Windows系统调用学习笔记(二)—— 3环进0环

最新推荐文章于 2023-05-06 10:57:34 发布
最新推荐文章于 2023-05-06 10:57:34 发布
阅读量2.5k 收藏 20
点赞数 3
分类专栏: x86内核 文章标签: Windows 系统调用 3环 0环
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/102825241
版权

Windows系统调用学习笔记(二)—— 3环进0环

要点回顾

上一篇我们分析了ReadProcessMemory这个函数的3环部分

  1. ReadProcessMemory函数存在于kernel32.dll
  2. 它并没有做什么,只是调用了另一个函数(NtReadVirtualMemory),然后设置了一些返回值
  3. NtReadVirtualMemory函数来自ntdll.dll
  4. NtReadVirtualMemory也没做什么,只是提供了一个编号(0BAh)和一个函数地址(7FFE0300h),然后进行了内核调用

本篇将弄清这个 函数地址(7FFE0300h) 是什么

基本概念

_KUSER_SHARED_DATA

  1. 在 User 层和 Kernel 层分别定义了一个 _KUSER_SHARED_DATA 结构区域,用于 User 层和 Kernel 层共享某些数据
  2. 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User层Kernel层地址分别为:
    User:0x7ffe0000
    Kernnel:0xffdf0000
    _KUSER_SHARED_DATA内存
    注意:虽然指向的是同一个物理页,但在User层是只读的,在Kernnel层是可写

0x7FFE0300

描述
当通过eax=1来执行cpuid指令时,处理器的特征信息被放在ecxedx寄存器中,其中edx包含了一个SEP位(11位),该位指明了当前处理器知否支持sysenter/sysexit指令

  • 支持
    ntdll.dll! KiFastSystemCall()
  • 不支持
    ntdll.dll! KiIntSystemCall()
实验:判断CPU是否支持快速调用
第一步:修改EAX=1

EAX=1

第二步:将当前汇编指令修改为cpuid

cpuid

第三步:清空ECX与EDX

清空ECX与EDX

第四步:执行cpuid,观察结果

执行cpuid

第五步:观察EDX的SEP位(第11位)

0xBFF = 二进制:1011 1111 1111

SEP=1,说明当前CPU支持 sysenter / sysexit 指令

3环进0环

基本步骤

  1. CS的权限由3变为0,意味着需要新的CS
  2. SS与CS的权限永远一致,需要新的SS
  3. 权限发生切换的时候,堆栈也一定会切换,需要新的ESP
  4. 进0环后会修改EIP

中断门进0环

分析 KiIntSystemCall

KiIntSystemCall
该函数函数只执行了两行代码

分析

  1. 第一行将参数的地址放入EDX
  2. 第二行调用了0x2e中断(所有的API进内核时,统一的中断号为0x2e)

注意:在执行KiIntSystemCall函数前,编号已被写入EAX

分析 INT 0x2E
第一步:在IDT表中找到0x2E号门描述符

0x2e门描述符
门描述符:804dee00`0008e7d1
指向地址:804de7d1

第二步:分析CS/SS/ESP/EIP的来源

CS:门描述符的段选择子部分(0008)
SS:从段选择子指向的TSS段描述符指向的TSS表中取出
ESP:从段选择子指向的TSS段描述符指向的TSS表中取出
EIP:804de7d1

第三步:查看门描述符指向的EIP

反汇编
nt表示当前函数为内核函数

快速调用进0环

快速调用

  1. 中断门进0环,需要的CSEIP在IDT表中,需要查内存(SS与ESP由TSS提供)
  2. CPU如果支持sysenter指令,操作系统会提前将CS/SS/ESP/EIP的值存储在MSR寄存器中,sysenter指令执行时,CPU会将MSR寄存器中的值直接写入相关寄存器,没有读内存的过程,所以叫快速调用,它们的本质是一样的
分析 KiFastSystemCall

KiFastSystemCall
该函数函数只执行了两行代码

分析

  1. 第一行将当前栈顶(esp)的值放入edx
  2. 第二行执行了sysenter指令

注意:在执行KiIntSystemCall函数前,编号已被写入EAX

分析 sysenter指令

注意

  1. 在执行sysenter指令之前,操作系统必须指定0环的CS段SS段EIP以及ESP
  2. 其中,CS段EIP以及ESP来自MSR寄存器
MSR寄存器

描述:MSR寄存器非常庞大,这里只列出三个值,详细信息参照Intel白皮书
MSR寄存器
可以通过RDMSR/WRMST来进行读写(操作系统使用WRMST写该寄存器):

