windows x86系统调用(一)

最新推荐文章于 2024-07-13 21:16:00 发布
最新推荐文章于 2024-07-13 21:16:00 发布
阅读量822 收藏 20
点赞数 12
分类专栏: windows x86内核 文章标签: windows c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38808693/article/details/135926195
版权

目录

一、前言

windows和linux这样的现代化操作系统,都是是运行在保护模式下,在保护模式下CPU分为了特权级权限和用户级权限,操作系统根据CPU提供的不同权限将系统分为了内核态和用户态,用户态是不允许直接访问内核态的内存的,那就说明了用户态就不能直接调用内核态提供的函数的,那就引出了本片文章的主题用户态如何调用内核态的函数。
由于系统调用流程比较复杂,涉及内容比较多暂时打算将该内容分为三篇给大家分享,当前篇主要分享用户态进入内核态前的工作。

二、环境

调试机器:windows10
调试工具:windbg、x32dbg
被调试机器:windows 7 sp1 x86

三、词汇说明

由于网上很多使用的是非标准名称,而是使用了一些行业中的名词有些新手恐怕不太明白,我将该文章中使用的行业名词进行说明,方便大家理解。
3环:在windows中泛指用户态。
0环:在windows中泛指内核态。
领空:当前代码执行在什么库中,比如调用ntdll.dll中的函数,并且正在该函数中执行,那么当前的领空就是ntdll.dll。该名称一般用于在动态分析中。

四、调用流程

4.1 调用系统代码

编写一个需要调用0环代码,当前我使用的是OpenProcess来进行跟踪3环的执行流程,大家可以选择其他的函数只要这个函数最终要调用0环都可以。

#include <Windows.h>

int main()
{
	__asm int 3;
	OpenProcess(0, 0, 0);
}

4.2 调用过程

4.2.1 kernel32.dll

在这里插入图片描述
调用OpenProcess最先进入的Kernel32.dll的代码领空,并且在该函数中什么都没有做就跳转了一下。

4.2.2 kernelbase.dll

在这里插入图片描述
当前领空为kernelbase.dll,说明当前执行到了kernelbase.dll中的OpenProces函数,在这个函数的关键点是绿色箭头指向的Call,调用了一个名字为NtOpenProcess的函数。使用蓝色框起来的那些指令的作用就是构建调用NtOpenProcess函数的参数,不是该文章的主线就不进行分析了。

4.2.3 ntdll.dll

在这里插入图片描述
当前领空为ntdll.dll,说明了kernelbase.dll调用的NtOpenProcess函数是ntdll.dll中的函数,这个函数就需要分析一下了。

  • mov eax,BE 将一个立即数存入到eax中。
  • mov edx,7ffe0300 将一个立即数存入到edx中。注意调试将7ffe0300翻译成了KiFastSystemCall.
  • mov dword ptr ds:[edx] 使用call调用了一下这个立即数。
    在这里插入图片描述
    当前领空为ntdll.dll,说明在NtOpenProcess函数中的call又调用了ntdll中的KiFastSystemCall.
调用号

这里又引入了一个概念 调用号 ,其实在上面代码中eax存入是0环NtOpenProcess的调用号,当前大家就先知道它是调用号就可以了,下一篇文章将会说明它的作用。

