2、逆向分析KiFastCallEntry

最新推荐文章于 2024-06-30 15:14:06 发布
最新推荐文章于 2024-06-30 15:14:06 发布
阅读量314 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36947774/article/details/119021657
版权
本文详细介绍了sysenter指令在从Ring3权限级别调用到Ring0权限级别时的过程,包括sysenter指令执行的步骤以及在Ring0执行完毕后如何通过SYSEXIT返回Ring3。同时,提到了_KTRAP_FRAME结构用于保存线程上下文,KPCR作为CPU记录线程信息的结构体,以及TSS在3环到0环调用中的作用。
摘要由CSDN通过智能技术生成

sysenter指令做了那些事情

在 Ring3 的代码调用了 sysenter 指令之后,CPU 会做出如下的操作:

1. 将 SYSENTER_CS_MSR 的值装载到 cs 寄存器 174

2. 将 SYSENTER_EIP_MSR 的值装载到 eip 寄存器 176

3. 将 SYSENTER_CS_MSR 的值加 8(Ring0 的堆栈段描述符)装载到 ss 寄存器。

4. 将 SYSENTER_ESP_MSR 的值装载到 esp 寄存器 175

5. 将特权级切换到 Ring0

6. 如果 EFLAGS 寄存器的 VM 标志被置位,则清除该标志

7. 开始执行指定的 Ring0 代码

在 Ring0 代码执行完毕,调用 SYSEXIT 指令退回 Ring3 时,CPU 会做出如下操作:

1. 将 SYSENTER_CS_MSR 的值加 16(Ring3 的代码段描述符)装载到 cs 寄存器

2. 将寄存器 edx 的值装载到 eip 寄存器

3. 将 SYSENTER_CS_MSR 的值加 24(Ring3 的堆栈段描述符)装载到 ss 寄存器

4. 将寄存器 ecx 的值装载到 esp 寄存器

5. 将特权级切换到 Ring3

6. 继续执行 Ring3 的代码

dt _KTRAP_FRAME

相当于三环的CONTEXT「Context(上下文)」

函数从3环到0环时的保存现场
操作系统维护了一个结构 _KTRAP_FRAME ,在该结构里保存了一个线程3环的寄存器的值。每一个线程有一个该结构体

Trap Frame是指中断、自陷、异常进入内核后,在堆栈上形成的一种数据结构。用来存储三环的寄存器。

typedef struct _KTRAP_FRAME //Trap现场帧

{
   

  // ------------------这些是KiSystemService保存的---------------------------

    ULONG DbgEbp;

    ULONG DbgEip;
 
    ULONG DbgArgMark;

    ULONG DbgArgPointer;

    ULONG TempSegCs;

    ULONG TempEsp;

    ULONG Dr0;	//调试寄存器

    ULONG Dr1;

    ULONG Dr2;

    ULONG Dr3;

    ULONG Dr6;

    ULONG Dr7;

    ULONG SegGs;

    ULONG SegEs;

    ULONG SegDs;

    ULONG Edx;//xy 这个位置不是用来保存edx的,而是用来保存上个Trap帧,因为Trap帧是可以嵌套的

    ULONG Ecx; //中断和异常引起的自陷要保存eax,系统调用则不需保存ecx

    ULONG Eax;//中断和异常引起的自陷要保存eax,系统调用则不需保存eax

    ULONG PreviousPreviousMode;

    struct _EXCEPTION_REGISTRATION_RECORD FAR *ExceptionList;//上次seh链表的开头地址

    ULONG SegFs;

    ULONG Edi;

    ULONG Esi;

    ULONG Ebx;

	ULONG Ebp;

//----------------------------------------------------------------------------------------

ULONG ErrCode;//发生的不是中断,而是异常时,cpu还会自动在栈中压入对应的具体异常码在这儿

//-----------下面5个寄存器是由int 2e内部本身保存的或KiFastCallEntry模拟保存的现场---------

    ULONG Eip;

    ULONG SegCs;

    ULONG EFlags;

    ULONG HardwareEsp;

	ULONG HardwareSegSs;

//---------------以下用于用于保存V86模式的4个寄存器也是cpu自动压入的-------------------

    ULONG V86Es;

    ULONG V86Ds;

    ULONG V86Fs;

	ULONG V86Gs;

} KTRAP_FRAME, *PKTRAP_FRAME;

KPCR

1)KPCR结构体 CPU临时记录线程信息的一个结构体
2)KPCR中存储了CPU本身要用的一些重要数据:GDT,IDT以及一些线程相关的信息
3)KPCR CPU快速查找线程信息用的,自己在上面做不了什么事情。

