Ring0Prolog

最新推荐文章于 2020-04-08 13:50:18 发布
最新推荐文章于 2020-04-08 13:50:18 发布
阅读量890 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: exception permissions thread query byte delete

1 Undocumented Windows NT中通过callgate实现的无驱动进如ring0的代码中的两个宏汇编代码
  直接仿制于NT系统代码(_KiSystemService),随NT版本而变。

Ring0Prolog macro
 PUSHAD
 PUSHFD
 PUSH FS

 ;FS:0即指向FFDFF000h这个重要结构,用户态与核心态的FS值不同,下面是例行公事而已
 MOV     EBX,00000030h
 MOV     FS,BX
 SUB     ESP, 50h       
 MOV     EBP,ESP

 ;Setup the exception frame to NULL
 MOV     EBX,DWORD PTR CS:[0FFDFF000h]
 MOV     DWORD PTR DS:[0FFDFF000h], 0FFFFFFFFh
 MOV     DWORD PTR [EBP],EBX

 ;CS:[FFDFF124h]存有大家再熟悉不过的线程核心块KTHREAD,其中偏移128h处为TrapFrame
 ;Save away the existing KSS EBP
 MOV     ESI, DWORD PTR CS:[0FFDFF124h]
 MOV     EBX,DWORD PTR [ESI+00000128h]
 MOV     DWORD PTR [EBP+4h],EBX
 MOV     DWORD PTR [ESI+00000128h],EBP

 ;块偏移137h处为PreviousMode,简单说供核心函数区分是用户态还是核心态请求,直接决定了某些函数调
 ;用的成功与否。137与上面的128都是nt上的偏移,2000/XP下是不同的,所以这段代码平台相关
 ;Save away the kernel time and the thread mode (kernel/user)
 MOV     EDI,DWORD PTR [ESI+00000137h]
 MOV     DWORD PTR [EBP+8h],EDI

 ;Set the thread mode (kernel/user) based on the code selector
 MOV     EBX,DWORD PTR [EBP+7Ch]
 AND     EBX,01
 MOV     BYTE PTR [ESI+00000137h],BL

 STI
endm

Ring0Epilog macro
 ;Restore the KSS EBP
 MOV     ESI,DWORD PTR CS:[0FFDFF124h]
 MOV     EBX,DWORD PTR [EBP+4]
 MOV     DWORD PTR [ESI+00000128h],EBX

 ;Restore the exception frame
 MOV     EBX,DWORD PTR [EBP]
 MOV     DWORD PTR FS:[00000000],EBX

 ;Restore the thread mode
 MOV     EBX,DWORD PTR [EBP+8h]
 MOV     ESI,DWORD PTR FS:[00000124h]
 MOV     BYTE PTR [ESI+00000137h],BL
 ADD     ESP, 50h
 POP     FS
 POPFD
 POPAD
endm


EPROCESS 的开头部分就是KPROCESS,名字上的所区别可以表明二者的主要定义与使用者的不同:K***意为微内核使用(kernel),在调度等代码使用,所需结构简单,只要一部分;E***意为执行体使用,需要额外的部分,比如活动进程链供任务枚举。KTHREAD、ETHREAD类似。至于 ETHREAD、EPROCESS的联系有结构定义很容易看到,还有TEB/PEB,ETHREAD/EPROCESS等。


2 关于nt内存管理
//PDE-PTE(和硬件页表项的格式相同),页目录的自映射问题告诉我们PDE与PTE的格式相同!
ULONG LinearAddressToPhysicalAddress(ULONG lAddress)
{
 unsigned int *pAddr;
 unsigned int *PageDirectoryEntry=(unsigned int *)0xC0300000;
 unsigned int *PageTableEntry=(unsigned int *)0xC0000000;
 

 if((!(PageDirectoryEntry[lAddress>>22]&0xFFFFF000))
  &&(!(PageDirectoryEntry[lAddress>>22]&0x00000001)))
  return 0;
 

 pAddr=(unsigned int *)((int)PageTableEntry+((lAddress&0xFFFFF000)>>10));
 if((*pAddr)&1)
  return ((*pAddr) &0xFFFFF000) |(lAddress&0x00000FFF);
 return 0;
}


