Windows系统调用学习笔记(二)—— 3环进0环

最新推荐文章于 2023-05-06 10:57:34 发布
最新推荐文章于 2023-05-06 10:57:34 发布
阅读量2.6k 收藏 21
点赞数 3
分类专栏: x86内核 文章标签: Windows 系统调用 3环 0环
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/102825241
版权

Windows系统调用学习笔记(二)—— 3环进0环

要点回顾

上一篇我们分析了ReadProcessMemory这个函数的3环部分

  1. ReadProcessMemory函数存在于kernel32.dll
  2. 它并没有做什么,只是调用了另一个函数(NtReadVirtualMemory),然后设置了一些返回值
  3. NtReadVirtualMemory函数来自ntdll.dll
  4. NtReadVirtualMemory也没做什么,只是提供了一个编号(0BAh)和一个函数地址(7FFE0300h),然后进行了内核调用

本篇将弄清这个 函数地址(7FFE0300h) 是什么

基本概念

_KUSER_SHARED_DATA

  1. 在 User 层和 Kernel 层分别定义了一个 _KUSER_SHARED_DATA 结构区域,用于 User 层和 Kernel 层共享某些数据
  2. 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User层Kernel层地址分别为:
    User:0x7ffe0000
    Kernnel:0xffdf0000
    _KUSER_SHARED_DATA内存
    注意:虽然指向的是同一个物理页,但在User层是只读的,在Kernnel层是可写

0x7FFE0300

描述
当通过eax=1来执行cpuid指令时,处理器的特征信息被放在ecxedx寄存器中,其中edx包含了一个SEP位(11位),该位指明了当前处理器知否支持sysenter/sysexit指令

  • 支持
    ntdll.dll! KiFastSystemCall()
  • 不支持
    ntdll.dll! KiIntSystemCall()
实验:判断CPU是否支持快速调用
第一步:修改EAX=1

EAX=1

第二步:将当前汇编指令修改为cpuid

cpuid

第三步:清空ECX与EDX

清空ECX与EDX

第四步:执行cpuid,观察结果

执行cpuid

第五步:观察EDX的SEP位(第11位)

0xBFF = 二进制:1011 1111 1111

SEP=1,说明当前CPU支持 sysenter / sysexit 指令

3环进0环

基本步骤

  1. CS的权限由3变为0,意味着需要新的CS
  2. SS与CS的权限永远一致,需要新的SS
  3. 权限发生切换的时候,堆栈也一定会切换,需要新的ESP
  4. 进0环后会修改EIP

中断门进0环

分析 KiIntSystemCall

KiIntSystemCall
该函数函数只执行了两行代码

分析

  1. 第一行将参数的地址放入EDX
  2. 第二行调用了0x2e中断(所有的API进内核时,统一的中断号为0x2e)

注意:在执行KiIntSystemCall函数前,编号已被写入EAX

分析 INT 0x2E
第一步:在IDT表中找到0x2E号门描述符

0x2e门描述符
门描述符:804dee00`0008e7d1
指向地址:804de7d1

第二步:分析CS/SS/ESP/EIP的来源

CS:门描述符的段选择子部分(0008)
SS:从段选择子指向的TSS段描述符指向的TSS表中取出
ESP:从段选择子指向的TSS段描述符指向的TSS表中取出
EIP:804de7d1

第三步:查看门描述符指向的EIP

反汇编
nt表示当前函数为内核函数

快速调用进0环

快速调用

  1. 中断门进0环,需要的CSEIP在IDT表中,需要查内存(SS与ESP由TSS提供)
  2. CPU如果支持sysenter指令,操作系统会提前将CS/SS/ESP/EIP的值存储在MSR寄存器中,sysenter指令执行时,CPU会将MSR寄存器中的值直接写入相关寄存器,没有读内存的过程,所以叫快速调用,它们的本质是一样的
分析 KiFastSystemCall

KiFastSystemCall
该函数函数只执行了两行代码

分析

  1. 第一行将当前栈顶(esp)的值放入edx
  2. 第二行执行了sysenter指令

注意:在执行KiIntSystemCall函数前,编号已被写入EAX

分析 sysenter指令

注意

  1. 在执行sysenter指令之前,操作系统必须指定0环的CS段SS段EIP以及ESP
  2. 其中,CS段EIP以及ESP来自MSR寄存器
MSR寄存器

描述:MSR寄存器非常庞大,这里只列出三个值,详细信息参照Intel白皮书
MSR寄存器
可以通过RDMSR/WRMST来进行读写(操作系统使用WRMST写该寄存器):

