(16)[系统调用]追踪系统调用(3环)

已于 2022-07-25 19:46:44 修改
阅读量722 收藏 2
点赞数 1
分类专栏: 滴水中期 文章标签: 操作系统 反汇编
于 2022-07-24 20:21:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50332504/article/details/125951635
版权

文章目录

WriteProcessMemory

打开IDA,ALT + T搜索函数WriteProcessMemory(x,x,x,x,x),进入函数体

可以很清晰地看到有三个函数

NtProtectVirtualMemory(x,x,x,x,x)
NtWriteVirtualMemory(x,x,x,x,x)
NtFlushInstructionCache(x,x,x)

进入导入表查看第二个函数(其实三个函数都会最终到相似的结果,但是第三个我只能搜到Zw开头的,没有Nt开头的)
在这里插入图片描述

ntdll.dll

NtWriteVirtualMemory

搜索查看NtWriteVirtualMemory函数,很简单,只有四行

; NtProtectVirtualMemory
mov     eax, 115h        ;服务号
mov     edx, 7FFE0300h  ;指向 函数指针
call    dword ptr [edx]
retn    14h

这里有两个陌生的东西,一个是 服务号 ,另一个是那个 0x7FFE0300
服务号:一个编号,表示调用哪一个服务(函数),后面再详细了解

0x7FFE0300

在这里插入图片描述

  • 随便进一个进程空间
  • 查找刚刚看到的地址,获取这个地址里面的值
  • u 指令查询函数

主要看下面这两个函数

ntdll!KiFastSystemCall:
7c92e4f0 8bd4            mov     edx,esp //保存esp
7c92e4f2 0f34            sysenter 		 //快速调用

ntdll!KiIntSystemCall:
7c92e500 8d542408        lea     edx,[esp+8] //保存esp
7c92e504 cd2e            int     2Eh		 //中断门
7c92e506 c3              ret

那么怎么区分系统有没有快速调用呢?使用cpuid指令(eax = 1)进行查询,eax中存放的是参数,结果信息会被保存到ecx和edx寄存器中,其中edx包含SEP位(第11位),指明当前CPU是否支持快速调用
在这里插入图片描述
dl寄存器 = 0xFF = 0B1111 1111,所以是支持快速调用的

好吧,结果真是大失所望,根本看不到这个函数是怎么执行的,现在的深度还是不够啊
但是这点知识足够我们做一些小东西了

手动调用系统函数

#include <windows.h>

__declspec(naked) //自己掌握整个函数,别人写一半自己写一半不好把握
void MyWriteProcessMemory(
						HANDLE hProcess,
						LPVOID lpBaseAddress,
						LPVOID lpBuffer,
						DWORD nSize,
						LPDWORD lpNumberOfBytesWritten 
){
	_asm{
		push ebp
		mov ebp, esp
		sub esp, 0x10 //稍微提升一下堆栈,不提升也行

		push [lpNumberOfBytesWritten]
		push [nSize]
		push [lpBuffer]
		push [lpBaseAddress]
		push [hProcess]  //压入5个参数
		push 0 //push eip 本来是个call的,这里对齐一下就行
		
		//系统调用,照抄就行
		mov eax, 0x115
		mov edx, 0x7FFE0300
		call dword ptr[edx]

//		add esp, 0x04 //pop eip
//		add esp, 0x10 //不用做堆栈检查,省略这一部直接退出就行
		mov esp, ebp
		pop ebp 	//记得平衡回来
		retn 0x14 	//外部压入了5个参数
	}
}

int main(){
	DWORD val = 0x12345678;
	DWORD write_val = 0x11112222;
	//获取自己的进程PID
	DWORD curPID = GetCurrentProcessId(); 
	//下面的函数要用到这个
	HANDLE dst_hdl = OpenProcess(PROCESS_ALL_ACCESS, FALSE, curPID); 
	//自己实现的WriteProcessMemory
	//WriteProcessMemory(dst_hdl, &val, &write_val, sizeof(val), NULL);//先试试好不好使
	MyWriteProcessMemory(dst_hdl, &val, &write_val, sizeof(val), NULL);
	//两个函数的效果是一样的
	printf("%X", val);
	getchar();
	return 0;
}
//打印结果:11112222

