系统调用计算KiFastCallEntry地址的过程以及由此得到的一种获取KiFastCallEntry地址的方式

最新推荐文章于 2022-12-03 21:30:11 发布
最新推荐文章于 2022-12-03 21:30:11 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: Windows Driver 文章标签: KiFastCallEntry win7系统调用 SYSENTER
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lagon_/article/details/21833175
版权
本文详细介绍了如何通过SYSENTER指令和MSR寄存器手动计算KiFastCallEntry地址,涉及CS段地址计算、EIP获取,以及在WinDbg中的操作。还探讨了通过栈回溯获取地址的方法及其限制。
摘要由CSDN通过智能技术生成

SYENTER和SYSEXIT指令首次出现于Pentium II处理器中,其目的是为了提供一个快速(低负载) 的调用操作系统或者执行体过程的机制.SYSENTER用于运行特权级别为3的用户

调用特权级0 的系统内核代码


WinDbg中反汇编 KiFastSystemCall可以看到SYSENTER指令。









在调用SYSENTER指令前,CPU会通过下面的MSR寄存器,获取ring0的代码段和代码指针,ring0的堆栈段和堆栈指针:

MSR寄存器可以通过指令RDMSR/WRMSR来进行读写。寄存器地址如下表。  

 





当执行SYSENTER,处理器会

1.从IA32_SYSENTER_CS取出值(seg selector)加载到CS中。

2.从IA32_SYSENTER_EIP取出指令指针放到EIP中

3.将IA32_SYSENTER_CS的值加上8,将其结果加载到SS中。

4.从IA32_SYSENTER_ESP取出堆栈指针放到ESP

最低0.47元/天 解锁文章
Lagon_
关注
专栏目录
KiFastCallEntryHook
拉塞尔的博客
04-10 989
     先根据SSDTHook给SSDTTableBase下钩子(Hook掉NtSetEvent函数),然后通过调用ZwSetEvent函数进入FakeSetEvent函数,在FakeSetEvent函数中我们通过栈回溯(ebp+4)找到主调函数KiFastCallEntry的EIP(KiFastCallEntry函数Call NtXX函数指令的下一条指令处,被调函数执行完后主调函数会从EIP中...
hook KiFastCallEntry
爱杀之爪的矩阵
11-14 2542
<br /> <br />//从hookport.sys学到的hook方法,主要是KiFastCallEntry地址获取及hook的地方思路 //DRIVER.CPP #include "Driver.h" #define MAX_POOL_EXA 0x1000 /************************************************************************ 全局结构变量 *********************
KiFastCallEntry() 机制分析
无本之木
05-28 1190
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
KiFastCallEntry
Sunny_wwc的专栏
10-14 3089
<br /> PUBLIC _KiFastCallEntry<br />_KiFastCallEntry        proc<br /> <br />;此时:<br />;eax指向服务编号<br />;edx指向当前用户栈,edx+8为参数列表<br />;<br />; Sanitize the segment registers<br />;<br />        mov     ecx, KGDT_R3_DATA OR RPL_MASK    <br />        push    KG
转30行Hook KiFastCallEntry
XboxMicro
02-19 864
膜拜一下 #include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("ROOTKIT: OnUnload called\n"); } __decl
挂钩KiFastCallEntry实现驱动级进程保护
06-12
挂钩KiFastCallEntry一种高级的系统防护技术,通过这种方式可以实现对进程的深度保护,防止恶意软件的攻击。然而,这也需要开发者具备深厚的系统内核知识和安全编程经验。正确的实施和管理,可以为系统的安全性和...
Windows内核情景分析 第二章 从用户空间发起系统调用过程(仅供自赏)
For Geek
05-15 870
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
2.逆向分析KiFastCallEntry(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 810
每个线程KTRAP_FRAME 一个ESP0 TSS一个核一个 如果只有一个核,那么TSS存的ESP0永远是正在运行的线程的堆栈
2、逆向分析KiFastCallEntry
Windows内核学习笔记
07-23 315
sysenter指令做了那些事情 在 Ring3 的代码调用sysenter 指令之后,CPU 会做出如下的操作: 1. 将 SYSENTER_CS_MSR 的值装载到 cs 寄存器 174 2. 将 SYSENTER_EIP_MSR 的值装载到 eip 寄存器 176 3. 将 SYSENTER_CS_MSR 的值加 8(Ring0 的堆栈段描述符)装载到 ss 寄存器。 4. 将 SYSENTER_ESP_MSR 的值装载到 esp 寄存器 175 5. 将特权级切换到 Ring0 6. 如果
inline hook KiFastCallEntry
Sunny_wwc的专栏
10-14 4545
#include "ntddk.h"#include "sysenterhook.h"#if DBG#define dprintf DbgPrint#else#define dprintf(x)#endif#define BYTE unsigned char #define MEM_TAG 'CQ'#define NT_DEVICE_NAME L"//Device//sysenterhook"#define DOS_DEVICE_NAME L"//DosDevices//sysenterhook"NTSTA
KiFastCallEntry自己理解
whowho的专栏
07-19 868
#define KI_USER_SHARED_DATA         0xffdf0000 #define SharedUserData  ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)   KUSER_SHARED_DATA 结构区域在 User 和 Kernel 层地址分别为: User 层地址为:0x7ffe0000
逆向分析KiFastCallEntry
最新发布
weixin_73368512的博客
12-03 184
个人的逆向分析KiFastCallEntry笔记
_KiFastCallEntry静态分析
qq_41490873的博客
06-13 189
.text:0040689F _KiFastCallEntry proc near ; DATA XREF: _KiTrap01+71o .text:0040689F ; KiLoadFastSyscallMachineSpecificRegisters(x)+24o .text:0040...
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 456
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
事件SetEvent、RestEvent、WaitForSingleObject与CreateEvent详解
鸟哥的博客
02-04 637
SetEvent/ResetEvent分别将EVENT置为这两种状态分别是发信号与不发信号。 WaitForSingleObject()等待,直到参数所指定的OBJECT成为发信号状态时才返回,OBJECT可以是EVENT,也可以是其它内核对象。注:WaitForSingleObject的第一个参数一定不能为空。 CreateEvent 用来创建或打开一个命名的或无名的事件对象,对于它的其他解释,...
ReacOS源代码阅读之进程间通信--SetEvent
faithzzf的专栏
12-05 631
ReacOS源代码阅读之进程间通信--SetEvent。
[ScyllaHide] 05 ScyllaHide的Hook原理
kinghzking的专栏
12-21 754
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关反调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 ScyllaHide的Hook原理 Hook是通过修改程序代码或数据,达到改变程序逻辑的目的。Hook种类很多,ScyllaHide主要使用的是inline hook,也就是在运行的流程中插入跳转指令(call/jmp)来抢夺程序运行流程的一个方法。 Hook根据系统版本(
SYSENTER——快速系统调用
whatday的专栏
12-27 1911
SYSENTER用来快速调用一个0层的系统过程SYSENTERSYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYSENTER_CS:一个32位值
【2021.04.27】API函数的调用过程(保存现场)
oalken的博客
04-27 778
内容回顾 前文提到了API进入0环以后会调用的函数:KiSystemService()、KiFastCallEntry()。 前文的练习 进入0环后,原来的寄存器存在哪里? 如何根据系统调用号(EAX寄存器中储存)找到要执行的内核函数? 调用时的参数是储存到3环的堆栈,如何传递给内核函数? 2种调用方式入口(KiSystemService()、KiFastCallEntry())是不一样的,它们是如何返回到3环的? 进入0环后,原来的寄存器存在哪里?本文将以KiSystemService(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值