  1. kd> rdmsr 174 //查看CS
  2. kd> rdmsr 175 //查看ESP
  3. kd> rdmsr 176 //查看EIP
    rdmsr
    查看EIP所在地址的反汇编
    EIP
    nt表示当前函数为内核函数

注意
4. 在执行sysenter指令时,只有CSESPEIP三个寄存器的值可从MSR寄存器中获得,其中并不包括SS!
5. SS= IA32_SYSENTER_CS + 8
6. 这些操作与操作系统无关,而是硬件(CPU)做的(详情参考Intel白皮书第二卷)

总结

API通过中断门进0环

  1. 固定中断号为0x2E
  2. CS/EIP由门描述符提供,ESP/SS由TSS提供
  3. 进入0环后执行的内核函数:NT!KiSystemService

API通过sysenter指令进0环

  1. CS/ESP/EIP由MSR寄存器提供(SS是算出来的)
  2. 进入0环后执行的内核函数:NT!KiFastCallEntry

内核模块

10-10-12分页:ntoskrnl.exe
2-9-9-12分页:ntkrnlpa.exe

练习

要求:通过IDA找到KiSystemServiceKiFastCallEntry函数并分析

问题:

  1. 进0环后,原来的寄存器存在哪里?
  2. 如何根据系统调用号(eax中存储)找到要执行的内核函数?
  3. 调用时参数是存储到3环的堆栈,如何传递给内核函数?
  4. 2种调用方式是如何返回到3环的?

