[转](46)分析 INT 0x2E 和 sysenter

最新推荐文章于 2023-05-22 16:35:08 发布
最新推荐文章于 2023-05-22 16:35:08 发布
阅读量486 收藏 1
点赞数
原文链接:https://blog.csdn.net/Kwansy/article/details/109211912
版权

 

一、回顾

 

上次课我们学习了3环进0环的两种方式,分别是中断门和快速调用,如果CPU支持快速调用,那么_KUSER_SHARED_DATA 结构体的 SystemCall 属性指向的函数是 KiFastSystemCall;如果不支持,那么SystemCall 指向的函数是KiIntSystemCall。

 

执行 KiFastSystemCall,则使用快速调用的方式进0环;
执行 KiIntSystemCall,则使用中断门的方式进0环。

 

共同点是都要给0环提供新的CS,SS,EIP,ESP,只是提供的方式不同。中断门的CS,EIP从IDT表里获取,SS,ESP从TSS表里获取;快速调用的CS,EIP,ESP从MSR寄存器获取,SS是CS+8计算得到,至于MSR寄存器里的值,则是系统启动时就已经填好。

 

所以快速调用比中断门快就快在,快速调用不需要访问内存,而中断门需要读TSS和IDT表。

 

这节课,我们来详细分析 INT 2E 和 sysenter 做了哪些工作。

 

二、分析 INT 0x2E

 

KiIntSystemCall 触发了 2E 中断。用windbg看看2E号中断的中断门描述符,2E 右移3位(或者乘8)得到 0x170,加上 r idtr获取的IDT基址,可以计算出 2E号中断对应的描述符:8053ee00`0008e481

 

kd> r idtr
idtr=8003f400
kd> dq 8003f400+170
8003f570  8053ee00`0008e481 80548e00`00081780

 

在这里插入图片描述

 

拆分中断门描述符,可以得到新的CS是0008(系统代码段),EIP是 8053e481,这个是内核模块的 KiSystemService 函数。

 

kd> u 8053e481
nt!KiSystemService:
8053e481 6a00            push    0
8053e483 55              push    ebp
8053e484 53              push    ebx
8053e485 56              push    esi
8053e486 57              push    edi
8053e487 0fa0            push    fs
8053e489 bb30000000      mov     ebx,30h
8053e48e 668ee3          mov     fs,bx

 

接下来查看 TSS 表,首先看看tr寄存器的值,是0x28,然后看看TSS描述符:

 

kd> dq 8003f000
8003f000  00000000`00000000 00cf9b00`0000ffff
8003f010  00cf9300`0000ffff 00cffb00`0000ffff
8003f020  00cff300`0000ffff 80008b04`200020ab

 

TSS描述符是 80008b04`200020ab

 

在这里插入图片描述

 

所以TSS的地址就是 80042000,dd看一下:

 

kd> dd 80042000
80042000  0c458b24 8054acf0 8b080010 758b0855

 

所以ESP0 = 8054acf0, SS0 = 0010。

 

三、分析 sysenter

 

sysenter 是从 MSR 寄存器里读取 CS0,ESP0,EIP0,而SS0是通过CS0+8计算得来。我们可以用 rdmsr 指令在windbg里查看 MSR 寄存器,也可以用 wrmsr 修改MSR寄存器。

 

MSR地址
IA32_SYSENTER_CS174H
IA32_SYSENTER_ESP175H
IA32_SYSENTER_EIP176H

查看 CS,ESP,EIP

 

kd> rdmsr 174
msr[174] = 00000000`00000008
kd> rdmsr 175
msr[175] = 00000000`f8ac2000
kd> rdmsr 176
msr[176] = 00000000`8053e540

 

其中,EIP是 KiFastCallEntry 函数:

 

kd> u 8053e540
nt!KiFastCallEntry:
8053e540 b923000000      mov     ecx,23h
8053e545 6a30            push    30h
8053e547 0fa1            pop     fs
8053e549 8ed9            mov     ds,cx
8053e54b 8ec1            mov     es,cx
8053e54d 8b0d40f0dfff    mov     ecx,dword ptr ds:[0FFDFF040h]
8053e553 8b6104          mov     esp,dword ptr [ecx+4]
8053e556 6a23            push    23h

 

四、总结

 

API通过中断门进0环:

 