3 /Device/PhysicalMemory对象

/Device/PhysicalMemory对象有下面的权限:
user SYSTEM: Delete, Change Permissions, Change Owner, Query Data,
             Query State, Modify State
user Administrator: Query Data, Query State
详见:http://www.xfocus.net/articles/200208/430.html

FindNextFileW的Ring3到Ring0过程分析
摔不死的笨鸟的博客
11-04 408
FindNextFileW在微软官方看到应该是在kernel32.dll中实现,但实际调试中发现是在kernelBase.dll中。微软官方文档也不可信啊。打开IDA反汇编并加载PDB信息,可以看到_SEH_prolog4函数的使用。遂先学习下这个知识点。 SEH的prolog4函数与epilog4函数 如图所示,是FinNextFileW函数刚断下来时的堆栈以及信息。 可以看到这个函数的栈帧结构是有点不一样的。首先push了四个参数:堆栈大小、scope table entry、_except_ha.
浅谈MDL(叁)--实例测试(Windows内核学习笔记)
KOOKNUT的博客
04-10 669
在我之前写SSDTHook时候,用到过MDL的相关知识,是对内核层的虚拟地址进行MDL映射,然后修改,实现SSDTHook。 原文链接: https://blog.youkuaiyun.com/qq_42253797/article/details/104352520 接下来看一下MDL的实现过程: 首先调用MmCreateMdl函数,对KeServiceDescriptorTable->Service...
ffdff000 处的结构 KPCR
jiurl的专栏
11-14 5991
ffdff000 处的结构 KPCR作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-11-13     ffdff000 处是一个叫做 KPCR 的结构,PCR 即 Processor Control
windows内核下的一些东西
菜鸟蛋的专栏
05-31 965
内核地址0xFFDF0000和用户地址0x7FFE0000都指向同一物理页面。 内核地址是可写的,但用户地址则不能。也就说是说,我们可以在ring0层把信息写入到0xFFDF0000~0xFFDF0FFF的4K虚拟页面空间,由于用户地址0x7FFE0000也指向这个物理页面,所以我们在0xFFDF0000~0xFFDF0FFF地址写入的代码,在用户空间可以访问到。该共享区域的大小是4K。内核占用其中一部分,内存区域的名称是KUSER_SHARED_DATA。可以在WinDbg中看看。   lkd>  d
论文研究-基于KPCR结构的Windows物理内存分析方法.pdf
09-08
介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(9)
Kendiv's Box
02-22 2415
第四章  探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Tuesday, February 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 Windows 2000的分段和描述符w2k_mem.exe的另一个很棒的选项是+e,该选项将显示和说明处理器的段寄存器和描述表的内容。示列
电子书收集
LUOPING198410的专栏
09-14 1534
导读:   │ │ Boot Loader 简介.txt   │ │ bootsect中readit的流程图v2.emf   │ │ Branch_prediction_in_intel_family_cn.pdf   │ │ Simulated Linear Frame Buffer asm.txt   │ │ 历代Windows操作系统.pdf   │ │ 四十款图形操
利用调用门从Ring 3进入Ring 0[转]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
06-30 5456
☆ 利用调用门从Ring 3进入Ring 0观察用户空间程序memdump.exe执行时CS、DS、FS所对应的段描述符:--------------------------------------------------------------------------> memdump -l 8GDTR.base             = 0x8003F000GDTR.limit       
TIOBE编程语言全球热度排行——2020年3月流行榜
AliveCode,Code Life
