计算机从3环到0环要学些什么,Windows系统调用中API从3环到0环(下)

最新推荐文章于 2022-11-07 10:00:06 发布
最新推荐文章于 2022-11-07 10:00:06 发布
阅读量250 收藏
点赞数
文章标签: 计算机从3环到0环要学些什么

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html

Windows系统调用中API从3环到0环(下)

这篇文章分为上下两篇,其中上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用与系统中断),来实现通过系统中断直接调用内核函数。

一、INT 0x2E进0环

.text : 77F070C0            // 之前调用该函数时 mov eax, 0x115,向eax传入一个函数号

.text : 77F070C0                 lea     edx, [esp + arg_4] // 当前参数的指针存储在 edx中

.text : 77F070C4                 int     2Eh; // 通过中断门的形式进入到内核中

1)在GDT表中查看0x2eh

在保护模式的门这一节中,我们了解到当发生中断时,操作系统会查找idt表,根据中断号在idt表中找到中断门描述符,从中断门描述符中读取CS:EIP的信息。

之后,SS EIP 通过搜索GDT表,该表中存放着各个TSS描述符(每个进程一个TSS,内核一个TSS,TSS存放各种寄存器用于任务切换),来查找内核的 SS ESP。

如图:我们通过windbg来查找出该地址 gdt+2e*8

bb9b30e984ac80913d8cc5bd85be9362.png

根据中断门描述符属性将 83e8ee00`00082fee 拆分拼接之后可知SS:08 / EIP:83e82fee

9937b3d5c96f64dbebcff9afd255f13d.png

2)查看 EIP:83e82fee 这个函数

kd> u 83e82fee

nt!KiSystemService:

83e82fee 6a00            push    0

83e82ff0 55              push    ebp

83e82ff1 53              push    ebx

83e82ff2 56              push    esi

83e82ff3 57              push    edi

83e82ff4 0fa0            push    fs

83e82ff6 bb30000000      mov     ebx,30h

83e82ffb 668ee3          mov     fs,bx

该 nt!KiSystemService函数是真正的内核函数,并不是ntdll.dll模块下,其存在于ntoskrnl.exe / ntkrnlpa.exe中(根据分页模式不同选用不同的程序)

二、通过 systenter进入0环

MSR寄存器存着进入内核的 CS、ESP、EIP的寄存器的值,SS=IA32_SYSENTER_CS+8。

8949e70ad57dfefb051c25632120b527.png

1)windbg查看这个MSR寄存器的值

rdmsr 174     //查看CS

rdmsr 175    //查看ESP

rdmsr 176    //查看EIP

e21c79edf9d2fd00afa5fd49f28995e0.png

2)查看EIP这个函数

kd> u 83e830c0

nt!KiFastCallEntry:

83e830c0 b923000000      mov     ecx,23h

83e830c5 6a30            push    30h

83e830c7 0fa1            pop     fs

83e830c9 8ed9            mov     ds,cx

83e830cb 8ec1            mov     es,cx

83e830cd 648b0d40000000  mov     ecx,dword ptr fs:[40h]

83e830d4 8b6104          mov     esp,dword ptr [ecx+4]

83e830d7 6a23            push    23h

其是调用nt!KiFastCallEntry这个函数,跟nt!KiSystemService一样,该函数是真正的内核函数。

1 #include "pch.h"

2 #include

3 #include

4 #include

5 void ReadMemory(HANDLE hProcess, PVOID pAddr, PVOID pBuffer, DWORD dwSize, DWORD *dwSizeRet)6 {7

8 _asm9 {10

11 lea eax, [ebp + 0x14]12 push eax13 push[ebp + 0x14]14 push[ebp + 0x10]15 push[ebp + 0xc]16 push[ebp + 8]17 mov eax, 0x115

18 mov edx,esp19 int 0x2e

20 add esp, 20

21 }22 }23 intmain()24 {25 HANDLE hProcess = 0;26 int t = 123;27 DWORD pBuffer;28 //hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0,a);

29 ReadMemory((HANDLE)-1, (PVOID)&t, &pBuffer, sizeof(int), 0);30 printf("%X", pBuffer);31 ReadProcessMemory((HANDLE)-1, &t, &pBuffer, sizeof(int), 0);32 printf("%X", pBuffer);33

