Windows内核情景分析学习笔记(二)

最新推荐文章于 2023-10-06 19:42:57 发布
最新推荐文章于 2023-10-06 19:42:57 发布
阅读量208 收藏
点赞数 1
文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44356908/article/details/107232160
版权

X86系统调用上

本文环境 WinXP SP2
在Windows操作系统中,应用层程序进行系统调用一般有两种途径,一种是通过int 0x2e的方式,一种是通过sysenter指令即快速调用进入系统调用。接下来将以ReadProcessMemory这个函数为例来介绍在X86下是如何进行系统调用通过的。主要讲解通过快速调用的方式进行系统调用

这是位于kernel32.dll中的ReadProcessMemory
			mov     edi, edi
			push    ebp
			mov     ebp, esp
			lea     eax, [ebp+nSize]
			push    eax             ; 以下几行功能为将提供的参数进行压栈以作为NtReadVirtualMemory这个函数的参数
			push    [ebp+nSize]     ; 
			push    [ebp+lpBuffer]  ; 
			push    [ebp+lpBaseAddress] ; 
			push    [ebp+hProcess]  ; 
			call    ds:__imp__NtReadVirtualMemory@20 ; 调用位于ntdll.dll中的NtReadVirtualMemory
			mov     ecx, [ebp+lpNumberOfBytesRead]
			test    ecx, ecx
			jnz     short loc_7C8021F9
loc_7C8021EE:
			test    eax, eax
			jl      short loc_7C802200
			xor     eax, eax
			inc     eax
loc_7C8021F5:
			pop     ebp
			retn    14h
loc_7C8021F9:                           
            mov     edx, [ebp+nSize]
            mov     [ecx], edx
            jmp     short loc_7C8021EE
loc_7C802200:                           
            push    eax             ; 
            call    _BaseSetLastNTError@4 ; 
            xor     eax, eax
            jmp     short loc_7C8021F5

这是位于ntdll.dll中的NtReadVirtualMemory也可以认为是ZwReadVirtualMemory,在应用层中Nt函数跟Zw函数是同一个函数
			mov     eax, 0BAh       ;用eax存储函数的调用号(这个需要了解SSDT表才知道用处)
			mov     edx, 7FFE0300h;
			call    dword ptr [edx];调用系统预先设置好的进入函数
			retn    14h

在内存中存在KUSER_SHARED_DATA这样结构的区域,位于虚拟地址的0x7FFE0000和0xffdf0000,这两个虚拟地址都指向同一个物理地址,但区别在于位于内核的虚拟地址页拥有可读可写的权限而应用层只有读权限。
回到正题,该结构如下所示

nt!_KUSER_SHARED_DATA
+0x000 TickCountLow : Uint4B
+0x004 TickCountMultiplier : Uint4B
+0x008 InterruptTime : _KSYSTEM_TIME
+0x014 SystemTime : _KSYSTEM_TIME
+0x020 TimeZoneBias : _KSYSTEM_TIME
+0x02c ImageNumberLow : Uint2B
+0x02e ImageNumberHigh : Uint2B
+0x030 NtSystemRoot : [260] Uint2B
+0x238 MaxStackTraceDepth : Uint4B
+0x23c CryptoExponent : Uint4B
+0x240 TimeZoneId : Uint4B
+0x244 Reserved2 : [8] Uint4B
+0x264 NtProductType : _NT_PRODUCT_TYPE
+0x268 ProductTypeIsValid : UChar
+0x26c NtMajorVersion : Uint4B
+0x270 NtMinorVersion : Uint4B
+0x274 ProcessorFeatures : [64] UChar
+0x2b4 Reserved1 : Uint4B
+0x2b8 Reserved3 : Uint4B
+0x2bc TimeSlip : Uint4B
+0x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE
+0x2c8 SystemExpirationDate : _LARGE_INTEGER
+0x2d0 SuiteMask : Uint4B
+0x2d4 KdDebuggerEnabled : UChar
+0x2d5 NXSupportPolicy : UChar
+0x2d8 ActiveConsoleId : Uint4B
+0x2dc DismountCount : Uint4B
+0x2e0 ComPlusPackage : Uint4B
+0x2e4 LastSystemRITEventTickCount : Uint4B
+0x2e8 NumberOfPhysicalPages : Uint4B
+0x2ec SafeBootMode : UChar
+0x2f0 TraceLogging : Uint4B
+0x2f8 TestRetInstruction : Uint8B
+0x300 SystemCall : Uint4B
+0x304 SystemCallReturn : Uint4B
+0x308 SystemCallPad : [3] Uint8B
+0x320 TickCount : _KSYSTEM_TIME
+0x320 TickCountQuad : Uint8B
+0x330 Cookie : Uint4B

可以看出0x7FFE0300h这个地址上存储的为 SystemCall 该值在系统初始化时便会赋值,如果CPU支持快速调用这种方式则会被赋值KiFastSystemCall()这个函数地址,不支持则赋值为KiIntSystemCall()这个函数地址。

下面便是支持系统调用的KiFastSystemCall
			mov     edx,esp    ;使edx指向此时的栈顶
			sysenter		   ;

下面我们了解下sysenter这个指令做了什么
通过inter白皮书我们可以知道

这里是引用

该指令会做如下操作
1:IA32_SYSENTER_CS MSR寄存器中的值放入CS且加8后放入SS
2:IA32_SYSENTER_ESP MSR寄存器中的值放入ESP
3:IA32_SYSENTER_EIP MSR寄存器中的值放入EIP
4:将当前的权限设置为内核权限
5:清空ELAGS寄存器中的VM标志位
6:开始指向EIP所指向的代码

