read函数头文件 window_Windows系统调用中API的3环部分(依据分析重写ReadProcessMemory函数)...

最新推荐文章于 2023-01-30 22:22:23 发布
最新推荐文章于 2023-01-30 22:22:23 发布
阅读量352 收藏 2
点赞数
文章标签: read函数头文件 window
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39605578/article/details/112019652
版权

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html

Windows系统调用中API的3环部分

一、R3环API分析的重要性

Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。

很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。

现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。

重写ReadProcessMemory之后,这就会加大恶意代码截获的难度。

当然,对于自己来说也有很多弊端,比如只能在指定的操作系统中运行(32位与64位操作系统,其运行ReadProcessMemory的执行动作是不一样的,在64位运行32位程序,其中间会调用wow64cpu.dll来进行转换)

二、调试代码

1 #include "pch.h"

2 #include

3 #include

4 #include

5

6 intmain() {7 getchar();8 getchar();9 int a[4],t;10 printf("hello world!");11 getchar();12 getchar();13 //依次往 p 指针中写入数据,再用ReadProcessMemory读取数据

14 for (int i = 0; i < 4; i++) {15 WriteProcessMemory(INVALID_HANDLE_VALUE, &a[i], &i, sizeof(int),NULL);16

17 }18 for (int i = 0; i < 4; i++) {19 ReadProcessMemory(INVALID_HANDLE_VALUE, &a[i], &t, sizeof(int), NULL);20 printf("%d\n", t);21 }22 getchar();23 getchar();24

25 }

三、调试中的关键汇编代码(系统环境:在Windows7 32位操作系统 / 调试器:olldbg)

1. 在exe 中 调用 kernel32.ReadProcessMemroy函数

01314E3E    8BF4         mov esi,esp

01314E40    6A 00        push 0x0

01314E42    6A 04        push 0x4

01314E44    8D45 DC      lea eax,dword ptr ss:[ebp-0x24]

01314E47    50           push eax

01314E48    8B4D C4      mov ecx,dword ptr ss:[ebp-0x3C]

01314E4B    8D548D E8    lea edx,dword ptr ss:[ebp+ecx*4-0x18]

01314E4F    52           push edx

01314E50    6A FF        push -0x1

01314E52    FF15 64B0310>call dword ptr ds:[]; kernel32.ReadProcessMemory

01314E58    3BF4         cmp esi,esp

2. 在 kernel32.ReadProcessMemroy函数 中调用 jmp.&API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemory> 函数

// 该函数相当于什么也没做...

7622C1CE >  8BFF             mov edi,edi

7622C1D0    55               push ebp

7622C1D1    8BEC             mov ebp,esp

7622C1D3    5D               pop ebp                                                           ;

7622C1D4  ^ E9 F45EFCFF      jmp

3. 在 API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemo 中调用 KernelBa.ReadProcessMemory 函数

761F20CD  - FF25 0C191F7>jmp dword ptr ds:[; KernelBa.ReadProcessMemory

4. 在KernelBa.ReadProcessMemory 调用 函数

75DA9A0A >  8BFF         mov edi,edi

// 这两部分在编写函数时就会使用

75DA9A0C    55           push ebp

75DA9A0D    8BEC         mov ebp,esp

75DA9A0F    8D45 14      lea eax,dword ptr ss:[ebp+0x14]

75DA9A12    50           push eax

75DA9A13    FF75 14      push dword ptr ss:[ebp+0x14]

75DA9A16    FF75 10      push dword ptr ss:[ebp+0x10]

75DA9A19    FF75 0C      push dword ptr ss:[ebp+0xC]

75DA9A1C    FF75 08      push dword ptr ss:[ebp+0x8]

75DA9A1F    FF15 C411DA7>call dword ptr ds:[] ; ntdll.ZwReadVirtualMemory

5. 在 中调用 ntdll.KiFastSystemCall 函数

77A162F8 >  B8 15010000  mov eax,0x115  // 对应操作系统内核中某一函数的编号。

77A162FD    BA 0003FE7F  mov edx,0x7FFE0300  // 该地方是一个函数,该函数决定了什么方式进零环。

77A16302    FF12         call dword ptr ds:[edx]  ; ntdll.KiFastSystemCall

6. 在 ntdll.KiFastSystemCall 中 调用sysenter

77A170B0 >  8BD4         mov edx,esp

77A170B2    0F34         sysenter

77A170B4 >  C3           retn

四、汇编代码分析解读(根据三中的序号依次解读)

这部分是我们程序中调用ReadProcessMemory后编译器直接编译后的汇编代码,传入参数与API调用

在kenel32.dll中,mov edi,edi 是用于热补丁技术所保留的(函数开始处的MOV EDI, EDI的作用),这段代码仔细看其实除了jmp什么也没干。

