Windows内核情景分析学习笔记(五)

最新推荐文章于 2024-04-08 00:22:58 发布
最新推荐文章于 2024-04-08 00:22:58 发布
阅读量383 收藏 2
点赞数 1
文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44356908/article/details/108028316
版权

64位下 3环64位进程进行系统调用分析

以下将以ReadProcessMemory为例进行分析

kernel32.dll

			sub     rsp, 38h;
			mov     rax, [rsp+38h+lpNumberOfBytesRead];
			mov     [rsp+38h+var_18], rax ; 这是将第五个参数(存放以读数据字节数的地址)保存到一个局部变量中 
			call <JMP.&ReadProcessMemory>;调用kernelbase.dll中的ReadProcessMemory
			add     rsp, 38h;
			retn;

kernelbase.dll

            sub     rsp, 48h
            lea     rax, [rsp+48h+var_18]
            mov     [rsp+48h+var_28], rax
            call    cs:__imp_NtReadVirtualMemory 调用ntdll中的NtReadVirtualMemory
            mov     rdx, [rsp+48h+lpNumberOfBytesRead]
            test    rdx, rdx
            jnz     lpNumberOfBytesReadNotNull

ReadProcessMemoryEnd:                   
			test    eax, eax
			js      loc_7FF3889EE99
			mov     eax, 1
			add     rsp, 48h
			retn

ntdll.dll

ZwReadVirtualMemory:
   		   mov     r10, rcx        ; 此时r10 代表的是第一个参数的值 在这里即进程句柄
   		   mov     eax, 3Ch		;3ch 代表的是在内核中对应的SSDT表中对应的索引号,这里不详细展开对于SSDT的介绍	
    	  syscall                 ; 通过syscall便可以提权进入内核
    	  retn

可能有些读者会很奇怪 明明调用的是NtReadVirtualMemory 这里确实ZwReadVirtualMemory,其实在3环下Zw和Nt代表的是同一个函数,而在0环下Zw会通过系统调用界面调用到Nt函数。

下面介绍syscall具体做了哪些工作

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

以上是Inter手册的介绍,我们可以看出在执行syscall会有以下几项操作
1:将rip的值赋予rcx
2:将MSR_LSTAR(0xC0000082)寄存器里的值 赋予rip(KiSystemCall64)
3:将eflag赋给r11
4:将MSR_FMASK(0xC0000082)寄存器的值赋给eflag
5:MSR_STAR(0xC0000081)寄存器值的[32:47]的值赋给cs 加8赋给ss

接下来就是进入0环后的代码

JustO1ly
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
X86_64处理器系统调用机制在linux上的实现
chengwenyang的专栏
06-11 1326
syscall (X86) 硬件机制 X86 64位flat模式提供了快速系统调用硬件机制。使用syscall指令触发系统调用,CPU从用户态(Ring3)切换到特权态(Ring0),使用sysret指令,CPU从内核态切换到用户态。 注意:sysret指令和iret指令是CPU从内核态切换到用户态的两种方式 syscall 指令 执行sysenter指令,发生系统调用时,CPU硬件执行以下动作: 把MSR_LSTAR寄存器中的值加载到RIP寄存器,并把当前程序运行的下一条指令(即sysenter
二探win10 x64 SSDT(驱动学习笔记六)
rep_Su的博客
10-13 2992
二探win10 x64 SSDT0x0 C0000082的通解背景介绍寻找SSDT代码实现 0x0 C0000082的通解 背景介绍 在上一篇学习笔记中,我们曾说过,在win10 x64 1809专业版上 通过C0000082 MSR寄存器,我所得到的地址并非是nt!KiSystemCall64,而是nt!KiSystemCall64Shadow。 因此,我的权宜之计是读取地址后取一个偏移量将开...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8826
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
Linux x86平台获取sys_call_table(3),网络安全研发岗面试复盘总结
最新发布
2401_84139587的博客
04-08 875
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
VT Msr Hook Syscall
小烟的博客
02-26 643
VT Hook Syscall
windows 7 x64 下的 System Call
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-04 5395
很自然地 windows 7 x64 版本会使用 processor 提供的 syscall/sysret 指令来构造一个快速的调用系统服务例程机制。 ntdll!NtCreateDebugObject: 00000000`76d70680 4c8bd1          mov     r10,rcx 00000000`76d70683 b890000000      mov 
windows内核情景分析
12-26
windows内核情景分析,毛德操老师作品,喜欢的就下载吧!!
Windows内核情景分析下.zip
07-12
Windows内核情景分析下.zip
Windows 内核情景分析 下》(毛德操)
09-15
Windows 内核情景分析 下》是毛德操教授撰写的一本深入探讨Windows操作系统内核的专著。这本书是上册的延续,旨在为读者提供更深入、更全面的Windows核心开发与安全技术理解。毛德操教授是中国知名的计算机科学家...
Windows 内核情景分析 上》(毛德操)
09-15
Windows 内核情景分析 上》的PDF版本(《Windows 内核情景分析 上》.(毛德操).[PDF]&ckook.pdf)可能是扫描版或电子版,方便读者在电子设备上查阅学习,便于随时查阅和做笔记,加深对Windows内核的理解。...
Windows内核情景分析上.rar
07-12
Windows内核情景分析》是深入理解Windows操作系统内核的重要参考资料,主要涵盖了Windows操作系统的核心机制、系统调用、进程管理、线程调度、内存管理、设备驱动等方面的知识。本资料集将围绕这些主题进行详细...
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4167
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录。
Win7 64位的SSDTHOOK(1)---SSDT表的寻找
whatday的专栏
09-14 3244
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器 [cpp] view plain copy  
如何动态定位SSDT表 Win10 64位 1903
被遗弃的庸才博客
10-19 1907
对SSDT表有了解的朋友都知道在WIN64下的KeServiceDescriptorTable是没有被导出,所以我们只能动态的查找它的地址。 网上也有很多方法定位到ssdt表,其中较多的文章都是通过查找msr(c0000082)寄存器定位KiSystemCall64,然后通过搜索特诊码的方式找到KiSystemServiceRepeat,这里记录着KeServiceDescriptorTable...
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4846
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
某P保护之调戏权限清0的学习
kingswb的博客
06-19 1602
废话不多说啦,直接开干。 我们先来看看ValidAccessMask的值。 通过NtCreateDebugObject来定位。 uf  NtCreateDebugObject 地址为fffff800`04011f40 第一个地址就是_object_type的地址 我们想得到的ValidAccessMask存在TypeInfo中,偏移为0x40 由上图可以看出Val
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解
Doub1's Blog
11-23 1620
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解引言站在巨人的肩膀上实现代码通用的偏移计算方法 引言 很久没写博客了,水个博客,KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow的原理我就不写了,百度很多,主要这篇写如何定位x64下未导出的KeServiceDescriptorTable。 站在巨人的肩膀上 前辈们在之前已经找到了一个计算公式,通过读取msr寄存器的0xC0000082读取到
09 | 系统调用:公司成立好了就要开始接项目
草办的学习记录
11-11 201
本文仅作为学习记录,非商业用途,侵删,如需转载需作者同意。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值