Win32k syscall

最新推荐文章于 2020-12-28 22:03:52 发布
转载 最新推荐文章于 2020-12-28 22:03:52 发布 · 612 阅读 · 0

http://j00ru.vexillium.org/win32k_syscalls/
Golang下通过syscall调用win32的dll实现mifare card读写
梦想带我去飞翔
10-08 5769
很多同学比如我虽然很喜欢golang,但是还是需要调用很多遗留项目或者其他优秀的开源项目,这是怎么办呢?我们想到的方法是用package里的syscall结合cgo
win10系统调用架构分析
liuyez123的博客
03-27 9022
1.  操作系统模型 大多数操作系统中,都会把应用程序和内核代码分离运行在不同的模式下。内核模式访问系统数据和硬件,应用程序运行在没有特权的模式下(用户模式),只能使用有限的API,且不能直接访问硬件。当用户模式调用系统服务时,CPU执行一个特殊的指令以切换到内核模式(Ring0),当系统服务调用完成时,操作系统切换回用户模式(Ring3)。 Windows与大多数UNIX系统类似,驱动程
KernelGDIDraw:该程序在钩住NtGdiDdDDIDImitCommand时在内核中使用win32k gdi函数进行绘制
04-23
内核GDIDraw 通过使用Infinity钩子钩住NtGdiDdDDIDImitmit时,该程序通过调用win32k gdi函数进行绘制。 它与vmcall的dxgkrnl_hook非常相似。 该代码绝不是漂亮的。 也许有人会觉得这个有用,但是我不建议您使用它。 当我们挂接NtGdiDdDDISubmitCommand时,根据vmcall的内容,我们与屏幕更新完全同步。 但是,由于我们正在拦截它来吸引我们的东西,因此它将延迟通话并导致延迟。 这已在Windows 1903上使用kdmapper进行了测试。 功能(GDI功能) NtUserGetDC NtGdiSelectBrush NtGdiPatBlt NtUserReleaseDC NtGdiCreateSolidBrush NtGdiDeleteObjectApp NtGdiExtTextOutW NtGdiHfontCre
xp/win7 win32k kernel 0day
W Blog
11-25 1376
目前还是ODay,转自DEBUGMAN 老外今天公布的,改了一下XP的可以支持任意权限用户触发 建立一个名为1123的user权限用户运行可触发~ (不是老外,翰海源的instruder公布的。 XP下没对文件句柄做任何检测,所以 lpLayoutFile 只要是任何一个可以写入的地址都可以。 win7里面还会限定这个句柄只能是windows/system32下的文件。) //
漫谈兼容内核之五:Kernel-win32的系统调用机制
周寅的专栏
03-13 1282
 正如许多网友所言,要在Linux内核中实现Windows系统调用(或别的系统调用),最简单的办法莫过于把这些系统调用“搭载”在Linux系统调用上。具体又有几种不同的方法:    1. 为Linux系统调用ioctl()增加一些“命令码”,每个新的命令码都代表着一个Windows系统调用。    2. 为Linux增加一个新的系统调用、例如win32_syscall()、作为总的入口和载体,然后
window内核监控工具源代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 四:进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作: 进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的 进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
深入了解Windows x64系统调用表:全面解析
Win64是指Windows 64位架构,Win32k是Windows内核中负责窗口管理的组件,而C语言是Windows内核开发中常用的一种编程语言。 从上述的知识点可以发现,SyscallTables文档对于想要深入理解Windows系统内部工作原理的IT...
TakingWindows10KernelExploitationToTheNextLevelLeveragingWriteWhatWhereVulnerabilitiesInCreatorsUpdate.pdf
08-28
Morten Schenk在2017blackhat 美国黑客大会上做了题为《Taking-...任意内核读/写原语,KASLR信息泄漏,取消随机化表表条目,动态功能位置,可执行内核内存分配,关于Win32k Syscall过滤的注意事项做了深入的分析。
win32u.dll 里的键鼠操作 api
03-11
根据之前的了解,win32u.dll在Windows NT架构中,特别是在Windows 10之后,作为用户模式与内核模式通信的一部分,处理来自user32.dll的调用,将其转换为系统调用(syscall)到win32k.sys内核驱动。因此,win32u.dll...
Win10 64位驱动级进程保护研究
此外,“SHADOW SSDT”特指Win32k.sys模块中的系统调用表,主要用于处理图形子系统相关的系统调用(GUI相关)。虽然普通进程终止不涉及Shadow SSDT,但某些高级攻击或保护机制可能需要同时监控两套表结构以实现全面...
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1225
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
win32开发(最简单的win32代码)
嵌入式-老费,一个分享专业嵌入式知识的blog
12-12 6725
【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】    在过去工作的时间当中,我工具代码和服务器代码写得多,但是客户端写的少。有关图形界面的代码就写得更少了。所以,利用这一段时间,将win32和mfc的代码重新学习了一下,收获还是很多的。    实际开发中,使用mfc的概率比win32多很多。但是,这不妨碍大家学习win32来开发应用。建议大家
输入法注入及防护分析
研究源码的最底层,只持有正确的仓位
01-15 3867
 一 .输入法原理: 输入法的ime文件实质是个dll文件,导出windows的imm输入法管理器调用的一些回调函数。 初始化: DllMain里注册窗口类 1. ImeInquire里告诉imm输入法的me消息窗口的类名 2. imm根据这个类名创建ime消息窗口 3. 消息窗口的回调函数被调用, 消息是wm_create 至此, ...