以上便为3环进入0环的全过程 如果存在错误,请务必私信或者留言,万分感谢

JustO1ly
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言内核读写内存
07-22
易语言内核读写内存源码,内核读写内存,MyZwWriteVirtualMemory,取出指针,缓存指针,NrWriteVirtualMemory,NrReadVirtualMemory,NtOpenProcess,取系统位数,申请自身内存,GetProcAddress,GetModuleHandleA,取模块函数入口,写自身字节集内存,Call,取自身进程ID,十
windows内核情景分析
12-26
windows内核情景分析,毛德操老师作品,喜欢的就下载吧!!
用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory
Tommy(凌飞)的专栏
08-24 5576
懒得自己写了,就转一个帖子吧。用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory/* jhxxs.C Author: Last Updated: 2006-03-23 This framework is generated by EasySYS 0.3.0 This te
现代dump技术及保护措施[Ms-Rem]
04-25 1212
鄙人拙译现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程中一个重要的部分就是取得dump。关于dump的取得
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存
hucaiyu2009的专栏
07-14 1367
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存 这里只是简单的实现下读取进程空间的数据...写操做也是一样的....比较简单... 这样你就可以在内核读用户空间了....哈哈 大家都知道在用户态我们常用 kernel32.dll中的ReadProcessMemory来读 取进程...这个函数只是简单地对传入的参数进行处理然后调用了 ntdll.dll中的NtReadVirtualMemory/ZwReadVirtualMemo
API函数的调用过程(三环进0环)
H888001的博客
09-24 680
kernel32.dll(ReadProcessMemory)只是简单调用了 ntdll.dll(NtReadProcessmemory) .text:7C92D9E0 public ZwReadVirtualMemory .text:7C92D9E0 ZwReadVirtualMemory proc near ; CODE XREF: Ld...
Windows内核情景分析下.zip
07-12
Windows内核情景分析下.zip
Windows 内核情景分析 下》(毛德操)
09-15
Windows 内核情景分析 下》是毛德操教授撰写的一本深入探讨Windows操作系统内核的专著。这本书是上册的延续,旨在为读者提供更深入、更全面的Windows核心开发与安全技术理解。毛德操教授是中国知名的计算机科学家...
Windows 内核情景分析 上》(毛德操)
09-15
Windows 内核情景分析 上》的PDF版本(《Windows 内核情景分析 上》.(毛德操).[PDF]&ckook.pdf)可能是扫描版或电子版,方便读者在电子设备上查阅学习,便于随时查阅和做笔记,加深对Windows内核的理解。...
Windows内核情景分析上.rar
07-12
Windows内核情景分析》是深入理解Windows操作系统内核的重要参考资料,主要涵盖了Windows操作系统的核心机制、系统调用、进程管理、线程调度、内存管理、设备驱动等方面的知识。本资料集将围绕这些主题进行详细...
Windows 内核情景分析 上》.(毛德操)扫描版
03-27
不想挣分,但必填。 aaaaaaaa,欢迎大家共享资源,纯为共享。
Windows系统调用中API的3环部分
dz45693的专栏
10-22 2674
一、R3环API分析的重要性 Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
现代dump技术及保护措施(下)
FISH 的专栏
11-26 1837
现代dump技术及保护措施(下)Dynamic unpacking另一种对付dump的常用方法就是的 dynamic packing。其思想就是,protector并不将受保护的程序完全unpack,而只是unpack一部分。首先unpack第一页,当快要进行完时protector对异常进行拦截并unpack所请求的页,这时它就可以将上一页从内存中删除。这样受保护进程的image在内存里从来都不曾
x64内核实验5-API进0环
最新发布
qq_43147121的博客
10-06 802
今天开始我们来分析系统api进0环的过程。
对抗packer-AntiMida 1.0
04-26 1767
AntiMida 1.0Click here to download the project files.This article is just for fun, dont take it too serious. Some time ago a friend (Littleluk) asked me if i was interested in helping him with the
NT函数读内存 NtReadVirtualMemory
qq_35129925的博客
03-29 5901
typedef NTSTATUS(NTAPI*Ptr_NtReadVirtualMemory)( IN HANDLE ProcessHandle, IN PVOID BaseAddress, OUT PVOID Buffer, IN ULONG NumberOfBytesToRead...
c# 无法加载oraops.dll_内存加载Seatbelt的实现
weixin_39809540的博客
11-28 146
0x00 前言Seatbelt是一个C#项目,可以用来对主机进行安全检查,在进攻和防御的角度都能发挥作用。通过一条命令,就能够获得当前主机的多项配置信息,方便实用。为了能够扩展Seatbelt的使用场景,在不修改Seatbelt任何代码的前提下,本文将要介绍两种通过内存加载Seatbelt的方法(Assembly.Load和execute-assembly),分别补全向.NET程序集的M...
简单的内存监视实现
weixin_30700099的博客
08-28 129
简单的内存监视实现 前言:   前段时间学习了API HOOK,对这技术也略知一,决定利用这技术实现个小功能。 以前有用过某工具,可以偷取别人外挂的功能地址,当时想想觉得挺不可思议的,如今了解API HOOK后,觉得这功能也就那样。 废话不多说,进入正题。 一、 HOOK WriteProcessMemory 首先看看WriteProcess...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值