xp下sysenter hook-RDMSR-WRMSR

最新推荐文章于 2023-02-18 17:25:30 发布
最新推荐文章于 2023-02-18 17:25:30 发布
阅读量1.3k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: xp c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2297337
版权

1. 关于sysenter sysexit wrmsr rdmsr请看cpu手册
P4_IA32 Intel Architecture Software Developer's Manual
24547110.pdf
page 3-763

2.xp初始化流程
KeInitSystem->KiInitMachineDependent->KiRestoreFastSyscallReturnState->KiLoadFastSyscallMachineSpecificRegisters->WRMSR

.text:00439A80
.text:00439A80                         ; 圹圹圹圹圹圹圹?S U B R O U T I N E 圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹?
.text:00439A80
.text:00439A80
.text:00439A80                         ; __stdcall KiLoadFastSyscallMachineSpecificRegisters(x)
.text:00439A80                         _KiLoadFastSyscallMachineSpecificRegisters@4 proc near
.text:00439A80                                                                 ; DATA XREF: KiRestoreFastSyscallReturnState()+31o
.text:00439A80 8B FF                                   mov     edi, edi
.text:00439A82 56                                      push    esi
.text:00439A83                                         db      3Eh
.text:00439A83 3E A1 20 F0 DF FF                       mov     eax, ds:0FFDFF020h
.text:00439A89 80 3D FC 20 48 00 00                    cmp     ds:_KiFastSystemCallIsIA32, 0
.text:00439A90 8B F0                                   mov     esi, eax
.text:00439A92 74 31                                   jz      short loc_439AC5
.text:00439A94 6A 00                                   push    0
.text:00439A96 6A 08                                   push    8
.text:00439A98 68 74 01 00 00                          push    174h
.text:00439A9D E8 2B 00 00 00                          call    _WRMSR@12       ; WRMSR(x,x,x)
.text:00439AA2 6A 00                                   push    0
.text:00439AA4 68 F0 76 40 00                          push    offset _KiFastCallEntry
.text:00439AA9 68 76 01 00 00                          push    176h
.text:00439AAE E8 1A 00 00 00                          call    _WRMSR@12       ; WRMSR(x,x,x)
.text:00439AB3 6A 00                                   push    0
.text:00439AB5 FF B6 68 08 00 00                       push    dword ptr [esi+868h]
.text:00439ABB 68 75 01 00 00                          push    175h
.text:00439AC0 E8 08 00 00 00                          call    _WRMSR@12       ; WRMSR(x,x,x)
.text:00439AC5
.text:00439AC5                         loc_439AC5:                             ; CODE XREF: KiLoadFastSyscallMachineSpecificRegisters(x)+12j
.text:00439AC5 5E                                      pop     esi
.text:00439AC6 C2 04 00                                retn    4
.text:00439AC6                         _KiLoadFastSyscallMachineSpecificRegisters@4 endp
.text:00439AC6

.text:00439AC9
.text:00439AC9                         ; 圹圹圹圹圹圹圹?S U B R O U T I N E 圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹?
.text:00439AC9
.text:00439AC9
.text:00439AC9                         ; __fastcall RDMSR(x)
.text:00439AC9                         @RDMSR@4        proc near               ; CODE XREF: KiLoadMTRR(x)+53p
.text:00439AC9                                                                 ; KdpSysReadMsr(x,x)+14p ...
.text:00439AC9 0F 32                                   rdmsr
.text:00439ACB C3                                      retn
.text:00439ACB                         @RDMSR@4        endp
.text:00439ACB
.text:00439ACB                         ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?

.text:00439ACD
.text:00439ACD                         ; 圹圹圹圹圹圹圹?S U B R O U T I N E 圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹?
.text:00439ACD
.text:00439ACD
.text:00439ACD                         ; __stdcall WRMSR(x,x,x)
.text:00439ACD                         _WRMSR@12       proc near               ; CODE XREF: KiLoadFastSyscallMachineSpecificRegisters(x)+1Dp
.text:00439ACD                                                                 ; KiLoadFastSyscallMachineSpecificRegisters(x)+2Ep ...
.text:00439ACD
.text:00439ACD                         arg_0           = dword ptr  4
.text:00439ACD                         arg_4           = dword ptr  8
.text:00439ACD                         arg_8           = dword ptr  0Ch
.text:00439ACD
.text:00439ACD 8B 4C 24 04                             mov     ecx, [esp+arg_0]
.text:00439AD1 8B 44 24 08                             mov     eax, [esp+arg_4]
.text:00439AD5 8B 54 24 0C                             mov     edx, [esp+arg_8]
.text:00439AD9 0F 30                                   wrmsr
.text:00439ADB C2 0C 00                                retn    0Ch
.text:00439ADB                         _WRMSR@12       endp
.text:00439ADB