_KUSER_SHARED_DATA结构
//0x5f0 bytes (sizeof)
struct _KUSER_SHARED_DATA
{
    ULONG TickCountLowDeprecated;                                           //0x0
    ULONG TickCountMultiplier;                                              //0x4
    volatile struct _KSYSTEM_TIME InterruptTime;                            //0x8
    volatile struct _KSYSTEM_TIME SystemTime;                               //0x14
    volatile struct _KSYSTEM_TIME TimeZoneBias;                             //0x20
    USHORT ImageNumberLow;                                                  //0x2c
    USHORT ImageNumberHigh;                                                 //0x2e
    WCHAR NtSystemRoot[260];                                                //0x30
    ULONG MaxStackTraceDepth;                                               //0x238
    ULONG CryptoExponent;                                                   //0x23c
    ULONG TimeZoneId;                                                       //0x240
    ULONG LargePageMinimum;                                                 //0x244
    ULONG Reserved2[7];                                                     //0x248
    enum _NT_PRODUCT_TYPE NtProductType;                                    //0x264
    UCHAR ProductTypeIsValid;                                               //0x268
    ULONG NtMajorVersion;                                                   //0x26c
    ULONG NtMinorVersion;                                                   //0x270
    UCHAR ProcessorFeatures[64];                                            //0x274
    ULONG Reserved1;                                                        //0x2b4
    ULONG Reserved3;                                                        //0x2b8
    volatile ULONG TimeSlip;                                                //0x2bc
    enum _ALTERNATIVE_ARCHITECTURE_TYPE AlternativeArchitecture;            //0x2c0
    ULONG AltArchitecturePad[1];                                            //0x2c4
    union _LARGE_INTEGER SystemExpirationDate;                              //0x2c8
    ULONG SuiteMask;                                                        //0x2d0
    UCHAR KdDebuggerEnabled;                                                //0x2d4
    UCHAR NXSupportPolicy;                                                  //0x2d5
    volatile ULONG ActiveConsoleId;                                         //0x2d8
    volatile ULONG DismountCount;                                           //0x2dc
    ULONG ComPlusPackage;                                                   //0x2e0
    ULONG LastSystemRITEventTickCount;                                      //0x2e4
    ULONG NumberOfPhysicalPages;                                            //0x2e8
    UCHAR SafeBootMode;                                                     //0x2ec
    union
    {
        UCHAR TscQpcData;                                                   //0x2ed
        struct
        {
            UCHAR TscQpcEnabled:1;                                          //0x2ed
            UCHAR TscQpcSpareFlag:1;                                        //0x2ed
            UCHAR TscQpcShift:6;                                            //0x2ed
        };
    };
    UCHAR TscQpcPad[2];                                                     //0x2ee
    union
    {
        ULONG SharedDataFlags;                                              //0x2f0
        struct
        {
            ULONG DbgErrorPortPresent:1;                                    //0x2f0
            ULONG DbgElevationEnabled:1;                                    //0x2f0
            ULONG DbgVirtEnabled:1;                                         //0x2f0
            ULONG DbgInstallerDetectEnabled:1;                              //0x2f0
            ULONG DbgSystemDllRelocated:1;                                  //0x2f0
            ULONG DbgDynProcessorEnabled:1;                                 //0x2f0
            ULONG DbgSEHValidationEnabled:1;                                //0x2f0
            ULONG SpareBits:25;                                             //0x2f0
        };
    };
    ULONG DataFlagsPad[1];                                                  //0x2f4
    ULONGLONG TestRetInstruction;                                           //0x2f8
    ULONG SystemCall;                                                       //0x300
    ULONG SystemCallReturn;                                                 //0x304
    ULONGLONG SystemCallPad[3];                                             //0x308
    union
    {
        volatile struct _KSYSTEM_TIME TickCount;                            //0x320
        volatile ULONGLONG TickCountQuad;                                   //0x320
        ULONG ReservedTickCountOverlay[3];                                  //0x320
    };
    ULONG TickCountPad[1];                                                  //0x32c
    ULONG Cookie;                                                           //0x330
    ULONG CookiePad[1];                                                     //0x334
    LONGLONG ConsoleSessionForegroundProcessId;                             //0x338
    ULONG Wow64SharedInformation[16];                                       //0x340
    USHORT UserModeGlobalLogger[16];                                        //0x380
    ULONG ImageFileExecutionOptions;                                        //0x3a0
    ULONG LangGenerationCount;                                              //0x3a4
    ULONGLONG Reserved5;                                                    //0x3a8
    volatile ULONGLONG InterruptTimeBias;                                   //0x3b0
    volatile ULONGLONG TscQpcBias;                                          //0x3b8
    volatile ULONG ActiveProcessorCount;                                    //0x3c0
    volatile USHORT ActiveGroupCount;                                       //0x3c4
    USHORT Reserved4;                                                       //0x3c6
    volatile ULONG AitSamplingValue;                                        //0x3c8
    volatile ULONG AppCompatFlag;                                           //0x3cc
    ULONGLONG SystemDllNativeRelocation;                                    //0x3d0
    ULONG SystemDllWowRelocation;                                           //0x3d8
    ULONG XStatePad[1];                                                     //0x3dc
    struct _XSTATE_CONFIGURATION XState;                                    //0x3e0
};

