API函数调用过程(3环进0环)

最新推荐文章于 2021-06-23 13:32:48 发布
最新推荐文章于 2021-06-23 13:32:48 发布
阅读量432 收藏
点赞数
分类专栏: # 函数调用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/89919785
版权

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
3环进0环需要换 CS EIP SS ESP
在中断方式时,CS和EIP在中断门描述符里面,SS和ESP在TSS里面

CPU不支持快速调用时使用中断进0环

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
Sysenter:
通过MSR寄存器获得CS ESP EIP 的值,(CPU计算这个值)SS的值等于CS+8 ,所以cs=0x8 时,ss=0x10

加粗样式

进内核的两条路线

中断方式路线:通过_KUSER_SHARED_DATA +0x300 ->KiIntSystemCall ->int 2E 通过中断门找到中断处理程序地址->KiSystemService

快速调用方式路线:通过_KUSER_SHARED_DATA +0x300 ->KiFastSystemCall ->sysenter(在MSR里面找CS SS ESP EIP)->KiFastCallEntry

练习

1:自己实现通过中断门直接调用内核函数。
2:通过IDA找到KiSystemService和KiFastCallEntry函数并分析
1)进0环后,原来的寄存器存在哪里?
保存在TRAP_FRAME里面
2)如何根据系统调用号(eax中存储)找到要执行的内核函数?

 add      edi, [esi+_KTHREAD.ServiceTable] ; edi=服务表  SSDT 或者shadow ssdt
 mov     ebx, [edi+eax*4]

3)调用时参数是存储到3环的堆栈,如何传递给内核函数?
把参数复制到0环

    mov     ebx, [edi+eax*4] ; ebx=要调用的函数地址
    sub     esp, ecx        ; 提升栈顶 用来复制参数
    shr     ecx, 2          ; cl/4 才是真正的参数个数
    mov     edi, esp
    rep movsd               ; 由ESI复制到EDI  次数为 ecx

4)2中调用方式是如何返回到3环的?