03-05 7126
哪种语言是最好、最合适的编程语言,一直是程序员和企业技术选型争论不休的话题。全世界的编程语言很多,其流行度变化莫测,但是每个时期流行的不过几十种,百名之外的编程语言对使用它的程序员和企业而言生存空间已经很小。因此,随时了解和掌握编程语言的热度、受欢迎程度,关乎程序员的技术栈储备和他的职业生涯,关乎项目和产品的技术选型以及今后的生命周期。下面是来自TIOBE最新的编程语言全球热度、流行度排行榜——2...
内核线程注入(x86)
拉塞尔的博客
11-22 1513
这是我阅读BlackBone源码从里面扣出来的关于内核线程注入方法的使用。 主要通过Ring0层驱动Attach到目标进程然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为。 关键函数如下: //切换到目标进程创建内核线程进行注入 NTSTATUS AttachAndInjectProcess(IN HANDLE Process...
nmf的matlab代码-prog-lang-detector:用Python编写的编程语言检测器
05-26
nmf的matlab代码编程语言检测器 用Python用Python编写的...Prolog , Python , R , Racket , REXX , Ring , Ruby , Rust , Scala , Scheme , Swift , Tcl , UNIX Shell , VBScript和Visual-Basic .NET 。
Windows内核-_Trap_Frame/ETHREAD/KPCR/KiSystemService
qq_40712959的博客
12-07 1993
_Trap_Frame 无论3环是中断门还是systementer进入0环,3环的寄存器都会寄存在_Trap_Frame结构体中,结构体如下: ETHREAD 每个线程有一个ETHREAD结构体,该结构体保存了线程的状态 ...
CVE-2017-0144 EternalBlue(永恒之蓝)漏洞分析
子曰小玖的博客
04-08 7567
前言 EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫 WannaCry所用而名噪一时。360威胁情报中心对于WannaCry的活动持续地进行着监控,我们看到的趋势是 WannaCry的感染量还在增加,说明作为蠕虫主要传播手段的EternalBlue相应的漏洞还大量存在...
3小时学会HarmonyOS深色模式动态切换:主题优化.pdf
06-17
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 HarmonyOS 让应用开发突破设备边界!通过分布式设计,一次开发即可让应用在手机、智慧屏、车载设备等多终端流畅运行。ArkTS 语言搭配简洁的 Declarative UI 框架,代码量减少 50%+,开发效率直线提升。DevEco Studio 提供可视化调试与多端预览工具,新手也能快速上手。华为开放 HMS Core 丰富能力,一键集成推送、支付等功能,助力应用快速落地。现在接入 Harmony 生态,不仅能抢占万物互联时代先机,更可享受开发者扶持计划,快来打造你的跨设备创新应用吧!
罗技MX Master 2S软件macOS版8.20.233安装包
最新发布
06-17
资源下载链接为: https://pan.quark.cn/s/d3128e15f681 罗技MX Master 2S是一款高端无线鼠标,凭借其卓越的性能和舒适性,深受专业设计师、程序员以及需要长时间使用鼠标的人群的喜爱。它在macOS平台上表现出色,功能丰富。而“LogiMgr Installer 8.20.233.zip”是该鼠标在macOS系统上对应的软件安装程序,版本号为8.20.233,主要功能如下: 驱动安装:该安装包可确保MX Master 2S在macOS系统中被正确识别和配置,发挥出最佳硬件性能,同时保证良好的兼容性。它会安装必要的驱动程序,从而启用鼠标的高级功能。 自定义设置:借助此软件,用户能够根据自己的工作习惯,对MX Master 2S的各个按钮和滚轮功能进行自定义。比如设置特定快捷键、调整滚动速度和方向等,以满足个性化需求。 Flow功能:罗技Flow是一项创新技术,允许用户在多台设备间无缝切换。只需在软件中完成设备配置,鼠标就能在不同电脑之间进行复制、粘贴操作,从而大幅提升工作效率。 电池管理:软件具备电池状态监控功能,可帮助用户实时了解MX Master 2S的电量情况,并及时提醒用户充电,避免因电量不足而影响工作。 手势控制:MX Master 2S配备独特的侧边滚轮和拇指按钮,用户可通过软件定义这些手势,实现诸如浏览页面、切换应用等操作,进一步提升使用便捷性。 兼容性优化:罗技的软件会定期更新,以适应macOS系统的最新变化,确保软件与操作系统始终保持良好的兼容性,保障鼠标在不同系统版本下都能稳定运行。 设备配对:对于拥有多个罗技设备的用户,该软件能够方便地管理和配对这些设备,实现快速切换,满足多设备使用场景下的需求。 在安装“LogiMgr Installer 8.20.233.app”时,用户需确保macOS系统满足软件的最低要求,并