FS寄存器的作用
FS寄存器在三环时,记录的是TEB结构的地址。
在0环时,记录的是KPCR的地址。

kd> dt _kpcr
nt!_KPCR
+0x000 NtTib : _NT_TIB
+0x01c SelfPcr :
最低0.47元/天 解锁文章
txPNDGMCSY
关注
逆向分析KiFastCallEntry
weixin_73368512的博客
12-03 183
个人的逆向分析KiFastCallEntry笔记
KiFastCallEntryHook
拉塞尔的博客
04-10 987
     先根据SSDTHook给SSDTTableBase下钩子(Hook掉NtSetEvent函数),然后通过调用ZwSetEvent函数进入FakeSetEvent函数,在FakeSetEvent函数中我们通过栈回溯(ebp+4)找到主调函数KiFastCallEntry的EIP(KiFastCallEntry函数Call NtXX函数指令的下一条指令处,被调函数执行完后主调函数会从EIP中...
KiFastCallEntry() 机制分析
无本之木
05-28 1183
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
寄存器 ESP EBP EIP
最新发布
禾木
06-30 351
栈顶指针, the current stack pointer。指令指针寄存器,也被称为程序计数器(PC)。存储即将执行的指令的内存地址。栈底指针,基地址指针。
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 452
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
KiFastCallEntry
Sunny_wwc的专栏
10-14 3089
<br /> PUBLIC _KiFastCallEntry<br />_KiFastCallEntry        proc<br /> <br />;此时:<br />;eax指向服务编号<br />;edx指向当前用户栈,edx+8为参数列表<br />;<br />; Sanitize the segment registers<br />;<br />        mov     ecx, KGDT_R3_DATA OR RPL_MASK    <br />        push    KG
2.逆向分析KiFastCallEntry(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 807
每个线程KTRAP_FRAME 一个ESP0 TSS一个核一个 如果只有一个核,那么TSS存的ESP0永远是正在运行的线程的堆栈
用户层下API的逆向分析及重构
hongduilanjun的博客
03-10 956
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
3.逆向分析KiSystemService(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 437
一、回顾 想要分析透彻,必须得了解之前的那些结构体(_KUSER_SHARED_DATA、_Trap_Frame、_KPCR、 _KTHREAD) 没看的同学先看一下之前的文章逆向分析ReadProcessMemory---->KiFastCallEntry 二、分析KiSystemService 由于上一篇分析KiFastCallEntry文章的难度更大,分析_KiSystemService的难度小一些,所以前面步骤省略,直接开始分析KiSystemService .text:00466481 _KiSy
inline hook KiFastCallEntry
Sunny_wwc的专栏
10-14 4545
#include "ntddk.h"#include "sysenterhook.h"#if DBG#define dprintf DbgPrint#else#define dprintf(x)#endif#define BYTE unsigned char #define MEM_TAG 'CQ'#define NT_DEVICE_NAME L"//Device//sysenterhook"#define DOS_DEVICE_NAME L"//DosDevices//sysenterhook"NTSTA
转30行Hook KiFastCallEntry
XboxMicro
02-19 863
膜拜一下 #include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("ROOTKIT: OnUnload called\n"); } __decl
KiFastCallEntry自己理解
whowho的专栏
07-19 868
#define KI_USER_SHARED_DATA         0xffdf0000 #define SharedUserData  ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)   KUSER_SHARED_DATA 结构区域在 User 和 Kernel 层地址分别为: User 层地址为:0x7ffe0000
_KiFastCallEntry静态分析
qq_41490873的博客
06-13 189
.text:0040689F _KiFastCallEntry proc near ; DATA XREF: _KiTrap01+71o .text:0040689F ; KiLoadFastSyscallMachineSpecificRegisters(x)+24o .text:0040...
函数栈&EIP、EBP、ESP寄存器的作用
南意的博客
10-22 4915
认识EIP、EBP、ESP
ESP 寄存器
duhaomin的专栏
10-25 3460
ESP 寄存器    http://hi.baidu.com/retrying/item/ac63fa10ff406501b88a1a7d EBP寄存器   在长期的编程和使用中,在程序员习惯中已经默认的给每个寄存器赋上了特殊的含义,比如:EAX一般用来做返回值,ECX用于记数等等。在win32的环境下EBP寄存器用与存放在进入call以后的ESP的值,便于退出的时候回复ESP的值,
常见的寄存器
热门推荐
u010783226的专栏
03-13 1万+
嵌入式硬件
esp寄存器 linux,Linux的中断和系统调用 & esp、eip等寄存器
weixin_36018183的博客
05-25 315
一共三篇中断一般分为三类:1、由计算机硬件异常或故障引起的中断,称为内部异常中断;2、由程序中执行了引起中断的指令而造成的中断,称为软中断(这也是和我们将要说明的系统调用相关的中断);3、由外部设备请求引起的中断,称为外部中断。简单来说,对中断的理解就是对一些特殊事情的处理。当发生软件中断时,其他所有的中断都可能发生并被处理;但当发生磁盘中断时,就只有时钟中断和机器错误中断能被处理了。用户态和核心...
寄存器EBP,ESP理解
MJ_Lee的博客
06-15 688
寄存器EBP,ESP理解 按调用约定__stdcall 调用函数test(int p1,int p2): 假设执行函数前堆栈指针ESP为NN 注意栈在内存中的生长方向是逆向 push p2 ;参数2入栈, ESP = NN - 4h push p1 ;参数1入栈, ESP = NN - 8h call test ;函数返回地址入......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值