INIT:005EBD9D                         ; 圹圹圹圹圹圹圹?S U B R O U T I N E 圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹?
INIT:005EBD9D
INIT:005EBD9D
INIT:005EBD9D                         ; __stdcall KiAmdK6InitializeMTRR()
INIT:005EBD9D                         _KiAmdK6InitializeMTRR@0 proc near      ; CODE XREF: KiInitMachineDependent():loc_5E3783p
INIT:005EBD9D 83 25 68 17 48 00 FC                    and     ds:_KiAmdK6Mtrr, 0FFFFFFFCh
INIT:005EBDA4 83 25 6C 17 48 00 FC                    and     ds:dword_48176C, 0FFFFFFFCh
INIT:005EBDAB 83 25 70 17 48 00 00                    and     ds:_AmdMtrrHwUsageCount, 0
INIT:005EBDB2 C7 05 74 17 48 00 02 00+                mov     ds:_AmdK6RegionCount, 2
INIT:005EBDBC 33 C0                                   xor     eax, eax
INIT:005EBDBE
INIT:005EBDBE                         loc_5EBDBE:                             ; CODE XREF: KiAmdK6InitializeMTRR()+35j
INIT:005EBDBE 83 88 80 17 48 00 FF                    or      ds:_AmdK6Regions[eax], 0FFFFFFFFh
INIT:005EBDC5 83 A0 8C 17 48 00 00                    and     ds:dword_48178C[eax], 0
INIT:005EBDCC 83 C0 10                                add     eax, 10h
INIT:005EBDCF 83 F8 20                                cmp     eax, 20h
INIT:005EBDD2 72 EA                                   jb      short loc_5EBDBE
INIT:005EBDD4 53                                      push    ebx
INIT:005EBDD5 56                                      push    esi
INIT:005EBDD6 BE BC 17 48 00                          mov     esi, offset _KiRangeLock
INIT:005EBDDB 56                                      push    esi             ; SpinLock
INIT:005EBDDC E8 E3 77 E1 FF                          call    _KeInitializeSpinLock@4 ; KeInitializeSpinLock(x)
INIT:005EBDE1 8B CE                                   mov     ecx, esi        ; SpinLock
INIT:005EBDE3 FF 15 C8 05 40 00                       call    ds:__imp_@KfAcquireSpinLock@4 ; __declspec(dllimport) KfAcquireSpinLock(x)
INIT:005EBDE9 B9 85 00 00 C0                          mov     ecx, 0C0000085h
INIT:005EBDEE 8A D8                                   mov     bl, al
INIT:005EBDF0 E8 D4 DC E4 FF                          call    @RDMSR@4        ; RDMSR(x)
INIT:005EBDF5 50                                      push    eax
INIT:005EBDF6 A3 68 17 48 00                          mov     ds:_KiAmdK6Mtrr, eax
INIT:005EBDFB 89 15 6C 17 48 00                       mov     ds:dword_48176C, edx
INIT:005EBE01 E8 49 CD F9 FF                          call    _KiAmdK6MTRRAddRegionFromHW@4 ; KiAmdK6MTRRAddRegionFromHW(x)
INIT:005EBE06 FF 35 6C 17 48 00                       push    ds:dword_48176C
INIT:005EBE0C E8 3E CD F9 FF                          call    _KiAmdK6MTRRAddRegionFromHW@4 ; KiAmdK6MTRRAddRegionFromHW(x)
INIT:005EBE11 8B CE                                   mov     ecx, esi
INIT:005EBE13 5E                                      pop     esi
INIT:005EBE14 8A D3                                   mov     dl, bl
INIT:005EBE16 5B                                      pop     ebx
INIT:005EBE17 FF 25 C4 05 40 00                       jmp     ds:__imp_@KfReleaseSpinLock@8 ; __declspec(dllimport) KfReleaseSpinLock(x,x)
INIT:005EBE17                         _KiAmdK6InitializeMTRR@0 endp
INIT:005EBE17
INIT:005EBE17                         ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?

