Windows系统调用中API从3环到0环(下)

 Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html

Windows系统调用中API从3环到0环(下)

如果对API在三环的部分不了解的,可以查看 Windows系统调用中的API三环部分(依据分析重写ReadProcessMemory函数

上篇:Windows系统调用中API从3环到0环(上)

这篇文章分为上下两篇,其中上篇初步讲解大体轮廓,下篇着重通过实验来探究其内部实现,最终分析两个函数(快速调用与系统中断),来实现通过系统中断直接调用内核函数。

一、INT 0x2E进0环

  .text : 77F070C0            // 之前调用该函数时 mov eax, 0x115,向eax传入一个函数号
  .text : 77F070C0                 lea     edx, [esp + arg_4] // 当前参数的指针存储在 edx中
  .text : 77F070C4                 int     2Eh; // 通过中断门的形式进入到内核中

  1)在GDT表中查看0x2eh

    在保护模式的门这一节中,我们了解到当发生中断时,操作系统会查找idt表,根据中断号在idt表中找到中断门描述符,从中断门描述符中读取CS:EIP的信息。

    之后,SS EIP 通过搜索GDT表,该表中存放着各个TSS描述符(每个进程一个TSS,内核一个TSS,TSS存放各种寄存器用于任务切换),来查找内核的 SS EIP。

    如图:我们通过windbg来查找出该地址 gdt+2e*8

      

     根据中断门描述符属性将 83e8ee00`00082fee 拆分拼接之后可知SS:08 / EIP:83e82fee

      

  2)查看 EIP:83e82fee 这个函数

    kd> u 83e82fee
    nt!KiSystemService:
    83e82fee 6a00            push    0
    83e82ff0 55              push    ebp
    83e82ff1 53              push    ebx
    83e82ff2 56              push    esi
    83e82ff3 57              push    edi
    83e82ff4 0fa0            push    fs
    83e82ff6 bb30000000      mov     ebx,30h
    83e82ffb 668ee3          mov     fs,bx

    该 nt!KiSystemService函数是真正的内核函数,并不是ntdll.dll模块下,其存在于ntoskrnl.exe / ntkrnlpa.exe中(根据分页模式不同选用不同的程序)

二、通过 systenter进入0环

  MSR寄存器存着进入内核的 CS、ESP、EIP的寄存器的值,SS=IA32_SYSENTER_CS+8。

  

  1)windbg查看这个MSR寄存器的值

    rdmsr 174     //查看CS

    rdmsr 175    //查看ESP

    rdmsr 176    //查看EIP

    

  2)查看EIP这个函数

   kd> u 83e830c0
    nt!KiFastCallEntry:
    83e830c0 b923000000      mov     ecx,23h
    83e830c5 6a30            push    30h
    83e830c7 0fa1            pop     fs
    83e830c9 8ed9            mov     ds,cx
    83e830cb 8ec1            mov     es,cx
    83e830cd 648b0d40000000  mov     ecx,dword ptr fs:[40h]
    83e830d4 8b6104          mov     esp,dword ptr [ecx+4]
    83e830d7 6a23            push    23h
    其是调用nt!KiFastCallEntry这个函数,跟nt!KiSystemService一样,该函数是真正的内核函数。

三、通过中断来重写ReadProcessMemory函数(通过快速调用时的实现可以查看这篇Windows系统调用中的API三环部分(依据分析重写ReadProcessMemory函数))

 1 #include "pch.h"
 2 #include <iostream>
 3 #include <algorithm>
 4 #include <Windows.h>
 5 void  ReadMemory(HANDLE hProcess, PVOID pAddr, PVOID pBuffer, DWORD dwSize, DWORD  *dwSizeRet)
 6 {
 7
 8     _asm
 9     {
10
11         lea     eax, [ebp + 0x14]
12         push    eax
13         push[ebp + 0x14]
14         push[ebp + 0x10]
15         push[ebp + 0xc]
16         push[ebp + 8]
17         mov eax, 0x115
18         mov edx,esp
19         int 0x2e
20         add esp, 20
21     }
22 }
23 int main()
24 {
25     HANDLE hProcess = 0;
26     int t = 123;
27     DWORD pBuffer;
28     //hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0,a);
29     ReadMemory((HANDLE)-1, (PVOID)&t, &pBuffer, sizeof(int), 0);
30     printf("%X\n", pBuffer);
31     ReadProcessMemory((HANDLE)-1, &t, &pBuffer, sizeof(int), 0);
32     printf("%X\n", pBuffer);
33
34     getchar();
35     return 0;
36 }

