Windows内核情景分析-系统调用3

最新推荐文章于 2021-11-16 23:02:49 发布
最新推荐文章于 2021-11-16 23:02:49 发布
阅读量555 收藏 1
点赞数
分类专栏: Windows内核情景分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shabihundan/article/details/81490613
版权

系统调用1和系统调用2说了这么多,还未进入int 0x2e所对应的系统服务函数KiSystemService(),这里来看下这个函数内部的处理;通过0x2e和IDTR从IDT中 查询获取对应的方法KiSystemService()。

  • 所以这里 int 0x2e  对应  KiSystemService 入口
  • sysenter 对应的是 KiFastCallEntry 入口,这里不要被这些函数给搞乱了。

 系统空间堆栈

 每个线程有自己的系统空间堆栈,其系统空间的SS和ESP保存在TSS数据结构里面。TR寄存器存放当前线程的TSS地址,当从用户空间进入系统空间,CPU根据TR寄存器从TSS获取系统空间的SS和ESP。

KiSystemService()

 从SharedCode开始的代码是共同的,前奏SYSCALL_PORLOG部分则是专门针对自陷指令系统调用的。

KPCR 处理器控制区(Processor Control Region)

 Windows内核特殊的基本要求,当CPU在内核运行,那么FS指向KPCR的数据结构,且每个CPU(核心?)都有自己的KPCR结构,其次,要使ESI 指向当前线程KTHREAD结构,这两个过程将在SYSCALL_PORLOG宏中实现,再次,KPCR结构存放在固定的虚拟地址,这就可以通过构造特殊的段选择子使得其指向该地址;在保护模式中段寄存器存放的是段选择子,共16bit,特殊的结构使其最终指向GDT或者LDT,如下图:

这里就是特殊构造的段选择子(FS),使其指向KPCR结构 

KPCR结构大小0x120 Byte:

  

其中子结构PRCB 结构(部分,见下图):注意在+0x004处指向了当前运行的线程KTHREAD结构体,所以通过KPRC能够获取线程的很多信息(在线程切换后会去更新PRCB结构开始的相关数据?)

先前模式 

 指在进入KiSystemService这个函数的前夕,CPU处于何种状态(系统态或者用户态);由于windows运行在内核中发起系统调用,所以如果从内核中发起的调用,那么这里先前模式就是系统态,从用户系统调用进入的则为用户态。这里通过将先前模式保存当当前线程KTHREAD结构中对应的先前模式字段中,为了可以方便,高效访问先前模式;先前模式的作用就是用来区分是从内核还是用户空间进入的,所以在系统调用返回的时候要做不同的处理。其次,系统调用是可以嵌套的了,这里会在赋值先前模式字段时,先将原有的内容入栈。KTHREAD 中字段TrapFrame也要更新指向当前的调用堆栈框架。

其次,内核版函数Zwxxxxxx(),通常就是模拟自陷指令的效果,把一些寄存器的内容压入系统空间堆栈,然后调用进行系统调用,先前模式就是系统态。

这里接着看SharedCode 

 Windows NT 基本系统调用多个,如果调用号大于0x1000,则判断为扩展系统调用号(windows将视窗部分移入内核造成)。对应的线程控制块KTHREAD结构中指针ServiceTable,指向本线程的系统调用函数表,不是指向KeServiceDescriptorTable[]就是指向KeServiceDescriptorTableShadow[],前者基本系统调用,后者则额外包含了扩展系统调用。

SSDT与SSPT 

typedef struct _KSYSTEM_SERVICE_TABLE{
        PULONG ServiceTableBase;            //SSDT的基地址指针
        PULONG ServiceCounterTableBase;     //SSDT中每个服务被调用次数表的基地址指针
        ULONG NumberOfService;              //服务函数个数,*4就是整个地址表的大小
        ULONG ParamTableBase;               //SSPT的基地址
    }KSYSTEM_SERVICE_TABLE,*PKSYSTEM_SERVICE_TABLE;
    typedef struct _KSERVICE_TABLE_DESCRIPTOR{
        KSYSTEM_SERVICE_TABLE ntoskrnl;     //ntoskrnl.exe的服务函数
        KSYSTEM_SERVICE_TABLE win32k;       //win32k.sys的服务函数(GDI32/User32)
        KSYSTEM_SERVICE_TABLE notUsed1;
        KSYSTEM_SERVICE_TABLE notUsed2;
    }KSERVICE_TABLE_DESCRIPTOR,*PKSERVICE_TABLE_DESCRIPTOR;

结构如上图,对应的SSPT表则记录索引对应函数的参数数量。

在SharedCode中通过一系列判断与运算,最终决定使用的SSDT,然后根据系统调用号计算出本次调用的函数地址以及函数的参数,将用户空间堆栈的参数复制到系统空间堆栈,最后调用该函数。

 

