【2021.04.25】API函数的调用过程(Ring3)

最新推荐文章于 2024-07-05 10:55:33 发布
最新推荐文章于 2024-07-05 10:55:33 发布
阅读量282 收藏 2
点赞数
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/116133373
版权

WindowsAPI

  • Application Programming Interface,简称API函数。
  • Windows有多少个API?主要是存放在 C:\WINDOWS\System32 文件夹下所有的dll。
  • 几个重要的DLL如下:
  1. Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等。
  2. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等。
  3. GDI32.dll:全称是Graphical Device Interface(图形设备接口),包含用于画图和显示文本的函数。比如要显示一个程序窗口,就调用了其中的函数来画窗口。
  4. Ntdll.dll:大多数API都会通过这个DLL进入内核(Ring0)。

分析ReadProcessMemory

 

可以看到最后一张图中的代码只有短短几行,真正读取内存的函数是在0环实现的,在这里只是提供了一个接口给应用程序去调用。

mov eax, 0BAh //对应内核中的某个函数的编号

mov edx, 7FFE0300h //内存地址中存了一个值,这个值是一个函数,该函数决定了用什么方式进0环。

课后练习

分析并重写WriteProcessMemory函数的3环部分(不使用任何DLL,直接调用0环函数),并在代码中使用。

重写API的意义:自己实现API的3环部分,可以避免3环程序恶意挂钩。

oalken
关注
专栏目录
x265编码器 main 函数分析
想都是问题,做才有答案~~
09-04 610
x265 d main函数api使用结构图
Linux Kernel 之一 内核架构、源码文件、API/ABI 介绍、FHS
技术干货
12-07 3159
内核架构主要有 宏内核(Monolithic Kernel)、微内核(Micro kernel)和混合内核(Hybrid kernel) 三种。Linux 系统的 Kernel 属于宏内核,而 Windows 系统的内核 Windows NT 和 macOS 的内核 XNU 都属于混合内核。
API函数调用过程(三环部分)
H888001的博客
09-24 413
1.Windows API 主要是存放在c:\WINDOWS\system32下面所有的dll 2.几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数 User32.dll:是Windows用户界面相关应用诚信接口,如创建窗口和发送消息等。 GDI32.dll:全称是Graphical Device Interface(图形设备接口),包含...
API函数调用过程(3环进0环)
qq_41490873的博客
05-07 443
CPU不支持快速调用时使用中断进0环
系统调用 1.API函数调用过程(3环进0环)
Mikasys的博客
11-02 913
1.API函数调用过程(3环进0环) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
2021.04.27】API函数调用过程(保存现场)
oalken的博客
04-27 774
内容回顾 前文提到了API进入0环以后会调用函数:KiSystemService()、KiFastCallEntry()。 前文的练习 进入0环后,原来的寄存器存在哪里? 如何根据系统调用号(EAX寄存器中储存)找到要执行的内核函数调用时的参数是储存到3环的堆栈,如何传递给内核函数? 2种调用方式入口(KiSystemService()、KiFastCallEntry())是不一样的,它们是如何返回到3环的? 进入0环后,原来的寄存器存在哪里?本文将以KiSystemService(
基于STM32设计的智能喂养系统(ESP8266+微信小程序)175
最新发布
07-05 6399
本设计采用了STM32控制芯片作为核心,结合了多种传感器和模块,以实现自动化的喂养功能。其中包括1.44寸LCD彩色显示屏和按键模块用于显示和操作参数,28BYJ-48步进电机用于实现定量投食,ESP8266-WIFI模块用于远程控制和监测,蜂鸣器模块用于报警提示,H711称重传感器用于检测食物余量,DHT11环境温湿度传感器用于监测环境条件,水位传感器用于检测水位。
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1269
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
vpp编程
学而思之的博客
02-01 1977
vpp编程与部分编译问题vppinfravec.hbitmap.hpool.hheap.hbihash.hformat.helog.hvlibvlib nodepluginsvlib buffersvpp-pc编译问题 vppinfra vec.h 向量是一个带有一些原数据自动调整大小的C数组:参数:类型T,头部大小,元素对齐。 内存分配只会增加。 矢量原点指针可能改变! 存储索引(不是指针)! bitmap.h 操作和获取位图信息,可以根据需要分配任意bit的位图。 pool.h 固定大小的内存分配,
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 892
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
查看某个程序都调用哪些API函数
07-27
用于查看某个程序都调用了哪些API函数,以此来了解某个程序的功能是如何实现的,可查看函数名称和库名,支持拖放操作
GDI+函数说明
03-14
GDI函数用法说明。
Win32 SDK API函数 查询帮助文档
07-22
方便写SDK程序的同志们除了能够在MSDN上在线查询外,也可以在本地上根据这个查询帮助文档查询需要的API函数
2021.04.26】API函数调用过程(Ring3进Ring0):上
oalken的博客
04-26 640
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
文档化ring3 api列举驱动列表 --- 做了一些重构。(解决内存泄漏问题)
weixin_30535843的博客
12-08 137
https://bbs.pediy.com/thread-77339.htm 参考资料 直接源码 , 基于 C C++ 。代码检测枚举 查找 驱动 列表 //.h #pragma once#include "stdafx.h" //MFC , 可以删。#define MAXNUM 255#define UNICODE // to support chinese#include &lt...
Ring3 Hook API
weixin_33721427的博客
06-12 83
 hook  计算机里面一般是指 挂钩某函数, 就是替换掉原来的函数。inline hook ,  是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。                这是相对普通的hook来说,因为普通的hook只是修改函数调用地址,而不是在原来的函数体里面做修改。一般来说 普通的hook比较稳定使用。 inline hook 更加高级一点,一般也跟难...
windows xp sp3 系统gdi32.dll所有导出的API函数列表大全(整理在此,方便查阅,学习)
关注互联网安全的小虾米一枚
03-13 7486
gdi32.dll是Windows GDI图形用户界面相关程序,包含的函数用来绘制图像和显示文 ordinal hint RVA name 1 0 00034CD2 AbortDoc 2 1 00036009 AbortPath 3 2 0002F7D5 AddFontMemResourceEx
看看我最关心的动态库中到底有多少函数 - gdi32.dll
weixin_33933118的博客
03-11 227
获取方法: 运行: tdump.exe C:\windows\system32\gdi32.dll c:\temp\gdi32.txt AbortDoc AbortPath AddFontMemResourceEx AddFontResourceA AddFontResourceExA AddFontResourceExW AddFontResourceTracking ...
编程小技巧:使用GDI32函数安装字体,以及.NET中的方法
ssdjmcj8048的专栏
04-19 986
我们日常安装字体都是直接拷贝字体文件到windows/fonts目录中,但是在程序中通过拷贝的方式安装,或有这样那样的问题。我们可以使用GDI函数安装,这个函数就是int AddFontResource(LPCTSTR fileName),在GDI32.dll中。很有意思.NET程序当然可以调用这个非托管函数安装字体,但是.NET Framework中提供一个很有意思的类:PrivateF
Vue.js中使用axios调用API接口教程
"本文主要探讨了在Vue.js项目中如何使用axios库来调用后台API接口。Vue.js是一个轻量级的渐进式框架,专注于视图层,而axios则是一个基于Promise的HTTP客户端,适用于浏览器和Node.js环境。通过axios,我们可以方便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值