  1. kd> rdmsr 174 //查看CS
  2. kd> rdmsr 175 //查看ESP
  3. kd> rdmsr 176 //查看EIP
    rdmsr
    查看EIP所在地址的反汇编
    EIP
    nt表示当前函数为内核函数

注意
4. 在执行sysenter指令时,只有CSESPEIP三个寄存器的值可从MSR寄存器中获得,其中并不包括SS!
5. SS= IA32_SYSENTER_CS + 8
6. 这些操作与操作系统无关,而是硬件(CPU)做的(详情参考Intel白皮书第二卷)

总结

API通过中断门进0环

  1. 固定中断号为0x2E
  2. CS/EIP由门描述符提供,ESP/SS由TSS提供
  3. 进入0环后执行的内核函数:NT!KiSystemService

API通过sysenter指令进0环

  1. CS/ESP/EIP由MSR寄存器提供(SS是算出来的)
  2. 进入0环后执行的内核函数:NT!KiFastCallEntry

内核模块

10-10-12分页:ntoskrnl.exe
2-9-9-12分页:ntkrnlpa.exe

练习

要求:通过IDA找到KiSystemServiceKiFastCallEntry函数并分析

问题:

  1. 进0环后,原来的寄存器存在哪里?
  2. 如何根据系统调用号(eax中存储)找到要执行的内核函数?
  3. 调用时参数是存储到3环的堆栈,如何传递给内核函数?
  4. 2种调用方式是如何返回到3环的?

