系统调用之_KUSER_SHARED_DATA

最新推荐文章于 2025-01-07 09:21:54 发布
最新推荐文章于 2025-01-07 09:21:54 发布
阅读量601 收藏 9
点赞数 11
分类专栏: 系统调用 文章标签: windows c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxy_xx1/article/details/142953401
版权

当系统函数进入NT后代码:

mov eax,BE
mov edx,0x7ffe0300
call dword ptr[edx]

retn 10

_KUSER_SHARED_DATA(用户层与内核层分别定义了该结构,用户用户层与内核层共享数据。大小为4KB)

   布局

使用windbg查看该结构

 dt _kuser_shared_data -v

结构体有75个元素,使用了0x5f0个字节,并没有把所有空间使用完全。

分析_KUSER_SHARED_DATA 用户层与内核层是否共享同一块数据

        查看_KUSER_SHARED_DATA需要进入到程序进程。

        进入test.exe进程

        

        查看 _KUSER_SHARED_DATA用户层与内核层物理页是否相同

       

     User层和Kernel层映射同一个物理页。虽然它们指向的是同一个物理页,但在User层是只读的,在Kernel层是可写的。

_KUSER_SHARED_DATA结构偏移0x300

这个地方是一个SystemCall,查看一下对应的反汇编代码,看看OpenProcess函数的call dword ptr [edx]具体是做了什么。

该函数KiFastSystemCall,实际上就只有三行代码,首先把esp保存到edx,目的是为了在零环能够方便的找到三环的堆栈。接着用sysenter指令进到零环,最后通过ret指令返回。 

从三环进零环的方式有两种方式

当操作系统在启动的时候,需要初始化_KUSER_SHARED_DATA这个结构体,其中最重要的就是初始化0x300这个位置。操作系统要往这里面写一个函数,这个函数决定了所有的三环的API进入零环的方式。

操作系统在写入之前会通过cpuid这个指令来检查当前的CPU是否支持快速调用,如果支持的话,就往0x300这个位置写入KiFastSystemCall。如果不支持,则写入KiIntSystemCall。

KiIntSystemCall通过中断方式进入内核,不具体分析。

通过sysenter快速调用进入零环
想要从三环进入到零环首先必须要提权,提权需要切换CS SS EIP ESP。如果通过中断门进入零环,门描述符里保存有CS和EIP,而SS和ESP来自于TSS。

在了解sysenter指令之前,要先了解一个寄存器,叫MSR。操作系统并没有公开这个寄存器的内部细节。但是我们可以知道这个寄存器的部分含义:

0x174保存的是CS
0x175保存的是ESP
0x176保存的是EIP
如果想查看msr寄存器174就可以使用下面的指令:

kd> rdmsr 174
msr[174] = 00000000`00000008

sysenter快速调用指令完成的事情就是从msr寄存器里拿到174 175和176的值,覆盖原来寄存器的值。int 0x2E和sysenter两种进入零环的方式的本质都是切换寄存器。

