大家好,又见面了,我是你们的朋友全栈君。
一、本文大纲
- 系统调用的两种方式:中断门和快速调用
- _KUSER_SHARED_DATA 结构
- 使用 cpuid 指令判断当前CPU是否支持快速调用
- 3环进0环需要更改的4个寄存器
- 以 ReadProcessMemory 为例说明系统调用全过程
- 重写 ReadProcessMemory 和 WriteProcessMemory
- int 0x2e 和 sysenter 都做了什么工作?
二、中断门和快速调用
以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程。
系统调用有中断调用和快速调用两种方式,中断调用是通过中断门进0环,此过程需要查IDT表和TSS表;
快速调用则是使用 sysenter 指令进0环,这种方式不需要查内存,而是直接从CPU的MSR寄存器中获取所需数据,所以称为快速调用
三、_KUSER_SHARED_DATA 结构
7ffe0000
ffdf0000
此结构体由操作系统负责初始化,其偏移 0x300 处有一个 SystemCall 属性,是个函数指针。
代码语言:javascript复制nt!_KUSER_SHARED_DATA
0x000 TickCountLow : Uint4B
0x004 TickCountMultiplier : Uint4B
0x008 InterruptTime : _KSYSTEM_TIME
0x014 SystemTime : _KSYSTEM_TIME
0x020 TimeZoneBias : _KSYSTEM_TIME
0x02c ImageNumberLow : Uint2B
0x02e ImageNumberHigh : Uint2B
0x030 NtSystemRoot : [260] Uint2B
0x238 MaxStackTraceDepth : Uint4B
0x23c CryptoExponent : Uint4B
0x240 TimeZoneId : Uint4B
0x244 Reserved2 : [8] Uint4B
0x264 NtProductType : _NT_PRODUCT_TYPE
0x268 ProductTypeIsValid : UChar
0x26c NtMajorVersion : Uint4B
0x270 NtMinorVersion : Uint4B
0x274 ProcessorFeatures : [64] UChar
0x2b4 Reserved1 : Uint4B
0x2b8 Reserved3 : Uint4B
0x2bc TimeSlip : Uint4B
0x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE
0x2c8 SystemExpirationDate : _LARGE_INTEGER
0x2d0 SuiteMask : Uint4B
0x2d4 KdDebuggerEnabled : UChar
0x2d5 NXSupportPolicy : UChar
0x2d8 ActiveConsoleId : Uint4B
0x2dc DismountCount : Uint4B
0x2e0 ComPlusPackage : Uint4B
0x2e4 LastSystemRITEventTickCount : Uint4B
0x2e8 NumberOfPhysicalPages : Uint4B
0x2ec SafeBootMode : UChar
0x2f0 TraceLogging : Uint4B
0x2f8 TestRetInstruction : Uint8B
0x300 SystemCall : Uint4B
0x304 SystemCallReturn : Uint4B
0x308 SystemCallPad : [3] Uint8B
0x320 TickCount : _KSYSTEM_TIME
0x320 TickCountQuad : Uint8B
0x330 Cookie : Uint4B
操作系统启动时,通过CPUID指令,判断CPU是否支持快速调用,根据判断结果,在 0x300 SystemCall 处填写不同的函数指针。
当CPU支持快读调用,SystemCall 指向 ntdll.dll!KiFastSystemCall() 当CPU不支持快速调用,SystemCall 指向 ntdll.dll!KiIntSystemCall()
观察该结构体的名字,意思为“内核-用户共享内存”。 3环通过地址 0x7ffe0000 可以访问到这个结构体,3环PTE属性是只读; 0环通过地址 0xffdf0000 可以访问到这个结构体,0环PTE属性是可读写。
这两个线性地址映射的是同一个物理页。
四、CPUID 指令
通过CPUID指令查看当前CPU是否支持快速调用,方法是将EAX值设置为1,然后调用CPUID指令,指令执行结果存储在ECX和EDX中,其中EDX的SEP位(11位)表明CPU是否支持快速调用指令 sysenter / sysexit。
可以看到,在我的电脑中执行CPUID指令后,EDX(…BFF)的11位是1。
五、3环进0环需要更改的4个寄存器
- CS的权限由3变为0 意味着需要新的CS
- SS与CS的权限永远一致 需要新的SS
- 权限发生切换的时候,堆栈也一定会切换,需要新的ESP
- 进0环后代码的位置,需要EIP
简单复习一下,中断门进0环时,我们在IDT表里填的中断门描述符,包含了0环的CS和EIP,而SS和0环的ESP是在TSS里存储的,当时我们还有一个结论,windows里不使用任务,所以TSS的唯一作用就是提权时提供ESP0和SS0。
现在,我们知道了进0环需要更改的4个寄存器,接下来分析 KiFastSystemCall 和 KiIntSystemCall 时,只要明白一点,这两个函数做的事情就是更改这4个寄存器。
六、以 ReadProcessMemory 为例说明系统调用全过程
大家可以看 kernel32.dll 里 ReadProcessMemory 的反汇编,我这里抠出最关键的一条指令:
代码语言:javascript复制call ds:__imp__NtReadVirtualMemory@20 ; NtReadVirtualMemory(x,x,x,x,x)
ReadProcessMemory 啥也没干,只是调用了 ntdll.dll 的导出函数 NtReadVirtualMemory 函数。
看看 NtReadVirtualMemory 干了啥?
