windows驱动读取gdtr_构建内核HOOK框架

最新推荐文章于 2024-05-31 19:34:41 发布
最新推荐文章于 2024-05-31 19:34:41 发布
阅读量415 收藏
点赞数
文章标签: windows驱动读取gdtr
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36208265/article/details/112872392
版权

构建内核HOOK框架

2015-01-05 15:45:20

阅读:0次

感谢白帽子@0x01f的投稿,以下内容供安全爱好者参考学习,本文获得投稿奖励500元,即将打入作者账户,投稿请发送邮件至 huangyuan#360.cn。

分析漏洞或者提取病毒行为,调试器是必不可少的,不过面对rootkit或者其它有驱动辅助的程序,OD或者windbg硬上可能会蓝屏,驱动级的anti还是不容小觑的;此外不少企业或者团队还希望有自己的模拟器,可以去半自动跑一些样本。不管怎么说,内核HOOK框架都是必不可少的。

内核HOOK需要关注的类型并不多:SSDT、ShadowSSDT、IDT内核关口HOOK;文件系统过滤,可以自建控制设备和卷设备过滤,也可以使用MiniFilter;网络控制,TDI/WPF驱动必不可少,甚至需要自己的NDIS驱动;重点当然是内核入口,现在的主流是KiFastCallEntry,我们也是处理了这个点。

单纯的HOOK这些点以及加一些过滤是没有意义的,重要的还是人为地参与和控制。首先需要重载内核,即加载磁盘文件,而不使用系统正在使用的内核,考虑到磁盘文件可能也有问题,可以根据操作系统版本号加载自己的文件;调试框架也需要自己重新构建,最好自己定义结构采集进程信息,仿造windows的DebugPort;文件和注册表重定位,这个是比较重要的,也是记录行为的关键;驱动和应用层通信,通信可以有很多种方式,可以简单实用DeviceIoControl。