在上述代码中将一个立即数存入到了edx中,其实是将_KUSER_SHARED_DATA结构的SystemCall存入到了edx中,该结构是0环和3环共用的,0环有修改权限而3环只有只读权限,而且这个结构是地址是固定3环在7ffe0000这个位置。
有的朋友会好奇为什么需要将函数地址存储到一个结构中而不直接写到代码中呢?这里就引出一个一个兼容的问题当前分析的流程是使用sysenter进行进入0环的,但是存在一些CPU是不支持这种快速调用就使用了中断的方式进入的0环,在windodws启动的时候会去检查当前CPU是否支持sysenter这种指令来确定该结构中的值。

sysenter指令说明

该指针负责将3环权限提示为0环权限,我们需要知道提权需要执行以下操作:

  • 将cs修改为0环权限
  • 将ss修改为0环权限

sysenter执行流程:

  1. 将msr寄存器的174位存入到cs中
  2. 将msr寄存器的176位存入到eip中
  3. 将cs寄存器的GDT表项加8的位置存入到ss中
  4. 将msr寄存器的175位存入到esp中
  5. 清除eflags寄存器的IF位

五、总结

5.1 调用流程

3环的调用流程相对比较简单,就是构建了以下0环函数需要使用的参数,然后就进入了0环了。

Created with Raphaël 2.3.0 开始 kernel32.dll:OpenProcess kernelbase.dll:OpenProcess ntdll.dll:NtOpenProcess ntdll.dll:KiFastSystemCall 进入0环