代码语言:javascript复制_NtReadVirtualMemory@20 proc near
mov eax, 0BAh ; NtReadVirtualMemory
mov edx, 7FFE0300h
call dword ptr [edx]
retn 14h
_NtReadVirtualMemory@20 endp
NtReadVirtualMemory 把系统调用号(服务号?)存到EAX,然后 call [7FFE0300h],实际上就是调用了 KiFastSystemCall 函数(因为我的CPU支持快速调用的,所以 7FFE0300h 存的是 KiFastSystemCall)
再看看 KiFastSystemCall 干了啥?
代码语言:javascript复制_KiFastSystemCall@0 proc near
mov edx, esp
sysenter
_KiFastSystemCall@0 endp ;
把3环栈顶地址存储到edx中,然后调用sysenter指令,然后就进0环了。
假设,我的CPU不支持快速调用,那么 NtReadVirtualMemory 就会调用另一个函数 KiIntSystemCall
代码语言:javascript复制_KiIntSystemCall@0 proc near
arg_4= byte ptr 8
lea edx, [esp arg_4] ; edx是第一个参数的指针,eax存的是系统调用号
int 2Eh ; DOS 2 internal - EXECUTE COMMAND
; DS:SI -> counted CR-terminated command string
retn
_KiIntSystemCall@0 endp
这个和sysenter稍有不同,它把第一个参数(或者说最后一个压栈的参数)的指针存到edx中,然后触发2E中断进0环。
七、重写 ReadProcessMemory 和 WriteProcessMemory
通过上面的分析,我们已经了解了系统调用3环部分的过程,下面我重写了 ReadProcessMemory 和 WriteProcessMemory 函数。重写3环API的意义在于,可以防3环HOOK API的检测。
注意,vs 内联汇编不支持 sysenter 指令,可以用 _emit 代替。
我的代码是在vs2010编译的,实测vc6编译 push NtWriteVirtualMemoryReturn 这条指令时会出错,你可以看一下vc6生成的是什么代码,挺坑的。
代码语言:javascript复制// 读写内存_中断门和快速调用实现.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include <Windows.h>
// 读进程内存(中断门调用)
BOOL WINAPI HbgReadProcessMemory_INT(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesRead)
{
LONG NtStatus;
__asm
{
// 直接模拟 KiIntSystemCall
lea edx,hProcess; // 要求 edx 存储最后入栈的参数
mov eax, 0xBA;
int 0x2E;
mov NtStatus, eax;
}
if (lpNumberOfBytesRead != NULL)
{
*lpNumberOfBytesRead = nSize;
}
// 错误检查
if (NtStatus < 0)
{
return FALSE;
}
return TRUE;
}
// 读进程内存(快速调用)
BOOL WINAPI HbgReadProcessMemory_FAST(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesRead)
{
LONG NtStatus;
__asm
{
// 模拟 ReadProcessMemory
lea eax,nSize;
push eax;
push nSize;
push lpBuffer;
push lpBaseAddress;
push hProcess;
sub esp, 0x04; // 模拟 ReadProcessMemory 里的 CALL NtReadVirtualMemory
// 模拟 NtReadVirtualMemory
mov eax, 0xBA;
push NtReadVirtualMemoryReturn; // 模拟 NtReadVirtualMemory 函数里的 CALL [0x7FFE0300]
// 模拟 KiFastSystemCall
mov edx, esp;
_emit 0x0F; // sysenter
_emit 0x34;
NtReadVirtualMemoryReturn:
add esp, 0x18; // 模拟 NtReadVirtualMemory 返回到 ReadProcessMemory 时的 RETN 0x14
mov NtStatus, eax;
}
if (lpNumberOfBytesRead != NULL)
{
*lpNumberOfBytesRead = nSize;
}
// 错误检查
if (NtStatus < 0)
{
return FALSE;
}
return TRUE;
}
// 写进程内存(中断门调用)
BOOL WINAPI HbgWriteProcessMemory_INT(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesWritten)
{
LONG NtStatus;
__asm
{
lea edx,hProcess;
mov eax, 0x115;
int 0x2E;
mov NtStatus, eax;
}
if (lpNumberOfBytesWritten != NULL)
{
*lpNumberOfBytesWritten = nSize;
