关于sysenter与KiFastSystemCall

最新推荐文章于 2025-07-11 16:10:38 发布
原创 最新推荐文章于 2025-07-11 16:10:38 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #api #xp

本文探讨了Windows XP系统中使用sysenter指令替代int 2eh进入Ring0的方法,并介绍了如何通过Hook KiFastSystemCall来追踪需要调用内核API的操作。

xp下用sysenter指令代替了int 2eh来进入ring0,似乎所有的sysenter都是通过KiFastSystemCall来调用的

KiFastSystemCall()

{

 sysenter

}

 

这样是不是可以通过Hook  KiFastSystemCall来了解哪些是需要调用内核的API了

 

 

 

 

SystemCallStubKiFastSystemCall的关系
zfs2008zfs的博客
08-25 1234
SystemCallStubKiFastSystemCall的关系
另类HOOKKiFastSystemCall为例
Rprop
01-21 2782
标题的另类并非什么高新技术, 说白了仍是满大街的inline hook, 只不过它为解决可patch空间不足提供了一种有限的解决方案, 本文以早期32位windows系统的以KiFastSystemCall为例.
KiFastCallEntry() 机制分析
无本之木
05-28 1316
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
XP上的KiFastSystemCall进行浅析
weixin_34200628的博客
11-19 280
WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。   以ntdll!ZwCreateProcessEx为例:   Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiF...
Hooking KiFastSystemCall
11-27 2951
 program KiFastSystemCall; uses   Windows, madCodeHook, SysUtils; var   realKiFastSystemCall: procedure;   dwIndexPVM: DWORD; function hookZwProtectVirtualMemory(hProcess: THandle; lpAddress: Pointer;
系统调用之KiFastSystemCall
wxy_xx1的博客
10-16 286
当CPU执行sysenter时,会提前将CS/SS/ESP对应的值保存到MSR寄存器中(rdmsr属于特权指令只能在内核执行)KiFastSystemCall原型。0x175保存的是ESP。0x176保存的是EIP。0x174保存的是CS。
KiFastSystemCall函数问题
陈刚编程心得与知识集
02-27 862
代码: HANDLE DebugPort = 0; NtQueryInformationProcess((HANDLE)-1, ProcessDebugPort, &DebugPort, sizeof(HANDLE), 0); 函数声明如下 __declspec(naked) NTSTATUS NTAPI NtQueryInformationProcess(
系统调用计算KiFastCallEntry地址的过程以及由此得到的一种获取KiFastCallEntry地址的方式
Lagon的专栏
03-23 1952
SYENTER和SYSEXIT指令首次出现于Pentium II处理器中,其目的是为了提供一个快速(低负载) 的调用操作系统或者执行体过程的机制.SYSENTER用于运行特权级别为3的用户 调用特权级0 的系统内核代码。 WinDbg中反汇编 KiFastSystemCall可以看到SYSENTER指令。 在调用SYSENTER指令前,CPU会通过下面的MSR
windows内核研究(系统调用 二)
最新发布
weixin_43754657的博客
07-11 1048
Windows系统调用机制分析 本文分析了Windows系统的API调用过程,重点关注32位函数在64位系统中的转换机制。系统通过_KUSER_SHARED_DATA结构体实现用户层内核层的数据共享,该结构体在用户层地址为0x7FFE0000(只读),内核层地址为0x7FFDF0000(可写)。文章详细解析了_KUSER_SHARED_DATA结构体内容,其中0x308偏移处存放系统调用入口。同时介绍了CPU快速调用检测机制,通过CPUID指令检查处理器是否支持sysenter/sysexit指令,支持则
易语言实现Windows API底层调用模块
其中,KiFastSystemCall是x86架构下用于触发系统调用中断的快速系统调用门(Fast System Call Gate),它通过CPU的SYSENTER指令实现用户态到内核态的切换,是Windows实现系统调用的核心机制之一。在现代操作系统安全...
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
易语言真实API模块
07-18
易语言真实API模块源码,真实API模块,BaseSetLastNTError,调用_KiFastSystemCall,备份_调用_KiFastSystemCall,调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_NtFsControlFile,调用_NtWaitForSingleObject,调用
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
lzyddf的博客
11-11 3638
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
1初识内核
q873412892的博客
04-11 813
在 Windows 系统中,Ring 3(用户态)的程序通常通过系统调用(System Call)的方式内核态(Ring 0)进行交互,而 ntdll.dll 是一个非常重要的动态链接库,它包含了大量的系统调用函数的实现。通过调用 ntdll.dll 中的函数,用户空间的程序可以请求操作系统内核提供的服务和功能,从而间接地内核态进行通信。因此,虽然用户空间的程序不能直接进入内核态,但通过 ntdll.dll 提供的接口,它们可以间接地向内核态发出请求,从而实现内核态的通信和交互。
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 1026
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
浅析Windows系统调用——2种切换到内核模式的方法
weixin_34391445的博客
11-08 1223
首先总结2种切换到内核模式方法的各自流程,以 Windows API WriteFile() 调用为例:内存法(中断法):(用户模式)WriteFile() -> ntdll!NtWriteFile() -> ntdll!KiIntSystemCall() -> int 2Eh -> 查找 IDT (中断描述符表)的内存地址,偏移0x2E处 ->...
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2778
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
【驱动之四】Nt和Zw
seedluo815的专栏
05-05 1370
Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。  ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpenProcess。仔细看
系统调用笔记(1)
kernweak的博客
04-29 1693
API函数的调用过程(3环部分) Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll,dll里面函数都是API 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等...
SysEnter Application
05-01
SysEnter Application是一个用于系统调用的应用程序。系统调用是操作系统提供给应用程序的一种接口,通过这个接口,应用程序可以请求操作系统执行特定的操作,例如读写文件、创建进程等。SysEnter Application就是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值