【2021.04.26】API函数的调用过程(Ring3进Ring0):下

最新推荐文章于 2021-09-25 10:58:15 发布
最新推荐文章于 2021-09-25 10:58:15 发布
阅读量454 收藏 4
点赞数 2
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/116170294
版权

内容回顾

在前文讲到,如果CPU支持sysenter/sysexit指令,那么API调用时,会通过sysenter指令进入0环,如果不支持sysenter指令,就会通过中断门进入0环。

默认的中断号:0x2E(IDT表)。

INT 0x2E进Ring0

  1. 在IDT表中找到0x2E号的门描述符。
  2. 分析CS/SS/ESP/EIP的来源。
  3. 分析EIP是什么。

首先来看一下IDT表:

当通过中断门进入0环的时候,对应的就是 804dee00`0008f631,它具体对应哪个门呢?IDT存储了3种门,中断门、任务门、陷阱门。

804dee00`0008f631,通过ee可以得知,它是中断门。(如果不知道请参考前面保护模式相关的文章:中断门)

804dee00`0008f631,0008提供CS。

804dee00`0008f631,最高的2字节加上最低的2字节,拼出来的就是EIP。也就是进入0环后要执行的代码在哪里。

那么,SS和ESP是哪里来的的?是由TSS提供的。(如果不知道请参考前面保护模式相关的文章:TSS)

当通过中断门进入0环,代码是从哪里开始执行的?

当通过中断门进入0环的时候是804dee00`0008f631标红的四个字节(804df631)。

使用指令u,可以对地址进行反汇编:

注意观察,当通过中断门进入0环以后,要执行的函数叫做:KiSystemService,该函数不再是ntdll模块,而是真正的内核模块

也就是说,通过中断门进入0环的时候,对应的函数就是内核模块中的一个叫做 KiSystemService 的函数。

通过中断门,现在知道了怎么进入0环,替换哪些寄存器,并且进入0环以后从哪个函数开始执行。

Sysenter进Ring0

在执行sysenter指令之前,操作系统必须指定0环的CS段、SS段、EIP以及ESP。

MSR地址
IA32_SYSENTER_CS174H
IA32_SYSENTER_ESP175H
IA32_SYSENTER_EIP176H

也就是有3个值已经存储在MSR寄存器中了,但是还差一个SS,而SS并没有存到该寄存器中,而是计算出来的:CS + 8 = SS的段选择子。

可以通过 RDMSR/WRMST 来进行读写(操作系统使用WRMST写该寄存器):

kd> rdmsr 174 //查看CS

kd> rdmsr 175 //查看ESP

kd> rdmsr 176 //查看EIP

参考:Intel白皮书第二卷(搜索sysenter)

查看EIP反汇编可以知道,当通过sysenter进入0环后,执行的函数是KiFastCallEntry()。它也是内核模块的函数。

与中断门进入0环的函数是不一样的。

总结

  • API通过中断门进入0环:
  1. 固定中断号为:0x2E。
  2. CS、EIP由门描述符提供,ESP、SS由TSS提供。
  3. 进入0环后执行的内核函数:NT!KiSystemService()
  • API通过sysenter指令进入0环:
  1. CS、ESP、EIP由MSR寄存器提供(SS是计算出来的:CS + 8 = SS的段选择子)。
  2. 进入0环后执行的内核函数:NT!KiFastCallEntry()
  • 内核模块:ntoskrnl.exe/ntkrnlpa.exe。
  • 内核模块路径:C:\WINDOWS\System32
  • 具体使用哪个取决于系统启动时的分页模式,ntoskrnl.exe(10-10-12分页)、ntkrnlpa.exe(2-9-9-12分页)。