}
// 错误检查
if (NtStatus < 0)
{
return FALSE;
}
return TRUE;
}
// 写进程内存(快速调用)
BOOL WINAPI HbgWriteProcessMemory_FAST(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesWritten)
{
LONG NtStatus;
__asm
{
// 模拟 WriteProcessMemory
lea eax,nSize;
push eax;
push nSize;
push lpBuffer;
push lpBaseAddress;
push hProcess;
sub esp, 0x04; // 模拟 WriteProcessMemory 里的 CALL NtWriteVirtualMemory
// 模拟 NtWriteVirtualMemory
mov eax, 0x115;
push NtWriteVirtualMemoryReturn; // 模拟 NtWriteVirtualMemory 函数里的 CALL [0x7FFE0300]
// 模拟 KiFastSystemCall
mov edx, esp;
_emit 0x0F; // sysenter
_emit 0x34;
NtWriteVirtualMemoryReturn:
add esp, 0x18; // 模拟 NtWriteVirtualMemory 返回到 WriteProcessMemory 时的 RETN 0x14
mov NtStatus, eax;
}
if (lpNumberOfBytesWritten != NULL)
{
*lpNumberOfBytesWritten = nSize;
}
// 错误检查
if (NtStatus < 0)
{
return FALSE;
}
return TRUE;
}
// 提权函数:提升为DEBUG权限
BOOL EnableDebugPrivilege()
{
HANDLE hToken;
BOOL fOk=FALSE;
if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken))
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount=1;
LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tp.Privileges[0].Luid);
tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);
fOk=(GetLastError()==ERROR_SUCCESS);
CloseHandle(hToken);
}
return fOk;
}
int _tmain(int argc, _TCHAR* argv[])
{
EnableDebugPrivilege();
DWORD pid,addr,dwRead,dwWritten;
char buff[20] = {
0};
printf("依次输入PID和要读的线性地址(均为16进制)...n");
scanf("%x %x", &pid, &addr);
getchar();
// 测试两个版本的 ReadProcessMemory
HbgReadProcessMemory_INT(OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid),(LPCVOID)addr,buff,4,&dwRead);
printf("读取了%d个字节,内容是: "%s"n", dwRead, buff);
HbgReadProcessMemory_FAST(OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid),(LPCVOID)(addr 4),buff,4,&dwRead);
printf("读取了%d个字节,内容是: "%s"n", dwRead, buff);
// 测试两个版本的 WriteProcessMemory
HbgWriteProcessMemory_INT(OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid),(LPCVOID)addr,"##",2,&dwWritten);
printf("写入了%d字节.n", dwWritten);
HbgWriteProcessMemory_FAST(OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid),(LPCVOID)(addr 4),"**",2,&dwWritten);
printf("写入了%d字节.n", dwWritten);
// 再次读取,验证写入是否成功
HbgReadProcessMemory_INT(OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid),(LPCVOID)addr,buff,4,&dwRead);
printf("读取了%d个字节,内容是: "%s"n", dwRead, buff);
HbgReadProcessMemory_FAST(OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid),(LPCVOID)(addr 4),buff,4,&dwRead);
printf("读取了%d个字节,内容是: "%s"n", dwRead, buff);
printf("bye!n");
getchar();
return 0;
}
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/194444.html原文链接:https://javaforall.cn