1)  固定中断号为0x2E
2)  CS/EIP由门描述符提供   ESP/SS由TSS提供
3)  进入0环后执行的内核函数:NT!KiSystemService

 

API通过sysenter指令进0环:

 

1)  CS/ESP/EIP由MSR寄存器提供(SS是算出来的)
2)  进入0环后执行的内核函数:NT!KiFastCallEntry

 

int 0x2e 和 sysenter 指令进0环后,分别调用了两个函数 KiSystemService 和 KiFastCallEntry。

 

下一篇博客,我将逆向分析 KiSystemService 和 KiFastCallEntry 这两个函数。


---------------------
作者:hambaga
来源:CSDN
原文:https://blog.csdn.net/Kwansy/article/details/109358719
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件

昵称正在加载
关注
汽车UDS诊断之通过标识符写入数据服务(0x2E)深度剖析
心骗小白话的博客
10-28 8805
WriteDataByIdentifier就是通过标识符写入数据服务,这里的标识符(ID)指的是数据标识符,也就是我们经常说的DID。 通过标识符写入数据 服务 描述 WriteDataByIdentifier 客户端向服务端请求写入一个DID对应标识的数据记录值。 1.英文术语 英文术语 翻译 WriteDataByIdentifier 通过标识符写入数据 WriteDataByIdentifier Request SID
c语言int 0x80,「JarvisOJ」系统调用——int $0x80/syscall[回顾JOJ level4——无.so]
weixin_39786141的博客
05-23 628
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?宏观上说,int $0x80是intel汇编层面的系统调用,而syscall也是系统调用,只不过是linux系统中c语言环境下的系统调用实体。只是层面不同,指的是一个东西。Linux 系统调用(SCI,system call interface)的实现机制实际上是一个多路汇聚以及分解的过程,该汇聚点就是 0x80 中断这...
Int 2e 与 Sysenter区别
weixin_34032779的博客
03-06 293
参考:张银奎《软件调试》第八章 Int 2e:   Windows将2e号向量专门用作系统调用,在启动早起初始化中断描述表时便注册好了适合的服务例程。因此当NtDll中的NtReadFile发出int 2e指令后,cpu便会通过idt表找到KisystemService函数。因为KiSystemService函数是位于内核空间的,所以cpu在把执行权交给KiSystemService函数前,...
sysenter & int 2e
最新发布
qq_50242229的博客
05-22 139
sysenter进入0环直接从MSR寄存器获取寄存器的值中断门进入0环需要查内存(TSS\IDT)获取寄存器的值。
SYSENTER——快速系统调用
whatday的专栏
12-27 1923
SYSENTER用来快速调用一个0层的系统过程。SYSENTERSYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYSENTER_CS:一个32位值
SYSENTER/SYSEXIT指令
移动开发记录
11-07 273
一、简介 sysenter 指令可用于特权级 3 的用户代码调用特权级 0 的系统内核代码,而 SYSEXIT 指令则用于特权级 0 的系统代码返回用户空间中。sysenter 指令可以在 3,2,1 这三个特权级别调用(Linux 中只用到了特权级 3),而 SYSEXIT 指令只能从特权级 0 调用。 sysenter/sysexit 和 int n/iret 指令的一个区别,...
SYSENTER-hook.rar_C_specific_handler_SYSENTER_hook sysenter_obta
09-24
在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的 调用都是通过 call/trap/task这一类的gate来实现的,这种方式会进行栈切换,并且系统栈的...
深入分析SYSENTER指令及其在C语言中的特定处理器应用
在早期的x86架构中,系统调用是通过INT 0x2E中断指令来实现的,这要求进行栈切换,并且需要从任务状态段(TSS)获取新的栈地址等信息。这种方式效率低下,因为它涉及多次内存访问,导致系统调用延迟。 **SYSENTER...
linux内核学习笔记(二)_系统调用过程
03-03 274
