[原创]KeUserModeCallback用法详解-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]KeUserModeCallback用法详解

发表于: 2010-1-10 19:29 49998

[原创]KeUserModeCallback用法详解

achillis

2010-1-10 19:29

49998

ring0调用ring3早已不是什么新鲜事，除了APC，我们知道还有KeUserModeCallback.其原型如下：

NTSTATUS
KeUserModeCallback (
    IN ULONG ApiNumber,
    IN PVOID InputBuffer,
    IN ULONG InputLength,
    OUT PVOID *OutputBuffer,
    IN PULONG OutputLength
    );

//开始填充缓冲区
*(ULONG*)pBuf=(ULONG)pBuf+sizeof(ULONG);//这里放的是一个shellcode的指针,shellcode将会被放在pBuf+4的位置
RtlCopyMemory(pBuf+4,(char*)CallBackStub,CALLSTUBLEN);//pBuf+4的位置开始是shellcode
RtlCopyMemory(pBuf+32,szText,strlen(szText));//从bufer+32开始拷贝字符参数
RtlCopyMemory(pBuf+32+strlen(szText)+1,szCaption,strlen(szCaption));//注意加1以便留出一个0x00作为sxText的结束符
缓冲区的填充并没有什么特别的要求。这里我排列好的样子是:
kd> db 0x00370000
00370000  04 00 37 00 8b 44 24 04-ff 70 10 ff 70 0c ff 70  ..7..D$..p..p..p
00370010  08 ff 70 04 ff 10 c2 08-00 00 00 00 00 00 00 00  ..p.............
00370020  4b 65 55 73 65 72 4d 6f-64 65 43 61 6c 6c 62 61  KeUserModeCallba
00370030  63 6b 3a 20 48 65 6c 6c-6f 20 66 72 6f 6d 20 72  ck: Hello from r
00370040  69 6e 67 30 20 21 21 21-00 52 69 6e 67 30 00 00  ing0 !!!.Ring0..
00370050  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00370060  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00370070  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................

ApiIndex=((ULONG)pBuf - KernelCallbackTable)/4;

Arguments[0]=addrMessageBoxA;
Arguments[1]=0;//hWnd=NULL
Arguments[2]=(ULONG)pBuf+32;//szText
Arguments[3]=(ULONG)pBuf+32+strlen(szText)+1;//szCaption
Arguments[4]=0;//MB_OK

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Ring0MessageBox_Src.rar （140.34kb，705次下载）
刚返回到KiCallBackDispatcher时的寄存器.jpg （24.89kb，1889次下载）
缓冲区中的数据.jpg （45.49kb，1884次下载）
刚返回到KiCallBackDispatcher时的栈.jpg （39.06kb，1878次下载）
开始执行shellcode时的栈.jpg （37.28kb，1882次下载）
shellcode.jpg （32.25kb，1869次下载）

收藏・128

免费・8

支持

最新回复 (28) 1 2 ▶
寒冰心结雪币： 8196 活跃值： (2791) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 2 楼这贴不沙发、要后悔。。呵呵。谢谢分享 2010-1-10 19:47 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼教主很细心。 2010-1-10 19:57 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼细致一点，把原理搞清楚，感觉才算真正明白~~ 2010-1-10 20:04 0
cogito 雪币： 320 活跃值： (278) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 40 粉丝 1 关注私信	cogito 5 楼 achillis的贴要顶 2010-1-10 20:29 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 6 楼向教主学习 2010-1-10 20:36 0
MiSHE 雪币： 708 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	MiSHE 7 楼学习了 2010-1-10 20:42 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 8 楼顶教主跟教主学习科学知识 2010-1-11 09:36 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 9 楼 tks!!! 2010-1-11 11:22 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 10 楼有详细的apiindex表就好了 2010-1-11 18:12 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 11 楼   只能根据回调函数的名字猜了~ 2010-1-11 18:17 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 12 楼随便找个GUI进程ATTACH过去输入 dds poi(peb地址+2c) l50 API INDEX-函数对应表就出来了 2010-1-11 19:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 13 楼有的只看名字还是不知道什么意思啊，比如前面几个 2010-1-11 22:09 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 14 楼进来学习一下 2010-1-11 22:09 0
hbop 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hbop 15 楼学习了过年了看代码更精一步了 2010-1-14 04:41 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 16 楼细节决定成败... 2010-1-14 15:14 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 17 楼好贴，收藏！！ 2010-1-15 09:31 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 18 楼确实分析嘚很详细..... 2010-1-15 11:57 0
subme1 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 59 粉丝 0 关注私信	subme1 19 楼顶，虽然看不太懂，但占个座以后再细细看 2010-1-16 20:07 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 20 楼 UP 2010-1-17 20:27 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 21 楼学习了，谢谢楼主的好文章 2010-1-18 00:36 0
notmorw 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	notmorw 22 楼受益了。Thank u~~~~~ 2010-1-18 02:25 0
chenfagui 雪币： 155 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	chenfagui 1 23 楼顶啊顶啊顶啊顶 2010-1-18 09:24 0
drummer 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	drummer 25 楼从内核启动个进程可以用这个玩玩试 2010-2-26 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

achillis

发帖

2032

回帖

610

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
寒冰心结雪币： 8196 活跃值： (2791) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 2 楼这贴不沙发、要后悔。。呵呵。谢谢分享 2010-1-10 19:47 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼教主很细心。 2010-1-10 19:57 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼细致一点，把原理搞清楚，感觉才算真正明白~~ 2010-1-10 20:04 0
cogito 雪币： 320 活跃值： (278) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 40 粉丝 1 关注私信	cogito 5 楼 achillis的贴要顶 2010-1-10 20:29 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 6 楼向教主学习 2010-1-10 20:36 0
MiSHE 雪币： 708 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	MiSHE 7 楼学习了 2010-1-10 20:42 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 8 楼顶教主跟教主学习科学知识 2010-1-11 09:36 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 9 楼 tks!!! 2010-1-11 11:22 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 10 楼有详细的apiindex表就好了 2010-1-11 18:12 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 11 楼   只能根据回调函数的名字猜了~ 2010-1-11 18:17 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 12 楼随便找个GUI进程ATTACH过去输入 dds poi(peb地址+2c) l50 API INDEX-函数对应表就出来了 2010-1-11 19:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 13 楼有的只看名字还是不知道什么意思啊，比如前面几个 2010-1-11 22:09 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 14 楼进来学习一下 2010-1-11 22:09 0
hbop 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hbop 15 楼学习了过年了看代码更精一步了 2010-1-14 04:41 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 16 楼细节决定成败... 2010-1-14 15:14 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 17 楼好贴，收藏！！ 2010-1-15 09:31 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 18 楼确实分析嘚很详细..... 2010-1-15 11:57 0
subme1 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 59 粉丝 0 关注私信	subme1 19 楼顶，虽然看不太懂，但占个座以后再细细看 2010-1-16 20:07 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 20 楼 UP 2010-1-17 20:27 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 21 楼学习了，谢谢楼主的好文章 2010-1-18 00:36 0
notmorw 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	notmorw 22 楼受益了。Thank u~~~~~ 2010-1-18 02:25 0
chenfagui 雪币： 155 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	chenfagui 1 23 楼顶啊顶啊顶啊顶 2010-1-18 09:24 0
drummer 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	drummer 25 楼从内核启动个进程可以用这个玩玩试 2010-2-26 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复