windows内核-调用门的实现

最新推荐文章于 2025-03-26 15:16:42 发布
最新推荐文章于 2025-03-26 15:16:42 发布
阅读量387 收藏 6
点赞数 5
分类专栏: WINDOWS内核情景分析 文章标签: windows ReactOS c++ 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhyjhacker/article/details/143008170
版权

调用门

提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加
例如:调用门

提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

调用门无参的实现

提示:以下是本篇文章正文内容,下面案例可供参考

一、windbg查看GDTR表,查看cs=1b即18出的描述符
如图知道描述符为:00cffb00~0000ffff
5.4调用门

在这里插入图片描述

用指令eq 修改C0处用于构建调用门,
在这里插入图片描述

还要修改c8处的内容,从1B中复制过来,调用门要跳到C8处指向

预备知识

这里对调用门中门描述符表的一般格式做一个说明
门描述符我们可以看成是一个结构体,这里用汇编进行定义,方便各位同学看官理解

Gate struct ;门结构类型定义
offsetl dw 0 ;32位偏移的低16位
selector dw 0;选择子
dcount db 0;计数器
gtype db 0 ;门类型说明
offseth dw 0 ;32位偏移的高16位
Gate ends

这里在对gtype进行定义

Gtype struct ;门类型说明
P   1 bit 0 ;存在位
DPL 2 bit 0 ;特权级
TD0 1 bit 0 ;存储段和系统段选择位,为0是系统段和前面描述符表类似
TYPE 4 BIT 0 ;门描述符的编码类型
Gtype ends

类型定义完了。我们看在本例子中,我们提供的门描述符的信息,
0040ec00`00cb1020
offseth = 0040
offsetl = 1010
dword = 0
selector = cb ------cbh = b1100 1011,表面从权限是R3,从GDT表中查找,查找表B8处
gtype = ec
其中gtpye在进行拆分 1110 1100
P = 1;
dpl = 3 = r3
DT0= 0,系统段
1100 = c,查表知道是386调用门的编码
基于上面分析得出下面结论,需要做如下处理

1、无参数传递,jmp跨段远跳转,R3未提权

2、调用门0040ec00`00cb1020写入GDT表0xc0处,0x00cb 0xc8处的R3选择子

3、将GDT表0x18(CS=0X1B)处的CS段描述符复制到GDT表0xc8处代码段描述符

根据代码我们需要在C0出写入调用门C0处。没有做提权处理,

上测试代码

4,代码

/*程序名:test8_1.c*/
/*
无参调用门跳转,未提权R3权限
*/
#include <stdio.h>
#include <windows.h>
int t ;
int func()//0X00401020
{
	int a = 1,b = 2;
	return (a+b);
}
int main(int argc,char*argv[])
{
	char buff2[6];
	*(WORD*)&buff2[4] = 0xc3;

	_asm call fword ptr[buff2]
	_asm add esp,4
	_asm mov t,eax


	printf("a+b=%d\n",t);
	return 0;
}

5, 实验现象

在这里插入图片描述

总结:

1,这里如果不进行调用门的调整,指向是没法执行的,如果大家不装windbg本代码,执行汇报05从错误
2,本套课程需要有汇编基础

调用实战(2)----调用特权级转移理论篇
金俊小筑
11-20 1273
<br /> <br />假设我们想由代码段A转移到代码段B,运用一个调用G,调用G中的目标选择子指向代码B的段。这里有几个要素:CPL、RPL、代码B得DPL(DPL_B)、调用G的DPL(DPL_G)。A访问调用G是,要求CPL和RPL都小于等于DPL_G。即CPL和RPL需要在更高的特权级上。<br /> <br />除了上面一步符合要求之外,系统还将比较CPL和DPL_B。如果一致代码段的话,要求DPL_B<=CPL;如果非一致代码段的话,call指令和jmp指令有所不同。call指令要求D
调用
guocaigao的专栏
01-11 2563
,顾名思义它是一扇通向令一个地方,看一下的结构里面有一个描述符和一个偏移值,中定义了这扇通向的目的地,当我们调用一个的时候会到达这个地方: 中的选择子:中的偏移值,也即下图的selector:offset 这是我们代码中国定义的的数据结构: #define Gate(Selector,Offset,PCount,Attr)\ .2byte (Offset&0xff
调用调用描述符(GDT)获得目标地址,并同时从特权级3中压入用户上下文信息,
最新发布
zjkyeah的博客
03-26 527
调用触发跨权限调用(如从用户态进入内核)时,CPU 会自动根据调用描述符切换栈、压入原用户态返回地址(CS/EIP/SS/ESP),然后直接从中加载新的 CS:EIP 执行目标函数。整个过程是受限的、自动的、不可绕过的安全跳转。要不要我帮你画一张图,展示调用触发 → 自动切栈 → 执行目标代码 → lret 回用户态的完整流程图?📊。
通过调用进行控制转移 ——《x86汇编语言:从实模式到保护模式》读书笔记29
车子(chezi)
05-10 3004
通过调用进行控制转移 1.关于堆栈切换 2.通过调用进行控制转移和返回的具体过程
使用调用
weixin_34268843的博客
03-05 207
要注意gdt的第一项是0,不能使用。然后看gdt中那一项的p位没有置位,再添加一个调用描述符。描述符的offset指向需要被ring3程序调用的ring0函数地址。DPL为3。当然selector权限也需要是3。描述符中的selector应是0x8,说明是ring0下code段。驱动通过DeviceIoControl传递给ring3程序调用的selector,当然也可以通过文件注册表之类的。不...
10-调用(有参)实验
进击的小学生
09-14 2674
编写R0函数int g_a, g_b, g_c; __declspec(naked) void getParam(int a, int b, int c) { __asm { // int 3 // 取消注释可以在WinDbg中看R0栈数据 pushad // 0x20 B pushfd // 0x04 B //
windows内核-调用实现02
zhyjhacker的博客
08-07 832
调用无参的实现提示:以下是本篇文章正文内容,下面案例可供参考一、windbg查看GDTR表,查看cs=1b即18出的描述符00cffb000000ffff5.4调用用指令eq 修改C0处用于构建调用,还要修改c8处的内容,从1B中复制过来,调用要跳到C8处指向1,这里如果不进行调用的调整,指向是没法执行的,如果大家不装windbg本代码,执行汇报05从错误2,本套课程需要有汇编基础。
BananaPhone:这是地狱之的变种! (直接从Windows调用Windows内核函数!)
05-01
Syscall与所提供的sysid和uintptr s到参数,你就能够为几乎任何定义内核调用做一个Windows系统调用。 我只尝试了极少数,但它应该适用于任何/大多数情况。 GetPEB返回PEB的内存位置,而不执行任何API调用。 这样做...
火哥6期windows内核学习笔记
10-18
9. Windows内核编程:涉及如何在Windows内核模式下编写和调用函数,以及如何通过调用实现提权等技术细节。 10. 双机调试实验:通过vs2008设置和windbg工具,进行内核模式下的代码调试,设置代码函数的逻辑地址,...
WINDOWS调用驱动
11-16
调用Windows内核中关键的机制,它确保了用户模式代码的安全性和内核资源的有效管理。通过DDK,开发者可以创建调用驱动,实现用户模式与内核模式之间的交互。理解并熟练运用调用,对于进行系统级编程和驱动...
操作系统篇-调用与特权级(CPL、DPL和RPL).docx
07-31
操作系统篇-调用与特权级(CPL、DPL和RPL).docx
6.调用
My classmates
10-11 805
1、调用执行流程指令格式: CALL CS:EIP(EIP是废弃的)cs:真正执行的代码下面解释 执行步骤:. 1)根据CS的值查GDT表,找到对应的段描述符,这个描述符是一个调用 2)在调用描述符中存储另一个代码段段的选择子 3)选择子指向的段 ,段.Base +偏移地址就是真正要执行的地址. 当s位为0的时候说明是系统描述符了, type域为1100这时后就是一个描述符。 它的低16...
[windows内核]调用
r250414958的博客
07-05 829
Windows系统并没有使用调用,但是没用并不等于没有,所以我们这次主要是靠自己实现,来完成这次的探究 关于调用的说明在手册第三卷的5.83中 下面是调用的段描述符格式 可以看到有些值是固定的,这是调用特有的,我们来逐个看一下段描述符格式里的各个意思 The segment selector field in a call gate specifies the code segment to be accessed. The offset field specifies the entry p
调用介绍
weixin_45678798的博客
07-07 922
调用为不同特权级间的进程控制提供了便利,他们一般只用在操作系统中或使用特权级保护机制的程序里;
8.调用
qq_35129925的博客
03-04 292
调用提权,在R3实现R0的权限。 一、调用的执行流程 满足以下条件的描述符才是调用 1. S=0 必须是系统段 2.TYPE 是1100的样式 调用的选择子是低四字节的16-31位 调用的(高16-31位)+(低0-15位)+(调用的选择子的BASE)=真正执行的地址 ...
特权级3(调用
wswupeng的专栏
05-11 2750
特权级3——调用  http://blog.chinaunix.net/u/15262/showart_294956.html调用的作用gate简单来说可以想象成政府为人民提供的一个政府诉求中心,它可以集中收集人民对政府的要求和投诉,然后把这些诉求发给相关的政府部来处理。
什么是调用
、moddemod
09-07 910
调用 通过GDT表查询 任务 中断 陷阱 通过IDT表查询 其实就是一种转换机构,这里谈到的各种概念都是针对CPU的,人家intel工程师就是这样设计的一套理念,你只需要理解即可。保护模式之所以称之为保护模式,重在保护二字,因为在保护模式的前一个版本实模式下,所有的不管是系统的数据还是用户的数据都是混在一块的,如果你一个不小心改写了某块系统部分的数据,结果就是系统直接崩溃! 这显示是很不可取的,所以intel后来设计了保护模式,所谓保护可以理解为保护操作系统不受用户轻易破坏! 本质还是一样的,所
Windows CE 6.0内核与OAL开发详解
"Windows CE 6.0的内核介绍及OAL开发" Windows CE 6.0是微软推出的一款嵌入式操作系统,...听完课程后,学员应能解答关于CE6内核模块组成、接口位置以及如何实现OAL的问题,以提升在Windows CE 6.0平台上的开发能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值