系统调用 1.异常。通过两种不同方式:INT $80和sysenterINT $80是老版本常用的。但也需要维持新老的兼容性。 通过异常的形式产生一个同步中断,生成中断向量。 2.cpu内核态,保护现场。 1)临时存储ss、ds、esp,ss,pc到内存tss。此时这几个寄存器还是用户态的值。 intel 的编程手册里这样描述这个过程 pc->中断向量表(I...
2、逆向分析KiFastCallEntry
Windows内核学习笔记
07-23 328
sysenter指令做了那些事情 在 Ring3 的代码调用了 sysenter 指令之后,CPU 会做出如下的操作: 1. 将 SYSENTER_CS_MSR 的值装载到 cs 寄存器 174 2. 将 SYSENTER_EIP_MSR 的值装载到 eip 寄存器 176 3. 将 SYSENTER_CS_MSR 的值加 8(Ring0 的堆栈段描述符)装载到 ss 寄存器。 4. 将 SYSENTER_ESP_MSR 的值装载到 esp 寄存器 175 5. 将特权级切换到 Ring0 6. 如果
了解自陷指令 int 0x2e 和操作系统实现系统调用的基本原理
bcbobo21cn的专栏
01-23 2030
绝大多数CPU都设有专门的自陷指令,系统调用通常就是靠自陷指令实现的;
int 2e进内核
uuty的专栏
04-05 5308
一直很奇怪为啥ntdll里的 int 2e是咋进入内核的,不是说中断在ring 3下都不能用的吗? 可这样ntdll不也不中了? 回头用个程序一试 int 0x2e 果然没事,没出错,,int 0x20 就会出错,但出错的具体过是cpu的事,用sice也只是显示错在那一条,后来在书上找到了(linux的书 ...)Makes sure the interrupt was issued by an
跟我学UDS(ISO14229) ———— 0x2E(WriteDataByIdentifier)
永远的菜鸡小詹的博客
06-17 3757
  该服务是请求写入提供的 DID 指定的数据。该服务允许客户端在由提供的 DID 指定的内部位置将数据写入服务器。数据并且可能会受到保护,也有可能不受到保护。0x2C(DynamicallyDefineDataIdentifier)服务不得与此服务一起使用。   在执行此服务时,如何满足写入的条件应有主车厂定义清楚。 该服务的可能用途是: —— 将配置信息编程到服务器中(例如VIN号码); —— 清除非易失性存储器 —— 重置学习价值 —— 设置选项内容。 服务器可以限制或禁止对某些 DID 值(由系统
0x2E.SQL手工注入漏洞测试(SQLite数据库)
qq_31679787的博客
11-14 305
通过加单引号及使用and进行判断存在sql注入; 使用order by测试存在4列; 通过联合查询得到显示位; 通过sqlite_master隐藏表爆表名及建表语句; 建表语句中可以得到表名及列名,可以爆出数据; Md5解密后得到密码; 登录得到key; SQLite存在sqlite_maste...
sysenter HOOK反OD调试
_KaQqi的博客
05-12 2153
sysenter指令: SYSENTER用来快速调用一个0层的系统过程。SYSENTERSYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYS
SYSENTER指令
信息安全
05-12 1892
简单说来就是User模式向System模式的一种调用。做过Native API编程的话应该就知道,即使是看起来像内核的NTDLL.dll也只不过是Ring3级的,最终的系统调用是由ntoskrnl.exe程序向内核发送IO请求,然后内核与驱动程序返回执行结果。这个调用的中间步骤就是用SYSENTERSYSEXIT来实现,以达到保护模式的作用。以下是自CSDN的一篇详细一点的文章。SYSENTE
SYSENTER指令相关(大段的载-_-)
kendyhj9999的专栏
12-22 2243
SYSENTER指令相关(大段的载-_-) 在 Intel 的软件开发者手册第二、三卷(Vol.2B,Vol.3)中,4.8.7 节是关于 sysenter/sysexit 指令的详细描述。手册中说明,sysenter 指令可用于特权级 3 的用户代码调用特权级 0 的系统内核代码,而 SYSEXIT 指令则用于特权级 0 的系统代码返回用户空间中。sysenter 指 令可以在 3,
SYSENTER-HOOK
qq_31507523的博客
06-07 710
SYSENTER-HOOK 实验环境:win7虚拟机 示例是对内核层进行SYSENTER-HOOK实现保护进程的功能 SYSENTER-HOOK也成称为KiFastCallEntry-Hook,它相当于是内核层的Inline-Hook,通过修改SYSENTER_EIP_MSR 寄存器使其指向我们自己的函数,那么我们就可以在自己的的函数中对所有来自3环的函数调用进行第一手过滤。 一会儿会用到的API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值