转到kernelBase.dll中实现ReadProcessMemory。

这段汇编代码,将ReadProcessMemory中传入的参数再次入栈,调用ntdll.ZwReadVirtualMemory函数。

这段汇编代码看注释,eax中存放了一个编号,其就是在内核中的ReadProcessMemory实现;在 0x7FFE0300 处存放了一个函数指针,该函数指针决定了以什么方式进入0环(中断/快速调用)。

在ntdll.KiFastSystemCall调用sysenter。

五、重写ReadProcessMemory函数的思路

我们所看到的汇编代码,本质就是Windows所执行的步骤,我们依据上面的分析,完全可以重新写一个该函数,只需要关键部分。

1) 退而求其次

我们希望可以在自己的代码中直接使用 "sysenter",但经过编写发现其并没有提供这种指令。

因此在"sysenter"无法直接使用的情况下,只能退而求其次,调用ntdll.KiFastSystemCall函数。

2)传递参数,模拟call指令

ntdll.KiFastSystemCall函数需要借助ntdll.NtReadVirtualMemory传递过来的参数,然后执行call指令。

我们并不希望执行call指令执行,因为执行call指令意味着又上了一层。(多一层被钩取的风险)

我们希望自己的代码中直接传递参数,并且直接调用调用ntdll.KiFastSystemCall函数。

因此我们需要模拟call指令。call指令的本质就是将返回地址入栈,并跳转。我们不需要跳转,只需要将返回地址入栈(四个字节 使用 sub esp,4 模拟)

3)手动实现栈平衡

我们内嵌汇编代码后,需要手动平衡栈,我们只需要分析esp改变了多少(push、pop以及直接对esp的计算)。

经过分析共减少了24字节,所以代码最后应该有 add esp,24 来平衡栈。

六、ReadProcessMemory函数重写的实现(重点看汇编代码)

该代码是使用快速调用所编写的,如果想使用中断实现调用内核函数,请移步这里:Windows系统调用中API从三环到零环(下)

(执行结果)

1 #include "pch.h"

2 #include

3 #include

4 #include

5 void ReadMemory(HANDLE hProcess, PVOID pAddr, PVOID pBuffer, DWORD dwSize, DWORD *dwSizeRet)6 {7

8 _asm9 {10 lea eax, [ebp + 0x14]11 push eax12 push[ebp + 0x14]13 push[ebp + 0x10]14 push[ebp + 0xc]15 push[ebp + 8]16 sub esp, 4

17 mov eax, 0x115

18 mov edx, 0X7FFE0300 //sysenter不能直接调用,我间接call的

19 CALL DWORD PTR[EDX]20 add esp, 24

21

22 }23 }24 intmain()25 {26 HANDLE hProcess = 0;27 int t = 123;28 DWORD pBuffer;29 //hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0,a);

30 ReadMemory((HANDLE)-1, (PVOID)&t, &pBuffer, sizeof(int), 0);31 printf("%X\n", pBuffer);32 ReadProcessMemory((HANDLE)-1, &t, &pBuffer, sizeof(int), 0);33 printf("%X\n", pBuffer);34

