KiFastSystemCall函数问题

最新推荐文章于 2024-10-16 11:08:37 发布
最新推荐文章于 2024-10-16 11:08:37 发布
阅读量851 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012187684/article/details/20038363

代码:

 HANDLE DebugPort = 0;
    NtQueryInformationProcess((HANDLE)-1, ProcessDebugPort, &DebugPort, sizeof(HANDLE), 0);

函数声明如下
__declspec(naked) 
NTSTATUS NTAPI NtQueryInformationProcess(
                     HANDLE ProcessHandle, 
                     PROCESS_INFORMATION_CLASS InformationClass, 
                     PVOID ProcessInformation, 
                     ULONG ProcessInformationLength, 
                     PULONG ReturnLength )
{//(HANDLE)-1, ProcessDebugPort, &DebugPort, sizeof(HANDLE), 0
  __asm{
    MOV EAX, IMP_NtApiIndex[iNtQueryInformationProcess * 4]
//执行完上一句 EAX为  0x10F31380
      MOV EDX, 7FFE0300h
      CALL DWORD PTR DS:[EDX] //KiFastSystemCall
      RETN 14h
  }
}
知道这个是自己调用KiFastSystemCall函数进入内核马上又出来了,还有目测函数执行完得到了DebugPort 这个BOOL
但是不知道EAX为 0xCB2E430A是什么个意思?还有这种方法叫啥?求指导啊!
陈刚12
关注
导致C++动态库入口函数DllMain中死锁的关键隐藏因子
dvlinker的技术专栏
05-02 1266
导致DllMain中死锁的关键隐藏因子
SystemCallStub与KiFastSystemCall的关系
zfs2008zfs的博客
08-25 1218
SystemCallStub与KiFastSystemCall的关系
对XP上的KiFastSystemCall进行浅析
weixin_34200628的博客
11-19 270
WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。   以ntdll!ZwCreateProcessEx为例:   Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiF...
另类HOOK 以KiFastSystemCall为例
Rprop
01-21 2751
标题的另类并非什么高新技术, 说白了仍是满大街的inline hook, 只不过它为解决可patch空间不足提供了一种有限的解决方案, 本文以早期32位windows系统的以KiFastSystemCall为例.
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
KiFastCallEntry() 机制分析
无本之木
05-28 1295
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
Hooking KiFastSystemCall
11-27 2943
 program KiFastSystemCall; uses   Windows, madCodeHook, SysUtils; var   realKiFastSystemCall: procedure;   dwIndexPVM: DWORD; function hookZwProtectVirtualMemory(hProcess: THandle; lpAddress: Pointer;
绕过常规Hook:KiFastSystemCall在x64系统下的应用
资源摘要信息:"支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言" 本资源是一份关于高级编程技术的教程,其核心在于利用x64架构和Baby大佬开发的Kernel技术,实现对R3(Ring 3,用户模式...
API函数的调用过程
挖树
01-14 2778
API函数的调用过程(ring3) Windows API Application Programing Interface (应用程序接口) 简称API函数 Windows 有多少个API? 主要是存放在C:\WINDOWS\system32下面所有的dll 几个重要的dll Kernel32.dll:最核心的功能模块,比如管理内存,进程和线程相关的函数等. User32.dll...
打印出ntdll.dll中所有函数名字和地址
dididisailor的博客
11-26 3553
0x01 打印出ntdll.dll中所有函数名字和地址 0x02 在任何进程中都可以找到ntdll.dll和kernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
易语言真实API模块
07-18
易语言真实API模块源码,真实API模块,BaseSetLastNTError,调用_KiFastSystemCall,备份_调用_KiFastSystemCall,调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_NtFsControlFile,调用_NtWaitForSingleObject,调用
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
系统调用之KiFastSystemCall
最新发布
wxy_xx1的博客
10-16 229
当CPU执行sysenter时,会提前将CS/SS/ESP对应的值保存到MSR寄存器中(rdmsr属于特权指令只能在内核执行)KiFastSystemCall原型。0x175保存的是ESP。0x176保存的是EIP。0x174保存的是CS。
关于sysenter与KiFastSystemCall
Mr.Out的专栏
10-02 1963
<br />xp下用sysenter指令代替了int 2eh来进入ring0,似乎所有的sysenter都是通过KiFastSystemCall来调用的<br />KiFastSystemCall()<br />{<br /> sysenter<br />}<br /> <br />这样是不是可以通过Hook  KiFastSystemCall来了解哪些是需要调用内核的API了<br /> <br /> <br /> <br /> 
系统调用计算KiFastCallEntry地址的过程以及由此得到的一种获取KiFastCallEntry地址的方式
Lagon的专栏
03-23 1931
SYENTER和SYSEXIT指令首次出现于Pentium II处理器中,其目的是为了提供一个快速(低负载) 的调用操作系统或者执行体过程的机制.SYSENTER用于运行特权级别为3的用户 调用特权级0 的系统内核代码。 WinDbg中反汇编 KiFastSystemCall可以看到SYSENTER指令。 在调用SYSENTER指令前,CPU会通过下面的MSR
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
热门推荐
Less Is More
05-27 2万+
为什么要写这篇文章 1.      因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3.      刚刚做完毕业设计,对
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
lzyddf的博客
11-11 3542
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
1初识内核
q873412892的博客
04-11 768
在 Windows 系统中,Ring 3(用户态)的程序通常通过系统调用(System Call)的方式与内核态(Ring 0)进行交互,而 ntdll.dll 是一个非常重要的动态链接库,它包含了大量的系统调用函数的实现。通过调用 ntdll.dll 中的函数,用户空间的程序可以请求操作系统内核提供的服务和功能,从而间接地与内核态进行通信。因此,虽然用户空间的程序不能直接进入内核态,但通过 ntdll.dll 提供的接口,它们可以间接地向内核态发出请求,从而实现与内核态的通信和交互。
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 987
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值