通过msr寄存器只能拿到三个值,分别是CS ESP和EIP,那么SS来自于哪呢?这个SS的值实际上是写死的。

3、HOOK的封装
Windows内核学习笔记
07-26 292
_KUSER_SHARED_DATA kd> dt _KUSER_SHARED_DATA nt!_KUSER_SHARED_DATA +0x000 TickCountLowDeprecated : Uint4B +0x004 TickCountMultiplier : Uint4B +0x008 InterruptTime : _KSYSTEM_TIME +0x014 SystemTime : _KSYSTEM_TIME +0x020 TimeZoneB
2.API的调用过程(30
My classmates
10-16 1633
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0与3共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
[源码和文档分享]内核KUSER_SHARED_DATA共享区域的验证
qq_38474647的博客
12-30 287
背景 无论是在 32 位系统内存分布,还是在 64 位系统内存分布中,我们知道高地址空间分配给系统内核使用,低地址空间分配给用户程使用。 事实上,用户空间和内核空间其实有一块共享区域,大小为 4 KB。它们的内存地址虽然不一样,但是它们都是有同一块物理内存映射出来的。现在,本文就是要实现一个这样的程序,去验证这块共享区域的存在。 ...
_KUSER_SHARED_DATA
qq_41490873的博客
07-14 570
kd> dt _KUSER_SHARED_DATA +0x000 TickCountLow : Uint4B +0x004 TickCountMultiplier : Uint4B +0x008 InterruptTime : _KSYSTEM_TIME +0x014 SystemTime : _KSYSTEM_TIME +0x020 TimeZoneBias : _KSYSTEM_TIME +0x02c ImageNumberLow : Uint2B +0x02
_KUSER_SHARED_DATA 结构查看
huanongying131的博客
08-08 2426
windbg双机调试: kd> !dml_proc //1 Address PID Image file name 863df8a8 4 System 87863448 108 smss.exe ...
替换SharedUserData
04-26 2808
作 者: xIkUg时 间: 2007-01-18,14:01链 接: http://bbs.pediy.com/showthread.php?threadid=38180版本:1.0作者: xIkUg/RCT/CCG          xikug.xp [at] gmail [dot] com我常去的网站:http://debugman.wintoolspro.comhttp://www.fcg
R3-R0 系统调用(快速调用与中断门)
walker的博客
03-03 1143
简介 我们知道,通过驱动程序可以实现从用户态入内核态。而操作系统的 API 函数可以实现入内核态,那么这是如何实现的呢? 操作系统定义了一个用户程序和内核程序都可以访问的一个结构 _KUSER_SHARED_DATA ,而用户态下的该结构和内核态下的该结构都指向同一个物理内存。操作系统通过初始化该结构体,以实现 API 函数直接 call 该结构体下的 SystemCall 中的函数地址( KiFastSystemCall 或 KiIntSystemCall 函数),以实现从用户态入内核态。 _KU
KiFastCallEntry() 机制分析
无本之木
05-28 1251
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
2 系统调用
最新发布
史D芬周
01-07 110
API通过中断门入0有一个固定的中断号即0x2E,CS、EIP由中断门描述符提供,ESP、SS由TSS提供,入0之后执行的内核函数是nt!API通过SYSENTER指令入0,CS、ESP、EIP由MSR寄存器提供,SS由CS的值加0x8计算得出,入0之后执行的内核函数是nt!内核函数所在模块为:ntoskrnl.exe(10-10-12分页模式下使用)、ntkrnlpa.exe(2-9-9-12分页模式下使用)。
滴水逆向系统调用
若面朝大海边竹妮春暖花开的博客
02-16 1017
四、API函数的调用过程(保存现场) 了解KiSystemService需要了解几个结构体 无论是通过中断门还是KifastcallEntry入0三环的所有寄存器都会存到Trap_Frame结构体中 中断门当权限发生变化时,中断门会像0堆栈中压入五个值,分别是三环的ss,三环的esp,三环的eflag,三环的cs还有三环的eip 中断门入0提权会压入这五个值,KiSystem...
极好用的SHARED DATA 和 Pointer
04-06
用于重复类数据生成消费处理,一次性生成数据对象,多外使用,回收后内存又可以反复使用。 隆重推荐:TSharedPointer, TExplicitlySharedDataPointer 另有TSharedDataPointer也不错。
[检测&过检测] 重写 ReadProcessMemory 、WriteProcessMemory
墨鱼菜鸡
07-12 795
一、本文大纲 系统调用的两种方式:中断门和快速调用_KUSER_SHARED_DATA 结构使用 cpuid 指令判断当前CPU是否支持快速调用30需要更改的4个寄存器以 ReadProcessMemory 为例说...
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 941
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
内核模式下获取一段包含系统信息的内存
輚至消亡
07-12 341
内核空间内有一段特殊的空间,其保存了一些系统重要信息,在x64下位于: x86下位于: 这段内存保存有一个结构体, 这里仅列出x64的对应结构体: typedef struct _KUSER_SHARED_DATA { // // Current low 32-bit of tick count and tick count multiplier. // // N.B. The tick count is updated each time the clo.
【系统底层】系统调用(R3API调用过程详解)
子曰小玖的博客
10-20 1442
WindowsAPI API(Application Programming Interface),我们调用时只需提供正确的参数以及接收返回值就可以判断API执行是否成功或者通过GetLastError获得错误原因. 大部分API在R3都是处理各种校验,真正执行功能都是在R0(并不是所有的API都是在R0处理). 系统中几个核心DLL(Kernel32.dll,User32.dll,GDI32.dll,Ntdll.dll(大多数API通过此DLL入内核)). 通过API
驱动-系统调用
chengtoreal的博客
03-11 474
系统调用 在用户层与内核层分别定义了一个_KUSER_SHARED_DATA结构体,用于用户层与内核层共享某些数据 用户层地址为:0x7ffe0000 内核层地址为:0xffdf0000 虽然指向同一个物理页,用户层是只读的,内核层是可写的 所有应用程序共享的,一改全部都会改 如果调用函数,会调用0x7ffe0300是kifastsystemcall函数 kifastsystemcall函数 EAX放入调用号,edx是栈顶。MSR寄存器174-CS、175-ESP、176-EIP,SS是CS值+8
【2021.04.26】API函数的调用过程(Ring3Ring0):上
oalken的博客
04-26 740
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
[反调试 r0] —— KdDebuggerEnabled
LYSM
07-03 2274
理论基础 无论是在 32 位系统内存分布,还是在 64 位系统内存分布中,我们知道高地址空间分配给系统内核使用,低地址空间分配给用户程使用。 事实上,用户空间和内核空间其实有一块共享区域(KUSER_SHARED_DATA),大小为 4 KB。它们的内存地址虽然不一样,但是它们都是有同一块物理内存映射出来的,KdDebuggerEnabled 就在存放这一块内存里。 对于 32 位系统和 64 位系统来说,这块共享区域对应的内核地址范围以及对应用户空间的地址范围如下表所示: ???? 内核起始地
Windows系统调用学习笔记(二)—— 30
lzyddf的博客
10-30 2992
Windows系统调用学习笔记(二)—— 30前言要点回顾基本概念_KUSER_SHARED_DATA0x7FFE0300实验:判断CPU是否支持快速调用第一步:修改EAX=1第二步:将当前汇编指令修改为cpuid第三步:清空ECX与EDX第四步:执行cpuid,观察结果第五步:观察EDX的SEP位(第11位)30基本步骤中断门0分析 KiIntSystemCall分析 INT 0...
Windows API调用内核过程解析
"这篇文档详细介绍了Windows API调用的全过程,以ReadProcessMemory函数为例,阐述了从用户模式到内核模式的转换机制,涉及到的关键点包括Kernel32.dll、ntdll.dll、SSDT(系统服务描述表)以及_KUSER_SHARED_DATA...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值