3. 部分代码,感谢vxk
Hook FastCAll
这个太困难了,通过替换MSR_SYSENTER_EIP寄存器的内容,使得系统发出SYSENTER指令后,进入我们自己预设好的处理代码中,
而不是系统原有的KiFastCallEntry例程。
抄了一些wowocock的代码
看代码吧,具体的说明::
RawMSR_SYSENTER_EIP DD 0
lea ebx,[ebp+offset RawMSR_SYSENTER_EIP]
push ebx
Call [ebp+_MmLockPagableDataSection]
lea ebx,[ebp+offset mySYSENTER_Proc]
push ebx
Call [ebp+_MmLockPagableCodeSection]
Call GetMSR_EIP
Call SetMSR_EIP;将mySYSENTER_Proc设置为SYSENTER的入口

TestProc proc
;这里编写我们的处理
TestProc endp

mySYSENTER_Proc Proc ;系统发出SYSENTER指令后,进入mySYSENTER_Proc的入口
Local tr:word

sgdt gdt ;设置内核RING0堆栈
str word ptr[tr]

movzx ecx,tr
add ecx,gdt.GdtBase
mov esp,dword ptr[ecx+2]
and esp,0ffffffh
mov ecx,dword ptr[ecx+4]
and ecx,0ff000000h
or esp,ecx ;esp->tss
mov esp,dword ptr[esp+4]

pushad
pushfd
push fs
mov bx,30h
mov fs,bx
push ds
push es

call TestProc;

pop es
pop ds
pop fs
popfd
popad
jmp [ebp+offset RawMSR_SYSENTER_EIP];

mySYSENTER_Proc Endp


;*********************************************************
; 读出MSR[ECX]的值,此处为SYSENTER_EIP_MSR
;*********************************************************
GetMSR_EIP proc
pushad
mov ecx,176h ;SYSENTER_EIP_MSR 176H
RDMSR
mov [ebp+offset RawMSR_SYSENTER_EIP],eax
popad
ret
GetMSR_EIP Endp
;*****************************************************
; 设置MSR[ECX]的值,此处为SYSENTER_EIP_MSR
;*****************************************************


SetMSR_EIP Proc
pushad
CLI
xor edx,edx
lea eax,[ebp+offset mySYSENTER_Proc]
mov ecx,176h
WRMSR
STI
popad
ret
SetMSR_EIP Endp