 

    

  

原文地址:https://www.cnblogs.com/onetrainee/p/11706384.html

时间: 2024-08-01 05:32:10

Windows系统调用中API从3环到0环(下)的相关文章

Windows系统调用中API的3环部分(依据分析重写ReadProcessMemory函数)

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中API的3环部分 一.R3环API分析的重要性 Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的. 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图. 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个

Windows系统调用中的系统服务表描述符

 Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的系统服务表描述符 在前面,我们将解过 系统服务表.可是,我们有个疑问,系统服务表存储在哪里呢? 答案就是:系统服务表 存储在 系统服务描述符表中.(其又称为 SSDT Service Descriptor Table)  一.使用PELord函数从ntoskrnl.exe文件中查看SSDT导出函数 如图,可以看出KeServiceDes

Windows系统调用中的现场保存

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的现场保存 我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现. 但是我们是否考虑过CPU从三环进入零环时,其三环的寄存器该如何保存. 这一篇文件就来介绍其系统调用中的(三环)现场保存的问题. 一.几个重要的结构体介绍 1. _Ktrap_frame 该结构体简单来说用于三环的寄存器保存,存储于零环,由操作系统维护 详细信息可以查看

Windows系统调用中的系统服务表

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的系统服务表 如果这部分不理解,可以查看 Windows内核分析索引目录依次阅读. 我们在之前讲过系统调用过程中,给予eax一个编号,操作系统通过这个编号来执行某个内核函数. 这个函数是通过操作系统的系统服务表来查找的. 现在,我们来探究一下nt!KiFastCallEntry的反汇编代码,看看其如何查看系统服务表找到要执行的函数的. 一.

windows进程中的内存结构(好多API,而且VC最聪明)

在阅读本文之前,如果你连堆栈是什么多不知道的话,请先阅读文章后面的基础知识.   接触过编程的人都知道,高级语言都能通过变量名来访问内存中的数据.那么这些变量在内存中是如何存放的呢?程序又是如何使用这些变量的呢?下面就会对此进行深入的讨论.下文中的C语言代码如没有特别声明,默认都使用VC编译的release版.   首先,来了解一下 C 语言的变量是如何在内存分部的.C 语言有全局变量(Global).本地变量(Local),静态变量(Static).寄存器变量(Regeister).每种变量都

[转载]Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

原文地址:点击打开链接 为什么要写这篇文章 1.      因为最近在学习<软件调试>这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数. 2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3.      刚刚做完毕业设计,对使用中断来实现系统调用的方式记忆犹新. 以上原因导致我最近眼前总是出现系统调用这

linux下系统调用、API、系统命令,内核函数的区别与联系

1.系统调用: 应用程序和内核间的桥梁,是应用程序访问内核的入口点;但通常情况下,应用程序通过操作系统提供的API进行编程而不是使用系统调用直接编程; linux的全部系统调用加起来大约只有250个左右. 2.API: API常以c库(libc)的形式提供,c库提供了绝大部分API,每个系统调用在c库中都有对应的封装函数(通常封装函数与系统调用的名称相同).系统调用与c库函数并不是一一对应的,有些c库函数可能使用多个系统调用来实现,也有可能多个c库函数使用同一个系统调用来实现,也有些c库函数不使

玩转 Windows 10 中的 Linux 子系统(SSH服务)

在今年的 Build 2016 上,微软向全世界介绍了他们还处于 Beta 阶段的 Windows 下的 Linux 子系统Windows Subsystem for Linux(WSL),它可以让开发者们在 Windows 10 下通过 Bash shell 运行原生的 Ubuntu 用户态二进制程序.如果你参与了 Windows Insider 计划,你就可以在最新的 Windows 10 年度升级版的 Insider 构建版中体验这个功能了.Web 开发人员们不用再苦恼所用的 Window

Windows 多进程通信API总结

在一个大型的应用系统中,往往需要多个进程相互协作,进程间通信(IPC,Inter Process Communication)就显得比较重要了.在Linux系统中,有很多种IPC机制,比如说,信号(signal).管道(pipe).消息队列(message queue).信号量(semaphore)和共享内存(shared memory).套接字(socket)等,其实Windows操作系统也支持这些东西.在IBM的Developerworks发现了一篇关于Windows与Linux 之间IPC