逆向分析KiFastCallEntry

最新推荐文章于 2024-07-10 08:51:49 发布
最新推荐文章于 2024-07-10 08:51:49 发布
阅读量156 收藏
点赞数
分类专栏: 内核分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73368512/article/details/128166808
版权 
nt!KiFastCallEntry:
8504e360 b923000000      mov     ecx,23h
8504e365 6a30            push    30h
8504e367 0fa1            pop     fs                   ;加载内核fs段,30>>3=6,在GDT表索引为6,0环指向一个KPCR结构
8504e369 8ed9            mov     ds,cx                ;修改段寄存器
8504e36b 8ec1            mov     es,cx                ;修改段寄存器
8504e36d 648b0d40000000  mov     ecx,dword ptr fs:[40h]    ;ecx = TSS
8504e374 8b6104          mov     esp,dword ptr [ecx+4]     ;esp = TSS:ESP0,切换堆栈,ESP0指向内核KTRAP_FRAM结构
8504e377 6a23            push    23h          ;保存3环SS段                
8504e379 52              push    edx          ;保存3环esp
8504e37a 9c              pushfd               ;保存eflags
8504e37b 6a02            push    2            
8504e37d 83c208          add     edx,8        ;edx在KiFastSystemCall里保存了3环的esp,有2个返回地址,这里平栈
8504e380 9d              popfd                ;复位当前标志寄存器
8504e381 804c240102      or      byte ptr [esp+1],2  ;清除保存的3环标志寄存器
8504e386 6a1b            push    1Bh           ;保存cs
8504e388 ff350403dfff    push    dword ptr ds:[0FFDF0304h] ;保存EIP,KUSER_SHARED_DATA->fastcallret
8504e38e 6a00            push    0                   ;error code
8504e390 55              push    ebp                 ;保存各个寄存器
8504e391 53              push    ebx                 ;保存各个寄存器
8504e392 56              push    esi                 ;保存各个寄存器
8504e393 57              push    edi                 ;保存各个寄存器
8504e394 648b1d1c000
最低0.47元/天 解锁文章
和业建筑工程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2、逆向分析KiFastCallEntry
Windows内核学习笔记
07-23 286
sysenter指令做了那些事情 在 Ring3 的代码调用了 sysenter 指令之后,CPU 会做出如下的操作: 1. 将 SYSENTER_CS_MSR 的值装载到 cs 寄存器 174 2. 将 SYSENTER_EIP_MSR 的值装载到 eip 寄存器 176 3. 将 SYSENTER_CS_MSR 的值加 8(Ring0 的堆栈段描述符)装载到 ss 寄存器。 4. 将 SYSENTER_ESP_MSR 的值装载到 esp 寄存器 175 5. 将特权级切换到 Ring0 6. 如果
KiFastCallEntryHook
拉塞尔的博客
04-10 951
     先根据SSDTHook给SSDTTableBase下钩子(Hook掉NtSetEvent函数),然后通过调用ZwSetEvent函数进入FakeSetEvent函数,在FakeSetEvent函数中我们通过栈回溯(ebp+4)找到主调函数KiFastCallEntry的EIP(KiFastCallEntry函数Call NtXX函数指令的下一条指令处,被调函数执行完后主调函数会从EIP中...
KiFastCallEntry() 机制分析
无本之木
05-28 1161
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
KiFastCallEntry
Sunny_wwc的专栏
10-14 3075
<br /> PUBLIC _KiFastCallEntry<br />_KiFastCallEntry        proc<br /> <br />;此时:<br />;eax指向服务编号<br />;edx指向当前用户栈,edx+8为参数列表<br />;<br />; Sanitize the segment registers<br />;<br />        mov     ecx, KGDT_R3_DATA OR RPL_MASK    <br />        push    KG
inline hook KiFastCallEntry
Sunny_wwc的专栏
10-14 4497
#include "ntddk.h"#include "sysenterhook.h"#if DBG#define dprintf DbgPrint#else#define dprintf(x)#endif#define BYTE unsigned char #define MEM_TAG 'CQ'#define NT_DEVICE_NAME L"//Device//sysenterhook"#define DOS_DEVICE_NAME L"//DosDevices//sysenterhook"NTSTA
转30行Hook KiFastCallEntry
XboxMicro
02-19 846
膜拜一下 #include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("ROOTKIT: OnUnload called\n"); } __decl
挂钩KiFastCallEntry实现驱动级进程保护
06-12
本文将详细讨论如何通过挂钩KiFastCallEntry函数来实现这一目标。KiFastCallEntry是Windows内核中的一个关键系统调用入口点,它用于处理快速系统调用,因此在系统调用中扮演着至关重要的角色。 首先,我们要理解...
数字驱动分析笔记之HookPort1
08-03
- 此函数负责设置内核API过滤,挂接系统调用入口点(如KiFastCallEntry),以及创建各种回调,如IRP_MJ_CREATE等,用于监控和控制系统行为。 10. **IAT(Import Address Table)挂钩**: - HookPort利用IAT挂钩...
Hook-KiFastCallEntry.rar_钩子与API截获_Visual_C++_
08-11
Hook KiFastCallEntry监控系统调用这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。
ReloadKernel(重载内核全程分析)
02-25
下面将对这个过程进行详细的分析。 首先,"将内核文件加载到内存"是重载内核的第一步。内核是操作系统的核心,负责管理硬件资源、调度进程以及提供系统调用接口等。在重载过程中,新的内核映像文件(如.vmlinuz或 ...
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
OD插件之重载内核.rar
05-31
OllyDbg是一款流行的Windows平台下的逆向工程工具,常用于软件调试和分析。OD插件可以极大地增强其功能,尤其是在处理内核级驱动程序的调试时。例如,某些OD插件能帮助开发者查看和控制内核数据结构,跟踪系统调用,...
KiFastCallEntry自己理解
whowho的专栏
07-19 860
#define KI_USER_SHARED_DATA         0xffdf0000 #define SharedUserData  ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)   KUSER_SHARED_DATA 结构区域在 User 和 Kernel 层地址分别为: User 层地址为:0x7ffe0000
_KiFastCallEntry静态分析
qq_41490873的博客
06-13 176
.text:0040689F _KiFastCallEntry proc near ; DATA XREF: _KiTrap01+71o .text:0040689F ; KiLoadFastSyscallMachineSpecificRegisters(x)+24o .text:0040...
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 436
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
2.逆向分析KiFastCallEntry(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 778
每个线程KTRAP_FRAME 一个ESP0 TSS一个核一个 如果只有一个核,那么TSS存的ESP0永远是正在运行的线程的堆栈
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
热门推荐
Less Is More
05-27 1万+
为什么要写这篇文章 1.      因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3.      刚刚做完毕业设计,对
移动互联安全扩展要求测评项
最新发布
hakksjss的博客
07-10 1139
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值