注:这里所涉及细节需要结合书籍内容理解,上面所说的并不完整,只是挑出容易让人混的内容,需要细细推敲。

参考:https://blog.csdn.net/hu3167343/article/details/7612595    

aowuaowuwuwu
关注
专栏目录
windows内核情景分析---系统调用
yushui的笔记本
06-04 957
windows内核情景分析系统调用1.用户空间中的进程如何进行系统调用用户空间与系统空间所在的内存区间不一样,同样,对于这两种区间,CPU的运行状态也不一样。在用户空间中,CPU处于”用户态”;在系统空间中,CPU处于”系统态”。CPU从系统态进入用户态是容易的,因为可以执行一些系统态特有的特权指令,从而进入用户态。而相反,用户态进入系统态则不容易,因为用户态是无法执行特权指令的。所以,一般有三种
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
Windows内核情景分析(上册).part01.rar 基本信息 作者: 毛德操 出版社:电子工业出版社 ISBN:9787121081149 上架时间:2009-5-25 出版日期:2009 年5月 开本:16开 页码:1465 版次:1-1 所属分类:计算机 > ...
windows内核分析(上)
09-25
主要用于介绍windows内核对象的底层实现,可以结合《windows核心编程》来一块学习。
windows内核情景分析--系统调用
maomao171314的专栏
04-04 1728
Windows的地址空间分用户模式与内核模式,低2GB的部分叫用户模式,高2G的部分叫内核模式,位于用户空间的代码不能访问内核空间,位于内核空间的代码却可以访问用户空间 一个线程的运行状态分内核态与用户态,当指令位于用户空间时,就表示当前处于内核态,当指令位于内核空间时,就处于内核态. 一个线程由用户态进入内核态的途径有3种典型的方式: 1、 主动通过int 2e(软中断自陷方式)或syse
windows内核情景分析 --APC
maomao171314的专栏
04-04 2142
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
windows内核情景分析--内存管理(精细分析系统物理内存使用)
安徽小亚哥哥的博客
12-14 777
  32位系统中有4GB的虚拟地址空间   每个进程有一个地址空间,共4GB,(具体分为低2GB的用户地址空间+高2GB的内核地址空间)   各个进程的用户地址空间不同,属于各进程专有,内核地址空间部分则几乎完全相同   虚拟地址如0x11111111, 看似这8个数字是一个整体,其实是由三部分组成的,是一个三维地址,将这个32位的值拆开,高10位表示二级页表号,中间10位表示二级页表中的页...
Windows 内核情景分析 上》.(毛德操).[PDF]&ckook;.pdf
05-06
Windows内核情景分析 上》是毛德操撰写的一本深入探讨Windows操作系统内核的专著,这本书主要针对对Windows操作系统有深入理解需求的技术人员,包括软件开发者、系统管理员和安全研究人员。书中详细剖析了Windows...
Windows内核情景分析上.rar
07-12
Windows内核情景分析》是深入理解Windows操作系统内核的重要参考资料,主要涵盖了Windows操作系统的核心机制、系统调用、进程管理、线程调度、内存管理、设备驱动等方面的知识。本资料集将围绕这些主题进行详细...
Windows 内核情景分析 下》(毛德操)
09-15
Windows 内核情景分析 下》是毛德操教授撰写的一本深入探讨Windows操作系统内核的专著。这本书是上册的延续,旨在为读者提供更深入、更全面的Windows核心开发与安全技术理解。毛德操教授是中国知名的计算机科学家...
Windows内核源码详尽分析
03-13
详尽分析windows内核源码, 本文结合《Windows 内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows 核心编程》、《寒江独 钓-Windows 内核安全编程》、《Windows PE 权威指南》、《C++反汇编与逆向分析揭秘》以及 ReactOS 操作系 统 (V0.3.12)源码, 以《Windows 内核情景分析》为蓝本, 对 Windows 内核重要框架、函数、结构体进行 解析
Windows内核情景分析
12-04
  本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构、功能、算法与具体实现。全书从“内存管理”、“进程”、“进程间通信”、“设备驱动”等多个方面进行分析介绍,所有的分析都有ReactOS的源代码(以及部分由微软公开的源代码)作为依据,使读者能深入理解Windows内核的方方面面,也可以使读者的软件开发能力和水平得到提高。   本书可供大学有关专业的高年级学生和研究生用做教学参考,也可供广大的软件工程师,特别是从事系统软件研发的工程师用于工作参考或用做进修教材。 文件太大请下载BT种子文件。
windows内核情景分析
12-26
windows内核情景分析,毛德操老师作品,喜欢的就下载吧!!
Windows内核情景分析
09-26
Windows内核情景分析_上 毛德操
windows 内核情景分析---说明
maomao171314的专栏
04-04 1140
说明 本文结合《Windows内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows核心编程》、《寒江独钓-Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及ReactOS操作系统 (V0.3.12)源码,以《Windows内核情景分析》为蓝本,对Windows内核重要框架、函数、结构体进行解析 由于工程庞大,我能理解到的
Windows内核情景分析-概述
airushaonian
08-06 401
概述 windows内核情景分析使用的是ReactOS作为源码来讲解windows的内部机制,最近抽时间开始阅读本书,最直接的感受就是很难,虽然学过操作系统,计算机组成原理等课程,而且在学校的时候也使用windows api做过一些练习,但是读起本书还是有很多的困难,最常见的原因就是迷失方向,跟着作者走很多细节东西容易让人分神,然后就是一头雾水,这个可能与我本人的读书习惯有关系,有些细节忽略的话...
Windows(IA-32e模式)系统调用
m0_43422086的博客
11-16 1878
一、本文主题 Windows NT是一个面向分层的操作系统,最底层是硬件,最高层使用户接口,Windows采用这种模式来保护内核不被应用程序错误的波及,操作系统核心运行在内核层(Ring 0 ),用户模式运行在应用层(Ring 3)。这只是操作系统分层的抽象概念。而本文旨在讨论Windows操作系统在IA-32e模式下从Ring3进入Ring0的部分具体实现过程,也会对比IA-32模式下的部分差异。本文IA-32e测试系统Windows 10 2004。 二、系统调用 ...
《Linux内核情景分析》- 毛德操 胡希明经典解析
"《Linux内核情景分析》是毛德操和胡希明老师合作的一本关于Linux内核的经典著作,尽管基于较旧的Linux 2.4内核,但其采用的情景分析方法使其在面对Linux 2.6乃至3.0内核时仍具有很高的参考价值。本书深入探讨了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值