Windows syscall

原创 已于 2025-12-15 17:42:01 修改 · 380 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #c++

于 2025-12-15 16:05:47 首次发布

使用syscall的作用

在安全对抗用syscall直接调用api可以在一定程度上绕过一些EDR或者杀毒软件对一些dll的api hook,可以直接调用设计内核的函数。在此只写一个简单的测试用例。

以NtDelayExecution为例

这个函数就是让程序延迟一段时间执行的一个函数,便于观察syscall成功没有的。

windows syscall的调用号是存在eax这个寄存器里的,要直接设置寄存器的值,所以需要使用简单的汇编代码。x64环境不支持直接内联汇编,所以单独创建一个.asm文件写汇编。

syscall stub结构

一般的syscall stub结构如下:

mov r10, rcx => 4C 8B D1

mov eax, SSN => B8 34 00 00 00 (假设 SSN 是 0x34)

syscall => 0F 05

ret => C3

按照index顺序,第5个字节是调用号ssn,这里假设是0x34,存储大小4个字节,小段写。

实现方法

动态获取ssn

在不同的系统版本了里一个api对应的ssn可能是不一样的,所以动态获取ssn是比较稳妥的。从第5个字节获取到ssn即可:

ULONG GetSSN(HMODULE hNtdll, const char* pName) {
    FARPROC FuncAddr = GetProcAddress(hNtdll, pName);
    ULONG* ssn = (ULONG*)((ULONGLONG)FuncAddr + 4);
    return *ssn;
}

如果要检测当前设备的ntdll有没有被hook,可以检查一下syscall stub的前四个字节是不是常规的值,如果被修改了那可能就是被inline hook过的。

syscall

我们先看NtDelayExecution这个函数:

NTSTATUS NtDelayExecution(
   BOOLEAN Alertable,
   PLARGE_INTEGER DelayInterval
);

两个参数,第一个填False就行,第二个是延迟的时间,+表示绝对时间,-表示相对时间,这里为了实验结果明显,直接延迟了10s执行。

在传参方面,x64传参是前四个参数用RCX, RDX, R8, R9传参,后面的进栈,但是syscall不一样,syscall的第一个参数进R10,后面的都一样。

还有一点是前面讲过的syscall是call eax,调用号放eax。

综上所述汇编代码可以这样写:

	mov eax, ecx;
	mov r10, rdx;
	mov rdx, r8;
	syscall;
	ret

然后在cpp里的代码是这样的:

extern "C" NTSTATUS MyNtDelayExecution(ULONG ssn, BOOLEAN Alertable, PLARGE_INTEGER DelayInterval);
NTSTATUS status = MyNtDelayExecution(ssn, FALSE, &interval);

调试

运行程序发现程序确实是延迟了很久。

在vs里导入ntdll的符号表可以看到调用号对应的api:

调用号0x34,对应的就是NtDelayExecution()。

代码见BlackIce417/windows-syscall: A easy windows syscall test demo,很简单的一个测试demo。

syscall函数(调用底层,非windowsAPI)去执行shellcode
bring_coco的博客
08-30 705
首先使用github提供的项目https://github.com/klezVirus/SysWhispers3。ConsoleApplication3.c:(该payload是弹出计算器,还需要后续去改成上线cs)因为syscall特征非常明显,静态特征就很容易被识别到。syscalls_mem.h也是需要编译的,也是默认的。其他三个都是自动生成的,位置放好相应路径即可。因为这个文件要生成,所以不需要做下面的改动。然后我放到360杀毒中,会报毒。应该是检测到了syscall。可以看到成功弹出计算器。
Node.js-Windows系统调用(syscall)表从xp~10rs2
08-10
在深入探讨Node.js在Windows系统调用(syscall)方面的知识之前,我们首先需要理解什么是系统调用。系统调用是操作系统提供的一种接口,允许应用程序直接与内核进行交互,执行如文件操作、进程管理、内存管理等低级...
浅谈 Windows Syscall
全粘工程师
10-27 856
其具体含义是先解析 Ntdll.dll 的 导出地址表 EAT,定位所有以 “Zw” 开头的函数,将开头替换成 “Nt”,将 Code stub 的 hash 和地址存储在 SYSCALL_ENTRY 结构的表中,存储在表中的系统调用的索引是SSN(System Service Numbers,系统服务编号)。内核中包含了大部分操作系统的内部数据结构,所以用户模式下的应用程序在访问这些数据结构或调用内部Windows例程以执行特权操作的时候,必须先从用户模式切换到内核模式,这里就涉及到系统调用。
Windows Syscall Table 项目教程
gitblog_00698的博客
08-16 401
Windows Syscall Table 项目教程 1. 项目的目录结构及介绍 Windows Syscall Table 项目的目录结构如下: windows-syscall-table/ ├── README.md ├── syscall-table/ │ ├── nt/ │ │ ├── x86/ │ │ └── x64/ │ └── win32k/ │ ...
探索Windows内核系统调用表:windows kernel syscall table
gitblog_00001的博客
05-09 1326
探索Windows内核系统调用表:windows kernel syscall table 项目地址:https://gitcode.com/gh_mirrors/wi/windows-syscall-table 在黑客防御与安全研究的领域中,深入理解操作系统内核的工作原理至关重要。windows kernel syscall table 是一个由TinySecEx开发的开源项目,它提供了从Win...
蓝易云 - 解决在Windows平台上运行Golang程序时出现的syscall.SIGUSR1未定义错误。
高性价比服务器就选:蓝易云
09-15 382
这个错误的根源在于 syscall 包中的部分信号常量在 Windows 平台上并没有实现,因为它们是 UNIX 或者类 UNIX(如 Linux)系统特有的。通过这种结构,你的代码既可以在支持 SIGUSR1 信号的系统上正常工作,又可以在不支持这些信号的 Windows 系统上编译通过,确保跨平台的兼容性和功能的完整性。由于 Windows 上不存在 SIGUSR1 信号,这里可以定义一个空操作的函数,或者实现适用于 Windows 的信号处理逻辑。首先,你需要为不同的平台创建不同的源文件。
windows环境 endless undefined: syscall.SIGUSR1
wxwxwxww的博客
03-17 691
windows环境 endless undefined: syscall.SIGUSR1
golang的syscall调用windows的DLL库
可克技术
07-15 3563
golang的syscall调用windows的DLL库 package main import ( "fmt" "syscall" "time" ) func main() { //加载动态库 u32, err := syscall.LoadLibrary("user32.dll") if err!=nil { abort("LoadLibrary", err.Error()) } defer syscall.FreeLibrary(u32) //获得动态库方法 getActi
syscall指令_[原创]简析syscall,sysret和sysenter,sysexit的具体过程
weixin_39627408的博客
12-28 2507
这里我以windows系统为例子,在其他系统实现方式是一样的.我们都知道xp系统是通过int 2E中断从用户态进入内核态的.,但xp系统之后windows都是通过系统快速调用从用户态进入内核态的.系统快速调用有两种:sysenter/sysexitsyscall/sysret前置知识MSRMSR(Model-Specific Register) 是一类寄存器,这类寄存器数量庞大,并且和处理器的mo...
syscall 系统调用
热门推荐
wdsjy1234的博客
07-28 3万+
转自:http://blog.youkuaiyun.com/b02042236/article/details/6136598 5.1.5  如何使用系统调用 如图5.2所示,用户应用可以通过两种方式使用系统调用。第一种方式是通过C库函数,包括系统调用在C库中的封装函数和其他普通函数。   图5.2  使用系统调用的两种方式 第二种方式是使用_syscal
精选资源
Windows-Syscalls-Examples:在各种Windows版本和体系结构中如何使用Syscall的示例
05-09
Windows操作系统提供了一种低级别的接口,称为系统调用(Syscall),供应用程序与内核进行交互。系统调用是操作系统的核心功能之一,它允许用户空间的程序执行特权操作,如创建进程、管理文件、分配内存等。在...
inline_syscall:内联syscall使得在clang上的Windows变得容易
02-03
在标题和描述中提到的"inline_syscall:内联syscall使得在clang上的Windows变得容易",意味着这个项目或库可能提供了简化在Windows平台上使用Clang编译器进行内联系统调用的方法。 在Windows上,通常使用`__stdcall...
精选资源
x64-syscall:C ++中的x64 syscall调用程序
05-11
使用示例(来自Windows 10的索引,内部版本1803): ObjectAttributes.Length = sizeof ( OBJECT_ATTRIBUTES ); ClientId.UniqueProcess = HANDLE( 1000 ); // PID // NtOpenProcess Syscall ( 0x26 , & Handle , ...
list 迭代器:C++ 容器封装的 “行为统一” 艺术
2509_94101176的博客
12-23 986
是 “不变的参数”,表示容器中元素的类型。有了哨兵位,我们可以插入数据,但有个大问题:**我们如何访问插入的数据?对于双向链表,一个节点包含两个指针,用于存储前驱节点和后继节点的地址,以及存一个。时迭代器与底层节点沟通的唯一桥梁,它存储当前链表节点的地址,让所有运算符都围绕。的,我们光设计一个节点类是完全不够的,还需要一个链表类来控制链表的行为,而。中,节点间通过两个指针关联(内存不连续),这导致了原生节点指针。这几个操作符的功能,它的行为不满足迭代器的统一要求了,因此,类配合,才能实现完整的容器功能。
mockito
weixin_42412601的博客
12-23 93
【代码】mockito。
c# 1216
czhc1140075663的博客
12-17 244
已通过配置路径,添加收入 支出条目 重启软件后 原数据不见,但是打开软件后,收入没保存,日统计收支情况只显示支出,添加支出 收入后,日统计数据表格中无数据显示。收入数据未产生,只有支出数据。
程序崩溃free(): double free detected in tcache 2
最新发布
jimy1的博客
12-23 36
文章摘要: 通过分析core文件中的内存片段,可以在没有调试符号(-g)的情况下定位程序崩溃原因。关键方法包括:1) 使用strings命令提取残留日志信息,如"list_destroy"等函数调用痕迹;2) 通过GLIBC报错信息"double free detected"确定崩溃原因为重复释放内存;3) 分析printf格式化字符串推断数据结构(id,name等字段)。研究发现,程序崩溃发生在list_destroy函数执行过程中,且core文件中存在两份相同日志
IO练习——网络爬虫(爬取数据)
2401_84643729的博客
12-15 903
Java练习——IO流练习题
SpringBoot用JPA接口实现分页和排序
Angletank的博客
12-22 300
一些业务中,需要通过分页实现分批返回数据,或者需要对数据进行排序操作,可以使用Jpa组件的PagingAndSortingRepository接口实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值