Ring3转入Ring0跟踪

最新推荐文章于 2022-01-05 15:03:34 发布
最新推荐文章于 2022-01-05 15:03:34 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: 内核 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/php_fly/article/details/9180591
版权
本文探讨了在操作系统中从用户模式(Ring3)切换到内核模式(Ring0)的过程,深入分析了权限跟踪的重要性以及相关技术细节,对于理解操作系统核心功能和安全性具有重要意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。
我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码: 
CALL DWORD PTR DS:[<&ntdll.NtCreateFile>>; ntdll.ZwCreateFile
也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtCreateFile(或ZwCreateFile)函数。
使用微软自带的Dependency工具查看ntdll中的NtCreateFile和ZwCreateFile函数,可以发现,两个函数的入口地址是一样的,也就是说,两个函数可以看成是同一个函数。
最低0.47元/天 解锁文章
红蓝对抗----Ring3Ring0系统调用过程上(Ring3篇)
SHELLCODE_8BIT的博客
09-25 1189
这篇文章我们将研究CreateFile是如何从Ring3Ring0,其中经过了哪些模块,而这些模块又是通过什么技术关联起来的。通过这一篇文章的学习,我们可以更好的了解操作系统内部的调用原理,更能帮助我们深入理解操作系统的各组件的相互调用关系。 为什么学? 如果你想在操作系统上达成以下事情,那么学习这篇文章就是你最好的选择。或者你有下列想法,那么通过举一反三,也是可以做到的。 1.做Hook。Hook可以做的事情非常多,账密拦截,HTTPS拦截。 2.研究和挖掘系统级别漏洞。 3.Rootkit研究
浅谈NT下Ring3无驱进入Ring0的方法
热门推荐
享受开发,颠倒银河
01-14 1万+
[原创]浅谈NT下Ring3无驱进入Ring0的方法 关键字:NT,Ring0,无驱   (测试境:Windows 2000 SP4,Windows XP SP2. Windows 2003 未测试)   在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在 [原创/探讨]Windows 核心编程研究系列之一(改变进程
从进程到内核---ring3ring0
guocaigao的专栏
10-10 7224
这次我们用中断来实现从ring3ring0的跳转,当我们用中断门实现从ring3ring0的转移时,会从TSS加载ring0的堆栈STACKR0,然后将调用者ring3的ss、esp压入新堆栈STACKR0,然后EFLAGS压入堆栈,然后将当前ring3的cs和ip入栈,然后加载调用门中的新的cs和ip,使IF=0,开始执行中断服务函数。 那么首先我们要准备TSS,其结构如下: typed
特权级--ring3ring0
guocaigao的专栏
01-15 1460
还记得吗?我们用调用门和lcall指令实现特权级由低到高的转移. 假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、DPL_B(代码B的DPL)、DPL_G(调用门G的DPL)。 第一步,当A访问调用门G时,规则相当于访问一个数据段,要求CPL和RPL都小于或者等于DPL_G.也就是CPL和RPL需要在更高的特权
跟踪 Ring3 - Ring0 的运行流程
weixin_33881041的博客
08-18 387
理论知识 SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“高速系统调用”功能的一部分被首次引用的。 SYSENTER 指令进行过专门的优化,能够以最佳性能由 Ring3 层切换到 Ring0 层。 微软首次引用 SYSENTER 指令是在 Windows 2000系统上,再次之前微软的系统是通过自陷指令 int 0x2E 进入 Ring...
RING3RING0的函数跟踪
weixin_33951761的博客
05-27 303
前两天面试,一面试官老师提到了RING3RING0跟踪,自己以前是windbg跟踪过一次,想着再用OD跟踪一下 就在当复习一下,当时答面试官哥哥进R0是哪个函数的时候,竟然想不起来,只知道说是Ki开头的那个函数,真是汗颜,不珍惜机会啊 好好记住吧 OD加载咱们的notepad 下断点到CreateFileW,迷惑于是CreateFileW还是CreateFileA可以用PEID看一下,...
Linux Ring3 HOOK
SHELLCODE_8BIT的博客
01-05 407
1.前言 Linux hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说, 操作系统内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比如要访...