物联网_蓝牙低功耗BLE_MQTT网关_Python脚本_多设备支持_智能家居自动化_数据采集与传输_远程监控与控制_可扩展架构_自定义工作者模块_系统集成_开源项目_跨平台兼容_设备状态上报.zip
06-17
物联网_蓝牙低功耗BLE_MQTT网关_Python脚本_多设备支持_智能家居自动化_数据采集与传输_远程监控与控制_可扩展架构_自定义工作者模块_系统集成_开源项目_跨平台兼容_设备状态上报.zip
《手把手带你移植RT-Thread到新硬件》
06-17
资源下载链接为: https://pan.quark.cn/s/27e1210fbf58 《RT-Thread在STM32F103C8T6上的移植实战指南》 RT-Thread是一款开源、轻量级且高可扩展性的实时操作系统(RTOS),广泛应用于物联网、工业控制和消费电子等领域。STM32F103C8T6作为一款基于ARM Cortex-M3内核的微控制器,凭借其丰富的外设资源和高性价比,成为嵌入式系统学习与开发的理想平台。本文将详细介绍如何将RT-Thread移植到STM32F103C8T6,并逐步添加rt_printf支持和Finsh组件,以实现调试与交互功能。 一、移植准备 移植RT-Thread到STM32F103C8T6的第一步是下载RT-Thread Nano的源码,具体操作方法在2.下载RT-Thread Nano源码中详细说明。RT-Thread Nano是RT-Thread的精简版,专为资源受限的嵌入式设备设计。 二、整合源码 将下载的RT-Thread Nano源码复制到STM32的裸机工程中,相关步骤在3.拷贝RT-Thread Nano源码到裸机工程中介绍。需确保源码结构与工程匹配,以便后续编译和配置。 三、调整工程目录结构 为适应STM32开发环境,需对工程目录结构进行调整。5.修改工程目录结构中详细说明了如何组织和调整文件,确保编译器正确识别和处理所有源文件。 四、删除未使用的文件 为优化内存占用,需删除RT-Thread中不必要的文件。4.删除RT-Thread中不必要的文件中列出了可安全移除的文件清单。 五、编译与错误修复 完成目录结构调整和冗余文件删除后,开始编译工程。在6.编译工程并修复错误中,将逐一解决编译过程中的错误和警告,确保代码无误。 六、配置Board.c文件 8.修改board.c文件涉及针对STM32F103C8T6硬件特性的
2021年蚂蚁集团支付宝私域运营深度解析白皮书》
06-17
资源下载链接为: https://pan.quark.cn/s/d3128e15f681 《支付宝私域运营白皮书(2021)》深入剖析了支付宝在数字化生活服务领域的发展态势以及商家如何借助支付宝平台开展私域运营的策略与实践。以下是其核心要点: 支付宝生态演变:支付宝不再局限于支付功能,而是发展为一个涵盖生活缴费、社保公积金、出行、医疗健康等众多领域的开放型数字生活服务平台,成为消费者获取线上线下服务的关键入口。目前,用户可在支付宝上办理超1000项服务。 消费者行为分析:支付宝用户的搜索行为多集中于打车、点餐、快递、租车等高频服务,线下扫码服务(如骑车、点餐、购物等)的用户心智也日益成熟。餐饮、快消零售、家政服务、酒店旅游等行业商家在支付宝上的布局尤为活跃。 支付宝小程序分布:餐饮行业的小程序数量占比最高,快消零售、家政服务和酒店旅游紧随其后。这些行业的商家在支付宝的交易量也较为可观,如餐饮、缴费还款、交通出行、教育、共享租赁等领域。 私域运营路径:支付宝构建了一套完整的私域运营链路,涵盖公域获客(如搜索、首页推荐、营销会场)、用户留存(如“生活号+”关注、小程序收藏)、复访与召回(如消息订阅、会员频道)、用户分析(如访问分析、留存分析、分析营销)等环节。商家可通过线下物料引导、支付成功页推广、城市区域投放等方式与用户建立连接。 会员运营策略:商家可在支付宝平台上运营会员,通过消息触达、内容营销等手段提升用户粘性,促进复购。卡包功能、会员频道、支付后营销等结合优惠券策略,可有效实现用户留存与召回。 案例分享:白皮书中可能包含多个商家案例,展示其在支付宝私域运营中的成功实践,如如何运用“生活号+”营销、优惠券策略和会员管理等。 运营规范与指南:白皮书为商家提供了在支付宝平台开展私域运营的规则和操作指南,助力商家合规且高效地开展营销活动。 白皮书为商家提供了全面的策略指导,帮助
深入学习Prolog编程
"《深入理解Prolog》是一本专注于实践Prolog编程的书籍,不只停留在理论层面。书中提供了几个可以直接运行的专家系统外壳,以及用于排序、搜索、自然语言处理和数值方程求解的程序。作者是Michael A. Covington、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值