作为一个HOOK框架

最低0.47元/天 解锁文章
史炎巳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VT笔记(1)
kernweak的博客
06-24 2889
概念 硬件虚拟化技术,隐藏计算机资源物理性的一面,比如能把单个或多个物理资源,转化为一个或多个逻辑资源。 intel vt-x/或者amdv8(SVM) VT是一个驱动(.sys),由操作系统加载后,运行在每个cpu上,推翻原来的操作系统,然后os和app-r0和r3变成GUEST,建立特权层(host,vmm,hypervisor,root,-1),然后监控GUEST执行。 这样就可以简...
基于VT技术的HOOK流程图
吾无法无天的博客
03-27 4907
基于VT技术,无视PatchGuard MSR HOOK: EPT HOOK: Win10 1809测试:
Windows内核Dll注入(一)
最新发布
xsinlink的博客
05-31 809
近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。在早期开发中,就实现过DLL注入的功能,不过都是基于用户层的注入来实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是。下面的文章主要是针对HOOK函数的注入,这个函数是。
windows驱动读取gdtr_Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
weixin_31091881的博客
12-30 220
为什么要写这篇文章1.因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。2.碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数3.刚刚做完毕业设计,对使用中断来实...
js实现对象字典排序和base64+md5签名
baidu_38424904的博客
10-03 945
//md5加密方法
驱动的几种Hook方法
weixin_34345753的博客
06-29 2129
1. inline hook 黑客都喜欢用这个方法,很容易被杀毒软件查出来。 2. 在Device Stack中插入filter driver,也很容易被人看出来,并且你不能保证别人插在你之后。 3. 修改Dispatch函数的入口地址,例如bus hound就是这么干的。 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/11/30/226...
GDTR GDT LDTR LDT寄存器说明
05-19
GDTR GDT LDTR LDT 寄存器详解 GDTR(Global Descriptor Table Register)是 IA-32 处理器中的一种寄存器,用于存放全局描述符表(GDT)的基址和限长信息。GDT 是一个线性表,包含了系统中所有段描述符的信息,用于...
内核:内存管理1
08-03
`lgdt`指令用于加载GDT的值到GDTR,而`sgdt`指令则用于将GDTR的内容输出到内存中供调试使用。类似的,还有局部描述符表(LDT)用于进程私有的段描述符。 理解内存管理对于编写高效且可靠的驱动程序至关重要,尤其是...
linux 内核
12-09
Linux 内核 Linux 开发 112: .word 0x9A01 ! code read/exec !代码读、运行权限 113: .word 0x00C0 ! granularity=4096, 386 !粒度为 4096,类型为 386 114: 115: .word 0x07FF ! 8Mb - limit=2047 (2048*4096=8Mb) ...
Windows环境下32位汇编语言
04-02
Windows环境下32位汇编语言》是一本深入探讨在Windows操作系统中进行32位汇编编程的书籍,尤其适合那些对驱动编程感兴趣的读者。汇编语言是计算机科学的基础,它允许程序员直接与硬件交互,提供了对计算机底层操作...
X86_64体系结构(系统程序员手册)
02-21
寄存器GDTR和LDTR都扩展了以支持64位的基地址。 调用门描述符在32位模式下,调用门描述符提供了32位的指令指针(EIP);在64位模式下,调用门扩展后可以提供了64位的指令指针(RIP)。 IDT门描述符中断和自陷门都...
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
Windows xp下IDT Hook和GDT的学习
weixin_30950887的博客
04-03 180
一、前言   对于IDT第一次的认知是int 2e ,在系统调用的时候原来R3进入R0的方式就是通过int 2e自陷进入内核,然后进入KiSystemService函数,在根据系统服务调用号调用系统服务函数。而2e就是IDT(系统中断描述符表)中的索引位2e的项,而KiSystemService就是该项的例程函数,后来为了提升效率,有了系统快速调用,intel的的cpu通过sysen...
windows驱动读取gdtr_windows驱动内核编程
weixin_39728221的博客
12-21 241
image.png搭建驱动开发环境 sdk10 wdk10win7平台 降低警告级别8086CPU 16位汇编1982年 intel退出80286处理器,第一次提出保护模式在保护模式下,段寄存器存储的段基址,而是段选择子X86体系CPU支持三种模式实模式:兼容16位CPU的模式保护模式:操作系统所在模式虚拟8086模式:可以模拟多个8086执行多任务8086处理器的段寄存器...
Windows保护模式学习笔记(一)—— 段寄存器&GDT表
qq_41988448的博客
10-16 3945
保护模式学习笔记(一)前言保护模式参考书籍:段寄存器段寄存器的结构段寄存器的读写段寄存器的属性探测Attribute:探测Base:探测Limit:GDT表与LDT表GDT表段描述符段描述符的属性```P位``````G位``````S位``````Type域``````DPL```段描述符与段寄存器结构的对应关系段选择子加载段描述符到段寄存器 前言 海东老师牛逼! 保护模式 X86 CPU的...
windbg查看GDT表的基址和长度 段描述符查分实验 段选择子拆分实验
日志
09-28 1078
1.在windbg中查看GDT表的基址和长度 2.分别使用dd dq指令查看GDT表 3.段描述符查分实验 拆5个 4.段选择子拆分实验 追加练习 使用LES,LDS等指令修改段寄存器
Windows保护模式(一)段寄存器&GDT表
sky123博客
10-08 2267
段式内存管理是将内存划分成若干段,处理器在访问一个内存单元时通过“段基址+偏移”的方式计算出实际的物理地址。 在Intel x86处理器中,有专门的段寄存器,指定每条指令在访问内存时指定在哪个段上进行,以及该段的长度,读写属性,特权级别等。段式内存管理与页式内存管理关系如下图。 Windows采用了页式内存管理方案,在Intel x86处理器上,Windows不使用段来管理虚拟内存,但是,Intel x86处理器在访问内存时必须要通过段描述符,这意味着Windows将所有的段描述符都构造成了从基地址0开始