练习

  1. 实现通过中断门直接调用内核函数。
  2. 通过IDA打开内核模块(具体打开哪个取决于操作系统启动时的分页模式),并找到KiSystemService()KiFastCallEntry()函数,然后进行分析。
  1. 进入0环后,原来的寄存器存在哪里?
  2. 如何根据系统调用号(EAX寄存器中储存)找到要执行的内核函数?
  3. 调用时的参数是储存到3环的堆栈,如何传递给内核函数?
  4. 2种调用方式入口(KiSystemService()KiFastCallEntry())是不一样的,它们是如何返回到3环的?
oalken
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ring0ring3
03-06
ring0下众生程序平等。程序转移分为两: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。例如:windows ring3下cs是0x1b , ring0下cs通常是0x08.。 对于近转移,我们不需要行特权级检查。由于windows是保护模式的操作系统,对于远转移如果跨层则需要行特权级检查,看是否允许其调用
Windows内核-3环0环
qq_40712959的博客
12-07 1496
Windows API主要存放在C:\WINDOWS\system32下 Kennel32.dll:最核心功能模块,如管理内存、程和线程相关的函数 User32.dll:Windows用户界面相关应用程序接口,如创建窗口和发送消息等 GDI32.dll:全称Graphical Device Interface(图形设备接口)包含用于画图和显示文本的函数,比如要显示一个程序窗口,就调用其中的函数来...
浅谈NT下Ring3无驱Ring0的方法
ken的专栏
11-15 807
<br />浅谈NT下Ring3无驱Ring0的方法<br />关键字:NT,Ring0,无驱<br /> <br />(测试环境:Windows 2000 SP4,Windows XP SP2.<br />Windows 2003 未测试)<br /> <br />在NT下无驱Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在<br />[原创/探讨]Windows 核心编程研究系列之一(改变程 PTE)<br />的帖子中自己没有实验成功(其实已经成功了
红蓝对抗----Ring3Ring0系统调用过程上(Ring3篇)
SHELLCODE_8BIT的博客
09-25 919
这篇文章我们将研究CreateFile是如何从Ring3Ring0,其中经过了哪些模块,而这些模块又是通过什么技术关联起来的。通过这一篇文章的学习,我们可以更好的了解操作系统内部的调用原理,更能帮助我们深入理解操作系统的各组件的相互调用关系。 为什么学? 如果你想在操作系统上达成以下事情,那么学习这篇文章就是你最好的选择。或者你有下列想法,那么通过举一反三,也是可以做到的。 1.做Hook。Hook可以做的事情非常多,账密拦截,HTTPS拦截。 2.研究和挖掘系统级别漏洞。 3.Rootkit研究
Ring3转入Ring0跟踪
曾是土木人
06-26 2990
通过反汇编跟踪一个API函数Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。 我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码: CALL DWORD PTR DS:[>; ntdll.ZwCreateFile 也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtC
windows64位ring0 api hook.zip
12-24
windows64位ring0 api hook.zip C语言难,VC++更难,而写ring0驱动更是难上加难 咱们写个sys驱动文件,其功能是hook勾驱动层api函数调用
ring3-kit:使用NT API挂钩从任务管理器隐藏程(NtQuerySystemInformation)
05-27
ring3-kit 使用NT挂钩(NtQuerySystemInformation)从任务管理器中隐藏程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏...
[ring3反作弊篇] VC++基于EBP遍历调用栈及模块名
03-23
[ring3反作弊篇] 基于EBP遍历调用栈及模块名 注意:这是一份C++ Ring3 入门级的反作弊示例代码,基于函数调用栈的检测
Delphi使用Ring0技术读写物理扇区.rar
07-10
Delphi基于Ring0技术读写Windows系统下的硬盘物理扇区,磁盘读写操作一例,包括了VxD和仿CIH两方法,VxD方法中还包括了所调用控件的VC 源代码,并且包括了一个测试的例子,运行效果如演示截图所示。相关的源代码...
Inline Hook(ring3)的简单C++实现方法
12-31
C++的Inline Hook代码,采用了备份dll的方法,因此在自定义的函数中可以直接调用在内存中备份的dll代码,而不需要把函数头部改来改去。用SetWindowsHookEx程序的稳定性应该会增加许多。 需要注意的是,例子中没有把...
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
01-25
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
intel开发手册卷(全5卷)
06-25
intel开发手册(全5卷): 英特尔®64和IA-32架构软件开发人员的’手册卷,基本体系结构 英特尔®64和IA-32架构软件开发人员的’手册卷2A,指令集参考,A-M 英特尔®64和IA-32架构软件开发人员的’手册卷2B,指令集参考,N-Z 英特尔®64和IA-32架构软件开发人员的’手册卷3A,系统编程指南部分1 英特尔®64和IA-32架构软件开发人员的’手册卷3A,系统编程指南部分2
intel白皮书全卷.7z
03-21
英文 英特尔® 64 位和 IA-32 架构开发人员手册 全卷 asd
intel白皮书1-4卷
06-04
原版intel白皮书,第一卷,第二卷,第三卷,第四卷。全英文的自己看吧
Intel 白皮书 第2卷 .7z
06-13
Intel 白皮书 第2卷 .7z
【原创】rootkit ring3ring0之门系列[二] -- 中断门
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 2036
标 题: 【原创】rootkit ring3ring0之门系列[二] -- 中断门 作 者: combojiang 时 间: 2008-04-01,16:31:08 链 接: http://bbs.pediy.com/showthread.php?t=62336 接上篇续,我们继续谈谈386保护模式中的门,今天一起学习下中断门。 386实模式下的中断和异常的转移方法与8086相
2.API调用过程(3环0环)
My classmates
10-16 1538
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0环与3环共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
驱动开发入门——NTModel
Masimaro的专栏
10-07 3907
上一篇博文中主要说明了驱动开发中基本的数据类型,认识这些数据类型算是驱动开发中的入门吧,这次主要说明驱动开发中最基本的模型——NTModel。介绍这个模型首先要了解R3层是如何通过应用层API入到内核,内核又是如何将信息返回给R3,另外会介绍R3是如何直接向R0层下命令。API调用的基本流程一般在某些平台上行程序开发,都需要使用系统提供的统一接口,linux平台直接提供系统调用,而windows
STM32在TCP通信中的接收回调函数调用ringbuffer
最新发布
06-03
以下是一个示例代码,演示了如何在接收回调函数调用ringbuffer: ```c #include "ringbuffer.h" #define BUFFER_SIZE 1024 // 定义ringbuffer RingBuffer_t ringBuffer; uint8_t buffer[BUFFER_SIZE]; // 定义...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值