答案:见下篇

lzyddf
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
2.API调用过程(3环进0
My classmates
10-16 1564
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0与3共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
Windows内核-3环进0
qq_40712959的博客
12-07 1568
Windows API主要存放在C:\WINDOWS\system32下 Kennel32.dll:最核心功能模块,如管理内存、进程和线程相关的函数 User32.dll:Windows用户界面相关应用程序接口,如创建窗口和发送消息等 GDI32.dll:全称Graphical Device Interface(图形设备接口)包含用于画图和显示文本的函数,比如要显示一个程序窗口,就调用其中的函数来...
系统调用001 API三环进零的过程
鬼手的博客
12-21 1682
文章目录前言逆向分析ReadProcessMemoryNtReadVirtualMemory_KUSER_SHARED_DATASystemCall通过int 0x2E中断门进入零通过sysenter快速调用进入零总结总结 前言 在三环操作系统提供了各API,这些API实际上只是一个暴露在三环的接口,真正的功能实现部分,最终都是要进到零。 逆向分析ReadProcessMemory ###...
API函数调用过程(3环进0
qq_41490873的博客
05-07 436
CPU不支持快速调用时使用中断进0
系统调用 1.API函数的调用过程(3环进0)
Mikasys的博客
11-02 894
1.API函数的调用过程(3环进0) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
Android学习笔记——Menu介绍()
01-04
这次将继续上一篇文章没有讲完的Menu的学习,上下文菜单(Context menu)和弹出菜单(Popup menu)。 上下文菜单 上下文菜单提供对UI界面上的特定项或上下文框架的操作,就如同Windows中右键菜单一样。 在Android中,有...
在hqyj的学习笔记——关于Linux的基础命令
08-14
3. `ls`:列出当前目录下的文件和子目录,不包括隐藏文件。如果想要查看所有文件,包括隐藏文件,可以使用`ls -a`。 4. `cd`:改变目录,例如`cd ..`回到上一级目录,`cd`回到主目录,`cd /path/to/directory`则...
Java JDK 6学习笔记——ppt简体版附课本代码
09-26
总的来说,“Java JDK 6学习笔记——ppt简体版”全面介绍了Java编程语言的基础知识和JDK 6的关键特性,结合配套的代码示例,是系统学习和掌握Java开发的宝贵资料。无论你是Java初学者还是寻求提升的老手,都能从中...
【D.SUN的笔记】Python编程基础——快速学习
12-22
【Python编程基础——快速学习】 Python是一高级编程语言,以其简洁明了的语法和广泛的库支持而受到青睐。本文将概述Python的基础知识,包括下载、安装、交互式解释器的使用,以及基本的编程概念。 1. **Python...
计算机从3到0要学些什么,Windows系统调用API从3到0(下)
weixin_31759799的博客
06-23 250
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用API从3到0(下)这篇文章分为上下两篇,其中上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用系统中断),来实现通过系统中断直接调用内核函数。一、INT 0x2E进0.text : 77F070C0...
计算机从3到0要学些什么,Windows系统调用API从3到0(上)
weixin_28340315的博客
06-23 270
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用API从3到0(上)这篇文章分为上下两篇,其中上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用系统中断),来实现通过系统中断直接调用内核函数。一、结构体 _KUSER_SHARED_DATA该结构体看名字...
三环通信
my的博客
08-28 961
我们都知道,CPU有的概念。我们的所有可视化界面与任何的操作都在用户层进行,也就是口中的"三环"。在我们看不见的地方,比如驱动、硬件数据交互等操作,都在内核层执行,也就是"零"。的层数越低,权限相对越高。至于一,并未使用。......
Windows 0和3通信方式
maomao171314的专栏
08-03 616
0与3通讯
x64 0与3通信
weixin_41725706的博客
11-07 230
流程示例: 鼠标点击窗口任意按钮—》由Windows封装成msg结构体----》给到应用程序窗口winpro—》得到对应的处理函数。3程序一般带有窗口,传递信息windows把msg结构体传送给3的窗口句柄,然后程序根据msg结构信息做出回应。0的驱动接收信息示例:使用windows定义的函数(如:CreateFileW,DeviceIoControl。)—》产生IRP结构体----》设备—》得到对应的处理函数。提示:对应的处理函数都是由用户自己定义。
Windows系统调用API的3部分
dz45693的专栏
10-22 2687
一、R3API分析的重要性 Windows所提供给R3API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
Windows内核情景分析 第章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 841
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
SystemServiceTable
qq_50242229的博客
05-06 167
SystemServiceTable,即系统服务表,它不是SSDT表由4部分组成,ServiceTable指向的是函数地址数组,每个成员四个字节;Count表示调用次数,没啥意义;ServiceLimit表示这张表有几个函数;ArgumentTable指向对应函数有几个字节参数,每个成员一个字节从图中可以看出,Windows提供了两张表:上面的表是用来处理一般内核函数的,下面这张表是用来处理与GUI相关的内核函数。
汇编语言入门七:函数调用(一)
发展是曲折的但也是前进的
08-22 1488
想象 想象你在计算一个非常复杂的数学题,在算到一半的时候,你需要一个数据,而这个数据需要套用一个比较复杂的公式才能算出来,怎么办? 你不得不把手中的事情停下来,先去套公式、代入数值然后...最后,算出结果来了。 这时候你继续开始攻克这个困难题目的剩下部分。 用脑子想 刚刚说的这个过程,可能有点小问题,尤其是对脑子不太好使的人来说。想象你做题目做到一半的时候,记忆力已经
RDMSR--读MSR
热门推荐
misterliwei的专栏
07-15 1万+
RDMSR--读MSR RDMSR将64位由ECX寄存器指定的MSR(model specific register,模式指定寄存器)的内容读出至寄存器EDX:EAX中(在支持intel64架构的处理器中RCX的高32位忽略)。MSR的高32位内容存放在EDX寄存器中,MSR的低32位内容存放在EAX寄存器中(在支持intel64架构的处理器中RDX和RAX的高32位忽略)。如果MSR中没
windows批处理学习
最新发布
08-20
Windows批处理学习是指学习如何使用Windows中的批处理文件来进行一系列命令的批量处理操作。批处理文件以.bat为后缀,其中预先编写了一系列的DOS命令,当打开批处理文件时,会自动打开cmd窗口并执行文件中的命令。 批处理是一实现批量处理操作的脚本文件,它与PS批处理(基于PhotoShop图片编辑软件的一批处理脚本)是不同的,我们这里主要讨论的是DOS批处理。 在学习Windows批处理时,需要了解批处理的特点。批处理实质上是由一个或多个DOS命令组成的文件,因此在编写批处理脚本时,它的特点与MS-DOS命令基本一致。批处理脚本可以用于实现批量操作,例如批量重命名文件、批量复制文件等。 通过学习Windows批处理,你可以提高工作效率,自动化执行一系列命令,同时也可以减少重复劳动。你可以学习如何编写批处理脚本、如何调用并执行脚本以及如何处理不同的命令和参数。这些知识会帮助你更好地利用Windows系统中的批处理功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Windows系统批处理的学习笔记①](https://blog.csdn.net/weixin_44595637/article/details/126925076)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Windows批处理学习()——批处理(1)](https://blog.csdn.net/weixin_34051201/article/details/92882840)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值