实验成功

防:不让别人hook自己的函数或者断点找到突破口
攻:绕过别人的hook检查

一口一个橘子
关注
专栏目录
追踪系统调用流程
lwoyvye
12-16 1324
前言   我不是专业的内核研读者,只因自己的好奇心,想一探(IO多路复用)select系统调用的实现原理,于是一路追踪到其内核的底层调用。特此记录这一段学习过程。本机系统:ubuntu15.04 内核版本:3.19.0-29-genericsys_select 哪去了?   当用户态使用系统调用的时候,操作系统会根据该函数的系统调用号找到其对应的底层函数(前缀 sys_ )去执行。比如当用户调用
strace命令 跟踪系统调用
01-09
strace命令是一个集诊断、调试、统计与一体的工具,我们可以使用strace对应用的系统调用和信号传递的跟踪结果来对应用进行分析,以达到解决问题或者是了解应用工作过程的目的。 strace常用来跟踪进程执行时的系统...
Linux 系统调用的跟踪
ganggexiongqi的专栏
02-14 2688
以下内容源自 Professional Linux Kernel Architecture 由本人做整理修改 -------------------------------------------------------------------------- strace 可以用来跟踪Linux下的系统调用。它基于ptrace系统调用。 安装: # aptitude inst
跟踪系统调用strace
qq_24601427的博客
11-07 293
Linux跟踪系统调用strace程序高级strace参数监视程序系统调用附加到正在运行的程序 strace程序 能够截取程序发出的系统调用并且显示它们,被跟踪的程序可以是从strace命令运行的,也可以是系统上已经运行的进程。 例程: $ strace ./syscalltest2 添加命令行参数-c,在程序执行之后创建一个报告,概述发出的所有系统调用,以及每个系统调用花费的时间) $ str...
(17)[系统调用]追踪系统调用(0)
qq_50332504的博客
07-25 348
上一次跟到这里,这一次从这里出发,继续追踪首先我们先看熟悉的int2E,int2E会走一个中断门,而中断门再此之前先找到文件ntoskrnl.exe,大概是在C/windows/system32里
应用调试之strace命令跟踪系统调用
tecoes的博客
09-24 472
如果被跟踪调用syscall_trace,发信号给父进程strace,父进程处理完后(记录)让子进程继续运行。3、配置:./configure --host=arm-linux CC=arm-linux-gcc。strace作为父进程去调用open函数,open函数会产生一个异常然后进入到内核里面,首先strace会作为一个父进程,而被跟踪的系统调用作为子进程,我们用open函数来。---是原来的文件,+++是修改后的文件,+是添加的代码,要加参数把第1个斜杠前的。内容去掉,才能找到要给哪一个文件打补丁。
2024全新开发API接口调用管理系统网站源码 附教程.zip
最新发布
01-15
标题中的“2024全新开发API接口调用管理系统网站源码 附教程.zip”表明这是一个包含源代码的压缩文件,特别的是,它是一个用于管理API接口调用系统,并且附带了教程,便于用户理解和使用。API(Application ...
Linux用strace查看系统调用
01-09
 strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通 过系统...
linux系统调用demo.rar_DEMO_Linux System Calls_linux 编程_linux 系统调用_系
09-22
此外,了解如何使用gdb等调试工具对系统调用进行跟踪和分析也是十分重要的,这对于理解和优化代码非常有帮助。 总之,Linux系统调用是Linux编程的核心部分,理解和熟练掌握它们对于任何想要编写高效、可靠的系统级...
linux 系统调用视频讲解
08-13
3. **系统调用处理流程**:详细解析从用户态到内核态的切换,包括硬件中断处理、保存上下文、执行系统调用处理函数,以及恢复上下文并返回用户态的过程。 4. **常见系统调用详解**:如`sys_open`、`sys_write`、`...
Linux: 系统调用追踪原理简析
JiMoKuangXiangQu的专栏
02-09 969
linux,ptrace,strace,系统调用追踪
程序跟踪系统调用神器之- strace
cddchina的专栏
08-17 1127
这里只是简单的提及下,所以工欲善其事必先利其器,要想很快的查找和定位问题,此工具必不可少,特别是对于底层的调用,而GDB又很难跟踪的case,具体的用法就不介绍了,网上有很多。...
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
红队开发基础-基础免杀
include_voidmain的博客
06-28 947
红队开发基础-基础免杀
一文读懂远程线程注入
dzqxwzoe的博客
11-02 183
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
Windows NT内核函数大全
qq_42577465的博客
06-06 1610
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3348
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
strace命令详解:调试与系统调用追踪
"本文详细介绍了strace命令的使用方法,包括如何跟踪系统调用和接收的信号,以及如何分析输出结果。strace是一个强大的调试和分析工具,特别适用于没有源代码或无法编译的程序。它能帮助理解软件如何通过系统调用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值