windows 7 x64 下的 System Call

最新推荐文章于 2024-09-20 15:49:08 发布
最新推荐文章于 2024-09-20 15:49:08 发布
阅读量891 收藏 1
点赞数
分类专栏: windows驱动

http://blog.youkuaiyun.com/cosmoslife/article/details/14151245


很自然地 windows 7 x64 版本会使用 processor 提供的 syscall/sysret 指令来构造一个快速的调用系统服务例程机制。

ntdll!NtCreateDebugObject:
00000000`76d70680 4c8bd1          mov     r10,rcx
00000000`76d70683 b890000000      mov     eax,90h
00000000`76d70688 0f05            syscall
00000000`76d7068a c3              ret

上面是 ntdll 模式中的 NtCreateDebugObject() 实现,它使用 syscall 指令切换到 kernel,调用内核提供的例程。

关于对 syscall/sysret 指令的详解,请见:http://www.mouseos.com/arch/syscall_sysret.html

我们要想看 syscall 指令进入哪里,可以查看 MSR_LSTAR 寄存器的值,在 windbg 的内核调试模式下,使用 rdmsr 命令观察 MSR_LSTAR 寄存器值:

kd> rdmsr c0000082
msr[c0000082] = fffff800`03cc4ec0

上面的结果显示 fffff800`03cc4ec0 就是 MSR_LSTAR 里的值,它是 syscall 指令的进入点。

我们看看它是什么代码,下面截取了一部分:

nt!KiSystemCall64:
fffff800`03cc4ec0 0f01f8          swapgs
fffff800`03cc4ec3 654889242510000000 mov   qword ptr gs:[10h],rsp
fffff800`03cc4ecc 65488b2425a8010000 mov   rsp,qword ptr gs:[1A8h]
fffff800`03cc4ed5 6a2b            push    2Bh
fffff800`03cc4ed7 65ff342510000000 push    qword ptr gs:[10h]
fffff800`03cc4edf 4153            push    r11
fffff800`03cc4ee1 6a33            push    33h
fffff800`03cc4ee3 51              push    rcx
fffff800`03cc4ee4 498bca          mov     rcx,r10
fffff800`03cc4ee7 4883ec08        sub     rsp,8
fffff800`03cc4eeb 55              push    rbp
fffff800`03cc4eec 4881ec58010000  sub     rsp,158h
fffff800`03cc4ef3 488dac2480000000 lea     rbp,[rsp+80h]
fffff800`03cc4efb 48899dc0000000  mov     qword ptr [rbp+0C0h],rbx
fffff800`03cc4f02 4889bdc8000000  mov     qword ptr [rbp+0C8h],rdi
fffff800`03cc4f09 4889b5d0000000  mov     qword ptr [rbp+0D0h],rsi
fffff800`03cc4f10 c645ab02        mov     byte ptr [rbp-55h],2
fffff800`03cc4f14 65488b1c2588010000 mov   rbx,qword ptr gs:[188h]
fffff800`03cc4f1d 0f0d8bd8010000  prefetchw [rbx+1D8h]
fffff800`03cc4f24 0fae5dac        stmxcsr dword ptr [rbp-54h]
fffff800`03cc4f28 650fae142580010000 ldmxcsr dword ptr gs:[180h]
fffff800`03cc4f31 807b0300        cmp     byte ptr [rbx+3],0
fffff800`03cc4f35 66c785800000000000 mov   word ptr [rbp+80h],0
fffff800`03cc4f3e 0f848c000000    je      nt!KiSystemCall64+0x110 (fffff800`03cc4fd0)

syscall 的入口点是 KiSystemCall64() ,系统在 KiInitializeBootStructures() 里对 syscall/sysret 执行环境进行了设置:

nt!KiInitializeBootStructures+0x233:
fffff800`03f12f63 498b442408      mov     rax,qword ptr [r12+8]
fffff800`03f12f68 b968000000      mov     ecx,68h
fffff800`03f12f6d 66894866        mov     word ptr [rax+66h],cx
fffff800`03f12f71 48b80000000010002300 mov rax,23001000000000h
fffff800`03f12f7b b9810000c0      mov     ecx,0C0000081h                         ; MSR_STAR
fffff800`03f12f80 488bd0          mov     rdx,rax
fffff800`03f12f83 48c1ea20        shr     rdx,20h
fffff800`03f12f87 0f30            wrmsr
fffff800`03f12f89 488d05701cdbff  lea     rax,[nt!KiSystemCall32 (fffff800`03cc4c00)]
fffff800`03f12f90 b9830000c0      mov     ecx,0C0000083h                         ; MSR_CSTAR
fffff800`03f12f95 488bd0          mov     rdx,rax
fffff800`03f12f98 48c1ea20        shr     rdx,20h
fffff800`03f12f9c 0f30            wrmsr
fffff800`03f12f9e 488d051b1fdbff  lea     rax,[nt!KiSystemCall64 (fffff800`03cc4ec0)]
fffff800`03f12fa5 b9820000c0      mov     ecx,0C0000082h                         ; MSR_LSTAR
fffff800`03f12faa 488bd0          mov     rdx,rax
fffff800`03f12fad 48c1ea20        shr     rdx,20h
fffff800`03f12fb1 0f30            wrmsr
fffff800`03f12fb3 b800470000      mov     eax,4700h
fffff800`03f12fb8 b9840000c0      mov     ecx,0C0000084h                         ; MSR_SFMASK
fffff800`03f12fbd 488bd0          mov     rdx,rax
fffff800`03f12fc0 48c1ea20        shr     rdx,20h
fffff800`03f12fc4 0f30            wrmsr
fffff800`03f12fc6 85ed            test    ebp,ebp
fffff800`03f12fc8 750a            jne     nt!KiInitializeBootStructures+0x2a4 (fffff800`03f12fd4)

MSR_STAR 寄存器里的值被设为 23001000000000h,它意味着:

  • SYSCALL_EIP 为 0
  • SYSCALL_CS 为 0x10
  • SYSRET_CS 为 0x23

在 SYSRET_CS 中,SYSRET_CS.RPL = 3 返回的权限级别是 3 级(用户代码)。

MSR_CSTAR 寄存器被设为 nt!KiSystemCall32 (fffff800`03cc4c00) 地址值,这是为了 compaitibility 模式代码调用而设置的。

MSR_LSTAR 寄存器被设为 nt!KiSystemCall64 (fffff800`03cc4ec0) 地址值,是为 64-bit 模式而准备的。

MSR_SFMASK 寄存器设为 4700h,意味着:

  • NT
  • DF
  • IF
  • TF

这些 rflags 寄存器中的标志位在进入 KiSystemCall64() 后会被清 0

那么,对于要进入系统调用的代码来说:

ntdll!NtCreateDebugObject:
00000000`76d70680 4c8bd1          mov     r10,rcx        ; 保存原来的 rcx 的值,rcx 将被置为 rip(返回值)
00000000`76d70683 b890000000      mov     eax,90h        ; 系统调用号
00000000`76d70688 0f05            syscall
00000000`76d7068a c3              ret