qq_857305819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.API调用过程(3环进0
My classmates
10-16 1558
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0与3共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
系统调用 1.API函数的调用过程(3环进0)
Mikasys的博客
11-02 882
1.API函数的调用过程(3环进0) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
API函数调用过程(三部分)
H888001的博客
09-24 407
1.Windows API 主要是存放在c:\WINDOWS\system32下面所有的dll 2.几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数 User32.dll:是Windows用户界面相关应用诚信接口,如创建窗口和发送消息等。 GDI32.dll:全称是Graphical Device Interface(图形设备接口),包含...
【2021.04.25】API函数的调用过程(Ring3)
oalken的博客
04-25 264
WindowsAPI Application Programming Interface,简称API函数。 Windows有多少个API?主要是存放在 C:\WINDOWS\System32 文件夹下所有的dll。 几个重要的DLL如下: Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等。 User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等。 GDI32.dll:全称是Graphical Device Interface(图形设备
【2021.04.27】API函数的调用过程(保存现场)
oalken的博客
04-27 721
内容回顾 前文提到了API进入0以后会调用的函数:KiSystemService()、KiFastCallEntry()。 前文的练习 进入0后,原来的寄存器存在哪里? 如何根据系统调用号(EAX寄存器中储存)找到要执行的内核函数调用参数是储存到3堆栈,如何传递给内核函数? 2种调用方式入口(KiSystemService()、KiFastCallEntry())是不一样的,它们是如何返回到3的? 进入0后,原来的寄存器存在哪里?本文将以KiSystemService(
小程序云函数调用API接口的方法
01-03
本文实例为大家分享了小程序云函数调用API接口的具体代码,供大家参考,具体内容如下 以下例子是调用小程序官方的API,如何调用API来进行对内容的安全检测: 第一步:新建一个文件名为msgCheck的Node.js的云函数,...
Python ctypes tkinter 调用API函数,设计窗口控制工具
08-08
这是一个使用Python ctypes和tkinter模块设计, 用API函数管理电脑其他窗口的工具, 应用了ctypes模块调用API函数, tkinter库实现用户界面。 程序中,用户选择一个窗口,即可更改这个窗口的标题、边框样式、透明度等...
监视exe调用了哪些api函数的vc++源码
08-06
标题 "监视exe调用了哪些api函数的vc++源码" 提到的是一个关于使用VC++编程语言来实现监控可执行文件(exe)调用API函数的功能。这通常涉及到系统级别的编程,特别是Windows API钩子技术,用于跟踪系统调用。 在...
监视进程调用了哪些API的工具 显示函数调用顺序和次数,返回值
04-09
本文将深入探讨一种工具,该工具能够帮助我们监视进程对API调用,显示函数调用的顺序、次数以及返回值,这对于调试、性能分析以及安全检查至关重要。 首先,我们要理解API监视器的工作原理。这类工具通常会插入到...
Windows内核-3环进0
qq_40712959的博客
12-07 1555
Windows API主要存放在C:\WINDOWS\system32下 Kennel32.dll:最核心功能模块,如管理内存、进程和线程相关的函数 User32.dll:Windows用户界面相关应用程序接口,如创建窗口和发送消息等 GDI32.dll:全称Graphical Device Interface(图形设备接口)包含用于画图和显示文本的函数,比如要显示一个程序窗口,就调用其中的函数来...
查看某个程序都调用哪些API函数
07-27
用于查看某个程序都调用了哪些API函数,以此来了解某个程序的功能是如何实现的,可查看函数名称和库名,支持拖放操作
【2021.04.26】API函数的调用过程(Ring3进Ring0):上
oalken的博客
04-26 571
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
Windows系统调用学习笔记(二)—— 3环进0
qq_41988448的博客
10-30 2625
Windows系统调用学习笔记(二)—— 3环进0前言要点回顾基本概念_KUSER_SHARED_DATA0x7FFE0300实验:判断CPU是否支持快速调用第一步:修改EAX=1第二步:将当前汇编指令修改为cpuid第三步:清空ECX与EDX第四步:执行cpuid,观察结果第五步:观察EDX的SEP位(第11位)3环进0基本步骤中断门进0分析 KiIntSystemCall分析 INT 0...
计算机从3到0要学些什么,Windows系统调用API从3到0(下)
weixin_31759799的博客
06-23 247
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用API从3到0(下)这篇文章分为上下两篇,其中上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用与系统中断),来实现通过系统中断直接调用核函数。一、INT 0x2E进0.text : 77F070C0...
计算机从3到0要学些什么,Windows系统调用API从3到0(上)
weixin_28340315的博客
06-23 265
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用API从3到0(上)这篇文章分为上下两篇,其中上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用与系统中断),来实现通过系统中断直接调用核函数。一、结构体 _KUSER_SHARED_DATA该结构体看名字...
系统调用001 API从三环进过程
鬼手的博客
12-21 1666
文章目录前言逆向分析ReadProcessMemoryNtReadVirtualMemory_KUSER_SHARED_DATASystemCall通过int 0x2E中断门进入零通过sysenter快速调用进入零总结总结 前言 在三操作系统提供了各种API,这些API实际上只是一个暴露在三的接口,真正的功能实现部分,最终都是要进到零。 逆向分析ReadProcessMemory ###...
API函数的调用过程(三环进0
H888001的博客
09-24 680
kernel32.dll(ReadProcessMemory)只是简单调用了 ntdll.dll(NtReadProcessmemory) .text:7C92D9E0 public ZwReadVirtualMemory .text:7C92D9E0 ZwReadVirtualMemory proc near ; CODE XREF: Ld...
x265编码器 main 函数分析
小金牛来了
09-04 587
x265 d main函数api使用结构图
API函数的调用过程
挖树
01-14 2611
API函数的调用过程(ring3) Windows API Application Programing Interface (应用程序接口) 简称API函数 Windows 有多少个API? 主要是存放在C:\WINDOWS\system32下面所有的dll 几个重要的dll Kernel32.dll:最核心的功能模块,比如管理内存,进程和线程相关的函数等. User32.dll...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值