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2780
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
深入分析Win32k系统调用过滤机制
weixin_34262482的博客
08-01 595
前言 Windows内核漏洞的利用具有高风险,经常用于浏览器沙箱逃逸。许多年以来,发现的大多数漏洞都是来源于Win32k.sys驱动,它负责处理来自GDI32.DLL和user32.dll的调用。为了缓解这些漏洞,微软在window10上实现了Win32系统调用过滤.总体思路是在进程入口处尝试阻止大量的发往win32.sys的系统调用,以便阻止未知的漏...
golang的syscall调用windows的DLL库
可克技术
07-15 3554
golang的syscall调用windows的DLL库 package main import ( "fmt" "syscall" "time" ) func main() { //加载动态库 u32, err := syscall.LoadLibrary("user32.dll") if err!=nil { abort("LoadLibrary", err.Error()) } defer syscall.FreeLibrary(u32) //获得动态库方法 getActi
syscall指令_[原创]简析syscall,sysret和sysenter,sysexit的具体过程
weixin_39627408的博客
12-28 2493
这里我以windows系统为例子,在其他系统实现方式是一样的.我们都知道xp系统是通过int 2E中断从用户态进入内核态的.,但xp系统之后windows都是通过系统快速调用从用户态进入内核态的.系统快速调用有两种:sysenter/sysexitsyscall/sysret前置知识MSRMSR(Model-Specific Register) 是一类寄存器,这类寄存器数量庞大,并且和处理器的mo...
Golang通过syscall调用win32的Api
weixin_34050005的博客
01-24 2214
2019独角兽企业重金招聘Python工程师标准>>> ...
syscall
最新发布
12-03
系统调用是用户程序请求操作系统提供服务的一种机制,不同架构和系统中实现方式存在差异,以下以 ARM32 系统和 Linux 内核为例介绍系统调用的实现方法: #### 系统调用表定义 系统调用表定义于 `arch/arm/kernel/sys_call_table.S`,为函数指针数组,按系统调用号索引。例如在 ARM32 系统调用表中: ```asm /* 示例片段,对应 ARM32 系统调用表 */ SYSCALL(0, sys_restart_syscall) SYSCALL(1, sys_exit) SYSCALL(2, sys_fork) SYSCALL(4, sys_read) SYSCALL(5, sys_write) ``` 索引方式为直接通过系统调用号(存于 r7)作为数组下标,无需字节偏移,因为每个函数指针占 4 字节,与 ARM 指令长度一致[^1]。 #### 系统调用函数实现 以 `sys_write()` 为例,其实现如下: ```c asmlinkage ssize_t sys_write(unsigned int fd, const char __user *buf, size_t count) { // 参数通过 r0/r1/r2 传递(ARM 前三个参数用 r0 - r2) // 需通过 copy_from_user() 从用户空间读取数据 char kbuf[PAGE_SIZE]; if (copy_from_user(kbuf, buf, count)) return -EFAULT; // 实际写入逻辑... return count; } ``` 在这个函数中,参数通过 ARM 的寄存器 r0、r1、r2 传递,并且需要使用 `copy_from_user()` 从用户空间读取数据[^1]。 #### Linux 内核中的系统调用宏定义 在 Linux 内核中,可使用宏定义来进行系统调用,如 `SYSCALL_DEFINE3`: ```c SYSCALL_DEFINE3(read, unsigned int, fd, char __user *, buf, size_t, count) { struct file *file; ssize_t ret = -EBADF; int fput_needed; file = fget_light(fd, &fput_needed); if (file) { loff_t pos = file_pos_read(file); ret = vfs_read(file, buf, count, &pos); file_pos_write(file, pos); fput_light(file, fput_needed); } return ret; } ``` 这里的 `SYSCALL_DEFINE3` 定义了一个有三个参数的系统调用 `read`,并实现了相应的逻辑[^3]。 #### 系统调用过程(ARM32) 系统调用过程如下: 1. 保存 `EAX` 寄存器,因为在 `SAVE_ALL` 中保存的 `EAX` 寄存器会被调用的返回值所覆盖。 2. 调用 `SAVE_ALL` 保存寄存器上下文。 3. 判断当前调用是否是合法系统调用(`EAX` 是系统调用号,它应该小于 `NR_syscalls`)。 4. 如果设置了 `PF_TRACESYS` 标志,则跳转到 `syscall_trace`,在那里将会把当前进程挂起并向其父进程发送 `SIGTRAP`,这主要是为了设置调试断点而设计的。 5. 如果没有设置 `PF_TRACESYS` 标志,则跳转到该系统调用的处理函数入口。这里是以 `EAX`(即前面提到的系统调用号)作为偏移,在系统调用表 `sys_call_table` 中查找处理函数入口地址,并跳转到该入口地址[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值