答案:见下篇

lzyddf
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Android学习笔记——Menu介绍(二)
01-04
知识点: 这次将继续上一篇文章没有讲完的Menu的学习,上下文菜单(Context menu)和弹出菜单(Popup menu)。 上下文菜单 上下文菜单提供对UI界面上的特定项或上下文框架的操作,就如同Windows中右键菜单一样。 在Android中,有两种提供上下文操作的方式:一种是在浮动的上下文菜单(长按弹出)中,另一种是上下文操作模式里。 那么怎样创建一个浮动的上下文菜单(floating context menu)呢? 1.调用registerForContextMenu()方法为View注册上下文菜单。 2. 在Activity或Fragment中实现onCreateConte
Windows系统调用学习笔记(三)—— 保存现场
qq_41988448的博客
11-09 2128
Windows系统调用学习笔记(三)—— 保存现场前言要点回顾API入0调用的函数:基本概念Trap Frame结构线程相关的结构体ETHREADKTHREADCPU相关的结构体KPCR_NT_TIBKPRCB 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API入0调用的函数: 中断门 – KiSystemSe...
【2021.04.26】API函数的调用过程(Ring3Ring0):下
oalken的博客
04-26 462
内容回顾 在前文讲到,如果CPU支持sysenter/sysexit指令,那么API调用时,会通过sysenter指令入0,如果不支持sysenter指令,就会通过中断门入0。 默认的中断号:0x2E(IDT表)。 INT 0x2ERing0 在IDT表中找到0x2E号的门描述符。 分析CS/SS/ESP/EIP的来源。 分析EIP是什么。 首先来看一下IDT表: 当通过中断门入0的时候,对应的就是 804dee00`0008f631,它具体对应哪个门呢?IDT存储了3种门,
2.API的调用过程(30
My classmates
10-16 1542
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0与3共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
Windows 0和3通信方式
maomao171314的专栏
08-03 570
0与3通讯
系统调用001 API从三的过程
鬼手的博客
12-21 1601
文章目录前言逆向分析ReadProcessMemoryNtReadVirtualMemory_KUSER_SHARED_DATASystemCall通过int 0x2E中断门入零通过sysenter快速调用入零总结总结 前言 在三操作系统提供了各种API,这些API实际上只是一个暴露在三的接口,真正的功能实现部分,最终都是要到零。 逆向分析ReadProcessMemory ###...
系统调用 1.API函数的调用过程(30)
Mikasys的博客
11-02 849
1.API函数的调用过程(30) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、程和线程相关的函数等. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
Windows系统调用中API的3部分
dz45693的专栏
10-22 2656
一、R3API分析的重要性 Windows所提供给R3的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
API函数调用过程(30
qq_41490873的博客
05-07 418
CPU不支持快速调用时使用中断0
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 800
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
oracle学习文档 笔记 全面 深刻 详细 通俗易懂 doc word格式 清晰 连接字符串
05-06
oracle学习文档 笔记 全面 深刻 详细 通俗易懂 doc word格式 清晰 第一章 Oracle入门 一、 数据库概述 数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,它产生于距今五十年前。简单来说是本身可视...
silverlight 3 控件经典入门学习案例
03-15
11.强大的DataGrid组件[3]_数据交互之Linq to SQL——Silverlight学习笔记 12-13.强大的DataGrid组件[4]_实现CURD 14.强大的DataGrid组件[6]_调用存储过程服务端分页 15.强大的DataGrid组件[7]_自定义DataGrid ...
c#学习笔记.txt
12-15
c#学习笔记(1) 51099在线学习网发布 文章来源:网络收集 发布时间:2006-05-25 字体: [大 中 小] 51099在线学习网 http://www.51099.com 1, 结构(struct) 与 类(class) [attributes] [modifiers] struct ...
自己动手写操作系统(含源代码).part2
10-18
第三,实践类的操作系统书籍还是太少了,以至于你要想看看别人是怎么做的,除了读以《操作系统:设计与实现》为代表的极少数书籍之外,就是一头扎源代码中,而结果有时相当令人气馁。我自己也气馁过,所以我在第二...
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
qq_41988448的博客
11-11 2726
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API入0调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
x64 0与3通信
weixin_41725706的博客
11-07 221
流程示例: 鼠标点击窗口任意按钮—》由Windows封装成msg结构体----》给到应用程序窗口winpro—》得到对应的处理函数。3程序一般带有窗口,传递信息windows把msg结构体传送给3的窗口句柄,然后程序根据msg结构信息做出回应。0的驱动接收信息示例:使用windows定义的函数(如:CreateFileW,DeviceIoControl。)—》产生IRP结构体----》设备—》得到对应的处理函数。提示:对应的处理函数都是由用户自己定义。
汇编语言入门七:函数调用(一)
发展是曲折的但也是前进的
08-22 1316
想象 想象你在计算一个非常复杂的数学题,在算到一半的时候,你需要一个数据,而这个数据需要套用一个比较复杂的公式才能算出来,怎么办? 你不得不把手中的事情停下来,先去套公式、代入数值然后...最后,算出结果来了。 这时候你继续开始攻克这个困难题目的剩下部分。 用脑子想 刚刚说的这个过程,可能有点小问题,尤其是对脑子不太好使的人来说。想象你做题目做到一半的时候,记忆力已经
SystemServiceTable
qq_50242229的博客
05-06 154
SystemServiceTable,即系统服务表,它不是SSDT表由4部分组成,ServiceTable指向的是函数地址数组,每个成员四个字节;Count表示调用次数,没啥意义;ServiceLimit表示这张表有几个函数;ArgumentTable指向对应函数有几个字节参数,每个成员一个字节从图中可以看出,Windows提供了两张表:上面的表是用来处理一般内核函数的,下面这张表是用来处理与GUI相关的内核函数。
RDMSR--读MSR
热门推荐
misterliwei的专栏
07-15 1万+
RDMSR--读MSR RDMSR将64位由ECX寄存器指定的MSR(model specific register,模式指定寄存器)的内容读出至寄存器EDX:EAX中(在支持intel64架构的处理器中RCX的高32位忽略)。MSR的高32位内容存放在EDX寄存器中,MSR的低32位内容存放在EAX寄存器中(在支持intel64架构的处理器中RDX和RAX的高32位忽略)。如果MSR中没
Windows 驱动3无法使用0ExAllocatePool申请的内存
最新发布
06-11
Windows 操作系统中,ExAllocatePool 是一种用于在内核模式下分配内存的函数。这个函数可以在驱动程序的 Ring 0 中调用,申请内核模式下的内存。 如果一个驱动程序在 Ring 3 中调用 ExAllocatePool 函数,那么它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值