代码
DriverEntry 创建线程,部分执行代码如下:
VOID IsKernelBooting(IN PVOID Context)
{
// ...
_asm
{
pushad;
mov ecx, 0x176; // msr EIP
rdmsr;
mov KiFastCallEntry, eax;
popad;
}
if (*KiFastCallEntry == 0xe9) // 0xe9 , jmp
{
DbgPrint("Terminate System Thread\n");
return;
}
// ...
}
解析
这段代码主要是获取到 KiFastCallEntry 函数的地址。
- pushad/popad
将以下寄存器压入栈、出栈,以便在汇编中使用寄存器。
- rdmsr
读取MSR寄存器的内容,并将读取到的内容高32bit存储在EDX,低32bit存储在EAX。
MSR 寄存器是在x86 中使用 快速系统调用 依赖的寄存器(区别int 0x2E自陷)。
在 x86 中,系统调用服务过程使用三个MSR寄存器,如下:
所以,rdmsr执行之后,EAX就存储了 KiFastCallEntry 函数的起始地址。SYSENTER_CS_MSR, //0x174 SYSENTER_EIP_MSR, //0x176, 包含KiFastCallEntry地址 SYSENTER_ESP_MSR //0x175
- 获取到KiFastCallEntry 之后,根据其第一字节是否为0xe9判断该函数是否已经被Hook,0xe9对应jmp指令。
- x86 快速系统调用 过程:
KiFastCallEntry 函数地址就是存储在 SYSENTER_EIP_MSR 内容对应的寄存器。
后记
- 以上代码仅适用于 x86 使用快速调用的方式,也就是 sysenter/sysexit;在x64中,快速系统调用已更改为 syscall/sysret。