中声明callback函数: #ifndef __CALLBACK_H__ #d...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值