xp下sysenter hook-RDMSR-WRMSR

最新推荐文章于 2023-02-18 17:25:30 发布
最新推荐文章于 2023-02-18 17:25:30 发布
阅读量4.3k 收藏
点赞数
文章标签: xp c hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunwang123456/article/details/517765
版权
本文介绍了在Windows XP系统中,如何利用sysenter、rdmsr和wrmsr指令进行系统调用的钩子技术。详细解析了初始化流程,包括KiInitSystem和KiLoadFastSyscallMachineSpecificRegisters函数,以及如何通过修改MSR_SYSENTER_EIP寄存器来实现自定义处理代码的插入。
摘要由CSDN通过智能技术生成

1. 关于sysenter sysexit wrmsr rdmsr请看cpu手册
P4_IA32 Intel Architecture Software Developer's Manual
24547110.pdf
page 3-763

2.xp初始化流程
KeInitSystem->KiInitMachineDependent->KiRestoreFastSyscallReturnState->KiLoadFastSyscallMachineSpecificRegisters->WRMSR

.text:00439A80
.text:00439A80                         ; 圹圹圹圹圹圹圹?S U B R O U T I N E 圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹?
.text:00439A80
.text:00439A80
.text:00439A80                         ; __stdcall KiLoadFastSyscallMachineSpecificRegisters(x)
.text:00439A80                         _KiLoadFastSyscallMachineSpecificRegisters@4 proc near
.text:00439A80                                                                 ; DATA XREF: KiRestoreFastSyscallReturnState()+31o
.text:00439A80 8B FF                                   mov     edi, edi
.text:00439A82 56                                      push    esi
.text:00439A83                                         db      3Eh
.text:00439A83 3E A1 20 F0 DF FF                       mov     eax, ds:0FFDFF020h
.text:00439A89 80 3D FC 20 48 00 00                    cmp     ds:_KiFastSystemCallIsIA32, 0
.text:00439A90 8B F0                                   mov     esi, eax
.text:00439A92 74 31                                   jz      short loc_439AC5
.text:00439A94 6A 00                                   push    0
.text:00439A96 6A 08                                   push    8
.text:00439A98 68 74 01 00 00                          push    174h
.text:00439A9D E8 2B 00 00 00                          call    _WRMSR@12       ; WRMSR(x,x,x)
.text:00439AA2 6A 00                                   push    0
.text:00439AA4 68 F0 76 40 00                          push    offset _KiFastCallEntry
.text:00439AA9 68 76 01 00 00                          push    176h
.text:00439AAE E8 1A 00 00 00                          call    _WRMSR@12       ; WRMSR(x,x,x)
.text:00439AB3 6A