两种HOOK IDT方法
08-06 1761
IDT :就是系统中断表,是存放Windows的中断和异常的处理函数的表 IDT的数据结构:   typedef struct _IDTENTRY { unsigned short LowOffset; //处理函数的低2字节 unsigned short selector; //处理函数所在的段选择子 unsigned char retent...
简单的IDT HOOK介绍
liujiayu2的专栏
06-30 1679
IDT即中断描述表。当然系统发生中断时(有可能是CPU中断,也有可能是I/O中断等)。系统会通过中断向量查找IDT保存的ISR(中断服务程序)来调用相关的处理例程。IDT Hook就是替换这个ISR。 也许上面的过程你不是很明白。我们具体的了解下过程。 IDT是一个有256个入口的线性表。每个入口大小为8字节。每个入口值我们称为中断向量(0..255)。比如 int 30。30即中断向
MDK读取L3DG20TR设备ID
07-16
使用MDK(Keil uVision)来读取L3GDTR陀螺仪传感器的设备ID,你可以参考以下代码示例: ```c #include "stm32f10x.h" #include "stdio.h" #define L3GD20TR_ADDRESS 0xD7 // L3GD20TR I2C地址 #define L3GD20TR_WHO_AM_I 0x0F // 设备ID寄存器地址 void I2C_Init(void); uint8_t I2C_Read(uint8_t device_address, uint8_t reg_address); int main(void) { uint8_t deviceID; I2C_Init(); deviceID = I2C_Read(L3GD20TR_ADDRESS, L3GD20TR_WHO_AM_I); printf("Device ID: 0x%X\n", deviceID); while(1); } void I2C_Init(void) { I2C_InitTypeDef I2C_InitStructure; GPIO_InitTypeDef GPIO_InitStructure; // 开启I2C外设时钟 RCC_APB1PeriphClockCmd(RCC_APB1Periph_I2C1, ENABLE); // 开启GPIOB时钟 RCC_APB2PeriphClockCmd(RCC_APB2Periph_GPIOB, ENABLE); // 配置PB6和PB7引脚为复用推挽输出 GPIO_InitStructure.GPIO_Pin = GPIO_Pin_6 | GPIO_Pin_7; GPIO_InitStructure.GPIO_Mode = GPIO_Mode_AF_OD; GPIO_InitStructure.GPIO_Speed = GPIO_Speed_50MHz; GPIO_Init(GPIOB, &GPIO_InitStructure); // I2C外设配置 I2C_InitStructure.I2C_Mode = I2C_Mode_I2C; I2C_InitStructure.I2C_DutyCycle = I2C_DutyCycle_2; I2C_InitStructure.I2C_OwnAddress1 = 0x00; I2C_InitStructure.I2C_Ack = I2C_Ack_Enable; I2C_InitStructure.I2C_AcknowledgedAddress = I2C_AcknowledgedAddress_7bit; I2C_InitStructure.I2C_ClockSpeed = 100000; I2C_Init(I2C1, &I2C_InitStructure); // 使能I2C外设 I2C_Cmd(I2C1, ENABLE); } uint8_t I2C_Read(uint8_t device_address, uint8_t reg_address) { uint8_t data; // 发送开始信号 I2C_GenerateSTART(I2C1, ENABLE); // 等待起始信号发送完毕 while(!I2C_CheckEvent(I2C1, I2C_EVENT_MASTER_MODE_SELECT)); // 发送设备地址(写模式) I2C_Send7bitAddress(I2C1, device_address, I2C_Direction_Transmitter); // 等待设备地址发送完毕 while(!I2C_CheckEvent(I2C1, I2C_EVENT_MASTER_TRANSMITTER_MODE_SELECTED)); // 发送寄存器地址 I2C_SendData(I2C1, reg_address); // 等待寄存器地址发送完毕 while(!I2C_CheckEvent(I2C1, I2C_EVENT_MASTER_BYTE_TRANSMITTED)); // 重新发送起始信号 I2C_GenerateSTART(I2C1, ENABLE); // 等待起始信号发送完毕 while(!I2C_CheckEvent(I2C1, I2C_EVENT_MASTER_MODE_SELECT)); // 发送设备地址(读模式) I2C_Send7bitAddress(I2C1, device_address, I2C_Direction_Receiver); // 等待设备地址发送完毕 while(!I2C_CheckEvent(I2C1, I2C_EVENT_MASTER_RECEIVER_MODE_SELECTED)); // 禁用ACK I2C_AcknowledgeConfig(I2C1, DISABLE); // 清除ADDR标志位 __disable_irq(); (void)I2C1->SR2; __enable_irq(); // 发送停止信号 I2C_GenerateSTOP(I2C1, ENABLE); // 等待数据接收完毕 while(!I2C_CheckEvent(I2C1, I2C_EVENT_MASTER_BYTE_RECEIVED)); // 读取数据 data = I2C_ReceiveData(I2C1); return data; } ``` 上述代码使用STM32F10x系列微控制器通过I2C接口与L3GD20TR陀螺仪传感器通信。使用`I2C_Init`函数来初始化I2C外设,`I2C_Read`函数用于读取设备ID寄存器的值。在主函数中,我们调用`I2C_Read`函数来读取设备ID,并通过串口打印出来。 请注意,此代码是针对STM32F10x系列微控制器的,如果你使用的是其他系列的STM32微控制器,需要根据具体的芯片型号和引脚配置进行相应的修改。另外,此代码假设你已经将L3GD20TR正确连接到STM32微控制器的I2C引脚上,并正确配置了外设时钟和GPIO引脚。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值