执行 syscall 后,rcx 会保存返回值,因此应该要保存 rcx 原来的值。


SyscallTables:Windows NT x64 Syscall表
04-29
Syscall表组合的Windows x64 syscall表Ntoskrnl服务表Windows 2003 SP2 build 3790和Windows XP 64; Windows Vista RTM版本6000; Windows Vista SP2内部版本6002; Windows 7 SP1内部版本7601; Windows 8 RTM版本...
Linux内核学习之syscall的使用
qq_42282862的博客
05-22 1399
linux内核学习
浅谈 Windows Syscall
全粘工程师
10-27 568
其具体含义是先解析 Ntdll.dll 的 导出地址表 EAT,定位所有以 “Zw” 开头的函数,将开头替换成 “Nt”,将 Code stub 的 hash 和地址存储在 SYSCALL_ENTRY 结构的表中,存储在表中的系统调用的索引是SSN(System Service Numbers,系统服务编号)。内核中包含了大部分操作系统的内部数据结构,所以用户模式下的应用程序在访问这些数据结构或调用内部Windows例程以执行特权操作的时候,必须先从用户模式切换到内核模式,这里就涉及到系统调用。
X86_64处理器系统调用机制在linux上的实现
chengwenyang的专栏
06-11 1603
syscall (X86) 硬件机制 X86 64位flat模式提供了快速系统调用硬件机制。使用syscall指令触发系统调用,CPU从用户态(Ring3)切换到特权态(Ring0),使用sysret指令,CPU从内核态切换到用户态。 注意:sysret指令和iret指令是CPU从内核态切换到用户态的两种方式 syscall 指令 执行sysenter指令,发生系统调用时,CPU硬件执行以下动作: 把MSR_LSTAR寄存器中的值加载到RIP寄存器,并把当前程序运行的下一条指令(即sysenter
Windows10内核逆向-1-系统调用
u013677637的博客
09-04 2817
Syscall KiSystemCall64的逆向
jacob-1.18-x64.dll下载
09-21
1. 加载DLL:使用`System.loadLibrary("jacob-1.18-x64")`加载DLL。 2. 创建`com.jacob.activeX.ActiveXComponent`实例,表示与Word的连接。 3. 调用Word对象的相关方法,如打开文档、编辑内容、保存文档等。 例如...
instantclient-basic-windows.x64-12.2.0.1.0.zip
11-05
这个压缩包文件“instantclient-basic-windows.x64-12.2.0.1.0.zip”包含了12.2.0.1.0版本的Oracle Instant Client基本组件,它允许应用程序无需完整安装Oracle Database的情况下,也能执行SQL查询、数据操作和其他...
instantclient-odbc-windows.x64-19.12dbru.zip
10-19
"instantclient-odbc-windows.x64-19.12dbru.zip" 文件是一个压缩包,其中包含了Oracle Instant Client ODBC驱动程序的64位版本,适用于Windows操作系统,版本号为19.12。 Oracle Instant Client的主要组件包括以下...
instantclient-basic-windows.x64-11.2.0.4.0.zip
04-12
"instantclient-basic-windows.x64-11.2.0.4.0.zip"这个文件就是Oracle Instant Client的一个特定版本,专为64Windows操作系统设计,版本号为11.2.0.4.0。它包含了运行时库和必要的组件,使得开发者和DBA可以在不...
VT Msr Hook Syscall
小烟的博客
02-26 1002
VT Hook Syscall
Linux x86平台获取sys_call_table(3),网络安全研发岗面试复盘总结
2401_84139587的博客
04-08 912
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 9496
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
X64通过syscall进行系统调用
最新发布
qq_43139838的博客
09-20 253
x64程序,syscall进行系统调用
x64内核实验5-API进0环
qq_43147121的博客
10-06 970
今天开始我们来分析系统api进0环的过程。
1初识内核
q873412892的博客
04-11 697
Windows 系统中,Ring 3(用户态)的程序通常通过系统调用(System Call)的方式与内核态(Ring 0)进行交互,而 ntdll.dll 是一个非常重要的动态链接库,它包含了大量的系统调用函数的实现。通过调用 ntdll.dll 中的函数,用户空间的程序可以请求操作系统内核提供的服务和功能,从而间接地与内核态进行通信。因此,虽然用户空间的程序不能直接进入内核态,但通过 ntdll.dll 提供的接口,它们可以间接地向内核态发出请求,从而实现与内核态的通信和交互。
Linux系统64位AT&T系统调用汇编指令syscall
qq_42108074的博客
10-24 1522
在Linux中syscall是系统调用)的指令。想要深入了解syscall的作用,就需要了解特权级别。现代计算机通常采用名为的机制来保护整个系统的数据和功能,使其免受故障和外部恶意行为的伤害。这种方式通过提供多种不同层次的资源访问级别,即特权级别,来限制不同代码的执行能力。Intel x86 架构中,特权级别被分为 4 个层次,即Ring0Ring3。其中,Ring0层拥有最高特权,它具有对整个系统的最大控制能力,内核代码通常运行于此。相对地,Ring3。
Linux操作系统学习笔记(四)系统调用
ty的博客
05-24 1209
前言   通过前面几篇文章,我们分析了从按下电源键到内核启动、完成初始化的整个过程。在后面的文章中我们将分别深入剖析Linux内核各个重要部分的源码。考虑到后面的部分我们会从用户态的代码开始入手一步一步深入,因此在分析这些之前,我们需要仔细看一看如何实现一个从用户态到内核态再回到用户态的系统调用的全过程,即系统调用的实现。   本文的说明顺序如下 首先从一个简单的例子开始分析glibc中对应的调用 针对32位和64位中调用的结构不同会分开两部分单独介绍,会介绍整个调用至完成的过程。即用户态->内核
C语言 64位内联汇编 使用syscall系统调用 打印字符串
星空千代
10-24 2080
64位系统下,系统调用可以直接通过syscall汇编指令实现,参数依次放入rax,rsi,rdi,rdx,返回值放入rax,因此通过改变这些寄存器的值即可方便地进行系统调用。 Linux下打印字符串 在Linux中,打印字符串对应的系统调用号为0x1,其原型为ssize_t write (int fd, const void * buf, size_t count); 我们把字符串打印到控制台,即stdout,其fd为1。具体代码如下 // ssize_t write (int fd @rax=1, .
内联syscall技术简化Windows下clang开发
Windows系统中,x64架构下的系统调用可以通过一系列预先定义的寄存器传递参数的方式来进行。 接下来,我们来看“内联syscall”这一概念。在Windows系统中,用户模式程序通常通过Windows API(应用程序编程接口)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值