5.2 环境

最后需要记录以下三环进入0环的环境状态,我将比较重要的环境进行列出方便进入0环后的分析。

5.2.1 寄存器

  • eax:当前存入的是BE
  • edx:当前存入的是三环的ESP

5.2.2 堆栈

在这里插入图片描述

火锅棋手
关注
  • 12
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windows x86系统调用(二)
qq_38808693的博客
02-01 675
在本章的中分析函数在调用ssdt之前的步骤,这些步骤中主要是保存了3环的环境并且将执行环境切换到0环。
操作系统的学习笔记(二)x86操作系统接口和系统调用
weixin_43470170的博客
10-27 371
x86操作系统接口和系统调用
抛弃历史兼容对于Windows和X86而言是一项困难的挑战。
linlaoshi2009的博客
04-24 349
点个关注在评论区回复“888”之后私信回复“888”,全部无偿共享给大家!微软、英特尔和AMD如果能够放弃固有的历史包袱,它们都可以获得明显的提升,但具体提升的幅度难以衡量。相比苹果在自己的生态圈中有着几乎完全控制的优势,Windows和X86阵营比较开放,尽管微软和英特尔是主导者,但他们很难约束软件开发商去更新老软件,适配新的平台。不过,X86处理器内部执行的指令并不是X86指令,而是被解码成其他内部指令,因此抛弃历史兼容可能对性能提升的效果并不明显,节省的效果也比较有限。
Linux 系统调用的实现(x86_64)
hzj_001的博客
01-15 1821
系统调用从用户态到内核全流程解析
阅读笔记:x86系统调用入门
新博客请访问- http://oliveryang.net
07-07 7515
阅读笔记:x86系统调用入门原作者: Russ Blaine原文来自: http://blogs.sun.com/roller/page/rab译注者: BadcoffeeEmail: blog.oliver@gmail.comBlog: http://blog.csdn.net/yayong2005年7月按:要开始学习像操作系统这样复杂的东东是一个令人头痛的问题。为了帮助新学者理清头绪,这里我们
Linux系统调用的实现机制分析
热门推荐
yhf19881015的专栏
05-15 1万+
转载自:http://blog.csdn.net/sailor_8318/archive/2008/09/10/2906968.aspx 1       系统调用意义 linux内核中设置了一组用于实现系统功能的子程序,称为系统调用系统调用和普通库函数调用非常相似,只是系统调用由操作系统核心提供,运行于核心态,而普通的函数调用由函数库或用户自己提供,运行于用户态。   一
X86汇编系统调用
huangbx_tx的博客
05-01 1088
汇编系统调用
Windows x86/ x64 Ring3层注入Dll总结
09-30
Windows x86/x64 Ring3层注入Dll总结】 在Windows操作系统中,Ring3层指的是用户模式,这是应用程序运行的层次。Dll注入是一种技术,它允许一个进程将自己的代码(通常是一个动态链接库,Dll)注入到另一个进程中...
Qt5.15.8-Windows-x86-VS2017
02-21
这个版本特别针对Windows操作系统进行了优化,适用于32位(x86)架构。 在Windows平台上,Qt5.15.8与Visual Studio 2017的集成意味着开发者可以利用微软强大的IDE(集成开发环境)进行Qt应用程序的开发。Visual ...
Debugging Tools for Windows (x86)windows分析工具
09-14
为了有效地诊断和解决这些问题,微软提供了一套强大的调试工具——Debugging Tools for Windows (x86),这是一款专为系统报错分析而设计的专业工具。本文将深入探讨该工具的功能、用途以及如何使用它来解析日志和...
cmake-3.26.4-windows-x86-64
05-26
标题“cmake-3.26.4-windows-x86-64”指的是CMake工具的一个特定版本,即3.26.4,该版本是为Windows 64位操作系统设计的。CMake是一个跨平台的开源自动化构建系统,它用于管理软件构建过程,能够生成针对不同编译器...
WindTerm-Windows-x86-64
04-17
WindTerm是一款专为Windows x86-64平台设计的强大SSH客户端软件,它以其高效、易用和免费的特点,深受广大IT专业人士喜爱。SSH(Secure Shell)是一种网络协议,用于在不安全的网络环境中提供安全的远程登录和其他...
x86_64汇编之六:系统调用(system call)
qq_29328443的博客
07-10 5977
本文将主要讲述如何在汇编语言代码中调用Linux的系统调用。 一、32位系统系统调用 在32位x86 Linux系统中,可用的系统调用定义在/usr/include/asm/unistd_32.h头文件中。 每个系统调用都对应一个编号 以及 若干个参数。如果想使用汇编语言调用系统调用,那么在调用之前,需要将系统调用编号存到%eax,将参数依次存到%ebx, %ecx, %edx, %esi, %edi, %ebp中,然后再执行int $0x80指令即可。 每个系统调用的编号和参数列表可以参考:https:
Linux X86 系统调用列表 system call table 32 bits and 64 bits
benben2301的专栏
09-11 4977
yuan # # 32-bit system call numbers and entry vectors # # The format is: # # # The abi is always "i386" for this file. # 0 i386 restart_syscall sys_restart_syscall 1 i386 exit sys_exit 2 i386
Linux 中 x86 系统调用的实现原理
m0_47696151的博客
07-01 631
1. 将中断号与系统调用函数绑定 系统调用函数 (system_call) 是系统调用的总入口,将其与中断号 0x80绑定。 arch/x86/kernel/traps.c #define SYSCALL_VECTOR 0x80 set_system_trap_gate(SYSCALL_VECTOR, &system_call); 2. 系统调用函数的实现 该中断,由于需要从用户态栈切换到内核态栈,需要栈切换,因此CPU会将用户态的栈相关的参数(oldss, oldesp)压栈,再调用system
操作系统实验——增加系统调用(详细图文解释)
fish的专栏
04-02 8675
Linux新增系统调用,详细的图文教程
linux平台学x86汇编(十七):在汇编中使用linux系统调用
程序猿的挨踢人生
05-10 3619
【版权声明:尊重原创,转载请保留出处:blog.csdn.net/shallnet,文章仅供学习交流,请勿用于商业用途】         在前面章节我们已经看到,启动系统调用需要使用INT指令。linux系统调用位于中断0x80,执行INT指令时,所有操作转移到内核中的系统调用处理程序,完成后执行转移到INT指令之后的下一条指令。         linux的系统调用在如下文件(3
java 中钻石操作符 <> 的使用场景
qq_27390023的博客
07-10 408
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
Java基础(十九):集合框架
最新发布
java开发
07-13 815
Set接口是Collection的子接口,Set接口相较于Collection接口没有提供额外的方法Set 集合不允许包含相同的元素,如果试把两个相同的元素加入同一个 Set 集合中,则添加操作失败Set集合支持的遍历方式和Collection集合一样:foreach和IteratorSet的常用实现类有:HashSet、TreeSet、LinkedHashSetHashSet 是 Set 接口的主要实现类,大多数时候使用 Set 集合时都使用这个实现类。
OSlab2 添加系统调用1
08-03
在`arch/x86/syscalls/syscall_64.tbl`(对于64位系统)或`arch/x86/syscalls/syscall_32.tbl`(对于32位系统)中,需要添加新的行,将系统调用号与新的系统调用函数关联起来。 4. **修改内核代码**:根据实验需求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值