34 getchar();35 return 0;36 }

杂草小姐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2.API调用过程(3进0
My classmates
10-16 1564
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0与3共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
API函数调用过程(3进0
qq_41490873的博客
05-07 436
CPU不支持快速调用时使用断进0
Windows内核-3进0
qq_40712959的博客
12-07 1568
Windows API主要存放在C:\WINDOWS\system32下 Kennel32.dll:最核心功能模块,如管理内存、进程和线程相关的函数 User32.dll:Windows用户界面相关应用程序接口,如创建窗口和发送消息等 GDI32.dll:全称Graphical Device Interface(图形设备接口)包含用于画图和显示文本的函数,比如要显示一个程序窗口,就调用的函数来...
Windows系统调用学习笔记(二)—— 3进0
qq_41988448的博客
10-30 2651
Windows系统调用学习笔记(二)—— 3进0前言要点回顾基本概念_KUSER_SHARED_DATA0x7FFE0300实验:判断CPU是否支持快速调用第一步:修改EAX=1第二步:将当前汇编指令修改为cpuid第三步:清空ECX与EDX第四步:执行cpuid,观察结果第五步:观察EDX的SEP位(第11位)3进0基本步骤断门进0分析 KiIntSystemCall分析 INT 0...
计算机从3环到0环要学些什么,Windows系统调用API从3环到0(上)
weixin_28340315的博客
06-23 270
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用API从3环到0(上)这篇文章分为上下两篇,其上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用系统断),来实现通过系统断直接调用内核函数。一、结构体 _KUSER_SHARED_DATA该结构体看名字...
python调用windows api锁定计算机示例
12-24
调用Windows API锁定计算机 本来想用Python32直接调用,可是没有发现Python32有Windows API LockWorkStation(); 因此,就直接调用Windows DLL了 复制代码 代码如下:#!/usr/bin/env python#-*- coding:cp936 -*- ...
C#调用WINDOWS API函数,修改系统时间
06-17
本文将深入探讨如何在C#调用Windows API函数,特别是针对修改系统时间这一功能。 首先,理解系统时间和本地时间的概念至关重要。系统时间是计算机内部时钟所记录的时间,它不受地理位置或时区影响,通常以协调...
python3应用windows api对后台程序窗口及桌面截图并保存的方法
09-18
在介绍如何使用Python3结合Windows API进行后台程序窗口及桌面截图并保存的过程,首先需要了解相关技术和工具。Python是一种广泛使用的高级编程语言,以其简洁和高效著称,被广泛应用于数据科学、网络开发、自动化...
基于mfc的约瑟夫模拟器
10-15
在这个问题,人们围成一个圈,从某个人开始按顺序报数,每次数到特定数字的人会被排除出圈,然后从下一个人继续开始报数,直到只剩下最后一个人为止。在编程,我们通常使用链表数据结构来模拟这个过程,并通过...
c#调用api控制windows关机示例(可以重启/注销)
09-04
在C#编程,控制Windows系统的关机、重启或注销操作可以通过两种主要方式实现:调用Windows自带的`shutdown.exe`命令行工具和直接使用Windows API。这两种方法各有特点,适用于不同的场景。下面将详细解释这两种...
系统调用 1.API函数的调用过程(3进0)
Mikasys的博客
11-02 894
1.API函数的调用过程(3进0) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
系统调用001 API从三进零的过程
鬼手的博客
12-21 1682
文章目录前言逆向分析ReadProcessMemoryNtReadVirtualMemory_KUSER_SHARED_DATASystemCall通过int 0x2E断门进入零通过sysenter快速调用进入零总结总结 前言 在三操作系统提供了各种API,这些API实际上只是一个暴露在三的接口,真正的功能实现部分,最终都是要进到零。 逆向分析ReadProcessMemory ###...
Windows 0和3通信方式
maomao171314的专栏
08-03 617
0与3通讯
与三通信
my的博客
08-28 961
我们都知道,CPU有的概念。我们的所有可视化界面与任何的操作都在用户层进行,也就是口的"三"。在我们看不见的地方,比如驱动、硬件数据交互等操作,都在内核层执行,也就是"零"。的层数越低,权限相对越高。至于一与二,并未使用。......
第七章——Windows内核基础-内核理论基础(0通信,内核函数,驱动加载流程)...
weixin_30338481的博客
12-26 302
windowsR3与R0通信 当我们调用某个API的时候,这个API是被封装在某个DLL库,而DLL库的函数则是在更底层的ntdll.dll文件,而相对应的则是调用ntdll的Native API函数ntdll的Native API函数是成对出现,分别以Nt和Zw开头,在ntdll他们的本质是一样,只是名字不同。当API函数在ntdll执行时,首先会检查参数工作,接...
x64 0与3通信
最新发布
weixin_41725706的博客
11-07 230
流程示例: 鼠标点击窗口任意按钮—》由Windows封装成msg结构体----》给到应用程序窗口winpro—》得到对应的处理函数。3程序一般带有窗口,传递信息windows把msg结构体传送给3的窗口句柄,然后程序根据msg结构信息做出回应。0的驱动接收信息示例:使用windows定义的函数(如:CreateFileW,DeviceIoControl。)—》产生IRP结构体----》设备—》得到对应的处理函数。提示:对应的处理函数都是由用户自己定义。
0权限高还是3_0到3
weixin_26722031的博客
07-29 1163
0权限高还是3Most likely, you’re aware of the hardware “protection rings” in Intel Architecture processors — the familiar “Ring 0” for the kernel through “Ring 3” for userland. But, have you ever heard of...
11、OpenProcess
Windows内核学习笔记
07-18 297
neg指令 neg指令详细解释 规则: neg reg (对寄存器操作) neg mem(对内存操作) 作用:将目的操作数的所有数据位取反加1 影响的标志:进位标志(CF),零标志(ZF),符合标志(SF),溢出标志(OF),辅助进位标志(AF),奇偶标志(PF) 当操作数为0时,置CF位为0 当操作数不为0时,置CF位为1 sbb指令 sbb是带借位减法指令,它利用了CF位上记录的借位值。 指令格式:sbb 操作对象1,操作对象2 功能:操作对象1=操作对象1-操作对象2-CF 比如指令sbb ax,b
Windows API速查:60个常用系统调用详解
"Windows API是微软操作系统提供的一组接口,供开发者使用,以便与操作系统进行交互,实现更复杂的程序功能。这些API包括图形绘制、窗口管理、文件操作、系统信息获取等多个方面。以下是对部分常用API的详细解释: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值