最低0.47元/天 解锁文章
sunwang123456
关注
驱动编程-ssdt hook--系统服务表
健景的博客
05-04 631
整理下自己的驱动编程。 ssdt是系统服务表,每个window系统都会维护自己的系统服务表。我们可以使用kernel detective看下ssdt表。 以openProcess为例子: 开windbg kd> u nt!ZwOpenProcess nt!ZwOpenProcess: 804ff720 b87a000000      mov     eax,7Ah  //7A 8
rootkit hook之[六] -- sysenter Hook
07-10 1184
作 者: combojiang时 间: 2008-02-26,12:25链 接: http://bbs.pediy.com/showthread.php?t=60247呵呵,今天这篇内容少,比较简单。SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门用于实现快速
sysenter Hook
whatday的专栏
11-05 2768
SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task这一类的gate来实现的
SYSENTER-HOOK
qq_31507523的博客
06-07 709
SYSENTER-HOOK 实验环境:win7虚拟机 示例是对内核层进行SYSENTER-HOOK实现保护进程的功能 SYSENTER-HOOK也成称为KiFastCallEntry-Hook,它相当于是内核层的Inline-Hook,通过修改SYSENTER_EIP_MSR 寄存器使其指向我们自己的函数,那么我们就可以在自己的的函数中对所有来自3环的函数调用进行第一手过滤。 一会儿会用到的API...
简单Hook SYSENTER
liujiayu2的专栏
06-30 1608
其实所有的HOOK,都基本是一样道理。就是勾住你的目标函数,实现你自己的功能。只要你掌握了,HOOK的原理。剩下的就是寻找目标函数了。      今天回忆一下 HOOK SYSENTER,目的当然还是继续充实自己的BLOG,继续灌水。 一:认识SYSENTER    SYSENTER是一个东西?大家都知道调用门,陷阱门,任务门(这里没有照片!_!).。通过他们我们可以从R3到达R
SYSENTER-hook.rar_C_specific_handler_SYSENTER_hook sysenter_obta
09-24
SYSENTER/SYSEXIT这对指令专门 用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的 调用都是通过 call/trap/task这一类的gate...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hook,IDT-hooksysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook、内核驱动层的SSDT(System Service Dispatch Table)Hook、IDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
SYSENTER HOOK_HOOKMSR_SystemHook_进程保护_修改MSR_gotgkd_
09-29
在IT安全领域,"SYSENTER HOOK_HOOKMSR_SystemHook_进程保护_修改MSR_gotgkd_"这个标题涉及到一系列高级技术概念,主要涵盖了系统调用钩子(SYSENTER HOOK)、模型特定寄存器(Model-Specific Register, MSR)的修改...
x86 SYSENTER HOOK
XboxMicro
02-26 1801
准备资料:   自2000以后Windows系统不再用int 2e或通过IDT来请求系统调用表中的服务,而是使用快速调用方法fast call method.在这种方法中,NTDLL向EAX寄存器中加载被请求服务的系统调用号,向EDX寄存器中加载当前堆栈指针ESP。然后发出Intel指令SYSENTER。   SYSENTER指令将控制权传递给模型相关寄存器(Model-Specifi
汇编 rdmsr, wrmsr
Blaider的专栏
09-27 1万+
汇编 rdmsr, wrmsr 1、MSR简介           Model Specific Register (MSR) as the name implies is model specific and may change from processor model number (n) to processor model number (n+1).
SysEnter Hook
收集学习过程中对自己有帮助的牛人文章
11-30 907
#include ULONG g_OldKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { _asm { mov ecx, 0x176 xor edx,edx
linux内核寄存器,Linux读写CPU MSR寄存器命令rdmsr/wrmsr
weixin_35473667的博客
04-29 4619
在Linux内核源码中提供了读写CPU MSR寄存器模块,使可以在用户空间直接读写MSR寄存器。开源社区提供msr寄存器读写工具msrtools,其中有两个命令,rdmsr/wrmsr。要使rdmsr/wrmsr命令真正可以读写msr寄存器,系统中必须有msr模块,或将msr模块编译进内核,下面是从内核配置选项中选取的内容。Processor type and features —> /d...
WRMSR--写MSR
misterliwei的专栏
07-15 6582
WRMSR--写MSR WRMSR将寄存器EDX:EAX的内容写到64位由ECX寄存器指定的MSR(model specific register,模式指定寄存器)中(在支持intel64架构的处理器中RCX的高32位忽略。)。EDX寄存器内容拷贝至选定的MSR的高32位,EAX内容拷贝至选定的MSR的低32位(在支持intel64架构的处理器中RDX和RAX的高32位忽略)。MSR中未定
另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
yaneng的专栏
06-18 1114
标 题: 【原创】另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)作 者: 堕落天才时 间: 2007-04-14,11:09链 接: http://bbs.pediy.com/showthread.php?t=42705************************************************************************
SYSENTER——快速系统调用
热门推荐
misterliwei的专栏
07-15 1万+
SYSENTER——快速系统调用 SYSENTER用来快速调用一个0层的系统过程。SYSENTERSYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。 在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针:1.       IA
MSR寄存器访问
最新发布
百里杨的博客
02-18 2968
MSR是CPU的一组64位寄存器,每个MSR都有它的地址值(如下图所示),可以分别通过RDMSRWRMSR 两条指令进行读和写的操作。如图中为8个P-state寄存器,地址分别为0xC001 0064 ~ 0xC001 006B,每个寄存器64bit。
09 | 系统调用:公司成立好了就要开始接项目
草办的学习记录
11-11 216
本文仅作为学习记录,非商业用途,侵删,如需转载需作者同意。
一些比较不常见的 汇编指令记录
zhangji
12-22 904
汇编指令 demo1 int register_syscall() { asm( "xor rax, rax;" "mov rdx, 0x00200008;" &q
深入分析SYSENTER指令及其在C语言中的特定处理器应用
在给定的上下文中,`C_specific_handler_SYSENTER_hook`暗示了讨论主题与特定语言(C语言)的结合。这可能意味着开发者在C语言环境下编写代码以处理或利用SYSENTER机制。 **系统调用和C语言** 由于系统调用通常是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值