SpeedLedger电子记帐「SpeedLedger e-bokföring」-crx插件
03-21
将您银行的银行信息直接转入您的SpeedLedger电子簿记 提供银行信息,直到SpeedLedgere-bokföring。有关银行信息的信息,请在SpeedLedger电子书库中的“登录日志”中查看该组织的行为。 支持语言:svenska
看nt下无驱执行ring0代码
10-25 2378
X86平台上,cpu可以工作在三个特权级别下,ring0ring3,其中ring0具有最高权限,可以执行任何指令而无限制,ring3受到cpu保护机制限制,只能执行非特权指令。当在ring3下执行特权指令如lgdt、iret等时,会触发general protection异常(也就是出错啦,跳转到相应得错误处理程序)。在nt平台下,普通应用程序运行在ring3下,操作系统运行于ring0。如
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8466
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
进入ring0ring3
03-06
ring0下众生程序平等。程序转移分为两种: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。例如:windows ring3下cs是0x1b , ring0下cs通常是0x08.。 对于近转移,我们不需要进行特权级检查。由于windows是保护模式的操作系统,对于远转移如果跨层则需要进行特权级检查,看是否允许其调用。
易语言无驱动进入ring0
07-16
易语言无驱动进入ring0源码,无驱动进入ring0,读取cr0,操作数据,写物理内存,读物理内存,查看字节集,提升进程权限,查看字节集2,到十六进制文本,RtlAdjustPrivilege,NtSystemDebugControl,SetProcessAffinityMask,SetThreadAffinityMask
ring3进入ring0跟踪调试
04-11
ring3进入ring0跟踪调试
高特权级代码段转向低特权级代码段(利用 ret(retf) 指令实现 jmp from ring0 to ring3
PacosonSWJTU的博客
08-31 1305
0】写在前面 0.1)本代码旨在演示 从 ring0 转移到 ring3(即,从高特权级 转移到 低特权级) 0.2)本文 只对 与 门相关的 代码进行简要注释,言简意赅; 0.3)文末的个人总结是干货,前面代码仅供参考的,且source code from orange’s implemention of a os. ; =====================================
函数调用关于从Ring3转到Ring0 ESP堆栈变化
05-20 175
ring0堆栈获取ring3堆栈方式 第一种方式 [esp+4] == [esp+参数个数*4+4] 如果这里不相等就需要用第二种方式 [[esp+参数个数*4+8]] 这里面的值就是Ring3的堆栈。不含参数。也就是Ring3的esp+参数个数*4的置 第二种方式 待定。虚拟机突然崩溃了。郁闷!!!等待下次的发生 转载于:https://www.cnblogs...
【2021.04.26】API函数的调用过程(Ring3Ring0):下
oalken的博客
04-26 664
内容回顾 在前文讲到,如果CPU支持sysenter/sysexit指令,那么API调用时,会通过sysenter指令进入0,如果不支持sysenter指令,就会通过中断门进入0。 默认的中断号:0x2E(IDT表)。 INT 0x2E进Ring0 在IDT表中找到0x2E号的门描述符。 分析CS/SS/ESP/EIP的来源。 分析EIP是什么。 首先来看一下IDT表: 当通过中断门进入0的时候,对应的就是 804dee00`0008f631,它具体对应哪个门呢?IDT存储了3种门,
CPU的Ring0-3
qq_42508901的博客
01-30 1193
Inter的CPU将等级分为四个级别:Ring0Ring1、Ring2、Ring3。Windows只是用其中的两个级别Ring0Ring3Ring0只给操作系统使用,Ring3谁都能用。如果普通应用程序企图执行Ring0指令,则windows会显示“非法指令”错误信息。 Ring0是指CPU的运行级别,Ring0是最高级别,Ring1次之,拿Linux来说,内核的代码运行在最高级别的ring...
OESEK网络管Sleep
最新发布
01-16
### OSEK 网络管理 Sleep 相关的问题及解决方案 #### NM 报文中的关键解析 在处理 OSEK 网络管理 (NM) 的 Sleep 机制时,理解 NM 报文中特定比特的意义至关重要。对于 Sleep 请求而言: - **Bit 3:NM Coordinator Sleep Bit** 当此设为 `1` 表明已被主协调 NM 节点请求开始同步休眠[^1]。 - **Bit 4:Active Wakeup Bit** 此置为 `1` 则表示节点曾主动唤醒过网络,这对于识别哪些设备可能阻止整个系统的完全休眠非常重要。 #### 同步休眠流程概述 同步休眠过程中涉及到多个阶段性的确认操作来确保所有参与通信的节点都能安全地进入低功耗状态而不丢失重要数据或命令。具体来说,在逻辑内的每一个成员都会先通过设置 Ring 报文里的 `Sleep.Ind` 来表达自身的休眠意愿;一旦检测到全部其他参与者也都表达了相同的意图,则进一步发送 `Sleep.Ack` 进行最终的认可。只有在整个集群达成一致之后——即 tWaitBusSleep 时间内没有任何新的活动发生——才会真正转入睡眠模式[^2]。 #### 不同睡眠模式下的 ECU 钟表计数策略 依据所选的睡眠模式(由参数 `EcuMSleepModeSuspend` 定义),存在两种不同的方式用于维持 ECU M 模块内部的时间记录功能。这意味着即使是在较低能耗状态下运行的情况下,仍然能够保持对时间敏感的应用程序所需的定时精度[^3]。 ```python def check_sleep_request(nm_message): """ 解析并判断当前是否有有效的休眠请求 参数: nm_message (int): NM消息字节流转换成整数值 返回: bool: 是否有有效休眠请求 """ coordinator_sleep_bit = (nm_message >> 3) & 0x01 active_wakeup_bit = (nm_message >> 4) & 0x01 return not(active_wakeup_bit and not(coordinator_sleep_bit)) if __name__ == "__main__": sample_nm_msg = int(&#39;0b00001001&#39;, base=2) # 示例NM消息,其中Bit3=1, Bit4=0 result = check_sleep_request(sample_nm_msg) print(f"是否存在有效的休眠请求? {result}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值