35 getchar();36 return 0;37 }

原文出处:https://www.cnblogs.com/onetrainee/p/11704626.html

weixin_39605578
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
net-snmp-trap发送(c语言)
08-31
C语言net-snmp-trap发送代码,测试可行。
用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory
Tommy(凌飞)的专栏
08-24 5598
懒得自己写了,就转一个帖子吧。用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory/* jhxxs.C Author: Last Updated: 2006-03-23 This framework is generated by EasySYS 0.3.0 This te
Windows内核情景分析学习笔记(二)
weixin_44356908的博客
07-09 217
X86系统调用上 本文境 WinXP SP2 在Windows操作系统,应用层程序进行系统调用一般有两种途径,一种是通过int 0x2e的方式,一种是通过sysenter指令即快速调用进入系统调用。接下来将以ReadProcessMemory这个函数为例来介绍在X86下是如何进行系统调用通过的。主要讲解通过快速调用的方式进行系统调用 这是位于kernel32.dllReadProcessMemory mov edi, edi push ebp mov ebp,
现代dump技术及保护措施[Ms-Rem]
04-25 1230
鄙人拙译现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文有不错的讲解。在此文详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程一个重要的部分就是取得dump。关于dump的取得
QEMU断设备模拟
最新发布
lingshengxiyou的博客
01-30 765
object_new_eith_type函数调用type_initialize。main函数调用module_call_init函数,对之前插入到链表的所有TypeInfo调用init回调函数,对应的为hax_pic_register_types、hax_apic_register_types、hax_ioapic_register_types,这些回调函数将完成设备TypeInfo类型到TypeImpl类型的转换,并以name为键值插入到hash表完成类型的注册,至此完成了QOM的类型注册过程。
HOOKAPI.rar_API函数_asm hook_hook_hook api
09-20
ASM(汇编语言)HOOK API函数库是一种技术,它允许程序员在程序运行时拦截和修改特定的系统调用函数行为。Hook技术广泛应用于软件调试、性能监控、病毒检测、游戏修改等领域。在这个名为"HOOKAPI.rar"的压缩包,...
Windows_API.rar_API_API CSharp_windows api
09-21
本项目"Windows_API.rar_API_API CSharp_windows api"旨在讲解如何在C#有效地调用Windows API,帮助初学者掌握这一技术。 首先,调用Windows API通常涉及以下步骤: 1. 引入API函数Windows API函数定义在...
win_api.rar_API_WIN API_win api chm_windows api_windows api chm
09-24
"win_api.chm"是一个Windows帮助文件,它包含了详细的Windows API函数参考,是学习和查询API函数的重要工具。"www.pudn.com.txt"可能是一个网站链接或资源下载说明,可以进一步获取相关的学习资料和示例代码。 总的...
windows_API.rar_API_c/C++_windows_windows api
09-22
Windows API,全称为Windows应用程序接口(Application Programming Interface),是微软为开发者提供的用于编写在Windows操作系统上运行的应用程序的一组函数、结构体、常量和定义。这个API包含了丰富的功能,涵盖...
windows.h头文件
03-29
3. **函数声明**:windows.h包含了Windows API部分函数的声明,如CreateWindow、SendMessage、GetMessage等。这些函数覆盖了窗口管理、消息处理、内存管理、文件操作等多个领域。 4. **结构体定义**:例如MSG、...
[检测&过检测] 重写 ReadProcessMemory 、WriteProcessMemory
LYSM
07-12 2225
一、本文大纲 系统调用的两种方式:断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当前CPU是否支持快速调用 3进0需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重写 ReadProcessMemory 和 WriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3API开始,到进0,再到返回结果到3的全过程
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存
hucaiyu2009的专栏
07-14 1372
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存 这里只是简单的实现下读取进程空间的数据...写操做也是一样的....比较简单... 这样你就可以在内核读用户空间了....哈哈 大家都知道在用户态我们常用 kernel32.dllReadProcessMemory来读 取进程...这个函数只是简单地对传入的参数进行处理然后调用了 ntdll.dll的NtReadVirtualMemory/ZwReadVirtualMemo
API函数调用过程(三进0
H888001的博客
09-24 695
kernel32.dll(ReadProcessMemory)只是简单调用了 ntdll.dll(NtReadProcessmemory) .text:7C92D9E0 public ZwReadVirtualMemory .text:7C92D9E0 ZwReadVirtualMemory proc near ; CODE XREF: Ld...
python ctypes模块引入kernel32.dll时 调用ReadProcessMemory返回参数错误
qq_39431717的博客
06-28 2491
错误描述: 读取内存地址为 0x00642650 : kernerl32 = ctypes.windll.LoadLibrary(r"C:\Windows\System32\kernel32.dll") print(“kernerl32”,kernerl32) data1 = ctypes.c_long() kernerl32.ReadProcessMemory(int(phwnd),0x00642650 , ctypes.byref(data1), 4, None) 上述代码正常运行; 当读取64位程序
vfio 通过eventfd拿到kernel的
jason的笔记
04-10 4408
vfio是通过eventfd来将断提供给user space,当上层通过ioctl(VFIO_DEVICE_SET_IRQS)来设置断后,在kernelvfio_pci_ioctl->vfio_pci_set_irqs_ioctl->vfio_pci_set_msi_trigger,假定这时断的flag包含VFIO_IRQ_SET_DATA_EVENTFD 。 则vfio_msi_set
现代dump技术及保护措施(下)
FISH 的专栏
11-26 1847
现代dump技术及保护措施(下)Dynamic unpacking另一种对付dump的常用方法就是的 dynamic packing。其思想就是,protector并不将受保护的程序完全unpack,而只是unpack一部分。首先unpack第一页,当快要进行完时protector对异常进行拦截并unpack所请求的页,这时它就可以将上一页从内存删除。这样受保护进程的image在内存里从来都不曾
virtio的eventfd机制浅析
gavin4code的博客
11-10 5010
virtio的eventfd机制浅析标签(空格分隔): kvm virtio ioeventfdvirtio是KVM境下的I/O虚拟化的框架,目前已经使用到的虚拟化设备包括block、net、scsi,本质是guest os与host os间的一种高效通信机制。本文旨在对virtio通信用到的eventfd进行分析。为了描述简单,一般来说,称guest侧通知host侧的行为为kick,host侧通
Windows系统调用API的3部分
dz45693的专栏
10-22 2687
一、R3API分析的重要性 Windows所提供给R3API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析重写一个ReadProcessMemory重写ReadProcessMe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值