 
SYSENTER-hook.rar_C_specific_handler_SYSENTER_hook sysenter_obta
09-24
SYSENTER/SYSEXIT这对指令专门 用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的 调用都是通过 call/trap/task这一类的gate...
rootkit hook之[六] -- sysenter Hook
07-10 1222
作 者: combojiang时 间: 2008-02-26,12:25链 接: http://bbs.pediy.com/showthread.php?t=60247呵呵,今天这篇内容少,比较简单。SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门用于实现快速
sysenter Hook
whatday的专栏
11-05 2793
SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task这一类的gate来实现的
SYSENTER-HOOK
qq_31507523的博客
06-07 770
SYSENTER-HOOK 实验环境:win7虚拟机 示例是对内核层进行SYSENTER-HOOK实现保护进程的功能 SYSENTER-HOOK也成称为KiFastCallEntry-Hook,它相当于是内核层的Inline-Hook,通过修改SYSENTER_EIP_MSR 寄存器使其指向我们自己的函数,那么我们就可以在自己的的函数中对所有来自3环的函数调用进行第一手过滤。 一会儿会用到的API...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hook,IDT-hooksysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook、内核驱动层的SSDT(System Service Dispatch Table)Hook、IDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
掌握钩子技术:API HOOK与内核层SSDT/IDT/sysenter-hook详解
文档详细解析了钩子技术的原理和应用,覆盖了用户层API HOOK以及内核层的SSDT-hook、IDT-hooksysenter-hook等技术。本文档以zip压缩包的形式提供,包含了一个README文档,以及三个可能分别代表源代码(Sys)、可...
SYSENTER HOOK_HOOKMSR_SystemHook_进程保护_修改MSR_gotgkd_
09-29
在IT安全领域,"SYSENTER HOOK_HOOKMSR_SystemHook_进程保护_修改MSR_gotgkd_"这个标题涉及到一系列高级技术概念,主要涵盖了系统调用钩子(SYSENTER HOOK)、模型特定寄存器(Model-Specific Register, MSR)的修改...
进程保护技术:利用SYSENTER HOOK修改MSR
资源摘要信息:"在本文中,我们将深入探讨SYSENTER HOOKHOOKMSR、SystemHook、进程保护以及修改MSR等相关知识点。这些内容主要涉及操作系统的内部机制,尤其是系统调用和硬件支持层面的高级技术。我们将从它们的...
简单Hook SYSENTER
liujiayu2的专栏
06-30 1678
其实所有的HOOK,都基本是一样道理。就是勾住你的目标函数,实现你自己的功能。只要你掌握了,HOOK的原理。剩下的就是寻找目标函数了。      今天回忆一下 HOOK SYSENTER,目的当然还是继续充实自己的BLOG,继续灌水。 一:认识SYSENTER    SYSENTER是一个东西?大家都知道调用门,陷阱门,任务门(这里没有照片!_!).。通过他们我们可以从R3到达R
x86 SYSENTER HOOK
XboxMicro
02-26 1845
准备资料:   自2000以后Windows系统不再用int 2e或通过IDT来请求系统调用表中的服务,而是使用快速调用方法fast call method.在这种方法中,NTDLL向EAX寄存器中加载被请求服务的系统调用号,向EDX寄存器中加载当前堆栈指针ESP。然后发出Intel指令SYSENTER。   SYSENTER指令将控制权传递给模型相关寄存器(Model-Specifi
汇编 rdmsr, wrmsr
Blaider的专栏
09-27 1万+
汇编 rdmsr, wrmsr 1、MSR简介           Model Specific Register (MSR) as the name implies is model specific and may change from processor model number (n) to processor model number (n+1).
SysEnter Hook
收集学习过程中对自己有帮助的牛人文章
11-30 940
#include ULONG g_OldKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { _asm { mov ecx, 0x176 xor edx,edx
linux内核寄存器,Linux读写CPU MSR寄存器命令rdmsr/wrmsr
weixin_35473667的博客
04-29 4958
在Linux内核源码中提供了读写CPU MSR寄存器模块,使可以在用户空间直接读写MSR寄存器。开源社区提供msr寄存器读写工具msrtools,其中有两个命令,rdmsr/wrmsr。要使rdmsr/wrmsr命令真正可以读写msr寄存器,系统中必须有msr模块,或将msr模块编译进内核,下面是从内核配置选项中选取的内容。Processor type and features —> /d...
WRMSR--写MSR
misterliwei的专栏
07-15 6659
WRMSR--写MSR WRMSR将寄存器EDX:EAX的内容写到64位由ECX寄存器指定的MSR(model specific register,模式指定寄存器)中(在支持intel64架构的处理器中RCX的高32位忽略。)。EDX寄存器内容拷贝至选定的MSR的高32位,EAX内容拷贝至选定的MSR的低32位(在支持intel64架构的处理器中RDX和RAX的高32位忽略)。MSR中未定
另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
yaneng的专栏
06-18 1144
标 题: 【原创】另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)作 者: 堕落天才时 间: 2007-04-14,11:09链 接: http://bbs.pediy.com/showthread.php?t=42705************************************************************************
SYSENTER——快速系统调用
热门推荐
misterliwei的专栏
07-15 1万+
SYSENTER——快速系统调用 SYSENTER用来快速调用一个0层的系统过程。SYSENTER是SYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。 在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针:1.       IA
MSR寄存器访问
百里杨的博客
02-18 3462
MSR是CPU的一组64位寄存器,每个MSR都有它的地址值(如下图所示),可以分别通过RDMSRWRMSR 两条指令进行读和写的操作。如图中为8个P-state寄存器,地址分别为0xC001 0064 ~ 0xC001 006B,每个寄存器64bit。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值